Souhrn
Existuje chyba zabezpečení v určitých chipset Trusted Platform Module (TPM). Chyba zabezpečení oslabí sílu klíče.
Tento článek pomáhá identifikovat a napravit problémy v nástroj BitLocker chráněný zařízení, které jsou ohroženy chybou zabezpečení, která je popsána v Microsoft Security Advisory ADV170012.
Další informace
Přehled
Tento dokument popisuje, jak k nápravě dopad chyby zabezpečení v nástroje BitLocker čip TPM založené chrániče.
Dopad na jiné metody ochrany nástrojem BitLocker musí být přezkoumána podle jak jsou chráněny příslušnými tajemství. Například pokud externího klíče k odemčení nástroje BitLocker chráněný do čipu TPM, naleznete analyzovat dopad informačního zpravodaje . Náprava těchto účinků chybu není v rozsahu tohoto dokumentu.
Jak určit dopad
Nástroj BitLocker používá čip TPM pečeť a šifrování operace s kořenový klíč úložiště chránit tajemství nástroje BitLocker na svazku operačního systému. Tato chyba zabezpečení ovlivňuje pečeť a šifrování operace čipu TPM 1.2, ale nemá vliv na operace čipu TPM 2.0.
Pokud ochrana založená na čipu TPM se používá k ochraně svazku operačního systému, zabezpečení Ochrana nástrojem BitLocker bude ovlivněna, pouze pokud je verze firmware TPM 1.2.
K identifikaci ohrožených čipy TPM a TPM verze, viz "2. Určení zařízení v organizaci, která se týká"v části"Doporučené akce"v Microsoft Security Advisory ADV170012.
Kontrola stavu nástroje BitLocker, spusťte "příkazu manage-bde-status < písmeno svazku operačního systému: >" příkazového řádku jako správce počítače.
Obrázek 1 Ukázkový výstup ze svazku operačního systému, který je chráněn ochranu pomocí technologie TPM a ochranu pomocí hesla pro obnovení. (Šifrování zařízení není ohrožen touto chybou zabezpečení TPM.)
Odstranění chyby zabezpečení nástroje BitLocker po aktualizaci firmwaru
Postupujte podle kroků k nápravě této chyby zabezpečení:
-
Ochrana nástrojem BitLocker pozastavit: spustit "příkazu manage-bde-protectors < písmeno svazku operačního systému: > – zakázat" jako správce počítače.
-
Vymazání čipu TPM. Pokyny naleznete v tématu "6. Vymazání čipu TPM"v části Doporučená akce" v Microsoft Security Advisory ADV170012.
-
Ochrana nástrojem BitLocker automaticky obnoví po restartování počítače pro Windows 8 a novějších verzích systému Windows. V systému Windows 7, spusťte "příkazu manage-bde-protectors < písmeno svazku operačního systému: > – povolit" jako správce počítače, chcete-li obnovit ochranu nástrojem BitLocker.
Následující stránka obsahuje úplný příkazový spravovat-bde.exe:
https://technet.microsoft.com/library/ff829849(v=ws.11).aspx