Ringkasan
Ada kerentanan keamanan di chipset terpercaya Platform modul (TPM) tertentu. Kerentanan melemah kekuatan kunci.
Untuk mempelajari selengkapnya tentang kerentanan, pergi ke ADV170012.
Informasi lebih lanjut
Penting
Karena kunci kartu pintar Virtual (VSC) disimpan hanya di TPM, setiap perangkat yang menggunakan TPM terpengaruh rentan.
Ikuti langkah-langkah untuk mengurangi kerentanan pada TPM untuk VSC, seperti yang dibahas di ADV170012 penasihat keamanan Microsoft, saat pemutakhiran firmware TPM tersedia dari OEM. Microsoft akan memperbarui dokumen ini sebagai mitigations tambahan yang tersedia.
Mengambil BitLocker atau kunci enkripsi perangkat sebelum Anda menginstal pemutakhiran firmware TPM.
Penting bahwa Anda mendapatkan kunci pertama. Jika terjadi kegagalan selama TPM pemutakhiran firmware, kunci pemulihan akan diperlukan untuk memulai ulang sistem lagi jika BitLocker tidak ditunda atau enkripsi perangkat aktif.
Jika perangkat BitLocker atau enkripsi perangkat diaktifkan, pastikan bahwa Anda mendapatkan kunci pemulihan. Berikut ini adalah contoh cara menampilkan BitLocker dan enkripsi perangkat kunci pemulihan untuk volume tunggal. Jika ada beberapa partisi hard disk, mungkin ada kunci pemulihan yang terpisah untuk setiap partisi. Pastikan bahwa Anda menyimpan tombol pemulihan volume sistem operasi (biasanya C). Jika Anda volume sistem operasi diinstal pada volume yang berbeda, mengubah parameter sesuai.
Jalankan skrip berikut pada prompt perintah yang memiliki hak administrator:
C:\Windows\system32>manage-bde -protectors -get c:
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume C: []
All Key Protectors
TPM:
ID: {36B6DEE1-7B13-4A8F-876E-04735E8D3972}
PCR Validation Profile:
7, 11
(Uses Secure Boot for integrity validation)
Numerical Password:
ID: {6303FEBD-E4C0-4912-A331-4689B04E431A}
Password:
588214-228690-421003-079299-589270-595331-473407-0361
Jika BitLocker atau enkripsi perangkat diaktifkan untuk OS volume, penangguhan. Berikut ini adalah contoh cara penangguhan BitLocker atau enkripsi perangkat. (Jika Anda volume sistem operasi diinstal pada volume yang berbeda, mengubah parameter sesuai).
Jalankan skrip berikut pada prompt perintah yang memiliki hak administrator:
C:\Windows\system32>manage-bde -protectors c: -disable
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Key protectors are disabled for volume C:.
Catatan Pada Windows 8 dan versi yang lebih baru, BitLocker dan enkripsi perangkat melanjutkan secara otomatis setelah satu restart. Oleh karena itu, pastikan bahwa BitLocker dan enkripsi perangkat yang ditangguhkan segera sebelum Anda menginstal pemutakhiran firmware TPM. Di Windows 7 dan sistem sebelumnya, BitLocker harus secara manual diaktifkan kembali setelah Anda menginstal pembaruan firmware.
Menginstal firmware berlaku update untuk memperbarui TPM terpengaruh petunjuk OEM
Ini adalah pembaruan yang diluncurkan oleh OEM untuk mengatasi kerentanan pada TPM. Lihat Langkah 4: "Terapkan pemutakhiran firmware dapat diterapkan," di ADV170012 penasihat keamanan Microsoft untuk informasi tentang cara mendapatkan pemutakhiran TPM dari OEM.
Hapus dan mendaftarkan ulang VSC
Setelah pemutakhiran firmware TPM diterapkan, kunci lemah harus dihapus. Kami sarankan Anda menggunakan alat manajemen yang disediakan oleh mitra VSC (seperti Intercede) untuk menghapus ada VSC dan mendaftarkan ulang.