摘要
某些受信任的平台模块 (TPM) 芯片中存在安全漏洞。 此漏洞削弱了密钥强度。
本文将帮助你识别和解决受 Microsoft 安全公告 ADV170012 中所述漏洞影响且由 BitLocker 保护的设备中的问题。
更多信息
概述
本文档将介绍如何解决基于 BitLocker TPM 的保护程序中的漏洞影响。
对其他 BitLocker 保护程序方法的影响必须根据保护相关密码的方式进行审查。 例如,如果解锁 BitLocker 的外部密钥受 TPM 保护,请参阅通报以分析影响。 对此漏洞造成的这些影响的补救不在本文档的范围内。
如何识别影响
BitLocker 将 TPM 封装和解封操作与存储根密钥结合使用来保护操作系统卷上的 BitLocker 密码。 此漏洞会影响 TPM 1.2 上的封装和解封操作,但不影响 TPM 2.0 上的操作。
基于 TPM 的保护程序用于保护操作系统卷时,只有 TPM 固件版本为 1.2,BitLocker 保护的安全性才会受到影响。
若要识别受影响的 TPM 和 TPM 版本,请参阅 Microsoft 安全公告 ADV170012 中“建议的操作”下的“2. 确定组织中受影响的设备”。
若要查看 BitLocker 状态,请在命令提示符处以计算机管理员身份运行“manage-bde -status <操作系统卷号:>”。
图 1 由 TPM 保护程序和恢复密码保护程序保护的操作系统卷的输出示例。 (设备加密不受此 TPM 漏洞的影响。)
在固件更新后补救 BitLocker 漏洞
按照以下步骤补救此漏洞:
-
挂起 BitLocker 保护: 以计算机管理员身份运行“manage-bde -protectors <操作系统卷号:> –disable”。
-
清除 TPM。 有关说明,请参阅 Microsoft 安全公告 ADV170012 中“建议的操作”下的“6. 清除 TPM”。
-
Windows 8 和更高版本的 Windows 重启后,BitLocker 保护将自动恢复。 对于 Windows 7,以计算机管理员身份运行“manage-bde -protectors <操作系统卷号:> –enable”来恢复 BitLocker 保护。
以下页面提供了 manage-bde.exe 的完整命令行参考:
https://technet.microsoft.com/zh-cn/library/ff829849(v=ws.11).aspx