Kokkuvõte
Turvahaavatavust teatud kiibistikud usaldusväärse platvormi moodul (TPM). Haavatavus vähendab võtmeväärtus.
Haavatavuse kohta lisateabe saamiseks külastage ADV170012.
Lisateabe saamiseks
NB!
Kuna virtuaalse kiipkaardi (VSC) võtmed on salvestatud ainult TPM-i, on seade, mis kasutab mõjutatud TPM haavatavad.
Järgmiste juhiste abil leevendada haavatavus TPM-i jaoks VSC, nagu on kirjeldatud Microsoft Security Advisory ADV170012, kui TPM-i püsivara värskendust on saadaval OEM-ilt. Microsoft värskendab selles dokumendis on saadaval täiendavad kergendamise.
Tuua BitLocker või seadme krüptimine võtmed TPM-i püsivara värskenduse installimist.
On oluline tuua võtmed esmalt. Kui TPM-i püsivara värskendamise ajal ilmneb tõrge, peavad taastevõtme süsteemi uuesti taaskäivitada, kui BitLocker on peatatud või seadme krüptimine on aktiivne.
Kui seadmel on BitLocker või seadme krüptimine on lubatud, veenduge, et tuua taastevõti. Järgnev on näide BitLockeri ja seadme krüptimise taastevõti samale kettadraivile. Kui loendis on mitu kõvaketta partitsiooni, võib iga sektsiooni jaoks eraldi taastevõti. Veenduge, et salvestada operatsioonisüsteemi draiv (tavaliselt C) taastevõti. Kui operatsioonisüsteemi draiv on installitud teise draivi, muutke parameeter vastavalt.
Käivitage järgmine skript käsuviibale, millel on administraatoriõigused.
C:\Windows\system32>manage-bde -protectors -get c:
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume C: []
All Key Protectors
TPM:
ID: {36B6DEE1-7B13-4A8F-876E-04735E8D3972}
PCR Validation Profile:
7, 11
(Uses Secure Boot for integrity validation)
Numerical Password:
ID: {6303FEBD-E4C0-4912-A331-4689B04E431A}
Password:
588214-228690-421003-079299-589270-595331-473407-0361
Kui OS draivil on lubatud BitLocker või seadme krüptimine, peatab. Järgnev on näide sellest, kuidas peatada BitLocker või seadme krüptimine. (Kui operatsioonisüsteemi draiv on installitud teise draivi, muutke parameeter vastavalt).
Käivitage järgmine skript käsuviibale, millel on administraatoriõigused.
C:\Windows\system32>manage-bde -protectors c: -disable
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Key protectors are disabled for volume C:.
Märkus. Windows 8 ja uuemad versioonid, BitLocker ja seadme krüptimine uuesti automaatselt pärast ühe uuesti. Seetõttu veenduge, et BitLocker ja seadme krüptimine on peatatud vahetult enne TPM-i püsivara värskenduse installimist. Windows 7 ja varasemad süsteemid on BitLockeri käsitsi lubada püsivara värskenduse installimist uuesti.
Vastava püsivara värskenduse selle värskenduse installimist mõjutatud TPM-i kohta OEM juhised
See on värskendus, mis on välja antud OEM haavatavuse TPM-is. Vaadake 4. samm: "Rakenda vastava püsivara värskendust," rakenduses Microsoft Security Advisory ADV170012 saamiseks TPM-i värskenduse hankimiseks OEM-ilt.
Kustutada ja uuesti registreeruda VSC
Pärast TPM-i püsivara värskenduse rakendamist tuleb kustutada nõrk võtmed. Soovitame kasutada kustutamiseks on olemasolevad VSC ja uuesti registreeruda VSC partnerite (nt Intercede) esitatud Haldustööriistad.