本文讨论了 Microsoft Surface Pro 3 TPM 更新工具。该工具会创建更新 Surface Pro 3 上的 TPM 固件的可引导 USB 驱动器。

Surface Pro 3 TPM 更新工具更新固件 tpm 在 Surface Pro 3 用于解决下列问题：

ADV170012 在 TPM 中的漏洞可能允许绕过功能安全策略

有关详细信息，请参阅为受信任的平台模块 (TPM) 表面的设备上的安全问题。

警告

我们强烈建议您备份所有数据在 Surface Pro 3 上使用 TPM 更新工具之前作为一项预防措施使用 OneDrive 或另一种备份方法。

完全正确，请执行所有步骤或过程可能会导致数据丢失。

如果发生数据丢失，则必须重新安装Windows 的面恢复映像下载到。

下载Microsoft_Surface_Pro_3_Tpm_Update_Tool_Setup.msi，，然后按照安装说明进行安装。

将可移动 USB 闪存驱动器具有至少 500 MB 的可用空间。 注意：您必须使用 USB 闪存驱动器，不是 USB 硬盘磁盘驱动器。

用鼠标右键单击 Surface Pro 3 TPM 更新工具，选择以管理员身份运行，然后按照步骤来创建可引导的 USB 闪存驱动器所提供的。

注意：以下步骤适用于使用 BitLocker。如果您正在使用第三方加密工具，请联系软件制造商为采取适当的步骤来禁用加密。

单击“开始”。

以管理员身份打开 Windows PowerShell。

运行以下命令： Suspend-Bitlocker -MountPoint C: -RebootCount 0

关闭 Windows 关闭表面的设备。

按住电源 + 调高音量键启动 Surface Pro 3 到 UEFI 环境。（该设备启动后可以释放密钥。）

设备输入 UEFI 环境之后，选择安全引导控制下的删除所有安全引导项。

选择是。

安全启动控件的右侧，选择已启用。

提示时，选择禁用。

选择退出安装程序。

当提示您保存配置，然后重置该设备，请选择是。设备重新启动。

Windows 已完全重新启动后，请关闭系统再次关闭 Surface Pro 3。

将上述过程中使用 Surface Pro 3 TPM 更新工具创建可引导 USB 闪存驱动器。

按住电源 + 音量降低键从 USB 闪存驱动器到 UEFI 环境启动 Surface Pro 3。（该设备启动后可以释放密钥）。

按照显示更新 Surface Pro 3 TPM 固件的说明。

更新完成后，您将收到"fs1: >"命令提示符。USB 闪存驱动器中删除。

请键入退出，，然后按 enter 键重新启动 Surface Pro 3。

打开 Surface Pro 3、 启动 Windows，然后根据需要登录。 注意：如果 Windows Hello 已启用使用 PIN 登录，此设置将不再功能 TPM 更新过程。因此，您必须使用已配置为登录此帐户的密码。（请参见步骤 14 重新启用 Windows Hello 针选项）。

单击“开始”。

键入tpm.msc，，然后按 Enter 打开 TPM 管理管理单元中。 注意：如果 TPM.msc 报告找不到兼容的 TPM 或 TPM 处于缩减的功能模式下，请重新启动 Windows。在重新启动后运行 TPM.msc 再次以验证 TPM 的状态为"准备就绪。"

关闭 Windows 关闭 Surface Pro 3。

按住电源 + 调高音量键启动 Surface Pro 3 到 UEFI 环境。（该设备启动后可以释放密钥。）

安全启动控件的右侧，选择已禁用。

选择启用。

选择安装所有出厂默认密钥，然后选择窗口和第三方 （uefi) CA （默认值）选项。

选择退出安装程序。

当提示您保存配置，然后重置，请选择是。Surface Pro 3 应到 Windows 重新启动。

完全重新启动 Windows 后，单击开始。

键入管理 bitlocker，，然后按 enter 键时在搜索菜单中选择管理 Bitlocker图标。

选择恢复保护。

在更新之后不工作如果 Windows Hello PIN （也就是说，Windows 登录屏幕报告您的 PIN 不再可用由于安全设置的更改），请按照下列步骤来恢复 PIN。

对于业务的 Windows Hello (PIN 组策略强制实施):

以管理员身份打开命令提示符窗口。

运行以下命令：

注销。

再次登录使用您的密码。（PIN 选项不可用 Windows Hello 容器被删除在步骤 2 中运行命令因为。）

系统应提示您创建一个 Windows Hello PIN （如通过组策略来强制执行）。按照说明创建新针为 Windows Hello。

对于 Windows Hello

转到设置 > 帐户 > 登录选项。

删除您的 PIN （通过使用该用户的密码中，将确认删除）。

单击添加以创建新的 pin 码，如有必要，重新输入用户的密码，当出现提示时，然后按照说明创建新针为 Windows Hello。

重新启动所有其他服务都依赖于 TPM 功能。

要验证工具已更新的 TPM 固件，请执行以下步骤：

单击“开始”。

键入tpm.msc，，然后按 enter 键。

在TPM 制造商联系的信息，下面的任一检查制造商版本号：

以前的固件： 5.0.1089.2

新固件： 5.62.3126.2