適用於 TPM 弱點的 BitLocker 緩和計劃

摘要

某些信賴平台模組 (TPM) 晶片組存在安全性弱點。此弱點會削弱金鑰的強度。

本文有助於識別和補救受到 BitLocker 保護之裝置的問題，這些裝置受到 Microsoft 資訊安全諮詢 ADV170012 (英文) 中所述弱點的影響。

本文件說明如何補救 BitLocker TPM 保護裝置中的弱點影響。

對其他 BitLocker 保護裝置方法的影響，必須根據保護相關密碼的方式進行審查。例如，如果用來解鎖 BitLocker 的外部金鑰受到 TPM 的保護，請參閱資訊安全諮詢，以分析影響。補救弱點的這些效果不在本文件的討論範圍內。

BitLocker 利用儲存根金鑰搭配使用 TPM 密封及解除密封作業，以保護作業系統磁碟區上的 BitLocker 密碼。此弱點會對 TPM 1&period;2 上的密封及解除密封作業造成影響，但不會影響 TPM 2&period;0 上的作業。

若將 TPM 保護裝置用來保護作業系統磁碟區，則只有在 TPM 韌體版本為 1&period;2 時 BitLocker 保護的安全性才會受到影響。

若要識別受影響的 TPM 和 TPM 版本，請參閱位於 Microsoft 資訊安全諮詢 ADV170012 (英文) 中＜建議動作＞的＜2&period; 判斷組織中受影響的裝置＞一節。

若要檢查 BitLocker 狀態，請以電腦的系統管理員身分在命令提示字元執行 “manage-bde -status <OS volume letter&colon;>”。

[圖 1 的 TPM 保護裝置，並 RecoveryPassword 保護器所保護的作業系統磁碟區的範例輸出

圖 1 同時受到 TPM 保護裝置和修復密碼保護裝置保護之作業系統磁碟區的範例輸出 (裝置加密不受此 TPM 弱點的影響)。

請依照下列步驟補救弱點：

暫停 BitLocker 保護：以電腦的系統管理員身分執行 “manage-bde -protectors <OS volume letter&colon;> –disable”。
清除 TPM。如需指示，請參閱位於 Microsoft 資訊安全諮詢 ADV170012 (英文) 中＜建議動作＞的＜6&period; 清除 TPM＞一節。
Windows 8 和更新版本的 Windows 重新啟動之後，BitLocker 保護就會自動恢復。若是 Windows 7，以電腦的系統管理員身分執行 “manage-bde -protectors <OS volume letter&colon;> –enable”，即可繼續 BitLocker 保護。

下列頁面提供 manage-bde&period;exe 的完整命令列參考：