未设置 TPM“nvLocked”永久标志的问题 问题:漏洞与防护 Lenovo 安全公告:LEN-2015-082 潜在影响:信息披露 重要性:不一定;从无到中 摘要: 某些 Lenovo ThinkPad 系统在配置时没有设置 TPM“nvLocked”永久标志。 可信平台模块(TPM)是主板上的一个微控制器,可用于安全地存储用于认证平台的工件(例如密码、证书或加密密钥)或可确保系统可靠性的测量结果。 TPM 包含若干个不同的子系统和存储区域,可处理和存储不同的数据类型。 大多数区域侧重于传统的 TPM 安全功能,但是有一个通用的非易失性 RAM(NVRAM)存储区域可供自定义应用程序选择使用。 默认情况下,NVRAM 在许可状态下进行配置。 这种许可状态不会影响其他 TPM 子系统或存储区域的安全性或完整性,例如处理加密密钥或平台配置寄存器(PCRs)的 TPM 子系统或存储区域。 某些 ThinkPad 和 ThinkServer 系统没有设置“nvLocked”TPM 永久标志。此标志用于防止未经授权地访问 1280 字节用户可访问的非易失性存储区域(NVRAM)。这意味着,未经授权的用户无需经过适当的认证即可访问此区域。 Lenovo 尚不清楚有哪些商业应用程序可访问 TPM 的这一区域,但是自定义应用程序可能能够访问。客户可使用所提供的 nvLocked Patch Utility 来验证其系统是否正在使用 TPM 的这一区域。此工具的源代码位于下载包内。 存储在正常 TPM 区域中的密钥和数据没有受到此问题的影响。 应采取哪些措施进行自我保护: 客户可选择以下两个选项中的一项来缓解此问题 客户可使用此处提供的工具来确定其系统是否已设置“nvLocked”TPM 永久标志,并在未设置的情况下自动设置此标志。用户还可通过此程序来确定其系统是否正在使用用户非易失性存储区域。 或者,将本公告的“产品影响”部分中列出的受影响系统的 BIOS 级别更新到最新级别。此更新将确保用户设置好“nvLocked”TPM 永久标志。 产品影响: 受影响的产品 最低版本,包括修复程序 链接 ThinkPad 11e(20ED、20EE) 目标上市时间:2015 年 11 月 30 日 ThinkPad 11e(20E6、20E8)/Yoga 11e(20E5、20E7) 目标上市时间:2015 年 11 月 30 日 ThinkPad E450(Broadwell) J5ET48WW http://support.lenovo.com/us/en/products/laptops-and-netbooks/thinkpad-edge-laptops/thinkpad-e450/downloads/DS101972 ThinkPad E450(Sharkbay) J5ET48WW http://support.lenovo.com/us/en/products/laptops-and-netbooks/thinkpad-edge-laptops/thinkpad-e450/downloads/DS101972 ThinkPad E550(Broadwell) J5ET48WW http://support.lenovo.com/us/en/products/laptops-and-netbooks/thinkpad-edge-laptops/thinkpad-e450/downloads/DS101972 ThinkPad E550(Sharkbay) J5ET48WW http://support.lenovo.com/us/en/products/laptops-and-netbooks/thinkpad-edge-laptops/thinkpad-e450/downloads/DS101972 ThinkPad Edge E431/E531 目标上市时间:2015 年 11 月 30 日 ThinkPad Edge E440/E540 目标上市时间:2015 年 11 月 30 日 ThinkPad L450(Broadwell) JDET54WW http://support.lenovo.com/us/en/products/laptops-and-netbooks/thinkpad-l-series-laptops/thinkpad-l450/downloads/DS102107 ThinkPad L450(Sharkbay) JDET54WW http://support.lenovo.com/us/en/products/laptops-and-netbooks/thinkpad-l-series-laptops/thinkpad-l450/downloads/DS102107 ThinkPad Tablet 10(32 位) GUET75WW http://support.lenovo.com/us/en/products/tablets/thinkpad-tablet-series/thinkpad-10/downloads/DS041534 ThinkPad Tablet 10(64 位) GWET39WW http://support.lenovo.com/us/en/products/tablets/thinkpad-tablet-series/thinkpad-10/downloads/DS041804 ThinkPad Yoga 11e(20D9、20DA) N15ET65W http://support.lenovo.com/us/en/products/laptops-and-netbooks/thinkpad-11e-series-laptops/thinkpad-11e/downloads/DS041529 修订历史: 版本 日期 描述 1.1 2015 年 10 月 28 日 已发布其他修复程序 1.0 2015 年 9 月 23 日 初始版本
未设置 TPM“nvLocked”永久标志的问题-联想乐享知识库
⚡ 核心结论
本文来源联想官方,解答关于 未设置 TPM“nvLocked”永久标志的问题 的常见问题,包括:ThinkPad E450(Broadwell)未设置TPM‘nvLocked’永久标志怎么办等。
内容来源:联想官方
常见问题解答
ThinkPad E450(Broadwell)未设置TPM‘nvLocked’永久标志怎么办
该问题源于部分ThinkPad E450(Broadwell)出厂时未设置TPM的‘nvLocked’永久标志,导致1280字节用户可访问的非易失性存储区域(NVRAM)未被锁定,存在未经授权访问风险。虽不影响密钥、PCRs等核心TPM功能,但需主动修复。解决步骤:1. 下载并运行Lenovo官方提供的nvLocked Patch Utility(工具含源代码),该工具可自动检测并设置‘nvLocked’标志;2. 或升级BIOS至J5ET48WW或更高版本(链接:http://support.lenovo.com/us/en/products/laptops-and-netbooks/thinkpad-edge-laptops/thinkpad-e450/downloads/DS101972)。注意:操作前请备份重要数据,确保充电稳定;修复后无需重启即可生效,但建议重启验证。