Sammendrag
Det finnes et sikkerhetsproblem i bestemte brikkesett for klarert plattformmodul (TPM). Sikkerhetsproblemet svekker nøkkelstyrke.
Hvis du vil ha mer informasjon om sikkerhetsproblemet, kan du gå til ADV170012.
Hvis du vil ha mer informasjon
Viktig
Siden virtuelle smartkort (VSC) nøkler lagres bare i TPM, er en enhet som bruker en berørt TPM sårbar.
Følg disse trinnene for å løse et sikkerhetsproblem i TPMEN for VSC, som beskrevet i Microsoft Security Advisory ADV170012når en TPM-fastvareoppdatering er tilgjengelig fra OEM. Microsoft vil oppdatere dette dokumentet som flere begrensninger blir tilgjengelige.
Hente alle BitLocker eller krypteringsnøkler for enheten før du installerer oppdateringen for TPM-fastvare.
Er det viktig at du først hente nøklene. Hvis det oppstår en feil under oppdatering av TPM-fastvare, må gjenopprettingsnøkkelen starte systemet på nytt hvis BitLocker ikke er deaktivert, eller hvis enheten kryptering er aktiv.
Hvis enheten har BitLocker eller enheten kryptering aktivert, må du kontrollere at du henter gjenopprettingsnøkkelen. Følgende er et eksempel på hvordan du viser BitLocker og enheten gjenoppretting av krypteringsnøkkelen for et enkelt volum. Hvis det finnes flere partisjoner på harddisken, kan det være en egen gjenopprettingsnøkkel for hver partisjon. Pass på at du lagrer gjenopprettingsnøkkelen for operativsystemvolumet (vanligvis C). Hvis operativsystem-volumet er installert på et annet volum, må du endre parameteren i henhold til dette.
Kjør dette skriptet ved en ledetekst med administratorrettigheter:
C:\Windows\system32>manage-bde -protectors -get c:
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume C: []
All Key Protectors
TPM:
ID: {36B6DEE1-7B13-4A8F-876E-04735E8D3972}
PCR Validation Profile:
7, 11
(Uses Secure Boot for integrity validation)
Numerical Password:
ID: {6303FEBD-E4C0-4912-A331-4689B04E431A}
Password:
588214-228690-421003-079299-589270-595331-473407-0361
Hvis BitLocker eller enheten kryptering er aktivert for operativsystemvolumet, kan du deaktivere den. Følgende er et eksempel på hvordan å avbryte enten BitLocker eller enheten kryptering. (Hvis operativsystem-volumet er installert på et annet volum, endrer du parameteren tilsvarende).
Kjør dette skriptet ved en ledetekst med administratorrettigheter:
C:\Windows\system32>manage-bde -protectors c: -disable
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Key protectors are disabled for volume C:.
Obs! Windows 8 eller senere versjoner fortsetter BitLocker-kryptering på enheten og automatisk etter en omstart. Sørg derfor for at BitLocker- og enhet-kryptering er suspendert umiddelbart før du installerer oppdateringen for TPM-fastvare. På Windows 7 og tidligere systemer har BitLocker aktiveres manuelt på nytt etter at du har installert oppdateringen av fastvaren.
Installere fastvaren gjeldende oppdatering til oppdateringen berørte TPM per OEM-instruksjoner
Dette er en oppdatering som er utgitt av OEM for å løse problemet med sikkerhetsproblemet i TPMEN. Se trinn 4: "Bruk gjeldende fastvareoppdateringer," i Microsoft Security Advisory ADV170012 for informasjon om hvordan du får tak i TPM-oppdatering fra OEM.
Slett og registrere VSC på nytt
Når TPM-fastvareoppdatering er brukt, må du slette nøklene svak. Vi anbefaler at du bruker administrasjonsverktøy som tilbys av VSC-partnere (for eksempel Intercede) for å slette den eksisterende VSC og registrere på nytt.
