Súhrn
Napadnuteľnosť zabezpečenia v určitých čipové Trusted Platform Module (TPM). Nedostatočné oslabuje šifrovania.
Ďalšie informácie o zraniteľnosti, nájdete na ADV170012.
Ďalšie informácie
Dôležité upozornenie:
Keďže Virtuálna karta Smart (VSC) kľúče sú uložené iba v TPM, všetky zariadenia, ktoré používa príslušného TPM je zraniteľné.
Tieto kroky zmierniť Napadnuteľnosť TPM pre VSC, ako je popísané v Microsoft Security Advisory ADV170012, keď je k dispozícii od výrobcu OEM firmware TPM. Spoločnosť Microsoft upraví dokument ako ďalšie mitigations k dispozícii.
Načítať všetky BitLocker zariadenie šifrovanie pred inštaláciou aktualizácie firmvéru modulu TPM.
Je dôležité najprv načítať kľúče. Pri výskyte chyby počas aktualizácie firmvéru TPM kľúč na obnovenie musieť znova reštartujte systém, ak šifrovanie BitLocker nie je prerušené alebo zariadenie šifrovanie je aktívne.
Ak má zariadenie BitLocker alebo šifrovania zariadenia zapnutá, uistite sa, že načítať kľúč na obnovenie. Toto je príklad BitLocker a zariadenie šifrovací kľúč na obnovenie pre jeden zväzok. Ak existuje viacero oblastí na pevnom disku, môže byť samostatný kľúč na obnovenie pre jednotlivé oblasti. Uistite sa, že Uložiť kľúč na obnovenie zväzku operačného systému (zvyčajne C). Ak sa zväzok operačný systém je nainštalovaný na iný zväzok, zmeniť parameter.
Do príkazového riadka s právami správcu, spustite nasledujúci skript:
C:\Windows\system32>manage-bde -protectors -get c:
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume C: []
All Key Protectors
TPM:
ID: {36B6DEE1-7B13-4A8F-876E-04735E8D3972}
PCR Validation Profile:
7, 11
(Uses Secure Boot for integrity validation)
Numerical Password:
ID: {6303FEBD-E4C0-4912-A331-4689B04E431A}
Password:
588214-228690-421003-079299-589270-595331-473407-0361
V prípade, že BitLocker alebo šifrovania zariadenia zapnuté OS zväzku, pozastaviť ju. Toto je príklad pozastaviť BitLocker alebo šifrovania zariadenia. (Ak hlasitosť operačný systém je nainštalovaný na iný zväzok, zmeniť parameter).
Do príkazového riadka s právami správcu, spustite nasledujúci skript:
C:\Windows\system32>manage-bde -protectors c: -disable
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Key protectors are disabled for volume C:.
Poznámka: Windows 8 a novšie verzie, BitLocker a šifrovanie zariadenia automaticky obnoví po reštartovaní jedného. Preto, uistite sa, že BitLocker šifrovanie zariadenia sa a pozastavené bezprostredne pred inštaláciou aktualizácie firmvéru modulu TPM. Windows 7 a starších systémov, BitLocker sa povolí manuálne po nainštalovaní aktualizácie firmvéru.
Nainštalovať príslušné firmware aktualizácia na príslušné TPM podľa pokynov výrobcu OEM
Toto je aktualizácia, ktorá sa uvoľní výrobcu OEM na riešenie zraniteľnosti v TPM. Prečítajte si krok 4: "použiť príslušné firmvéru aktualizácie" v Microsoft Security Advisory ADV170012 informácie o možnostiach získania aktualizácie TPM od výrobcu OEM.
Odstráňte a znova zaregistrovať VSC
Po aktualizácii firmvéru modulu TPM, slabé kľúče musia byť odstránené. Odporúčame vám použiť nástroje na správu poskytujú VSC partnerov (napr. Intercede) odstrániť existujúce VSC a znova zaregistrovať.
