Ringkasan

Ada kerentanan keamanan di chipset terpercaya Platform modul (TPM) tertentu. Kerentanan melemah kekuatan kunci.

Artikel ini membantu mengidentifikasi dan memperbaiki masalah dalam BitLocker dilindungi-perangkat yang dipengaruhi oleh kerentanan yang dijelaskan di ADV170012 penasihat keamanan Microsoft.

Informasi lebih lanjut

Gambaran Umum

Dokumen ini menjelaskan tentang cara memperbaiki dampak kerentanan dalam pelindung berbasis BitLocker TPM.

Dampak pada metode lain pelindung BitLocker telah ditinjau berdasarkan bagaimana rahasia relevan dilindungi. Sebagai contoh, jika kunci eksternal untuk membuka BitLocker dilindungi untuk TPM, rujuk ke penasihat menganalisis dampak. Remedying efek kerentanan ini bukan dalam lingkup dokumen ini.

Cara mengidentifikasi dampak

BitLocker menggunakan segel TPM dan unseal operasi bersama-sama dengan tombol akar penyimpanan untuk melindungi rahasia BitLocker pada volume sistem operasi.  Kerentanan yang mempengaruhi segel dan unseal operasi pada TPM 1.2, tetapi tidak mempengaruhi pengoperasian pada TPM 2.0.

Saat pelindung berbasis TPM digunakan untuk melindungi volume sistem operasi, keamanan perlindungan BitLocker dipengaruhi hanya jika versi firmware TPM 1.2.

Untuk mengidentifikasi terkena TPMs dan TPM versi, lihat "2. Menentukan perangkat di organisasi Anda yang terpengaruh"di bawah"Tindakan yang disarankan"di ADV170012 penasihat keamanan Microsoft.

Untuk memeriksa BitLocker status, jalankan "mengelola-bde-status < OS volume huruf: >" pada prompt perintah sebagai administrator komputer.

Gambar 1 contoh output volume sistem operasi yang dilindungi oleh pelindung TPM dan pelindung RecoveryPassword

Gambar 1 Contoh output volume sistem operasi yang dilindungi oleh pelindung TPM dan pelindung sandi pemulihan.  (Enkripsi perangkat tidak dipengaruhi oleh kerentanan TPM ini.)

Memperbaiki kerentanan BitLocker setelah pemutakhiran firmware

Ikuti langkah-langkah untuk memperbaiki kerentanan:

  1. Penangguhan BitLocker perlindungan: Jalankan "mengelola-bde-pelindung < OS volume huruf: > – menonaktifkan" sebagai administrator komputer.

  2. Hapus TPM. Untuk instruksi, lihat "6. Hapus TPM"di bawah tindakan yang disarankan" di ADV170012 penasihat keamanan Microsoft.

  3. Perlindungan BitLocker secara otomatis melanjutkan setelah Anda mulai ulang untuk Windows 8 dan versi Windows yang lebih baru. Untuk Windows 7, jalankan "mengelola-bde-pelindung < OS volume huruf: > -mengaktifkan" sebagai administrator komputer untuk melanjutkan perlindungan BitLocker.

Halaman berikut menyediakan referensi penuh baris perintah untuk mengelola-bde.exe:

https://technet.microsoft.com/library/ff829849(v=ws.11).aspx

Perlu bantuan lainnya?

Ingin opsi lainnya?

Jelajahi manfaat langganan, telusuri kursus pelatihan, pelajari cara mengamankan perangkat Anda, dan banyak lagi.

Komunitas membantu Anda bertanya dan menjawab pertanyaan, memberikan umpan balik, dan mendengar dari para ahli yang memiliki pengetahuan yang luas.