Обзор
Уязвимость существует в некоторых наборах микросхем доверенного платформенного модуля (TPM). Ею ослаблении сила ключа.
Для получения дополнительных сведений об уязвимости, перейдите к ADV170012.
Дополнительные сведения
Важно:
Так как виртуальные смарт-карт (VSC) ключи хранятся только в доверенный платформенный модуль, любое устройство, с помощью уязвимой доверенного платформенного МОДУЛЯ является уязвимой.
Выполните следующие действия для устранения уязвимости в TPM для VSC, как описано в Рекомендации ADV170012 безопасности корпорации Майкрософт, когда обновление встроенного по доверенного платформенного МОДУЛЯ можно получить от изготовителя вычислительной Техники. Корпорация Майкрософт будет обновлять данный документ как становятся доступными дополнительные способы снижения опасности.
Получить все BitLocker или ключи шифрования устройства перед установкой обновления встроенного по доверенного платформенного МОДУЛЯ.
Важно сначала извлечь ключи. При возникновении сбоя во время обновления встроенного по доверенного платформенного МОДУЛЯ, ключ восстановления потребуется перезагрузить компьютер еще раз, если BitLocker не приостанавливается или шифрование устройства активен.
Если устройство имеет BitLocker или устройство включено шифрование, убедитесь в том, что получить ключ восстановления. Ниже приведен пример способа отображения BitLocker и восстановления ключа шифрования устройства для одного тома. При наличии нескольких разделов жесткого диска, может быть отдельный ключ восстановления для каждой секции. Убедитесь в том, что можно сохранить ключ восстановления для тома операционной системы (обычно C). Если том операционной системы, установленной на другой том, соответствующим образом измените параметр.
Запустите следующий сценарий в командной строке с правами администратора:
C:\Windows\system32>manage-bde -protectors -get c:
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume C: []
All Key Protectors
TPM:
ID: {36B6DEE1-7B13-4A8F-876E-04735E8D3972}
PCR Validation Profile:
7, 11
(Uses Secure Boot for integrity validation)
Numerical Password:
ID: {6303FEBD-E4C0-4912-A331-4689B04E431A}
Password:
588214-228690-421003-079299-589270-595331-473407-0361
Если BitLocker или шифрование устройства включено для тома операционной системы, приостановить его. Ниже приведен пример того, как Приостановить BitLocker или шифрование устройства. (Если том операционной системы, установленной на другой том, измените параметр соответствующим образом).
Запустите следующий сценарий в командной строке с правами администратора:
C:\Windows\system32>manage-bde -protectors c: -disable
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Key protectors are disabled for volume C:.
Примечание. В Windows 8 и более поздних версиях BitLocker и шифрования устройства запустится автоматически после одной перезагрузки. Поэтому убедитесь, что BitLocker и шифрования устройства, приостановленные сразу перед установкой обновления встроенного по доверенного платформенного МОДУЛЯ. В Windows 7 и более ранние версии системы BitLocker должен вручную включить снова после установки обновления встроенного по.
Обновление микропрограммного обновления для уязвимых доверенного платформенного МОДУЛЯ, следуя инструкциям изготовителя Оборудования
Это обновление, выпущенные изготовителем для устранения уязвимости в доверенный платформенный модуль. Пожалуйста см. шаг 4: "применить микропрограммного обновления,» в ADV170012 рекомендации безопасности корпорации Майкрософт для получения сведений о том, как получить обновление TPM от изготовителя вычислительной Техники.
Удалите и повторно подать VSC
После обновления встроенного по доверенного платформенного МОДУЛЯ, слабые ключи должны быть удалены. Рекомендуется использовать средства управления, предоставляемых партнерами VSC (например Intercede) для удаления существующих VSC и подать повторную заявку.
