安装和使用的 Surface Pro 3 可信平台模块 (TPM) 更新工具

适用于: Surface Pro 3

摘要


本文讨论了 Microsoft Surface Pro 3 TPM 更新工具。该工具会创建更新 Surface Pro 3 上的 TPM 固件的可引导 USB 驱动器。

更多信息


Surface Pro 3 TPM 更新工具更新固件 tpm 在 Surface Pro 3 用于解决下列问题:

ADV170012 在 TPM 中的漏洞可能允许绕过功能安全策略

有关详细信息,请参阅为受信任的平台模块 (TPM) 表面的设备上的安全问题

安装的 Surface Pro 3 TPM 更新工具并创建一个可引导的 USB 闪存驱动器

  1. 下载Microsoft_Surface_Pro_3_Tpm_Update_Tool_Setup.msi,,然后按照安装说明进行安装。
  2. 将可移动 USB 闪存驱动器具有至少 500 MB 的可用空间。 注意:您必须使用 USB 闪存驱动器,不是 USB 硬盘磁盘驱动器。
  3. 用鼠标右键单击 Surface Pro 3 TPM 更新工具,选择以管理员身份运行,然后按照步骤来创建可引导的 USB 闪存驱动器所提供的。

更新 Surface Pro 3 设备

注意:以下步骤适用于使用 BitLocker。如果您正在使用第三方加密工具,请联系软件制造商为采取适当的步骤来禁用加密。

  1. 单击“开始”
  2. 以管理员身份打开 Windows PowerShell。
  3. 运行以下命令:
    Suspend-Bitlocker -MountPoint C: -RebootCount 0
  4. 关闭 Windows 关闭表面的设备。
  5. 按住电源 + 调高音量键启动 Surface Pro 3 到 UEFI 环境。(该设备启动后可以释放密钥。)
  6. 设备输入 UEFI 环境之后,选择安全引导控制下的删除所有安全引导项
  7. 选择
  8. 安全启动控件的右侧,选择已启用
  9. 提示时,选择禁用
  10. 选择退出安装程序
  11. 当提示您保存配置,然后重置该设备,请选择。设备重新启动。
  12. Windows 已完全重新启动后,请关闭系统再次关闭 Surface Pro 3。
  13. 将上述过程中使用 Surface Pro 3 TPM 更新工具创建可引导 USB 闪存驱动器。
  14. 按住电源 + 音量降低键从 USB 闪存驱动器到 UEFI 环境启动 Surface Pro 3。(该设备启动后可以释放密钥)。
  15. 按照显示更新 Surface Pro 3 TPM 固件的说明。
  16. 更新完成后,您将收到"fs1: >"命令提示符。USB 闪存驱动器中删除。
  17. 请键入退出,,然后按 enter 键重新启动 Surface Pro 3。

TPM 固件更新后,请配置 Surface Pro 3 设备

  1. 打开 Surface Pro 3、 启动 Windows,然后根据需要登录。 注意:如果 Windows Hello 已启用使用 PIN 登录,此设置将不再功能 TPM 更新过程。因此,您必须使用已配置为登录此帐户的密码。(请参见步骤 14 重新启用 Windows Hello 针选项)。

  2. 单击“开始”

  3. 键入tpm.msc,,然后按 Enter 打开 TPM 管理管理单元中。 注意:如果 TPM.msc 报告找不到兼容的 TPM 或 TPM 处于缩减的功能模式下,请重新启动 Windows。在重新启动后运行 TPM.msc 再次以验证 TPM 的状态为"准备就绪。"

  4. 关闭 Windows 关闭 Surface Pro 3。

  5. 按住电源 + 调高音量键启动 Surface Pro 3 到 UEFI 环境。(该设备启动后可以释放密钥。)

  6. 安全启动控件的右侧,选择已禁用

  7. 选择启用

  8. 选择安装所有出厂默认密钥,然后选择窗口和第三方 (uefi) CA (默认值)选项。

  9. 选择退出安装程序

  10. 当提示您保存配置,然后重置,请选择。Surface Pro 3 应到 Windows 重新启动。

  11. 完全重新启动 Windows 后,单击开始

  12. 键入管理 bitlocker,,然后按 enter 键时在搜索菜单中选择管理 Bitlocker图标。

  13. 选择恢复保护

  14. 在更新之后不工作如果 Windows Hello PIN (也就是说,Windows 登录屏幕报告您的 PIN 不再可用由于安全设置的更改),请按照下列步骤来恢复 PIN。

    • 对于业务的 Windows Hello(PIN 组策略强制实施):

      1. 以管理员身份打开命令提示符窗口。

      2. 运行以下命令:

        certutil -deleteHelloContainer
      3. 注销。

      4. 再次登录使用您的密码。(PIN 选项不可用 Windows Hello 容器被删除在步骤 2 中运行命令因为。)

      5. 系统应提示您创建一个 Windows Hello PIN (如通过组策略来强制执行)。按照说明创建新针为 Windows Hello。

    • 对于 Windows Hello

      1. 转到设置 > 帐户 > 登录选项

      2. 删除您的 PIN (通过使用该用户的密码中,将确认删除)。

      3. 单击添加以创建新的 pin 码,如有必要,重新输入用户的密码,当出现提示时,然后按照说明创建新针为 Windows Hello。

  15. 重新启动所有其他服务都依赖于 TPM 功能。

请验证此更新

要验证工具已更新的 TPM 固件,请执行以下步骤:

  1. 单击“开始”
  2. 键入tpm.msc,,然后按 enter 键。
  3. TPM 制造商联系的信息,下面的任一检查制造商版本号:
    • 以前的固件: 5.0.1089.2
    • 新固件: 5.62.3126.2