Samenvatting
Er bestaat een beveiligingsprobleem in bepaalde Trusted Platform Module (TPM)-chipsets. Het beveiligingslek verzwakt sessiesleutelsterkte.
Voor meer informatie over het beveiligingsprobleem, gaat u naar ADV170012.
Meer informatie
Belangrijk
Omdat virtuele smartcard (VSC) toetsen alleen in de TPM opgeslagen worden, wordt elk apparaat dat wordt gebruikt door een TPM waarin dit probleem optreedt is kwetsbaar.
Als volgt te werk om de beperking van het beveiligingslek in de TPM voor VSC, zoals wordt besproken in Microsoft Security Advisory-ADV170012, wanneer een TPM firmware-update beschikbaar via de OEM is. Dit document wordt door Microsoft bijgewerkt als extra beperkingen beschikbaar komen.
Alle BitLocker- of apparaat-sleutels ophalen voordat u de TPM firmware-update installeert.
Is het belangrijk dat u de sleutels eerst ophalen. Als een fout tijdens het bijwerken van de firmware TPM optreedt, de herstelsleutel moet het systeem opnieuw opstart als BitLocker niet is onderbroken of als codering apparaat actief is.
Als het apparaat heeft BitLocker of apparaat codering is ingeschakeld, moet u dat u de sleutel voor gegevensherstel ophalen. Hier volgt een voorbeeld van hoe u BitLocker- en apparaat-coderingssleutel terugzetten voor één volume. Als er meerdere partities op de vaste schijf, kan er een herstelsleutel afzonderlijk voor elke partitie. Controleer of de herstelsleutel voor het volume van het besturingssysteem (doorgaans C) op te slaan. Als het volume van uw besturingssysteem is geïnstalleerd op een ander volume, wijzigt u de parameter dienovereenkomstig.
Voer het volgende script vanaf een opdrachtprompt met administrator-rechten:
C:\Windows\system32>manage-bde -protectors -get c:
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume C: []
All Key Protectors
TPM:
ID: {36B6DEE1-7B13-4A8F-876E-04735E8D3972}
PCR Validation Profile:
7, 11
(Uses Secure Boot for integrity validation)
Numerical Password:
ID: {6303FEBD-E4C0-4912-A331-4689B04E431A}
Password:
588214-228690-421003-079299-589270-595331-473407-0361
Als BitLocker-versleuteling apparaat is ingeschakeld voor het volume met het besturingssysteem, schorst. Hier volgt een voorbeeld van hoe u BitLocker of apparaat codering opschorten. (Als het volume van uw besturingssysteem is geïnstalleerd op een ander volume, wijzigt u de parameter dienovereenkomstig).
Voer het volgende script vanaf een opdrachtprompt met administrator-rechten:
C:\Windows\system32>manage-bde -protectors c: -disable
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Key protectors are disabled for volume C:.
Opmerking In Windows 8 en latere versies hervat BitLocker en codering apparaat automatisch na één keer opnieuw opstarten. Zorg ervoor dat BitLocker en codering apparaat onderbroken onmiddellijk voordat u de TPM firmware-update installeert. In Windows 7 en oudere systemen is BitLocker handmatig opnieuw inschakelen nadat u de firmware-update hebt geïnstalleerd.
Installatie van de van toepassing zijnde firmware update bijwerken de TPM betrokken per OEM-instructies
Dit is de update die uitgegeven door de OEM het beveiligingslek in de TPM. Zie stap 4: "toepassen van toepassing zijnde firmware-updates ' in Microsoft Security Advisory-ADV170012 voor meer informatie over het verkrijgen van de TPM-update van de OEM.
Verwijderen en opnieuw inschrijven VSC
Nadat de TPM firmware-update is toegepast, moeten de zwakke sleutels worden verwijderd. Wij raden u aan gebruik te maken van beheerprogramma's die worden geleverd door de partners VSC (bijvoorbeeld Intercede) te verwijderen van de bestaande VSC en opnieuw inschrijven.
