סיכום
קיימת פגיעות אבטחה בשבבים Trusted Platform Module (TPM) מסוימים. הפגיעות נחלש חוזק מפתח.
מאמר זה מסייע לזהות ולתקן בעיות ב- BitLocker מוגן-התקנים המושפעות מהפגיעות המתוארת ב ADV170012 עלון יידוע בנושא אבטחה של Microsoft.
מידע נוסף
מבט כולל
מסמך זה מתאר כיצד לתקן את ההשפעה של פגיעות במבוסס על-ידי ה-TPM BitLocker מגנים.
ההשפעה על שיטות אחרות של מגן BitLocker יש אפשרות לסקור בהתבסס על האופן שבו מוגנים סודות הרלוונטי. לדוגמה, אם אחד ממקשי חיצוני כדי לבטל את הנעילה של BitLocker מוגן ל- TPM, עיין בעלון היידוע כדי לנתח את ההשפעה. Remedying של אפקטים אלה של הפגיעות אינו בטווח של מסמך זה.
כיצד לזהות השפעה
BitLocker משתמש אטם TPM וחותם פעולות יחד עם מפתח הבסיס לאחסון כדי להגן על סודות BitLocker באמצעי האחסון של מערכת ההפעלה. הפגיעות משפיעה על אטם חותם פעולות על TPM 1.2, אך הוא אינו משפיע על הפעולות על ה-TPM 2.0.
כאשר רכיב הגנה מבוסס-TPM משמשת להגנה על אמצעי האחסון של מערכת ההפעלה, האבטחה של הגנת BitLocker יושפע רק אם גירסת הקושחה של ה-TPM 1.2.
כדי לזהות המושפעת רכיבי Tpm ו- TPM גירסאות, ראה "2. לקבוע התקנים בארגון שלך המושפעות"תחת"מומלץ פעולות"ב- ADV170012 עלון יידוע בנושא אבטחה של Microsoft.
כדי לבדוק מצב של BitLocker, הפעל "manage-bde '-מצב < אות אמצעי האחסון של מערכת ההפעלה: >" בשורת הפקודה כמנהל מערכת של המחשב.
איור 1 פלט לדוגמה של אמצעי האחסון מערכת ההפעלה מוגן על-ידי רכיב ההגנה של ה-TPM ומגן סיסמת השחזור. (הצפנה התקן אינו מושפע מפגיעות זו של ה-TPM).
לתקן פגיעות BitLocker לאחר עדכון קושחה
בצע שלבים אלה כדי לתקן את הפגיעות:
-
השעיה שהגנת BitLocker: הפעל "manage-bde '-מגנים < אות אמצעי האחסון של מערכת ההפעלה: > – בטל" כמנהל מערכת של המחשב.
-
ניקוי ה-TPM. לקבלת הוראות, ראה "6. ניקוי ה-TPM"תחת פעולות מומלצות" ב- ADV170012 עלון יידוע בנושא אבטחה של Microsoft.
-
הגנת BitLocker תתחדש אוטומטית לאחר הפעלה מחדש Windows 8 ובגירסאות מאוחרות יותר של Windows. עבור Windows 7, הפעל "manage-bde '-מגנים < אות אמצעי האחסון של מערכת ההפעלה: > – אפשר" כמנהל מערכת של המחשב כדי לחדש את הגנת BitLocker.
בדף הבא מספק הפניה מלאה שורת הפקודה עבור ניהול-bde.exe:
https://technet.microsoft.com/library/ff829849(v=ws.11).aspx
