Zusammenfassung
In bestimmten TPM-Chipsätzen (TPM = Trusted Platform Module) liegen Sicherheitsschwachstellen vor. Diese Schwachstellen schwächen die Schlüsselstärke.
Weitere Informationen zu diesem Sicherheitsrisiko finden Sie unter ADV170012.
Weitere Informationen
Wichtig
Da „Virtual Smart Card (VSC)“-Schlüssel nur im TPM gespeichert werden, ist jedes Gerät, das ein betroffenes TPM verwendet, anfällig.
Um das Risiko der Anfälligkeit für VSC in TPM, wie in der Microsoft Sicherheitsempfehlung ADV170012 beschrieben, zu mindern, wenn ein TPM-Firmware-Update von Ihrem OEM verfügbar ist, müssen die folgenden Schritte befolgt werden. Microsoft wird dieses Dokument aktualisieren, sobald zusätzliche Maßnahmen verfügbar sind.
Rufen Sie sämtliche BitLocker- oder Geräteverschlüsselungs-Schlüssel auf, bevor Sie das TPM-Firmware-Update installieren.
Es ist unbedingt erforderlich, die Schlüssel vorab zu ermitteln. Sollte es während des TPM-Firmware-Updates zu einem Ausfall kommen, muss das System über den Wiederherstellungsschlüssel neu gestartet werden, falls BitLocker nicht ausgesetzt wurde oder die Geräteverschlüsselung aktiv ist.
Wenn BitLocker oder die Geräteverschlüsselung auf dem Gerät aktiv ist, muss unbedingt der Wiederherstellungsschlüssel zur Verfügung stehen. Im folgenden Beispiel wird gezeigt, wie man sich den Wiederherstellungsschlüssel für BitLocker und die Geräteverschlüsselung für ein einzelnes Volumen anzeigen lassen kann. Im Falle mehrerer Festplattenpartitionen liegen möglicherweise unterschiedliche Wiederherstellungsschlüssel für die einzelnen Partitionen vor. Stellen Sie unbedingt sicher, dass Sie den Wiederherstellungsschlüssel für das Betriebssystemvolumen (für gewöhnlich C) speichern. Falls Ihr Betriebssystem auf einem anderen Volumen installiert wurde, muss der Parameter entsprechend geändert werden.
Führen Sie das folgende Skript in einer Befehlszeile mit Administratorenrechten aus:
C:\Windows\system32>manage-bde -protectors -get c:
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume C: []
All Key Protectors
TPM:
ID: {36B6DEE1-7B13-4A8F-876E-04735E8D3972}
PCR Validation Profile:
7, 11
(Uses Secure Boot for integrity validation)
Numerical Password:
ID: {6303FEBD-E4C0-4912-A331-4689B04E431A}
Password:
588214-228690-421003-079299-589270-595331-473407-0361
Wenn BitLocker oder die Geräteverschlüsselung für das Betriebssystem aktiv ist, setzen Sie es aus. Das folgende Beispiel zeigt, wie Sie BitLocker oder die Geräteverschlüsselung aussetzen können. (Falls Ihr Betriebssystem auf einem anderen Volumen installiert wurde, muss der Parameter entsprechend geändert werden.)
Führen Sie das folgende Skript in einer Befehlszeile mit Administratorenrechten aus:
C:\Windows\system32>manage-bde -protectors c: -disable
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Key protectors are disabled for volume C:.
Hinweis Auf Windows 8 oder neueren Versionen werden BitLocker und die Geräteverschlüsselung nach einem Neustart automatisch wieder aktiv. Stellen Sie also sicher, dass BitLocker und die Geräteverschlüsselung unmittelbar vor der Installation des TPM-Firmware-Updates ausgesetzt werden. Auf Windows 7 und älteren Systemen muss BitLocker manuell wieder aktiviert werden, nachdem das Firmware-Update installiert wurde.
Installieren Sie das entsprechende Firmware-Update gemäß OEM-Anleitung, um das betroffene TPM zu aktualisieren.
Es handelt sich dabei um das Update, das von Ihrem OEM zur Verfügung gestellt wurde, um die Schwachstellen im TPM zu behandeln. Siehe Schritt 4: “Relevante Firmware-Updates anwenden“ in Microsoft Sicherheitsempfehlungen ADV170012, um mehr darüber zu erfahren, wie Sie das TPM-Update von Ihrem OEM erhalten können.
VSC löschen und wieder aufnehmen
Nach dem TPM-Firmware-Update müssen die schwachen Schlüssel gelöscht werden. Wir empfehlen, die von den VSC-Partnern zur Verfügung gestellten Management-Tools (z. B. Intercede) zu verwenden, um den vorhandenen VSC zu löschen und wieder aufzunehmen.