Riepilogo
Una vulnerabilità di protezione di determinati chipset Trusted Platform Module (TPM). La vulnerabilità indebolisce forza della chiave.
Per ulteriori informazioni sulla vulnerabilità, visitare ADV170012.
Ulteriori informazioni
Importante
Poiché le chiavi delle Smart Card virtuali (volume) vengono memorizzate solo nel TPM, qualsiasi dispositivo che utilizza un TPM interessato è vulnerabile.
Seguire questi passaggi per ridurre la vulnerabilità nel TPM per volume, come descritto nel Microsoft Security Advisory ADV170012, quando un aggiornamento del firmware TPM è disponibile l'OEM. Microsoft aggiornerà questo documento come fattori attenuanti aggiuntivi diventano disponibili.
Recuperare BitLocker o le chiavi di crittografia dispositivo prima di installare l'aggiornamento del firmware TPM.
è importante prima recuperare le chiavi. Se si verifica un errore durante l'aggiornamento del firmware TPM, la chiave di ripristino sarà necessario riavviare il sistema nuovamente se BitLocker non è sospeso o se è attiva la crittografia di dispositivo.
Se il dispositivo dispone di BitLocker o dispositivo di crittografia abilitata, assicurarsi che per recuperare la chiave di ripristino. Di seguito è riportato un esempio per la visualizzazione di BitLocker e dispositivo di crittografia di chiave di ripristino per un singolo volume. Se sono presenti più partizioni del disco rigido, potrebbe trattarsi di una chiave di ripristino separato per ogni partizione. Assicurarsi di salvare la chiave di ripristino per il volume del sistema operativo (solitamente C). Se il volume del sistema operativo è installato su un volume diverso, modificare il parametro.
Eseguire lo script seguente al prompt dei comandi con diritti di amministratore:
C:\Windows\system32>manage-bde -protectors -get c:
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume C: []
All Key Protectors
TPM:
ID: {36B6DEE1-7B13-4A8F-876E-04735E8D3972}
PCR Validation Profile:
7, 11
(Uses Secure Boot for integrity validation)
Numerical Password:
ID: {6303FEBD-E4C0-4912-A331-4689B04E431A}
Password:
588214-228690-421003-079299-589270-595331-473407-0361
Se BitLocker o dispositivo di crittografia è abilitata per il volume del sistema operativo, di sospenderlo. Di seguito è riportato un esempio su come sospendere BitLocker o dispositivo di crittografia. (Se il volume del sistema operativo è installato su un volume diverso, modificare il parametro di conseguenza).
Eseguire lo script seguente al prompt dei comandi con diritti di amministratore:
C:\Windows\system32>manage-bde -protectors c: -disable
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Key protectors are disabled for volume C:.
Nota: In Windows 8 e versioni successive, i BitLocker e crittografia del dispositivo possono riprendere automaticamente dopo un riavvio. Pertanto, assicurarsi che BitLocker e crittografia del dispositivo vengono sospesi immediatamente prima di installare l'aggiornamento del firmware TPM. In Windows 7 e sistemi precedenti, BitLocker deve essere attivata manualmente nuovamente dopo aver installato l'aggiornamento del firmware.
Installare il firmware applicabile aggiornamento per aggiornare il TPM interessato per le istruzioni OEM
Si tratta dell'aggiornamento rilasciata dall'OEM per risolvere la vulnerabilità del TPM. Vedere passaggio 4: "applica gli aggiornamenti di firmware applicabile," in Microsoft Security Advisory ADV170012 per informazioni su come ottenere l'aggiornamento il TPM l'OEM.
Eliminare e registrare nuovamente volume
Una volta applicato l'aggiornamento del firmware TPM, è necessario eliminare le chiavi deboli. Si consiglia di utilizzare gli strumenti di gestione forniti da partner di volume (ad esempio Intercede) per eliminare il volume e la nuova registrazione esistenti.
