27 Okt 2018

TPM Update beim Surface Pro 3

Immer wieder gibt es ja Schwachstellen in Betriebssystem, Firmware oder Treiber. Auch verbaute Komponenten, wie der für Sicherheitsfunktionen zuständige TPM Chip bleiben von diesen Schwachstellen nicht verschont. Für das Surface Pro 3 müssen die Besitzer handeln.

Das Problem

Bereits vor einem Jahr wurde eine Schwachstelle mit der Bezeichnung CVE-2017-15361 im TPM-Chip des Herstellers Infineon entdeckt. Der TPM Chip ist für grundlegende Sicherheitsfunktionen in Computern verantwortlich und beim Surface mit Windows 10 unter anderem Teil der Verschlüsselung des Geräts mit BitLocker. Im Surface Pro 3 wurden TPM Chips von Infineon verbaut, für die der Hersteller ein Update bereitgestellt hat. Im Gegensatz zu neueren Surface Geräten, die einen anderen TPM Chip enthalten, muss der TPM im Surface Pro 3 manuell aktualisiert werden.

Das Vorgehen – Bin ich betroffen ?

Zuerst gilt es herauszufinden, ob das verwendete Surface Pro 3 betroffen ist oder nicht. Unseren Informationen nach wurden im Pro 3 keine anderen TPM Chips verbaut. Allerdings haben wir dafür aktuell keine gesicherte Quelle, ob das wirklich so ist oder nicht. Auf dem Microsoft Blog wird ein Programm angeboten , mit dem man herausfinden kann, ob man betroffen ist oder nicht, also ob ein Infineo Chip eingebaut ist und die Firmware auf dem Chip zu den angreifbaren Versionen gehört.

  1. Mit dem Powershell Skript Check-TPM-SurfacePro3 lässt sich das aber leicht herausfinden. Wenn ihr auf den Link klickt, wird euch das Skript angezeigt. Kopiere den gesamt Text in eine Datei, z.B. mit dem Namen Check-TPM-SurfacePro3.ps1 und speichere sie ab.
  2. Zur Ausführung des Skripts starte mit Windows-Taste-X das Ausführen-Menü und wähle dort Windows PowerShell (Administrator). Falls euch die PowerShell hier nicht angeboten wird einfach das Startmenü aufrufen und „powershell“ eingeben. Diese dann mit einem Rechtsklick und Auswahl von „Als Administrator ausführen“ starten.
  3. Im Fenster wird nun das Skript aufgerufen. In meinem Beispiel hatte ich das Skript auf D:\ liegen und beim ersten Aufruf kam noch der Hinweis, dass ich Powershell erst noch erlauben muss, dieses Skript auszuführen. Das ging dann mit dem Befehl „Set-ExecutionPolicy Unrestricted“ und der Bestätigung mit [Ja, Alle] Der anschließende erneute Aufruf gibt dann die Information aus, ob die Firmware auf dem TPM aktualisiert werden soll oder nicht.
  4. Die Ausführungspolicy setzt du nun wieder zurück, damit nicht ausversehen später mal irgendein Skript zufällig ausgeführt werden kann. Der Befehl dazu ist „Set-ExecutionPolicy Restricted

 

Das Vorgehen – Update des TPM Chip durchführen

Wer also betroffen ist, nimmt sich nun etwa 20 Minuten Zeit um die einzelnen Schritte der Aktualisierung durchzugehen. Ich hab das ausprobiert, das funktioniert trotz der langen Anleitung gut und ich kenn auch mehrere Leute, bei denen es ebenfalls funktioniert hat. Allerdings haben auch alle erstmal gestöhnt.

Vorbereitung

  • Schau bitte bei Windows Update vorbei und installiere alle noch ausstehenden Updates.
  • Du brauchst auf jeden Fall auch das Passwort für dein Microsoft Konto mit dem du dich am Surface anmeldest. Dies ist besonders dann wichtig, wenn du „Windows Hello“ für das Geräte eingerichtet hast und dich normalerweise mit einer PIN anmeldest. Diese Funktion wird im Lauf des Update verloren gehen und neu eingerichtet werden. Zur Neueinrichtung brauchst du das Passwort.
  • Ich kontrolliere auch immer, dass der Akku voll geladen ist oder dass ich das Netzteil angeschlossen habe, wenn ich solche Updates mache.
  • Wir gehen im Verlauf der Anleitung an die UEFI Einstellungen, da empfiehlt es sich ein Type Cover anzuschließen. Die Bedienung per Touch geht zwar auch, ich fühle mich da aber mit Tastatur immer etwas wohler.

Backup

Also bei sowas kann ja doch auch immer mal was schief gehen. Wir können natürlich auch keine Garantie übernehmen. Daher der Tipp, erstmal ein Backup der Daten anzulegen, sofern diese nicht auf einem Cloud-Speicher wie OneDrive liegen. Halte dich an die einzelnen Schritte, so hat das bei uns hier immer funktioniert. Sollte was schiefgehen, muss Windows 10 neu eingerichtet werden. Aber dazu gibt es ja unser Tutorial https://www.surfaceinside.de/tutorial-windows-10-komplett-neu-installieren/.

 

Das TPM-Update Tool installieren und einen bootfähigen USB Stick erstellen

  1. Lade das Microsoft_Surface_Pro_3_Tpm_Update_Tool_Setup.msi  aus dem Microsoft Download Center herunter.
  2. Stecke einen USB-Stick ein. Achtung, der wird nachher formatiert und damit alle Daten auf ihm gelöscht!
  3. Mit einem Rechtsklick auf die heruntergeladene MSI-Datei und der Auswahl „Installieren“ beginnt die Installation des Programms, welches uns nachher einen startbaren USB-Stick erstellt. Die einzelnen Klicks beschreibe ich nicht weiter, einfach durchklicken.
  4. Nach der erfolgreichen Installation findest du im Startmenü das neue Programm „Microsoft Surface Pro 3 TPM Update Tool“.  Starte es.
  5. Klicke dich  durch die einzelnen Seiten durch, beachte den Hinweis, dass der Stick gelöscht wird, wähle den USB-Stick aus und starte dann das Erstellen des Sticks, was nur einige Sekunden dauert. Auf dem Stick sind hinterher ein paar Dateien vorhanden.
    Tipp: sollte sich der Stick vom Programm nicht formatieren lassen, formatiert ihn mal manuell und vergebt dabei das Dateisystem „FAT32“. Dann nochmal mit dem Programm versuchen.

Update des Surface Pro 3

Die nächsten Schritte sind alle auf die Standard-Verschlüsselung mit BitLocker ausgelegt. Solltet ihr ein anderes Produkt zur Festplattenverschlüsslung verwenden, müsst ihr schauen, dass ihr diese deaktiviert bekommt.

  1. Drücke die Windows-Taste mit X und wähle aus dem Menü „Windows PowerShell (Administrator)“. Falls euch die PowerShell hier nicht angeboten wird einfach das Startmenü aufrufen und „powershell“ eingeben. Diese dann mit einem Rechtsklick und Auswahl von „Als Administrator ausführen“ starten.
  2. Gib den Befehl Suspend-Bitlocker -MountPoint C: -RebootCount 0 ein. Damit wird die Festplattverschlüsselung pausiert. Wir schalten Sie später wieder ein.
  3. Fahre Windows herunter und warte bis das Surface Pro 3 aus ist.
  4. Halte nun die Taste „Lautstärke+“ gedrückt und drücke gleichzeitig auf den Einschaltknopf, um das Surface in den UEFI Modus zu starten. Die Tasten kannst du loslassen, sobald das Surface Logo erscheint.
  5. Im UEFI angekommen gehe auf „Delete All Secure Boot Keys“, unterhalb von „Secure Boot Control“ und wähle den Menüpunkt mit der Entertaste aus. Die Sicherheitsabfrage bestätigst du mit „yes“.
  6. Gehe nun auf „Secure Boot Control“, die Einstellung steht auf „Enabled“. Drücke die Entertaste und ändere die Einstellung auf „Disabled“.
  7. Verlasse das UEFI durch die Auswahl von „Exit Setup“ ganz unten und bestätige, dass du die Änderungen speichern willst.
  8. Das Surface startet nun neu und Windows fährt hoch. Optisch sollte das Surface Logo beim Starten nun einen knallroten Hintergrund haben, der Startvorgang dauert auch etwas länger als gewohnt.
  9. Im Anmeldbildschirm wählst du nun aus, das Surface gleich wieder herunterzufahren. Anmelden musst du dich nicht.
  10. Wenn das Gerät aus ist, stecke den erstellten USB Stick ein.
  11. Halte nun die Taste „Lautstärke-“ gedrückt und drücke gleichzeitig auf den Einschaltknopf, um das Surface vom USB Stick zu booten. Die Tasten kannst Du loslassen, wenn das Surface Logo erscheint.
  12. Das Update der Firmware wird automatisch vom USB-Stick aus installiert, wenn Du den Vorgang nicht innerhalb von 5 Sekunden abbrichst. Also einfach nichts drücken und warten. Der gesamte Vorgang dauert auch nur wenige Sekunden.
  13. Wenn das Update fertig ist erhältst du einen gelben „fs1:>“ Command Prompt.
  14. Gib den Befehl exit ein und das Surface startet neu.
  15. Den Stick kannst du entfernen.

Konfigurieren des Surface Pro 3 nach dem dem TPM Firmware Update

  1. Wenn Windows gestartet ist, melde dich mit Deinem Passwort an. Wenn du „Windows Hello“ zur Anmeldung mit PIN konfiguriert hattest geht das jetzt nicht mehr. Wir richten das  im Verlauf aber wieder ein.
  2. Nachdem die Anmeldung erfolgt ist, klicke auf den Start-Button
  3. Gib in der Zeile den Befehl tpm.msc ein, um die Management-Konsole für den TPM Chip zu starten. Im Abschnitt „Status“ muss „Das TPM ist einsatzbereit“ stehen um mit dem nächsten Schritt weiter zu machen. Sollte hier angezeigt werde, dass der TPM nicht gefunden wurde oder nur im reduzierten Funktionsumfang genutzt wird , starte das Surface nochmal und versuche es erneut. Das Surface startet wieder mit dem roten Bildschirmhintergrund. Eventuell wird auch angezeigt „Die TPM-Wartungsaufgabe wird noch ausgeführt,…“. In dem Fall schließe die Konsole, warte eine Minute und starte sie dann nochmals.
    Hinweis: Im Abschnitt „TPM-Herstellerinformationen“ siehst du nun unter dem Eintrag „Herstellerversion“ die aktualisierte Versionsnummer 5.62.3126.2. Hier war vorher die Version 5.0.1089.2 eingetragen.
  4. Wenn der Status des TPM „Das TPM ist einsatzbereit“ ist, fahre Windows herunter um das Surface auszuschalten.
  5. Halte nun die Taste „Lautstärke+“ gedrückt und drücke gleichzeitig auf den Einschaltknopf, um das Surface in den UEFI Modus zu starten. Die Tasten kannst du loslassen, wenn das Surface Logo erscheint.
  6.  Unter „Secure Boot Control“ wählst du den Eintrag „Disabled“ mit der Enter-Taste aus und stellst diesen wieder auf „Enabled“ um.
  7. Wähle anschließend eine Zeile tiefer“Install all factory default keys“, und wähle dann „Windows & 3rd-party UEFI CA (Default)“
  8. Verlasse das UEFI durch die Auswahl von „Exit Setup“ und bestätige, dass Du die Änderungen speichern willst.
  9. Das Surface startet neu und wenn Windows gestartet ist, melde dich mit deinem Passwort an.
  10. Nachdem die Anmeldung erfolgt ist, klicke auf den Start-Button
  11. Im Suchfeld trägst du „BitLocker verwalten“ ein und startest das Programm
  12. Wähle „Schutz fortsetzen“. Wenn du eh schon da bist, sichere bitte auch gleich den Wiederherstellungsschlüssel, am besten in das Microsoft-Konto

Wenn Du das Surface Pro 3 das nächste mal neu startest, dann ist das Surface-Logo wieder auf schwarzem Hintergrund.

Soweit war es das mit dem Update. Den nächsten Abschnitt dieser Anleitung führst du nur aus, wenn du „Windows Hello“ mit PIN (wieder) aktivieren willst.

Konfigurieren von „Windows Hello“ mit PIN

  1. Starte die Einstellungen und wähle „Konten“ -> „Anmeldeoptionen“
  2. Im Abschnitt „PIN“ wählst Du die Schaltfläche „Entfernen“. Zum Entfernen musst du dein Passwort des Microsoft Kontos eingeben.
  3. Wenn das erledigt ist, oder die Schlaltfläche zum entfernen gar nicht angezeigt wird, wählst du die Schaltfläche „Hinzufügen“ unterhalb von PIN. Folge den Anweisungen auf dem Bildschirm, um deine neue PIN zu erstellen.

Hinweis für Administratoren in Firmenumgebungen:

Für ein Surface, welches Mitglied einer Domäne ist, muss anders vorgegangen werden!

  1. Melde Dich mit einem Konto an, welches über administrative Rechte auf dem Gerät verfügt
  2. Starte eine CMD.EXE als Administrator
  3. Mit dem Befehl certutil -deleteHelloContainer entfernst du die gespeicherten Informationen von „Windows Hello“
  4. Melde dich ab und mit dem Passwort des Kontos wieder an (die PIN geht nicht, diese wurde im 3.Schritt entfernt)
  5. Wenn die Gruppenrichtlinien korrekt sind, wirst du beim Anmelden aufgefordert eine PIN zu erstellen. Folge den Anweisungen dazu auf dem Bildschirm

Überprüfen des Updates

  1. Nachdem die Anmeldung erfolgt ist, klicke auf den Start-Button
  2. Gib in der Zeile den Befehl tpm.msc ein, um die Management-Konsole für den TPM Chip zu starten.
  3. Unter „TPM Herstellerinformationen“ sollte folgender Eintrag vorhanden seinsein:
    Herstellerversion: 5.62.3126.2

Geschafft. Dein Surface Pro 3 ist nun wieder ein Stück bessergegen Cyber-Angriffe geschützt.

 

Quelle für das Update-Vorgehen ist der englischsprachige Support Artikel bei Microsoft.

 

Über den Autor: Ralf Eiberger

Ralf Eiberger
Schon 2012 als das erste Surface noch nicht angekündigt war und man spekulierte, dass Microsoft ein Tablet bauen würde, hatte ich es bereits in der Hand. Seither lässt mich das Thema Surface nicht mehr los. Seit 2013 bin ich MVP für Surface, inzwischen in der Kategorie Windows and Devices.