Tóm tắt
Lỗ hổng bảo mật tồn tại trong một số chipset Trusted Platform Module (TPM). Lỗ hổng làm suy yếu sức mạnh quan trọng.Để tìm hiểu thêm về lỗ hổng bảo mật, hãy đi tới ADV170012.
Thông tin
Quan trọng
Vì phím ảo thẻ thông minh (VSC) được lưu trữ trong TPM, bất kỳ thiết bị nào sử dụng một TPM bị ảnh hưởng là dễ.
Làm theo các bước để giảm thiểu các lỗ hổng trong TPM cho VSC, như được thảo luận trong Microsoft Security ADV170012 tư vấn, khi có bản cập nhật phần mềm TPM từ OEM. Microsoft sẽ cập nhật tài liệu này thêm mitigations có sẵn.
Truy xuất bất kỳ BitLocker và khoá mã hoá thiết bị trước khi cài đặt bản cập nhật phần mềm TPM.
Quan trọng mà bạn lấy các phím đầu tiên là. Nếu một lỗi xảy ra trong quá trình cập nhật phần mềm TPM, khoá phục hồi sẽ được yêu cầu khởi động lại hệ thống lại nếu BitLocker không bị treo hoặc mã hóa thiết bị hoạt động.
Nếu thiết bị BitLocker hoặc mã hóa thiết bị hỗ trợ, đảm bảo rằng bạn lấy khoá phục hồi. Đây là một ví dụ về cách hiển thị BitLocker và thiết bị mã hoá phục hồi chính cho một ổ đĩa. Nếu có nhiều phân vùng đĩa cứng, có thể khoá phục hồi riêng biệt cho mỗi phân vùng. Đảm bảo rằng bạn lưu khoá phục hồi ổ đĩa hệ điều hành (thường là C). Nếu ổ đĩa hệ điều hành của bạn được cài đặt trên một ổ đĩa khác nhau, thay đổi các tham số tương ứng.
Chạy lệnh sau tại dấu nhắc lệnh có quyền quản trị viên:
C:\Windows\system32>manage-bde -protectors -get c:
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume C: []
All Key Protectors
TPM:
ID: {36B6DEE1-7B13-4A8F-876E-04735E8D3972}
PCR Validation Profile:
7, 11
(Uses Secure Boot for integrity validation)
Numerical Password:
ID: {6303FEBD-E4C0-4912-A331-4689B04E431A}
Password:
588214-228690-421003-079299-589270-595331-473407-0361
Nếu BitLocker hoặc mã hóa thiết bị được bật cho ổ đĩa hệ điều hành, tạm ngưng. Đây là một ví dụ về cách tạm ngưng BitLocker hoặc mã hóa thiết bị. (Nếu ổ đĩa hệ điều hành của bạn được cài đặt trên một ổ đĩa khác nhau, thay đổi các tham số tương ứng).
Chạy lệnh sau tại dấu nhắc lệnh có quyền quản trị viên:
C:\Windows\system32>manage-bde -protectors c: -disable
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Key protectors are disabled for volume C:.
Lưu ý Windows 8 và phiên bản mới hơn, BitLocker và mã hóa thiết bị tiếp tục tự động sau một khởi động lại. Vì vậy, hãy chắc chắn rằng BitLocker và mã hóa thiết bị treo ngay trước khi bạn cài đặt bản cập nhật phần mềm TPM. Trên Windows 7 và các hệ thống, BitLocker có thể tự kích hoạt lại sau khi bạn cài đặt bản cập nhật phần mềm.
Cài đặt phần mềm áp dụng bản Cập Nhật để Cập Nhật TPM bị ảnh hưởng theo hướng dẫn OEM
Đây là bản Cập Nhật đã được phát hành OEM để khắc phục các lỗ hổng trong TPM. Vui lòng xem Bước 4: "áp dụng bản cập nhật phần mềm áp dụng," trong Microsoft Security ADV170012 tư vấn thông tin về cách tải bản Cập Nhật TPM từ OEM.
Xóa và đăng ký lại VSC
Sau khi áp dụng bản cập nhật phần mềm TPM phím yếu phải được xoá. Chúng tôi khuyên bạn sử dụng công cụ quản lý được cung cấp bởi các đối tác VSC (chẳng hạn như Intercede) để xoá các hiện VSC và đăng ký lại.
