Souhrn
Existuje chyba zabezpečení v určitých chipset Trusted Platform Module (TPM). Chyba zabezpečení oslabí sílu klíče.
Další informace o chybě zabezpečení, přejděte na ADV170012.
Další informace
Důležité
Vzhledem k tomu, že virtuální karty Smart Card (VSC) klíče jsou uloženy pouze v čipu TPM, je libovolné zařízení, které je ovlivněné čipu TPM pomocí ohrožen.
Tento postup ke zmírnění chyba zabezpečení TPM pro VSC, jak je popsáno v Microsoft Security Advisory ADV170012při aktualizaci firmwaru TPM je k dispozici v OEM. Společnost Microsoft bude aktualizovat tento dokument jako další skutečnosti snižující závažnost rizika budou k dispozici.
Před instalací aktualizace firmware TPM načtěte všechny nástroje BitLocker nebo zařízení šifrovací klíče.
Je důležité nejprve načíst klíče. Pokud dojde k selhání při aktualizaci firmware TPM, obnovovací klíč bude muset znovu restartovat systém, pokud není pozastavení nástroje BitLocker nebo šifrování zařízení je aktivní.
Pokud zařízení obsahuje nástroje BitLocker nebo šifrování zařízení povoleno, přesvědčte se, zda načtení klíče pro obnovení. Následuje příklad zobrazení nástroje BitLocker a obnovení klíče šifrování zařízení pro jeden svazek. Pokud existuje více oddílů pevného disku, může být samostatné obnovovací klíč pro každý oddíl. Ujistěte se, že ukládání obnovovacího klíče pro svazek operačního systému (obvykle C). Pokud svazek operačního systému je nainstalován na jiný svazek, změní parametr.
Na příkazovém řádku s právy správce, spusťte následující skript:
C:\Windows\system32>manage-bde -protectors -get c:
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume C: []
All Key Protectors
TPM:
ID: {36B6DEE1-7B13-4A8F-876E-04735E8D3972}
PCR Validation Profile:
7, 11
(Uses Secure Boot for integrity validation)
Numerical Password:
ID: {6303FEBD-E4C0-4912-A331-4689B04E431A}
Password:
588214-228690-421003-079299-589270-595331-473407-0361
Pokud nástroj BitLocker nebo šifrování zařízení je povolena pro svazek operačního systému, úsporného režimu. Následuje příklad toho, jak pozastavit nástroj BitLocker nebo šifrování zařízení. (Je-li svazek operačního systému je nainstalována na jiném svazku, změní parametr).
Na příkazovém řádku s právy správce, spusťte následující skript:
C:\Windows\system32>manage-bde -protectors c: -disable
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Key protectors are disabled for volume C:.
Poznámka: V systému Windows 8 a novějších verzích nástroje BitLocker a šifrování zařízení pokračovat automaticky po jedním restartováním počítače. Proto ujistěte se, že nástroj BitLocker a šifrování zařízení jsou pozastavené bezprostředně před instalací aktualizace firmware TPM. Nástroj BitLocker v systému Windows 7 a starší systémy musí ručně znovu povolit po instalaci aktualizace firmwaru.
Instalace firmwaru použitelné aktualizace k ohroženým TPM podle pokynů výrobce OEM
Toto je aktualizace, která je publikována v rámci OEM řeší chybu v čipu TPM. Naleznete v kroku 4: " "použít příslušný firmware aktualizace, " v Microsoft Security Advisory ADV170012 informace o získání aktualizace TPM od výrobce OEM.
Odstranit a znovu zapsat VSC
Po použití aktualizace firmware TPM, je třeba odstranit slabé klíče. Doporučujeme použít nástroje pro správu poskytovaných VSC partnery (například Intercede) k odstranění stávající VSC a opětovný zápis.