Очистка TPM не запрашивает новый пароль, но «изменить пароль владельца» запрашивает старый

15

Я недавно очистил свой TPM (Dell e7240, Windows 10). Во время процесса ни BIOS, ни Windows ни разу не запрашивали новый пароль TPM. (И ни разу после того, как я купил этот ноутбук, я когда-либо устанавливал пароль TPM, насколько мне известно.) Я пытался очистить как через Windows (с TPM.MSC), так и через Bios, и ни с одним из методов меня не спросили для нового пароля.

TPM.MSC сообщает, что TPM «готов к использованию», но если я нажимаю «изменить пароль владельца», он запрашивает старый пароль, несмотря на то, что я только что очистил TPM.

Можно ли очистить пароль TPM?

CFP
источник
Вы пробовали "Изменить пароль владельца", оставляя поле "старый пароль" пустым?
Натан. Эйлиша Ширайни
Да. Он не принимает (пустой) пароль.
cfp
Я только что очистил свой TPM. При перезагрузке Windows сказала что-то вроде «Windows может защитить ваш ключ, поэтому вам не нужно его запоминать». Я хочу этот ключ по причине!
Вайндил
Похоже, вы очистили его, но вы не инициализировали его заново. Может быть, это поможет: technet.microsoft.com/en-us/itpro/windows/keep-secure/…
lightwing
2
Согласно этой статье Microsoft , OSManagedAuthLevel=2значит делегирован. Вы можете попробовать установить значение 4 (Full) и перезагрузиться, а затем снова очистить TPM. Прочитайте соответствующие части статьи.
harrymc

Ответы:

10

У меня такая же проблема. Это то, что я обнаружил после долгих поисков: более поздние версии Windows 10 не позволяют вам устанавливать, сохранять или изменять пароль владельца TPM по умолчанию. Пароль генерируется окнами, используется окнами для настройки TPM, а затем отбрасывается. Таким образом, никто не сможет вмешаться в TPM после его активации. По сути, пароль владельца больше не существует. Вы можете отключить эту функцию безопасности, изменив значение реестра, очистив доверенный платформенный модуль и перезагрузив компьютер. После этого вы сможете установить и изменить пароль владельца TPM. См. Эту статью: https://technet.microsoft.com/en-us/itpro/windows/keep-secure/change-the-tpm-owner-password?f=255&MSPPError=-2147217396

Прочитав статью, я решил оставить все как есть, с новым значением по умолчанию для Windows (т.е. нет возможности получить доступ или изменить пароль владельца TPM). Пароль владельца доверенного платформенного модуля требуется только в том случае, если безопасность компьютера управляется централизованно при настройке предприятия, а администратору безопасности требуется удаленный доступ к доверенному платформенному модулю. В автономном приложении удаленный доступ к доверенному платформенному модулю не нужен или нежелателен. Вы можете делать все, что вам нужно, без пароля TPM, если у вас есть физический доступ к ПК.

Джеймс Таттерсолл
источник
Связанная статья TechNet прояснила все. Благодарность! Здорово иметь хотя бы четкий ответ.
СРП
@cfp ... Если у вас есть шанс, пожалуйста, подтвердите, что вы сделали именно для решения вашей проблемы. Мне было просто любопытно, если это прояснит ситуацию или действительно позволит вам выполнить то, что вы иначе не смогли бы сделать. И если вы смогли выполнить то, что не было иначе, просто любопытно, что конкретно из этого поста вы сделали для разрешения вашего запроса. Я думаю, что часть поста была бы чрезвычайно полезна для цитирования в ответе, если вы на самом деле применили ее и подтвердили, что это решило вашу проблему.
Сок Pimp IT
В статье ясно сказано, что нет смысла пытаться установить пароль TPM. Я не пытался выполнить его шаги, чтобы включить ручную настройку, так как был убежден, что в этом нет никакой пользы. Я полностью согласен с ответом на вопрос: «прочитав статью, я решил оставить все как есть, с новым Windows по умолчанию».
cfp
Благодарю. Этот ответ действительно прояснил мне вещи. Для безопасного персонального компьютера я останусь со случайно созданным неизвестным паролем.
Брейнски
Также вы можете отключить автоматическую инициализацию, если вы хотите сделать это самостоятельно с помощью Disable-TpmAutoProvisioningкоманды powershell. technet.microsoft.com/en-us/library/jj603114.aspx
Том Дженкинсон
7

PowerShell Сброс TPM

Некоторые команды PowerShell TPM можно сделать снимком, запустив их из командной строки PowerShell с повышенными правами (запуск от имени администратора) для сброса настроек TPM.

клиринг

См. Clear-Tpm и Set-TpmOwnerAuth для получения дополнительной информации, но ниже приведены несколько примеров :

  • Clear-Tpm
  • Initialize-Tpm -AllowClear -AllowPhysicalPresence

Значение по умолчанию

Вы также можете захотеть просмотреть Initialize-Tpm и заметить, что если вы не укажете значение авторизации владельца, командлет попытается прочитать значение из реестра, так что это может быть чтение и установка по умолчанию того, чего вы не знаете из это значение.

Новое значение

Возможно, вы захотите запустить команду ConvertTo-TpmOwnerAuth, чтобы явно указать новую фразу-пароль владельца. Поэтому включите это в свой процесс соответственно:

  • ConvertTo-TpmOwnerAuth -PassPhrase "<newpasswordstring>"

Настройка параметров локальной групповой политики для BitLocker

Как я сказал, я сделаю это в комментарии ниже, несколько дней назад, ниже приведены шаги, которые я предпринимаю для настройки шифрования TPM на компьютерах, не подключенных к домену, в одной из сред, которые я поддерживаю.

ПРИМЕЧАНИЕ. Обратите внимание, что некоторые из этих параметров могут быть перезапущены после этого, что я не упомянул конкретно, но я не помню, какие именно, за исключением того, где я упомянул это. Так что если он перезапускается или вам нужно перезапустить после установки опции, то это нормально, я просто не упоминал об этом.

Во время одного из перезапусков устройство может обнаружить изменение безопасности доверенного платформенного модуля и предложить вам принять или отклонить эти изменения, чтобы включить, активировать или стать владельцем устройства TPM. Таким образом, вы захотите принять эти изменения, если вы получите такую ​​подсказку после одной из перезагрузок в соответствии с изменениями, упомянутыми ниже.

  1. Перейдите в Пуск > Выполнить >, введите gpedit.msc и нажмите Enter, а затем перейдите к # 6, как на снимке экрана ниже

    введите описание изображения здесь

  2. Вы хотите установить настройки из вышеупомянутого # 6 местоположения со значениями из двух снимков экрана ниже

    введите описание изображения здесь

    введите описание изображения здесь

  3. Далее перейдите в Панель управления > Шифрование диска Bitlocker > выберите Включить BitLocker и затем нажмите Nextв окне, как показано на снимке экрана ниже.

    введите описание изображения здесь

  4. В окне Подготовка диска к BitLocker нажмитеNext

  5. Когда подготовка Привод полное окно появляется, нажмите на Restart Nowопцию

  6. После перезагрузки войдите в систему и, когда появится окно настройки шифрования диска BitLocker , выберите Nextпараметр

  7. Когда на вашем экране появится окно Включить оборудование безопасности TPM» , выберите Restartопцию

  8. После перезагрузки войдите в систему и, когда появится окно настройки шифрования диска BitLocker , выберите Nextпараметр

  9. Вам будет предложено ввести ПИН - код , так введите PIN - код в обоих этих полях , как в скриншоте ниже , а затем нажмите Set PINопцию

    введите описание изображения здесь

  10. Когда вы хотите сделать резервную копию окна ключа восстановления , вам нужно нажать опцию Сохранить в файл, а затем нажать Nextопцию. Вам нужно убедиться, что вы поместили его на флэш-накопитель USB и сохранили на нем этот ключ восстановления, а затем скопировали его куда-нибудь позже, например, на сетевой диск и т. Д.

    введите описание изображения здесь

  11. В поле « Выберите, сколько вашего диска нужно шифровать» , в моем случае я выбрал « Шифровать используемое дисковое пространство» только потому, что я делаю это для новых настроек ПК, но вы можете выбрать здесь наиболее подходящий вариант для ваших требований и затем нажатьNext выбора.

    введите описание изображения здесь

  12. В окне Выбор режима шифрования, который вы хотите использовать, вы захотите проверить соответствующий параметр для вашей среды, но тот, который я выбрал в этой среде на моей стороне, показан на снимке экрана ниже

    введите описание изображения здесь


Также см. Как очистить чип TPM от любых предыдущих учетных данных владельца и обязательно следуйте этим инструкциям шаг за шагом, если вы этого еще не сделали.

Как очистить чип TPM от любых предыдущих учетных данных владельца

Эта статья содержит информацию о том, как сбросить микросхему TPM и очистить все предыдущие сведения о владельце. .

Вы не можете сбросить учетные данные DDPA или DCP в своей системе

Вы можете столкнуться с проблемой при попытке сброса DDP | ​​A или учетные данные DCP , когда вам будет предложено ввести пароль владельца доверенного платформенного модуля (TPM).

Если вы потеряли пароль TPM, чип TPM можно очистить с помощью Windows .

Примечание. Это полностью удалит хранилище учетных данных доверенного платформенного модуля, включая шифрование жесткого диска, отпечатки пальцев, смарт-карты и т. Д. Проверьте, какие устройства безопасности, которые вы используете, могут быть затронуты. Убедитесь, что у вас есть пароль Windows, настроенный и настроенный для входа в систему.

Как сбросить и очистить чип TPM

Первое, что нужно сделать, это удалить все предзагрузочные пароли в консоли DDP | ​​A.

Это не повлияет на пароль Windows.

Вы должны быть в состоянии проверить, как в любом сценарии учетных данных, и вы должны быть администратором в этой системе , чтобы выполнить эту функцию.

  1. Нажмите Пуск . В поле Поиск \ Выполнить введите tpm.msc и нажмите клавишу ВВОД .

  2. В разделе « Действия» справа нажмите « Очистить TPM» .

  3. В поле « Очистить оборудование безопасности TPM» установите флажок « У меня нет пароля владельца TPM» и нажмите кнопку « ОК» .

  4. Вам будет предложено перезагрузить. Сразу после экрана Dell POST вам будет предложено нажать клавишу (обычно F10 ), чтобы очистить TPM. Нажмите эту клавишу .

  5. После перезагрузки системы вам будет предложено перезагрузить компьютер и следовать инструкциям, чтобы включить TPM . Начать сначала.

  6. Сразу после экрана Dell POST вам будет предложено нажать клавишу для включения TPM. Нажмите эту клавишу ( обычно F10 ).

    Примечание. Если вы не используете TPM, нажмите клавишу ESC .

  7. Вернувшись на рабочий стол, появится либо мастер установки TPM , где вы сможете ввести пароль владельца TPM, либо вы можете выбрать « Изменить пароль владельца» .

Теперь вы можете ясно DDP | полномочия А через DDP | Консоль .

Для получения дополнительной информации, пожалуйста, ознакомьтесь со статьей ниже:

источник

Сок Pimp IT
источник
Это обсуждалось в комментариях (я не OP, но я положил награду за это; я не могу редактировать вопрос). Я могу выполнить эти шаги, но Windows никогда не дает мне возможности установить пароль владельца. После очистки доверенного платформенного модуля и перезагрузки Windows появляется окно с сообщением о том, что очищенный доверенный платформенный модуль очищен и что «Windows может запомнить пароль владельца для [меня], чтобы [мне] не пришлось».
vaindil
Я очистил TPM, Clear-Tpmи все прошло хорошо. Перед перезапуском я тоже побежал Disable-TpmAutoProvisioning. После перезагрузки все сказали, что TPM не был готов. Я тогда побежал Initialize-Tpm -AllowClear -AllowPhysicalPresence. Команда заняла мгновение, а затем вернула, что TPM готов. tpm.mscи говорит, что готово. Мне никогда не предлагали ввести пароль владельца.
vaindil
Флаги примера -ForceClearAllowedи -PhysicalPresenceAllowedоба недействительны, и комментарий к статье также говорит об этом.
vaindil
@vaindil Я добавил другие командлеты PowerShell, чтобы попытаться найти решение, но это помогло бы узнать, какова ваша конечная цель: например, установить новый пароль владельца, полностью его отключить или как? Я добавил дополнительные командлеты PowerShell, чтобы сменить пароль владельца на новое значение.
Сок Pimp IT
Initialize-Tpmне похоже на способ указания пароля нового владельца, как вы упомянули. ConvertTo-TpmOwnerAuthна самом деле ничего не устанавливает - он только преобразует строку в значение авторизации владельца (что бы это ни значило).
Вайндил
3

Я подозреваю, что это ошибка в Windows 10. У меня была точно такая же проблема, как и у OP. Вот мои выводы. У меня есть два компьютера, A и B, оба имеют TPM spec 1.2; у обоих включен битлокер. A - Windows 10 1607, B - Windows 10 1511.

Используйте TPM.MSC на A. Я могу очистить TPM без указания пароля владельца, но все остальное требует пароля владельца. Однако для B ни одно из этих действий не требует пароля владельца.

Кроме того, на ПК A я очистил TPM через BIOS, перезагрузился, дважды проверил, что состояние TPM было отключено и неизвестно в BIOS. Загрузитесь в Windows с помощью пароля восстановления (убедитесь, что у вас есть пароль восстановления, если вы собираетесь попробовать это на своем ПК), подготовьте TPM через TPM.MSC, следуйте указаниям мастера, после перезагрузки мастер Windows TPM сообщает, что TPM готов и "Windows автоматическое запоминание пароля владельца, бла-бла ... "(так же, как заметил Вайндил), у меня никогда не было возможности сохранить пароль владельца TPM. Затем я перезагружаюсь в BIOS, и TPM теперь имеет статус включен и принадлежит. Это подтвержденные окна действительно взяли в собственность TPM. Просто никогда не предлагалось пользователю сохранить пароль владельца. Мне также интересно, где был сохранен пароль, зарегистрируйтесь?

Интересно, что на ПК B, аналогичной процедуре, у меня была возможность сохранить пароль владельца в AD, файл или распечатать его.

Мне кажется, проблема связана со сборкой 1607 года. Если каким-то образом я смогу получить 1511 установочный носитель, я обязательно попробую его на ПК А, чтобы подтвердить это.

user37066
источник
0

Привет! Я ударился головой о стену и, наконец, нашел решение на следующее утро. просто следуйте указанным ниже шагам.

установите владельца TPM, если он еще не установлен. не очень сложно. зайдите в настройки BIOS, включите его и дайте разрешение на управление из окон. если ваш битовый шкафчик включен. отключите шифрование диска BitLocker и следуйте инструкциям

Запустите CMD от имени администратора ...

1 ---- reg add HKLM \ SOFTWARE \ Policies \ Microsoft \ TPM / f / v OSManagedAuthLevel / t REG_DWORD / d 4 2 ---- WMIC / пространство имен: \ root \ cimv2 \ Security \ MicrosoftTpm Путь Win32_Tpm Где __RELPATH = " Win32_Tpm = @ "Call SetPhysicalPresenceRequest 14 3 ---- shutdown -r -t 15 любезно предоставлено автором. и после перезапуска просто запустите шаг, он будет работать гладко. woooaahhh !!! все сделано.

Ахмар
источник