Gilt für
Windows 10, version 1703, all editions Windows Server 2016 Windows Server 2016 Essentials Windows Server 2016 Standard Windows 10 Windows 10, version 1511, all editions Windows 10, version 1607, all editions Windows Server 2012 R2 Datacenter Windows Server 2012 R2 Standard Windows Server 2012 R2 Essentials Windows Server 2012 R2 Foundation Windows 8.1 Enterprise Windows 8.1 Pro Windows 8.1 Windows RT 8.1 Windows Server 2012 Datacenter Windows Server 2012 Standard Windows Server 2012 Essentials Windows Server 2012 Foundation Windows Server 2008 R2 Service Pack 1 Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Web Edition Windows Server 2008 R2 Foundation Windows 7 Service Pack 1 Windows 7 Ultimate Windows 7 Enterprise Windows 7 Professional Windows 7 Home Premium Windows 7 Home Basic Windows 7 Starter Windows Vista Service Pack 2 Windows Vista Home Basic Windows Vista Home Premium Windows Vista Business Windows Vista Ultimate Windows Vista Enterprise Windows Vista Starter Windows Server 2008 Service Pack 2 Windows Server 2008 Foundation Windows Server 2008 Standard Windows Server 2008 for Itanium-Based Systems Windows Server 2008 Web Edition Windows Server 2008 Enterprise Windows Server 2008 Datacenter

Zusammenfassung

In bestimmten TPM-Chipsätzen (TPM = Trusted Platform Module) liegen Sicherheitsschwachstellen vor. Diese Schwachstellen schwächen die Schlüsselstärke.

Dieser Artikel hilft bei der Identifizierung und Behebung von Problemen bei mittels BitLocker geschützten Geräten, die von der in der Microsoft-Sicherheitsempfehlung ADV170012 beschriebenen Schwachstelle betroffen sind.

Weitere Informationen

Übersicht

Dieses Dokument beschreibt, wie die Auswirkungen der Schwachstelle bei auf TPM-basierenden BitLocker-Protektoren verringert werden können.  

Die Auswirkungen auf andere BitLocker-Schutzmethoden müssen gemäß der Relevanz der zu schützenden Datengeheimnisse geprüft werden. Falls beispielsweise der externe Schlüssel zur BitLocker-Entsperrung durch TPM geschützt wird, können die Auswirkungen mithilfe der Sicherheitsmpfehlungen analysiert werden. Die Behebung der Folgen dieser Schwachstellen ist nicht im Umfang dieses Dokuments enthalten.

Wie Auswirkungen identifiziert werden können

BitLocker verwendet die TPM-Vorgänge zum Versiegeln und Aufheben der Versiegelung in Kombination mit dem Storage Root Key, um geheime BitLocker-Schlüssel auf dem Betriebssystemvolume zu schützen.  Die Schwachstelle betrifft die Vorgänge zum Versiegeln und Aufheben der Versiegelung in TPM 1.2, jedoch nicht in TPM 2.0.

Wenn auf TPM basierende Protektoren verwendet werden, um das Betriebssystemvolume zu schützen, ist die Sicherheit des BitLocker-Schutzes nur dann beeinträchtigt, wenn es sich um die TPM-Firmware-Version 1.2 handelt.

Zur Identifizierung beeinträchtigter TPM und TPM-Versionen, siehe „2. Ermitteln betroffener Geräte in Ihrer Organisation“ unter „Empfohlene Aktionen“ in der Microsoft-Sicherheitsempfehlung ADV170012. 

Sie können den BitLocker-Status prüfen&comma; indem Sie „manage-bde -status <OS volume letter&colon;> als Administrator des Computers an einer Eingabeaufforderung ausführen&period;

Abbildung 1 Beispielausgabe eine TPM-Schutzvorrichtung und RecoveryPassword Protector geschützten Betriebssystemvolume

Abbildung 1 Beispielsausgabe eines Betriebssystemvolumes&comma; das sowohl mit einem TPM-Protektor als auch mit einem Passwortwiederherstellungs-Protektor geschützt ist&period; &lpar;Die Geräteverschlüsselung ist von dieser Schwachstelle nicht betroffen&period;&rpar;

Behebung der BitLocker-Schwachstelle nach einem Firmware-Update

Gehen Sie folgendermaßen vor&comma; um die Schwachstelle zu beheben&colon;

  1. BitLocker-Schutz aussetzen&colon; Führen Sie „manage-bde -protectors <OS volume letter&colon;> –disable“ als Administrator des Computers aus&period;

  2. TPM leeren&period; Für Anweisungen&comma; siehe „6&period; Leeren von TPM“ unter „Empfohlene Aktionen“ in der Microsoft-Sicherheitsempfehlung ADV170012&period;

  3. Der BitLocker-Schutz wird nach einem Neustart für Windows 8 und neuere Windows-Versionen automatisch wieder aktiviert&period; Für Windows 7 führen Sie „manage-bde -protectors <OS volume letter&colon;> –enable“ als Administrator des Computers aus&comma; um den BitLocker-Schutz wieder zu aktivieren&period;

Die folgende Seite enthält eine komplette Befehlszeilenreferenz für „manage-bde&period;exe“&colon;

https://technet.microsoft.com/de-de/library/ff829849(v=ws.11).aspx

Facebook LinkedIn E-Mail
RSS-FEEDS ABONNIEREN

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

Vorteile des Microsoft 365-Abonnements

Microsoft 365-Training

Microsoft Security

Barrierefreiheitscenter