Sumário
Existe uma vulnerabilidade de segurança em determinados chipsets de Trusted Platform Module (TPM). A vulnerabilidade enfraquece força da chave.
Para mais informações sobre a vulnerabilidade, vá para ADV170012.
Mais informações
Importante
Uma vez que as chaves de cartão Smart Card (VSC Virtual) são armazenadas apenas no TPM, qualquer dispositivo que está a utilizar um TPM afectado é vulnerável.
Siga estes passos para atenuar a vulnerabilidade no TPM para VSC, tal como discutido no Aviso de segurança da Microsoft ADV170012, quando uma actualização de firmware do TPM está disponível a partir do OEM. A Microsoft actualizará este documento como factores atenuantes adicionais ficam disponíveis.
Obter qualquer BitLocker ou chaves de encriptação do dispositivo antes de instalar a actualização de firmware do TPM.
é importante que obter as chaves pela primeira vez. Se ocorrer uma falha durante a actualização de firmware do TPM, a chave de recuperação será necessário reiniciar o sistema novamente se o BitLocker não está suspenso ou se o dispositivo de encriptação está activo.
Se o dispositivo tiver BitLocker ou dispositivo encriptação activada, certifique-se de que recupere a chave de recuperação. Segue-se um exemplo de como apresentar o BitLocker e a chave de recuperação de encriptação de dispositivo para um único volume. Se existirem várias partições do disco rígido, poderá existir uma chave de recuperação separada para cada partição. Certifique-se de que guarde a chave de recuperação para o volume de sistema operativo (normalmente C). Se o volume do sistema operativo é instalado num volume diferente, altere o parâmetro em conformidade.
Execute o seguinte script na linha de comandos que tenha direitos de administrador:
C:\Windows\system32>manage-bde -protectors -get c:
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume C: []
All Key Protectors
TPM:
ID: {36B6DEE1-7B13-4A8F-876E-04735E8D3972}
PCR Validation Profile:
7, 11
(Uses Secure Boot for integrity validation)
Numerical Password:
ID: {6303FEBD-E4C0-4912-A331-4689B04E431A}
Password:
588214-228690-421003-079299-589270-595331-473407-0361
Se o BitLocker ou encriptação por dispositivo está activada para o volume de SO, suspende o contrato. Segue-se um exemplo de como suspender o BitLocker ou dispositivo de encriptação. (Se o volume do sistema operativo é instalado num volume diferente, altere o parâmetro em conformidade).
Execute o seguinte script na linha de comandos que tenha direitos de administrador:
C:\Windows\system32>manage-bde -protectors c: -disable
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Key protectors are disabled for volume C:.
Nota No Windows 8 e versões posteriores, o BitLocker e o dispositivo de encriptação retomar automaticamente após um reinício do computador. Assim, certifique-se de que o BitLocker e o dispositivo de encriptação suspenso imediatamente antes de instalar a actualização de firmware do TPM. No Windows 7 e sistemas anteriores, o BitLocker tem de ser activada manualmente novamente depois de instalar a actualização de firmware.
Instalar o firmware aplicável actualização para o TPM afectado pelas instruções de OEM
Esta é a actualização disponibilizada pelo OEM para corrigir a vulnerabilidade no TPM. Consulte o passo 4: "aplicar actualizações de firmware aplicável," no Aviso de segurança da Microsoft ADV170012 para obter informações sobre como obter a actualização do TPM a partir do OEM.
Eliminar e reinscrever VSC
Depois de aplica a actualização de firmware do TPM, as teclas de fracas devem ser eliminadas. Recomendamos que utilize as ferramentas de gestão fornecidas pelos parceiros VSC (por exemplo, Intercede) para eliminar o VSC e reinscrever existentes.
