应用对象
Surface Pro 3

摘要

本文介绍 Microsoft Surface Pro 3 TPM 更新工具。 该工具创建可启动 U 盘,用于更新 Surface Pro 3 上的 TPM 固件。

更多信息

Surface Pro 3 TPM 更新工具更新Surface Pro 3 上的 TPM 固件,以解决以下问题:

ADV170012 TPM 中的漏洞可能允许绕过安全功能

有关详细信息,请参阅 Surface 设备上受信任的平台模块 (TPM) 的安全问题

  • 强烈建议在使用 TPM 更新工具之前,使用 OneDrive 或其他备份方法备份 Surface Pro 3 上的所有数据作为预防措施。

  • 请严格执行所有步骤,否则该过程可能会导致数据丢失。

  • 如果确实发生数据丢失,则必须 下载 Surface Recovery 映像 才能 重新安装 Windows。

安装 Surface Pro 3 TPM 更新工具并创建可启动的 U 盘

  1. 下载 Microsoft_Surface_Pro_3_Tpm_Update_Tool_Setup.msi,然后按照安装说明进行作。

  2. 附加至少具有 500 MB 可用空间的可移动 U 盘。注意必须使用 USB 闪存驱动器,而不是 USB 硬盘驱动器。

  3. 右键单击“Surface Pro 3 TPM 更新”工具,选择“以管理员身份运行”,然后按照提供的步骤创建可启动 U 盘。

更新 Surface Pro 3 设备

备注 以下步骤特定于使用 BitLocker。 如果使用的是第三方加密工具,请联系该软件制造商,了解禁用加密的相应步骤。

  1. 单击“开始”。

  2. 以管理员身份打开Windows PowerShell。

  3. 运行以下命令: Suspend-Bitlocker -MountPoint C: -RebootCount 0

  4. 关闭 Windows 以关闭 Surface 设备。

  5. 长按电源+调高音量键,启动 UEFI 环境中的Surface Pro 3。 (可以在设备启动后释放密钥。)

  6. 设备进入 UEFI 环境后,选择“安全启动控制”下的“删除所有安全启动密钥”。

  7. 选择“ ”。

  8. “安全启动控件”右侧,选择“已启用”。

  9. 出现提示时,选择“ 已禁用”。

  10. 选择“ 退出设置”。

  11. 当系统提示保存配置并重置设备时,选择“ ”。 设备重启。

  12. Windows 完全重启后,再次关闭系统以关闭Surface Pro 3。

  13. 插入在前面的过程中使用 Surface Pro 3 TPM 更新工具创建的可启动 U 盘。

  14. 长按电源+音量调低键,启动从 U 盘到 UEFI 环境中的Surface Pro 3。 (可以在设备启动) 后释放密钥。

  15. 按照显示的说明更新 Surface Pro 3 TPM 固件。

  16. 更新完成后,将收到“fs1:>”命令提示符。 删除 U 盘。

  17. 键入 exit,然后按 Enter 重启Surface Pro 3。

在 TPM 固件更新后配置 Surface Pro 3 设备

  1. 打开Surface Pro 3,启动 Windows,然后根据需要登录。注意如果启用了Windows Hello以使用 PIN 登录,则此设置不再有效,因为 TPM 更新过程。 因此,必须使用为此帐户配置的密码才能登录。 (请参阅步骤 14 以重新启用Windows Hello PIN 选项。)

  2. 单击“开始”。

  3. 键入 tpm.msc,然后按 Enter 打开 TPM 管理单元。注意如果 TPM.msc 报告找不到兼容的 TPM 或 TPM 处于缩减功能模式,请重启 Windows。 重启后,再次运行 TPM.msc 以验证 TPM 的状态是否为“已准备就绪,可供使用”。

  4. 关闭 Windows 以关闭Surface Pro 3。

  5. 长按电源+调高音量键,启动 UEFI 环境中的Surface Pro 3。 (可以在设备启动后释放密钥。)

  6. “安全启动控件”右侧,选择“ 已禁用”。

  7. 选择 “已启用”。

  8. 选择“ 安装所有出厂默认密钥”,然后选择“Windows & 第三方 UEFI CA (默认) ”选项。

  9. 选择“ 退出设置”。

  10. 当系统提示保存配置并重置时,选择“ ”。 Surface Pro 3 应重启到 Windows 中。

  11. Windows 完全重启后,单击“ 启动”。

  12. 键入 “管理 bitlocker”,然后在“搜索”菜单中选择“ 管理 Bitlocker”图标时按 Enter。

  13. 选择“ 恢复保护”。

  14. 如果Windows Hello PIN 在更新 ((即)后无法正常工作,则 Windows 登录屏幕会报告由于) 安全设置更改而不再可用,请按照以下步骤恢复 PIN。

    • 对于组策略) 强制实施的Windows Hello 企业版 (PIN:

      1. 以管理员身份打开命令提示符窗口。

      2. 运行以下命令:

        certutil -deleteHelloContainer

      3. 登出。

      4. 使用密码再次登录。 (PIN 选项不可用,因为通过运行步骤 2.) 中的命令删除了 Windows Hello 容器

      5. 系统会提示你创建组策略) 强制实施的Windows Hello PIN (。 按照说明为Windows Hello创建新的 PIN。

    • 对于Windows Hello

      1. 转到 “设置”>“帐户”>登录选项

      2. 删除 PIN (将使用用户的密码) 确认删除。

      3. 单击“添加”以根据需要创建新的 PIN,在出现提示时再次输入用户的密码,然后按照说明为Windows Hello创建新的 PIN。

  15. 重启依赖于 TPM 功能的任何其他服务。

验证更新

若要验证该工具是否已更新 TPM 固件,请执行以下步骤:

  1. 单击“开始”。

  2. 键入 tpm.msc,然后按 Enter。

  3. “TPM 制造商信息”下,检查以下任一项的制造商版本号

    • 以前的固件: 5.0.1089.2

    • 新固件: 5.62.3126.2

订阅 RSS 源

需要更多帮助?

需要更多选项?

了解订阅权益、浏览培训课程、了解如何保护设备等。

Microsoft 365 订阅权益

Microsoft 365 培训

Microsoft 安全性

辅助功能中心