摘要
某些信賴平台模組 (TPM) 晶片組存在安全性弱點。 此弱點會削弱金鑰的強度。
若要深入了解弱點,請前往ADV170012。
其他相關資訊
重要
由於虛擬智慧卡 (VSC) 金鑰只會儲存在 TPM 中,因此,任何使用受影響 TPM 的裝置都易受攻擊。
當您的 OEM 提供 TPM 韌體更新時,請如 Microsoft 資訊安全諮詢 ADV170012 (英文) 中所述,依照下列步驟執行減輕 TPM 弱點對 VSC 的影響。 Microsoft 會適時更新本文件,做為額外緩和措施。
安裝 TPM 韌體更新之前,請先擷取任何 BitLocker 或裝置加密碼金鑰
請務必先擷取金鑰。 如果 TPM 韌體更新期間發生失敗,將需要修復金鑰,才能再次重新啟動系統 (若 BitLocker 未暫停或裝置加密為作用中)。
如果裝置已啟用 BitLocker 或裝置加密,請確定您擷取修復金鑰。 下面示範如何顯示單一磁碟區的 BitLocker 和裝置加密修復金鑰。 如果有多個硬碟磁碟分割,每個磁碟分割可能會有個別的修復金鑰。 請確定您儲存作業系統磁碟區 (通常是 C 槽) 的修復金鑰。 如果您的作業系統磁碟區安裝在不同磁碟區,請照著變更參數。
在具有系統管理員權限的命令提示字元中執行下列指令碼:
C:\Windows\system32>manage-bde -protectors -get c:
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Volume C: []
All Key Protectors
TPM:
ID: {36B6DEE1-7B13-4A8F-876E-04735E8D3972}
PCR Validation Profile:
7, 11
(Uses Secure Boot for integrity validation)
Numerical Password:
ID: {6303FEBD-E4C0-4912-A331-4689B04E431A}
Password:
588214-228690-421003-079299-589270-595331-473407-0361
如果 OS 磁碟區已啟用 BitLocker 或裝置加密,請將它暫停。 下面示範如何暫停 BitLocker 或裝置加密 (如果您的作業系統磁碟區安裝在不同磁碟區,請照著變更參數)。
在具有系統管理員權限的命令提示字元中執行下列指令碼:
C:\Windows\system32>manage-bde -protectors c: -disable
BitLocker Drive Encryption: Configuration Tool version 10.0.15063
Copyright (C) 2013 Microsoft Corporation. All rights reserved.
Key protectors are disabled for volume C:.
注意:在 Windows 8 及更新版本中,BitLocker 和裝置加密會在重新啟動後自動恢復。 因此,請務必在安裝 TPM 韌體更新之前,立即暫停 BitLocker 和裝置加密。 在 Windows 7 及舊版系統中,安裝韌體更新之後,必須手動重新啟用 BitLocker。
依照 OEM 的指示安裝適用的韌體更新,以更新受影響的 TPM
這是 OEM 為了解決 TPM 中的弱點而發行的更新。 請參閱 Microsoft 資訊安全諮詢 ADV170012 (英文) 中的步驟 4<套用適用的韌體更新>,了解有關如何從 OEM 取得 TPM 更新的資訊。
刪除再重新註冊 VSC
套用 TPM 韌體更新之後,必須刪除弱式金鑰。 建議您使用 VSC 合作夥伴 (例如 Intercede) 提供的管理工具刪除現有 VSC,然後重新註冊一個。
