สรุป
ปัญหาด้านความปลอดภัยที่มีอยู่ในบาง chipsets Trusted Platform Module (TPM) ช่องโหว่ใน weakens ความแรงของคีย์
เมื่อต้องการเรียนรู้เพิ่มเติมเกี่ยวกับช่องโหว่ที่ ไปที่ADV170012
ข้อมูลเพิ่มเติม
สิ่งสำคัญ
เนื่องจากคีย์สมาร์ทการ์ดเสมือน (VSC) จะถูกเก็บไว้ใน TPM เท่านั้น อุปกรณ์ใด ๆ ที่กำลังใช้ TPM ได้รับผลกระทบคือความเสี่ยง
ทำตามขั้นตอนเหล่านี้เพื่อลดช่องโหว่ใน TPM สำหรับ VSC ดังที่กล่าวไว้ในADV170012 คำแนะนำด้านความปลอดภัยของ Microsoftเมื่อมีการปรับปรุงเฟิร์มแวร์ TPM พร้อมใช้งานจาก OEM ของคุณ Microsoft จะปรับปรุงเอกสารนี้เป็น mitigations เพิ่มเติมจะพร้อมใช้งาน
เรียกใช้ BitLocker หรือคีย์การเข้ารหัสลับของอุปกรณ์ใด ๆ ก่อนที่คุณติดตั้งการปรับปรุงเฟิร์มแวร์ TPM
เป็นสิ่งสำคัญที่คุณดึงข้อมูลคีย์แรก หากเกิดความล้มเหลวในระหว่างการปรับปรุงเฟิร์มแวร์ TPM คีย์การกู้คืนจะต้องเริ่มระบบใหม่อีกครั้ง ถ้าไม่หยุดการทำงาน BitLocker หรือเข้ารหัสลับอุปกรณ์จะเปิดใช้งาน
ถ้าอุปกรณ์ดังกล่าวมี BitLocker หรือเปิดใช้งานการเข้ารหัสลับอุปกรณ์ โปรดตรวจสอบให้แน่ใจว่า คุณได้ดึงข้อมูลคีย์การกู้คืน ต่อไปนี้คือ ตัวอย่างของวิธีการแสดง BitLocker และคีย์การกู้คืนการเข้ารหัสลับอุปกรณ์สำหรับไดรฟ์ข้อมูลเดียว ถ้ามีหลายพาร์ติชันฮาร์ดดิสก์ อาจมีคีย์การกู้คืนแยกต่างหากสำหรับแต่ละพาร์ติชัน ตรวจสอบให้แน่ใจว่า คุณได้บันทึกคีย์การกู้คืนสำหรับไดรฟ์ข้อมูลระบบปฏิบัติการ (โดยทั่วไป C) ถ้าไดรฟ์ข้อมูลของระบบปฏิบัติการของคุณได้ถูกติดตั้งบนไดรฟ์ข้อมูลอื่น เปลี่ยนพารามิเตอร์ตามลำดับ
เรียกใช้สคริปต์ต่อไปนี้ที่พร้อมท์คำสั่งที่มีสิทธิ์ของผู้ดูแลระบบ:
C:\Windows\system32>manage-bde -protectors -get c:
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume C: []
All Key Protectors
TPM:
ID: {36B6DEE1-7B13-4A8F-876E-04735E8D3972}
PCR Validation Profile:
7, 11
(Uses Secure Boot for integrity validation)
Numerical Password:
ID: {6303FEBD-E4C0-4912-A331-4689B04E431A}
Password:
588214-228690-421003-079299-589270-595331-473407-0361
ถ้า BitLocker หรืออุปกรณ์การเข้ารหัสลับถูกเปิดใช้งานสำหรับไดรฟ์ข้อมูลระบบปฏิบัติการ ระงับ ต่อไปนี้คือ ตัวอย่างของวิธีการหยุดชั่วคราวด้วย BitLocker หรืออุปกรณ์การเข้ารหัสลับ (ถ้าไดรฟ์ข้อมูลของระบบปฏิบัติการของคุณได้ถูกติดตั้งบนไดรฟ์ข้อมูลอื่น เปลี่ยนพารามิเตอร์ตามลำดับ)
เรียกใช้สคริปต์ต่อไปนี้ที่พร้อมท์คำสั่งที่มีสิทธิ์ของผู้ดูแลระบบ:
C:\Windows\system32>manage-bde -protectors c: -disable
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Key protectors are disabled for volume C:.
หมายเหตุ บน Windows 8 และรุ่นที่ใหม่กว่า ด้วย BitLocker และการเข้ารหัสลับอุปกรณ์ดำเนินต่อโดยอัตโนมัติหลังจากเริ่มการทำงานหนึ่ง ดังนั้น ตรวจสอบให้แน่ใจว่า BitLocker และอุปกรณ์การเข้ารหัสลับถูกเลื่อนออกไปทันทีก่อนที่คุณติดตั้งการปรับปรุงเฟิร์มแวร์ TPM ใน Windows 7 และระบบก่อนหน้า BitLocker ได้ด้วยตนเองเปิดใช้งานอีกครั้งหลังจากที่คุณติดตั้งการปรับปรุงเฟิร์มแวร์
ติดตั้งเฟิร์มแวร์ที่ใช้การปรับปรุงเพื่อปรับปรุง TPM ได้รับผลกระทบต่อคำแนะนำของ OEM
นี่คือการปรับปรุงที่นำออกใช้แล้ว โดย OEM ของคุณเพื่อแก้ไขช่องโหว่ใน TPM โปรดดูขั้นตอนที่ 4: การปรับปรุงเฟิร์มแวร์ที่ใช้"ใช้, "ในADV170012 คำแนะนำด้านความปลอดภัยของ Microsoftสำหรับข้อมูลเกี่ยวกับวิธีการขอรับการปรับปรุงของ TPM จาก OEM ของคุณ
ลบ และการลงทะเบียน VSC อีกครั้ง
หลังจากที่มีใช้การปรับปรุงเฟิร์มแวร์ TPM แป้นลูกอ่อนต้องถูกลบออก เราขอแนะนำให้ คุณใช้เครื่องมือการจัดการที่กำหนดไว้ โดยคู่ VSC (เช่น Intercede) เมื่อต้องการลบอยู่ VSC และการลงทะเบียนใหม่อีกครั้ง