Streszczenie
Luka w zabezpieczeniach istnieje w niektórych mikroukładów moduł zaufanej platformy (TPM). Lukę w zabezpieczeniach osłabia siła klucza.
Aby dowiedzieć się więcej na temat luki w zabezpieczeniach, przejdź do ADV170012.
Więcej informacji
Ważne
Ponieważ klucze wirtualnego kart inteligentnych (VSC) są przechowywane tylko w module TPM, każde urządzenie, które używa dotkniętych modułu TPM jest zagrożony.
Wykonaj następujące kroki, aby zagrożenie usterką w moduł TPM dla VSC, zgodnie z opisem w Microsoft Security Advisory ADV170012, gdy aktualizacja oprogramowania sprzętowego modułu TPM jest dostępna od producenta OEM. Firma Microsoft zaktualizuje ten dokument jako stają się dostępne dodatkowe czynniki ograniczające zagrożenie.
Przed zainstalowaniem aktualizacji oprogramowania sprzętowego modułu TPM, należy pobrać żadnych funkcji BitLocker lub klucze szyfrowania urządzenia.
Jest ważne, najpierw pobrać kluczy. Jeśli wystąpi awaria podczas aktualizacji oprogramowania sprzętowego modułu TPM, klucz odzyskiwania będzie wymagane ponownie uruchomienie komputera, jeśli funkcja BitLocker nie jest zawieszone lub jeśli szyfrowanie urządzenia jest aktywny.
Jeśli urządzenie ma funkcję BitLocker lub włączone szyfrowanie urządzenia, upewnij się, że pobrać klucz odzyskiwania. Oto przykład sposobu wyświetlania funkcji BitLocker i klucz odzyskiwania szyfrowania urządzenia dla jednego woluminu. Jeśli istnieje wiele partycji dysku twardego, może to być osobny klucz odzyskiwania dla każdej partycji. Upewnij się, że zapisać klucz odzyskiwania dla woluminu systemu operacyjnego (zwykle C). Jeśli wolumin systemu operacyjnego jest zainstalowana na inny wolumin, należy odpowiednio zmienić parametr.
Uruchom następujący skrypt w wierszu polecenia, które ma uprawnienia administratora:
C:\Windows\system32>manage-bde -protectors -get c:
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume C: []
All Key Protectors
TPM:
ID: {36B6DEE1-7B13-4A8F-876E-04735E8D3972}
PCR Validation Profile:
7, 11
(Uses Secure Boot for integrity validation)
Numerical Password:
ID: {6303FEBD-E4C0-4912-A331-4689B04E431A}
Password:
588214-228690-421003-079299-589270-595331-473407-0361
Jeśli funkcja BitLocker lub szyfrowania urządzenia jest włączona dla woluminu systemu operacyjnego, zawiesić go. Oto przykład jak wstrzymać funkcję BitLocker lub szyfrowania urządzenia. (Jeśli wolumin systemu operacyjnego jest zainstalowana na inny wolumin, należy zmienić parametr odpowiednio).
Uruchom następujący skrypt w wierszu polecenia, które ma uprawnienia administratora:
C:\Windows\system32>manage-bde -protectors c: -disable
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Key protectors are disabled for volume C:.
Uwaga W systemie Windows 8 i nowszych funkcji BitLocker i szyfrowanie urządzenia zostanie automatycznie wznowione po jednym ponownym uruchomieniu komputera. W związku z tym upewnij się, że funkcja BitLocker i szyfrowanie urządzenia są zawieszone niezwłocznie przed zainstalowaniem aktualizacji oprogramowania sprzętowego modułu TPM. Na Windows 7 i wcześniejszych systemów funkcją BitLocker musi być włączone ręcznie ponownie po zainstalowaniu aktualizacji oprogramowania układowego.
Zainstalować oprogramowanie mające zastosowanie aktualizacji do aktualizacji modułu TPM dotkniętych zgodnie z instrukcjami producenta OEM
Jest to aktualizacja, wydane przez producenta OEM do usunięcia usterki w module TPM. Zobacz krok 4: aktualizacje oprogramowania układowego stosowane Zastosuj "," w Microsoft Security Advisory ADV170012 , aby uzyskać informacje dotyczące sposobu uzyskiwania tej aktualizacji modułu TPM od producenta OEM.
Usuwanie i ponowna rejestracja VSC
Po zastosowaniu aktualizacji oprogramowania sprzętowego modułu TPM, należy usunąć słabych kluczy. Firma Microsoft zaleca korzystania z narzędzi zarządzania, które są dostarczane przez partnerów VSC (np. Intercede) do usunięcia istniejących VSC i ponowne zarejestrowanie.