סיכום
קיימת פגיעות אבטחה בשבבים Trusted Platform Module (TPM) מסוימים. הפגיעות נחלש חוזק מפתח.
כדי ללמוד עוד אודות הפגיעות, עבור אל ADV170012.
מידע נוסף
חשוב
מאחר מפתחות כרטיס חכם וירטואלי (VSC) מאוחסנים רק ב- TPM, כל התקן העושה שימוש של ה-TPM המושפעת פגיע.
בצע את השלבים הבאים כדי להפחית את חומרת הפגיעות ב- TPM עבור VSC, כפי שנידון ADV170012 עלון יידוע בנושא אבטחה של Microsoft, כאשר ה-TPM עדכון קושחה זמין מתוך יצרן הציוד המקורי. Microsoft תעדכן את מסמך זה כ גורמים מקלים נוספים יהפכו לזמינים.
אחזור כל BitLocker או מפתחות הצפנה של ההתקן לפני שתתקין את עדכון הקושחה של ה-TPM.
חשוב לאחזר את המפתחות תחילה. אם מתרחש כשל במהלך עדכון קושחה של ה-TPM, מפתח השחזור יידרש להפעיל מחדש את המערכת שוב אם BitLocker לא הושעתה או אם התקן הצפנה פעילה.
אם להתקן יש BitLocker או התקן הצפנה זמינה, ודא כי אתה לאחזר את מפתח השחזור. הרשימה הבאה היא דוגמה כיצד להציג את BitLocker ואת מפתח השחזור של הצפנת התקן עבור אמצעי אחסון יחיד. אם קיימות מחיצות מרובות בדיסק הקשיח, ייתכן שקיימת מפתח שחזור נפרדת עבור כל מחיצה. הקפד לשמור את מפתח השחזור עבור אמצעי האחסון של מערכת ההפעלה (בדרך כלל C). אם אמצעי האחסון של מערכת ההפעלה שלך מותקן באמצעי אחסון אחר, לשנות בהתאם את הפרמטר.
הפעל את קובץ ה-script הבא בשורת פקודה בעלת הרשאות מנהל:
C:\Windows\system32>manage-bde -protectors -get c:
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume C: []
All Key Protectors
TPM:
ID: {36B6DEE1-7B13-4A8F-876E-04735E8D3972}
PCR Validation Profile:
7, 11
(Uses Secure Boot for integrity validation)
Numerical Password:
ID: {6303FEBD-E4C0-4912-A331-4689B04E431A}
Password:
588214-228690-421003-079299-589270-595331-473407-0361
אם BitLocker או התקן הצפנה זמינה עבור אמצעי האחסון של מערכת ההפעלה, להשעות אותו. הרשימה הבאה היא דוגמה לאופן להשעות את BitLocker או התקן הצפנה. (אם אמצעי האחסון של מערכת ההפעלה שלך מותקן באמצעי אחסון אחר, שנה את הפרמטר בהתאם).
הפעל את קובץ ה-script הבא בשורת פקודה בעלת הרשאות מנהל:
C:\Windows\system32>manage-bde -protectors c: -disable
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Key protectors are disabled for volume C:.
הערה Windows 8 וגירסאות מאוחרות יותר, BitLocker והצפנה התקן לחדש באופן אוטומטי לאחר הפעלה מחדש אחת. לכן, ודא BitLocker והצפנה התקן הם מושעה מיד לפני שתתקין את עדכון הקושחה של ה-TPM. ב- Windows 7 ומערכות קודמות, BitLocker יש באופן ידני לזמינה שוב לאחר שתתקין את עדכון הקושחה.
להתקין הקושחה ישים עדכון עדכון ה-TPM המושפעת לפי הוראות יצרן ציוד מקורי
זהו העדכון שפורסמו על-ידי יצרן הציוד המקורי כדי לטפל בפגיעות ב- TPM. נא ראה שלב 4: "החל עדכוני קושחה ישים," ב ADV170012 עלון יידוע בנושא אבטחה של Microsoft לקבלת מידע אודות אופן השגת העדכון TPM מתוך יצרן הציוד המקורי.
למחוק וליצור מחדש הרשמה VSC
לאחר החלת עדכון קושחה של ה-TPM, יש למחוק את המפתחות חלשה. אנו ממליצים לך להשתמש בכלי ניהול אשר סופקו על-ידי שותפי VSC (כגון Intercede) כדי למחוק הקיים VSC ובצע הרשמה מחדש.
