요약
특정 TPM (신뢰할 수있는 플랫폼 모듈) 칩셋에 보안 취약점이 존재합니다. 이 취약성은 키 수준을 약화시킵니다.
이 취약성에 대해 자세히 알아보려면 ADV170012를 참조하세요.
추가 정보
중요
VSC(가상 스마트 카드) 키는 TPM에만 저장되기 때문에 영향을 받는 TPM을 사용하는 장치가 취약해질 수 있습니다.
OEM에서 TPM 펌웨어 업데이트를 제공하는 경우 다음 단계에 따라 Microsoft 보안 권고 ADV170012에 나와 있는 대로 VSC에 대한 TPM의 취약성을 완화합니다. 이 문서는 추가 완화 조치가 확보되는 대로 업데이트될 예정입니다.
BitLocker 또는 장치 암호화 키를 검색한 후 TPM 펌웨어 업데이트를 설치합니다.
키를 먼저 검색하는 것이 중요합니다. TPM 펌웨어 업데이트 중에 오류가 발생하는 경우 BitLocker가 일시 중지된 상태가 아니거나 장치 암호화가 활성 상태이면 복구 키가 있어야 시스템을 다시 시작할 수 있습니다.
장치에 BitLocker 또는 장치 암호화가 사용하도록 설정되어 있으면 복구 키를 검색해야 합니다. 다음은 단일 볼륨에 대해 BitLocker 및 장치 암호화 복구 키를 표시하는 방법을 보여 주는 예제입니다. 하드 디스크 파티션이 여러 개인 경우 파티션마다 별도의 복구 키가 있어야 합니다. 운영 체제 볼륨(대개 C)에 해당하는 복구 키를 저장해야 합니다. 운영 체제 볼륨이 다른 볼륨에 설치되어 있으면 매개 변수를 그에 맞게 변경합니다.
관리자 권한이 있는 명령 프롬프트에서 다음 스크립트를 실행합니다.
C:\Windows\system32>manage-bde -protectors -get c:
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume C: []
All Key Protectors
TPM:
ID: {36B6DEE1-7B13-4A8F-876E-04735E8D3972}
PCR Validation Profile:
7, 11
(Uses Secure Boot for integrity validation)
Numerical Password:
ID: {6303FEBD-E4C0-4912-A331-4689B04E431A}
Password:
588214-228690-421003-079299-589270-595331-473407-0361
OS 볼륨에 대해 BitLocker 또는 장치 암호화가 사용하도록 설정되어 있으면 일시 중지합니다. 다음은 BitLocker 또는 장치 암호화를 일시 중지하는 방법을 보여 주는 예제입니다. 운영 체제 볼륨이 다른 볼륨에 설치되어 있으면 매개 변수를 그에 맞게 변경합니다.
관리자 권한이 있는 명령 프롬프트에서 다음 스크립트를 실행합니다.
C:\Windows\system32>manage-bde -protectors c: -disable
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Key protectors are disabled for volume C:.
참고 Windows 8 이상 버전에서는 시스템을 다시 시작한 후에 BitLocker 및 장치 암호화가 자동으로 재개됩니다. 따라서 TPM 펌웨어 업데이트를 설치하기 직전에 BitLocker 및 장치 암호화가 일시 중지되어 있는지 확인합니다. Windows 7 이하 시스템에서는 펌웨어 업데이트를 설치한 후 BitLocker를 수동으로 다시 사용하도록 설정해야 합니다.
해당하는 펌웨어 업데이트를 설치하여 OEM 지침에 따라 영향을 받는 TPM 업데이트
이는 OEM에서 TPM의 취약성을 해결하기 위해 릴리스한 업데이트입니다. OEM으로부터 TPM 업데이트를 얻는 방법에 대한 자세한 내용은 Microsoft Security Advisory ADV170012에서 4단계: "해당하는 펌웨어 업데이트 적용"을 참조하세요.
VSC 삭제 및 다시 등록
TPM 펌웨어 업데이트를 적용한 후에는 약화된 키를 삭제해야 합니다. 기존 VSC를 삭제하고 다시 등록하는 데는 VSC 파트너(예: Intercede)가 제공한 관리 도구를 사용하는 것이 좋습니다.