摘要

某些受信任的平台模块 (TPM) 芯片中存在安全漏洞。 此漏洞削弱了密钥强度。

本文将帮助你识别和解决受 Microsoft 安全公告 ADV170012 中所述漏洞影响且由 BitLocker 保护的设备中的问题。

更多信息

概述

本文档将介绍如何解决基于 BitLocker TPM 的保护程序中的漏洞影响。  

对其他 BitLocker 保护程序方法的影响必须根据保护相关密码的方式进行审查。 例如,如果解锁 BitLocker 的外部密钥受 TPM 保护,请参阅通报以分析影响。 对此漏洞造成的这些影响的补救不在本文档的范围内。

如何识别影响

BitLocker 将 TPM 封装和解封操作与存储根密钥结合使用来保护操作系统卷上的 BitLocker 密码。  此漏洞会影响 TPM 1.2 上的封装和解封操作,但不影响 TPM 2.0 上的操作。

基于 TPM 的保护程序用于保护操作系统卷时,只有 TPM 固件版本为 1.2,BitLocker 保护的安全性才会受到影响。

若要识别受影响的 TPM 和 TPM 版本,请参阅 Microsoft 安全公告 ADV170012 中“建议的操作”下的“2. 确定组织中受影响的设备”。 

若要查看 BitLocker 状态,请在命令提示符处以计算机管理员身份运行“manage-bde -status <操作系统卷号&colon;>”。

图 1 示例输出受 TPM 保护器和 RecoveryPassword 保护器的操作系统的系统卷

图 1 由 TPM 保护程序和恢复密码保护程序保护的操作系统卷的输出示例。 (设备加密不受此 TPM 漏洞的影响。)

在固件更新后补救 BitLocker 漏洞

按照以下步骤补救此漏洞:

  1. 挂起 BitLocker 保护: 以计算机管理员身份运行“manage-bde -protectors <操作系统卷号&colon;> –disable”。

  2. 清除 TPM。 有关说明,请参阅 Microsoft 安全公告 ADV170012 中“建议的操作”下的“6&period; 清除 TPM”。

  3. Windows 8 和更高版本的 Windows 重启后,BitLocker 保护将自动恢复。 对于 Windows 7,以计算机管理员身份运行“manage-bde -protectors <操作系统卷号&colon;> –enable”来恢复 BitLocker 保护。

以下页面提供了 manage-bde&period;exe 的完整命令行参考:

https://technet.microsoft.com/zh-cn/library/ff829849(v=ws.11).aspx

需要更多帮助?

需要更多选项?

了解订阅权益、浏览培训课程、了解如何保护设备等。

社区可帮助你提出和回答问题、提供反馈,并听取经验丰富专家的意见。