Applies ToWindows 10, version 1703, all editions Windows Server 2016 Windows Server 2016 Essentials Windows Server 2016 Standard Windows 10 Windows 10, version 1511, all editions Windows 10, version 1607, all editions Windows Server 2012 R2 Datacenter Windows Server 2012 R2 Standard Windows Server 2012 R2 Essentials Windows Server 2012 R2 Foundation Windows 8.1 Enterprise Windows 8.1 Pro Windows 8.1 Windows RT 8.1 Windows Server 2012 Datacenter Windows Server 2012 Standard Windows Server 2012 Essentials Windows Server 2012 Foundation Windows Server 2008 R2 Service Pack 1 Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Web Edition Windows Server 2008 R2 Foundation Windows 7 Service Pack 1 Windows 7 Ultimate Windows 7 Enterprise Windows 7 Professional Windows 7 Home Premium Windows 7 Home Basic Windows 7 Starter Windows Vista Service Pack 2 Windows Vista Home Basic Windows Vista Home Premium Windows Vista Business Windows Vista Ultimate Windows Vista Enterprise Windows Vista Starter Windows Server 2008 Service Pack 2 Windows Server 2008 Foundation Windows Server 2008 Standard Windows Server 2008 for Itanium-Based Systems Windows Server 2008 Web Edition Windows Server 2008 Enterprise Windows Server 2008 Datacenter

摘要

某些信賴平台模組 (TPM) 晶片組存在安全性弱點。 此弱點會削弱金鑰的強度。

本文有助於識別和補救受到 BitLocker 保護之裝置的問題,這些裝置受到 Microsoft 資訊安全諮詢 ADV170012 (英文) 中所述弱點的影響。

其他相關資訊

概觀

本文件說明如何補救 BitLocker TPM 保護裝置中的弱點影響。  

對其他 BitLocker 保護裝置方法的影響,必須根據保護相關密碼的方式進行審查。 例如,如果用來解鎖 BitLocker 的外部金鑰受到 TPM 的保護,請參閱資訊安全諮詢,以分析影響。 補救弱點的這些效果不在本文件的討論範圍內。

如何識別影響

BitLocker 利用儲存根金鑰搭配使用 TPM 密封及解除密封作業,以保護作業系統磁碟區上的 BitLocker 密碼。  此弱點會對 TPM 1.2 上的密封及解除密封作業造成影響,但不會影響 TPM 2.0 上的作業。

若將 TPM 保護裝置用來保護作業系統磁碟區,則只有在 TPM 韌體版本為 1.2 時 BitLocker 保護的安全性才會受到影響。

若要識別受影響的 TPM 和 TPM 版本,請參閱 位於 Microsoft 資訊安全諮詢 ADV170012 (英文) 中<建議動作>的<2. 判斷組織中受影響的裝置>一節。 

若要檢查 BitLocker 狀態,請以電腦的系統管理員身分在命令提示字元執行 “manage-bde -status <OS volume letter&colon;>”。

[圖 1 的 TPM 保護裝置,並 RecoveryPassword 保護器所保護的作業系統磁碟區的範例輸出

圖 1 同時受到 TPM 保護裝置和修復密碼保護裝置保護之作業系統磁碟區的範例輸出  &lpar;裝置加密不受此 TPM 弱點的影響&rpar;。

在韌體更新後補救 BitLocker 弱點

請依照下列步驟補救弱點:

  1. 暫停 BitLocker 保護: 以電腦的系統管理員身分執行 “manage-bde -protectors <OS volume letter&colon;> –disable”。

  2. 清除 TPM。 如需指示,請參閱 位於 Microsoft 資訊安全諮詢 ADV170012 &lpar;英文&rpar; 中<建議動作>的<6&period; 清除 TPM>一節。

  3. Windows 8 和更新版本的 Windows 重新啟動之後,BitLocker 保護就會自動恢復。 若是 Windows 7,以電腦的系統管理員身分執行 “manage-bde -protectors <OS volume letter&colon;> –enable”,即可繼續 BitLocker 保護。

下列頁面提供 manage-bde&period;exe 的完整命令列參考:

https://technet.microsoft.com/zh-tw/library/ff829849(v=ws.11).aspx

需要更多協助嗎?

想要其他選項嗎?

探索訂閱權益、瀏覽訓練課程、瞭解如何保護您的裝置等等。