Rezumat
Există o vulnerabilitate de securitate în anumite chipset Trusted Platform Module (TPM). Vulnerabilitate slăbeşte puterea cheie.
Pentru a afla mai multe despre vulnerabilitatea, accesați ADV170012.
Mai multe informații
Important
Deoarece Smart Card Virtual (VSC) chei sunt stocate numai în TPM, orice dispozitiv care utilizează un TPM afectat este vulnerabil.
Urmați acești pași pentru a diminua vulnerabilitatea în TPM pentru VSC, așa cum este discutat în Microsoft Security Advisory ADV170012, atunci când o actualizare de firmware TPM este disponibilă de la OEM. Microsoft va actualiza acest document ca mitigations suplimentare devin disponibile.
Prelua toate BitLocker sau cheile de criptare dispozitiv înainte de a instala actualizarea de firmware TPM.
Este important că ai prelua mai întâi tastele. Dacă se produce o eroare în timpul actualizare de firmware TPM, cheia de recuperare se va solicita să reporniți sistemul din nou dacă BitLocker nu este suspendat sau dacă criptarea dispozitivului este activă.
Dacă dispozitivul are BitLocker sau criptare dispozitiv activat, asigurați-vă că ai prelua cheia de recuperare. Iată un exemplu privind modul de afișare BitLocker și criptarea dispozitivului cheia de recuperare pentru un singur volum. Dacă există mai multe partiții de hard disk, este posibil să existe o cheie de recuperare separate pentru fiecare partiție. Asigurați-vă că salvați cheia de recuperare pentru volumul de sistem de operare (de obicei C). Dacă volumul de sistem de operare este instalat pe un alt volum, modificați parametrul în mod corespunzător.
Executați următorul script într-un prompt de comandă care are drepturi de administrator:
C:\Windows\system32>manage-bde -protectors -get c:
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume C: []
All Key Protectors
TPM:
ID: {36B6DEE1-7B13-4A8F-876E-04735E8D3972}
PCR Validation Profile:
7, 11
(Uses Secure Boot for integrity validation)
Numerical Password:
ID: {6303FEBD-E4C0-4912-A331-4689B04E431A}
Password:
588214-228690-421003-079299-589270-595331-473407-0361
Dacă BitLocker sau criptarea dispozitivului este activată pentru volumul de sistem de operare, suspendare it. Iată un exemplu privind modul de suspendare BitLocker sau criptare dispozitive. (Dacă vă volum de sistem de operare este instalat pe un alt volum, modificați parametrul în mod corespunzător).
Executați următorul script într-un prompt de comandă care are drepturi de administrator:
C:\Windows\system32>manage-bde -protectors c: -disable
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Key protectors are disabled for volume C:.
Notă Pe Windows 8 și versiunile ulterioare, BitLocker și criptarea dispozitivului revine automat după o repornire. De aceea, asigurați-vă că BitLocker și criptarea dispozitivului suspendat imediat înainte de a instala actualizarea de firmware TPM. În Windows 7 și în sistemele anterioare, BitLocker trebuie să fi activat în mod manual din nou după ce instalați actualizarea de firmware.
Instalați firmware-ul aplicabil pentru actualizare TPM afectate per instrucțiunile OEM
Acest lucru este actualizarea care este lansat de OEM pentru a adresa o vulnerabilitate în TPM. Consultaţi Pasul 4: "se aplică actualizări de firmware-ul este cazul," în Microsoft Security Advisory ADV170012 pentru informații despre cum se obține actualizarea TPM la OEM.
Ștergeți și să înregistrați din nou VSC
După ce se aplică actualizarea de firmware TPM, cheile slabe trebuie șterse. Vă recomandăm să utilizați instrumentele de gestionare care sunt furnizate de către partenerii VSC (cum ar fi Intercede) pentru a șterge existente VSC și înregistrați din nou.
