Gilt für
Windows 10, version 1703, all editions Windows Server 2016 Windows Server 2016 Essentials Windows Server 2016 Standard Windows 10 Windows 10, version 1511, all editions Windows 10, version 1607, all editions Windows Server 2012 R2 Datacenter Windows Server 2012 R2 Standard Windows Server 2012 R2 Essentials Windows Server 2012 R2 Foundation Windows 8.1 Enterprise Windows 8.1 Pro Windows 8.1 Windows RT 8.1 Windows Server 2012 Datacenter Windows Server 2012 Standard Windows Server 2012 Essentials Windows Server 2012 Foundation Windows Server 2008 R2 Service Pack 1 Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Web Edition Windows Server 2008 R2 Foundation Windows 7 Service Pack 1 Windows 7 Ultimate Windows 7 Enterprise Windows 7 Professional Windows 7 Home Premium Windows 7 Home Basic Windows 7 Starter Windows Vista Service Pack 2 Windows Vista Home Basic Windows Vista Home Premium Windows Vista Business Windows Vista Ultimate Windows Vista Enterprise Windows Vista Starter Windows Server 2008 Service Pack 2 Windows Server 2008 Foundation Windows Server 2008 Standard Windows Server 2008 for Itanium-Based Systems Windows Server 2008 Web Edition Windows Server 2008 Enterprise Windows Server 2008 Datacenter

Zusammenfassung

In bestimmten TPM-Chipsätzen (TPM = Trusted Platform Module) liegen Sicherheitsschwachstellen vor. Diese Schwachstellen schwächen die Schlüsselstärke. Weitere Informationen zu diesem Sicherheitsrisiko finden Sie unter ADV170012.

Weitere Informationen

Wichtig

Da „Virtual Smart Card (VSC)“-Schlüssel nur im TPM gespeichert werden, ist jedes Gerät, das ein betroffenes TPM verwendet, anfällig.

Um das Risiko der Anfälligkeit für VSC in TPM, wie in der Microsoft Sicherheitsempfehlung ADV170012 beschrieben, zu mindern, wenn ein TPM-Firmware-Update von Ihrem OEM verfügbar ist, müssen die folgenden Schritte befolgt werden.  Microsoft wird dieses Dokument aktualisieren, sobald zusätzliche Maßnahmen verfügbar sind.

Rufen Sie sämtliche BitLocker- oder Geräteverschlüsselungs-Schlüssel auf, bevor Sie  das TPM-Firmware-Update installieren.

Es ist unbedingt erforderlich, die Schlüssel vorab zu ermitteln. Sollte es während des TPM-Firmware-Updates zu einem Ausfall kommen, muss das System über den Wiederherstellungsschlüssel neu gestartet werden, falls BitLocker nicht ausgesetzt wurde oder die Geräteverschlüsselung aktiv ist.

Wenn BitLocker oder die Geräteverschlüsselung auf dem Gerät aktiv ist, muss unbedingt der Wiederherstellungsschlüssel zur Verfügung stehen. Im folgenden Beispiel wird gezeigt, wie man sich den Wiederherstellungsschlüssel für BitLocker und die Geräteverschlüsselung für ein einzelnes Volumen anzeigen lassen kann. Im Falle mehrerer Festplattenpartitionen liegen möglicherweise unterschiedliche Wiederherstellungsschlüssel für die einzelnen Partitionen vor. Stellen Sie unbedingt sicher, dass Sie den Wiederherstellungsschlüssel für das Betriebssystemvolumen (für gewöhnlich C) speichern.  Falls Ihr Betriebssystem auf einem anderen Volumen installiert wurde, muss der Parameter entsprechend geändert werden. 

Führen Sie das folgende Skript in einer Befehlszeile mit Administratorenrechten aus:

C:\Windows\system32>manage-bde -protectors -get c:

BitLocker Drive Encryption: Configuration Tool version 10.0.15063

Copyright (C) 2013 Microsoft Corporation. All rights reserved.

Volume C: []

All Key Protectors

TPM:

ID: {36B6DEE1-7B13-4A8F-876E-04735E8D3972}

PCR Validation Profile:

7, 11

(Uses Secure Boot for integrity validation)

Numerical Password:

ID: {6303FEBD-E4C0-4912-A331-4689B04E431A}

Password:

588214-228690-421003-079299-589270-595331-473407-0361

Wenn BitLocker oder die Geräteverschlüsselung für das Betriebssystem aktiv ist, setzen Sie es aus. Das folgende Beispiel zeigt, wie Sie BitLocker oder die Geräteverschlüsselung aussetzen können.  (Falls Ihr Betriebssystem auf einem anderen Volumen installiert wurde, muss der Parameter entsprechend geändert werden.)

Führen Sie das folgende Skript in einer Befehlszeile mit Administratorenrechten aus:

C:\Windows\system32>manage-bde -protectors c: -disable

BitLocker Drive Encryption: Configuration Tool version 10.0.15063

Copyright (C) 2013 Microsoft Corporation. All rights reserved.

Key protectors are disabled for volume C:.

Hinweis Auf Windows 8 oder neueren Versionen werden BitLocker und die Geräteverschlüsselung nach einem Neustart automatisch wieder aktiv. Stellen Sie also sicher, dass BitLocker und die Geräteverschlüsselung  unmittelbar vor der Installation des TPM-Firmware-Updates ausgesetzt werden. Auf Windows 7 und älteren Systemen muss BitLocker manuell wieder aktiviert werden, nachdem das Firmware-Update installiert wurde.

 

Installieren Sie das entsprechende Firmware-Update gemäß OEM-Anleitung, um das betroffene TPM zu aktualisieren.

Es handelt sich dabei um das Update, das von Ihrem OEM zur Verfügung gestellt wurde, um die Schwachstellen im TPM zu behandeln. Siehe Schritt 4: “Relevante Firmware-Updates anwenden“ in Microsoft Sicherheitsempfehlungen ADV170012, um mehr darüber zu erfahren, wie Sie das TPM-Update von Ihrem OEM erhalten können.

VSC löschen und wieder aufnehmen

Nach dem TPM-Firmware-Update müssen die schwachen Schlüssel gelöscht werden. Wir empfehlen, die von den VSC-Partnern zur Verfügung gestellten Management-Tools (z. B. Intercede) zu verwenden, um den vorhandenen VSC zu löschen und wieder aufzunehmen.

Facebook LinkedIn E-Mail
RSS-FEEDS ABONNIEREN

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

Vorteile des Microsoft 365-Abonnements

Microsoft 365-Training

Microsoft Security

Barrierefreiheitscenter