Sammendrag
Det finnes et sikkerhetsproblem i bestemte brikkesett for klarert plattformmodul (TPM). Sikkerhetsproblemet svekker nøkkelstyrke.
Denne artikkelen hjelper deg med å identifisere og løse problemer i BitLocker beskyttet-enhetene som er berørt av sikkerhetsproblemet som er beskrevet i Microsoft Security Advisory ADV170012.
Hvis du vil ha mer informasjon
Oversikt over
Dette dokumentet beskriver hvordan du kan løse sikkerhetsproblemet virkningen i BitLocker TPM-baserte beskyttere.
Virkningen på andre metoder for BitLocker-beskyttelse må vurderes basert på hvor relevant hemmeligheter er beskyttet. For eksempel hvis en ekstern nøkkel til å låse opp BitLocker er beskyttet av TPM, kan du se veiledningen til å analysere virkningen. Remedying av disse effektene av sikkerhetsproblemet finnes ikke i omfanget av dette dokumentet.
Slik identifisere innvirkning
BitLocker bruker TPM-forsegle og fjerne forseglingen operasjoner sammen med lagerrotnøkkelen beskytte hemmeligheter BitLocker på operativsystemvolumet. Sikkerhetsproblemet påvirker forseglingen og fjerne forseglingen operasjoner på TPM 1.2, men det påvirker ikke operasjoner på TPM 2.0.
Når TPM-baserte beskytter brukes til å beskytte operativsystemvolumet, påvirkes sikkerheten for BitLocker-beskyttelse bare hvis TPM firmware versjon 1.2.
Identifisere berørte TPMer og TPM versjoner, se "2. Angi enhetene i organisasjonen som er berørt"under"Anbefalte handlinger"i Microsoft Security Advisory ADV170012.
Hvis du vil kontrollere status for BitLocker, kan du kjøre "administrere-bde-status < volumbokstaven OS: >" ved en ledetekst som administrator på datamaskinen.
Figur 1 Eksempel på utdata til et volum som er beskyttet av TPM-beskytter og beskyttelsen for gjenopprettingspassordet. (Enhet kryptering er ikke berørt av dette sikkerhetsproblemet for TPM.)
Løse sikkerhetsproblemet BitLocker etter oppdatering av fastvaren
Følg denne fremgangsmåten for å løse dette sikkerhetsproblemet:
-
Deaktivere BitLocker-beskyttelse: kjøre "administrere-bde-protectors < volumbokstaven OS: > – deaktivere" som administrator på datamaskinen.
-
Tømme TPM. For instruksjoner, se "6. Tøm TPM"under anbefalte handlinger" i Microsofts sikkerhetsveiledning ADV170012.
-
BitLocker-beskyttelse fortsetter automatisk etter en omstart for Windows 8 og senere versjoner av Windows. For Windows 7, Kjør "administrere-bde-protectors < volumbokstaven OS: > – aktivere" som administrator på datamaskinen for å fortsette BitLocker-beskyttelse.
Følgende side gir en fullstendig Kommandolinjereferanse for Behandle-bde.exe:
https://technet.microsoft.com/library/ff829849(v=ws.11).aspx