적용 대상
Windows 10, version 1703, all editions Windows Server 2016 Windows Server 2016 Essentials Windows Server 2016 Standard Windows 10 Windows 10, version 1511, all editions Windows 10, version 1607, all editions Windows Server 2012 R2 Datacenter Windows Server 2012 R2 Standard Windows Server 2012 R2 Essentials Windows Server 2012 R2 Foundation Windows 8.1 Enterprise Windows 8.1 Pro Windows 8.1 Windows RT 8.1 Windows Server 2012 Datacenter Windows Server 2012 Standard Windows Server 2012 Essentials Windows Server 2012 Foundation Windows Server 2008 R2 Service Pack 1 Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Web Edition Windows Server 2008 R2 Foundation Windows 7 Service Pack 1 Windows 7 Ultimate Windows 7 Enterprise Windows 7 Professional Windows 7 Home Premium Windows 7 Home Basic Windows 7 Starter Windows Vista Service Pack 2 Windows Vista Home Basic Windows Vista Home Premium Windows Vista Business Windows Vista Ultimate Windows Vista Enterprise Windows Vista Starter Windows Server 2008 Service Pack 2 Windows Server 2008 Foundation Windows Server 2008 Standard Windows Server 2008 for Itanium-Based Systems Windows Server 2008 Web Edition Windows Server 2008 Enterprise Windows Server 2008 Datacenter

요약

특정 TPM (신뢰할 수있는 플랫폼 모듈) 칩셋에 보안 취약점이 존재합니다. 이 취약성은 키 수준을 약화시킵니다. 이 취약성에 대해 자세히 알아보려면 ADV170012를 참조하세요.

추가 정보

중요

VSC(가상 스마트 카드) 키는 TPM에만 저장되기 때문에 영향을 받는 TPM을 사용하는 장치가 취약해질 수 있습니다.

OEM에서 TPM 펌웨어 업데이트를 제공하는 경우 다음 단계에 따라 Microsoft 보안 권고 ADV170012에 나와 있는 대로 VSC에 대한 TPM의 취약성을 완화합니다.  이 문서는 추가 완화 조치가 확보되는 대로 업데이트될 예정입니다.

BitLocker 또는 장치 암호화 키를 검색한 후 TPM 펌웨어 업데이트를 설치합니다.

키를 먼저 검색하는 것이 중요합니다. TPM 펌웨어 업데이트 중에 오류가 발생하는 경우 BitLocker가 일시 중지된 상태가 아니거나 장치 암호화가 활성 상태이면 복구 키가 있어야 시스템을 다시 시작할 수 있습니다.

장치에 BitLocker 또는 장치 암호화가 사용하도록 설정되어 있으면 복구 키를 검색해야 합니다. 다음은 단일 볼륨에 대해 BitLocker 및 장치 암호화 복구 키를 표시하는 방법을 보여 주는 예제입니다. 하드 디스크 파티션이 여러 개인 경우 파티션마다 별도의 복구 키가 있어야 합니다. 운영 체제 볼륨(대개 C)에 해당하는 복구 키를 저장해야 합니다.  운영 체제 볼륨이 다른 볼륨에 설치되어 있으면 매개 변수를 그에 맞게 변경합니다. 

관리자 권한이 있는 명령 프롬프트에서 다음 스크립트를 실행합니다.

C:\Windows\system32>manage-bde -protectors -get c:

BitLocker Drive Encryption: Configuration Tool version 10.0.15063

Copyright (C) 2013 Microsoft Corporation. All rights reserved.

Volume C: []

All Key Protectors

TPM:

ID: {36B6DEE1-7B13-4A8F-876E-04735E8D3972}

PCR Validation Profile:

7, 11

(Uses Secure Boot for integrity validation)

Numerical Password:

ID: {6303FEBD-E4C0-4912-A331-4689B04E431A}

Password:

588214-228690-421003-079299-589270-595331-473407-0361

OS 볼륨에 대해 BitLocker 또는 장치 암호화가 사용하도록 설정되어 있으면 일시 중지합니다. 다음은 BitLocker 또는 장치 암호화를 일시 중지하는 방법을 보여 주는 예제입니다.  운영 체제 볼륨이 다른 볼륨에 설치되어 있으면 매개 변수를 그에 맞게 변경합니다.

관리자 권한이 있는 명령 프롬프트에서 다음 스크립트를 실행합니다.

C:\Windows\system32>manage-bde -protectors c: -disable

BitLocker Drive Encryption: Configuration Tool version 10.0.15063

Copyright (C) 2013 Microsoft Corporation. All rights reserved.

Key protectors are disabled for volume C:.

참고 Windows 8 이상 버전에서는 시스템을 다시 시작한 후에 BitLocker 및 장치 암호화가 자동으로 재개됩니다. 따라서 TPM 펌웨어 업데이트를 설치하기 직전에 BitLocker 및 장치 암호화가 일시 중지되어 있는지 확인합니다. Windows 7 이하 시스템에서는 펌웨어 업데이트를 설치한 후 BitLocker를 수동으로 다시 사용하도록 설정해야 합니다.

 

해당하는 펌웨어 업데이트를 설치하여 OEM 지침에 따라 영향을 받는 TPM 업데이트

이는 OEM에서 TPM의 취약성을 해결하기 위해 릴리스한 업데이트입니다. OEM으로부터 TPM 업데이트를 얻는 방법에 대한 자세한 내용은 Microsoft Security Advisory ADV170012에서 4단계: "해당하는 펌웨어 업데이트 적용"을 참조하세요.

VSC 삭제 및 다시 등록

TPM 펌웨어 업데이트를 적용한 후에는 약화된 키를 삭제해야 합니다.  기존 VSC를 삭제하고 다시 등록하는 데는 VSC 파트너(예: Intercede)가 제공한 관리 도구를 사용하는 것이 좋습니다.

Facebook LinkedIn 전자 메일
RSS 피드 구독

도움이 더 필요하세요?

더 많은 옵션을 원하세요?

구독 혜택을 살펴보고, 교육 과정을 찾아보고, 디바이스를 보호하는 방법 등을 알아봅니다.

Microsoft 365 구독 혜택

Microsoft 365 교육

Microsoft 보안

접근성 센터