摘要
某些受信任的平台模块 (TPM) 芯片中存在安全漏洞。 此漏洞削弱了密钥强度。
若要详细了解此漏洞,请转到 ADV170012。
更多信息
重要说明
由于虚拟智能卡 (VSC) 密钥仅存储在 TPM 中,因此使用受影响的 TPM 的任何设备易受到攻击。
当你的 OEM 提供 TPM 固件更新时,请按照以下步骤缓解 VSC 的 TPM 漏洞,如 Microsoft 安全通报 ADV170012 中所述。 当有其他缓解措施可用时,Microsoft 将更新此文档。
在安装 TPM 固件更新之前,检索任何 BitLocker 或设备加密密钥。
重要的是要首先检索密钥。 如果在 TPM 固件更新期间出现故障,如果 BitLocker 未挂起或者如果设备加密处于活动状态,则将需要恢复密钥再次重启系统。
如果设备启用了 BitLocker 或设备加密,请确保检索恢复密钥。 以下示例介绍了如何显示单个卷的 BitLocker 和设备加密恢复密钥。 如果存在多个硬盘分区,则每个分区可能会有一个单独的恢复密钥。 请务必保存操作系统卷(通常为 C 卷)的恢复密钥。 如果你的操作系统卷安装在其他卷上,请相应地更改参数。
在命令提示符处以管理员身份运行以下脚本:
C:\Windows\system32>manage-bde -protectors -get c:
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume C: []
All Key Protectors
TPM:
ID: {36B6DEE1-7B13-4A8F-876E-04735E8D3972}
PCR Validation Profile:
7, 11
(Uses Secure Boot for integrity validation)
Numerical Password:
ID: {6303FEBD-E4C0-4912-A331-4689B04E431A}
Password:
588214-228690-421003-079299-589270-595331-473407-0361
如果操作系统卷启用了 BitLocker 或设备加密,则将其挂起。 以下示例介绍了如何挂起 BitLocker 或设备加密。 (如果你的操作系统卷安装在其他卷上,请相应地更改参数。)
在命令提示符处以管理员身份运行以下脚本:
C:\Windows\system32>manage-bde -protectors c: -disable
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Key protectors are disabled for volume C:.
注意 在 Windows 8 和更高版本上,BitLocker 和设备加密在一次重启后自动恢复。 因此,请确保在安装 TPM 固件更新之前立即挂起 BitLocker 和设备加密。 在 Windows 7 和更低版本的系统上,在安装固件更新之后,需要手动再次启用 BitLocker。
按照 OEM 说明安装适用的固件更新以更新受影响的 TPM
此更新由你的 OEM 发布,用于修复 TPM 中的漏洞。 有关如何从你的 OEM 获取 TPM 更新的信息,请参阅 Microsoft 安全通报 ADV170012 中的“4. 应用适用的固件更新”。
删除并重新注册 VSC
应用 TPM 固件更新后,必须删除较弱的密钥。 我们建议你使用 VSC 合作伙伴(如 Intercede)提供的管理工具来删除 现有的 VSC 并重新注册。
