Σύνοψη
Ένα θέμα ευπάθειας ασφαλείας που υπάρχει στο συγκεκριμένο chipset του μονάδας αξιόπιστης πλατφόρμας (TPM). Το θέμα ευπάθειας εξασθενεί ισχύ κλειδιού.
Για να μάθετε περισσότερα σχετικά με το θέμα ευπάθειας, επισκεφθείτε ADV170012.
Περισσότερες πληροφορίες
Σημαντικό
Επειδή το εικονικό έξυπνης κάρτας (VSC) κλειδιά αποθηκεύονται μόνο την TPM, οποιαδήποτε συσκευή που χρησιμοποιεί μια TPM που επηρεάζονται είναι ευάλωτος.
Ακολουθήστε αυτά τα βήματα για την αντιμετώπιση του θέματος ευπάθειας στην TPM για VSC, όπως περιγράφεται στο Συμβουλευτικό ADV170012 ασφαλείας της Microsoft, όταν διατίθεται μια ενημερωμένη έκδοση υλικολογισμικού TPM από τον OEM. Η Microsoft θα ενημερώσει αυτό το έγγραφο ως πρόσθετες ελαφρύνσεις είναι διαθέσιμες.
Να ανακτήσετε οποιαδήποτε BitLocker ή κλειδιά κρυπτογράφησης συσκευής, πριν να εγκαταστήσετε την ενημερωμένη έκδοση υλικολογισμικού TPM.
Είναι σημαντικό να ανακτήσετε πρώτα τα πλήκτρα. Εάν παρουσιαστεί σφάλμα κατά την ενημέρωση του υλικολογισμικού TPM, το κλειδί αποκατάστασης θα χρειαστεί να επανεκκινήσετε το σύστημα ξανά, εάν το BitLocker δεν έχει ανασταλεί ή εάν η κρυπτογράφηση συσκευής είναι ενεργή.
Εάν η συσκευή έχει BitLocker ή ενεργοποίηση κρυπτογράφησης συσκευής, βεβαιωθείτε ότι μπορείτε να ανακτήσετε το κλειδί αποκατάστασης. Ακολουθεί ένα παράδειγμα για το πώς μπορείτε να εμφανίσετε το BitLocker και το κλειδί αποκατάστασης κρυπτογράφησης συσκευής για έναν μόνο τόμο. Εάν υπάρχουν πολλά διαμερίσματα στον σκληρό δίσκο, μπορεί να υπάρχει ένα ξεχωριστό κλειδί αποκατάστασης για κάθε διαμέρισμα. Βεβαιωθείτε ότι έχετε αποθηκεύσει το κλειδί αποκατάστασης για τον τόμο λειτουργικού συστήματος (συνήθως C). Κατά συνέπεια, αν ο τόμος λειτουργικού συστήματος είναι εγκατεστημένο σε διαφορετικό τόμο, αλλάξτε την παράμετρο.
Εκτελέστε την ακόλουθη δέσμη ενεργειών σε μια γραμμή εντολών με δικαιώματα διαχειριστή:
C:\Windows\system32>manage-bde -protectors -get c:
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume C: []
All Key Protectors
TPM:
ID: {36B6DEE1-7B13-4A8F-876E-04735E8D3972}
PCR Validation Profile:
7, 11
(Uses Secure Boot for integrity validation)
Numerical Password:
ID: {6303FEBD-E4C0-4912-A331-4689B04E431A}
Password:
588214-228690-421003-079299-589270-595331-473407-0361
Αν το BitLocker ή κρυπτογράφηση συσκευής είναι ενεργοποιημένη για τον τόμο λειτουργικού Συστήματος, αναμονής. Το ακόλουθο είναι ένα παράδειγμα του τρόπου αναστολή BitLocker ή συσκευή κρυπτογράφησης. (Αν ο τόμος λειτουργικού συστήματος είναι εγκατεστημένο σε διαφορετικό τόμο, αλλάξτε την παράμετρο αντίστοιχα).
Εκτελέστε την ακόλουθη δέσμη ενεργειών σε μια γραμμή εντολών με δικαιώματα διαχειριστή:
C:\Windows\system32>manage-bde -protectors c: -disable
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Key protectors are disabled for volume C:.
Σημείωση Στα Windows 8 και νεότερες εκδόσεις, το BitLocker και κρυπτογράφηση συσκευής συνεχίσει αυτόματα μετά από μία επανεκκίνηση. Επομένως, βεβαιωθείτε ότι το BitLocker και κρυπτογράφηση συσκευής αναστολής αμέσως είναι πριν να εγκαταστήσετε την ενημερωμένη έκδοση υλικολογισμικού TPM. Στα Windows 7 και προηγούμενα συστήματα, το BitLocker έχει με μη αυτόματο τρόπο να ενεργοποιηθεί ξανά μετά την εγκατάσταση της ενημερωμένης έκδοσης υλικολογισμικού.
Εγκατάσταση του υλικολογισμικού που εφαρμόζονται ενημερωμένη έκδοση για να ενημερώσετε την TPM που επηρεάζονται, σύμφωνα με τις οδηγίες του OEM
Πρόκειται για την ενημερωμένη έκδοση που κυκλοφορεί από τον OEM για να αντιμετωπίσετε το θέμα ευπάθειας της TPM. Ανατρέξτε στο βήμα 4: ενημερωμένες εκδόσεις υλικολογισμικού που εφαρμόζονται "εφαρμογή," στο Συμβουλευτικό ADV170012 ασφαλείας της Microsoft για πληροφορίες σχετικά με τον τρόπο απόκτησης της ενημερωμένης έκδοσης της TPM από τον OEM.
Διαγραφή και εκ νέου εγγραφή VSC
Αφού εφαρμόσετε την ενημερωμένη έκδοση υλικολογισμικού TPM, τα κλειδιά ασθενής πρέπει να διαγραφούν. Συνιστάται να χρησιμοποιείτε εργαλεία διαχείρισης που παρέχονται από τους εταίρους VSC (όπως Intercede) για να διαγράψετε το υπάρχον VSC και εγγραφείτε πάλι.
