Po wyczyszczeniu TPM nie prosi o nowe hasło, ale „zmień hasło właściciela” prosi o stare

15

Niedawno wyczyściłem moduł TPM (Dell e7240, Windows 10). W trakcie tego procesu w żadnym momencie Bios lub Windows nie poprosiły o nowe hasło TPM. (Odkąd kupiłem ten laptop, nigdy nie ustawiłem hasła TPM, zgodnie z moją najlepszą wiedzą.) Próbowałem wyczyścić zarówno przez Windows (z TPM.MSC), jak i przez Bios, i żadną z metod nie zostałem zapytany po nowe hasło.

TPM.MSC zgłasza, że ​​TPM jest „gotowy do użycia”, ale jeśli kliknę „zmień hasło właściciela”, poprosi o stare hasło, mimo że właśnie wyczyściłem TPM.

Czy można wyczyścić hasło TPM?

por
źródło
Czy próbowałeś zmienić hasło właściciela, pozostawiając pole „stare hasło” puste?
Nathan.Eilisha Shiraini
Tak. Nie akceptuje (pustego) hasła.
por.
Właśnie wyczyściłem również TPM. Po ponownym uruchomieniu system Windows powiedział coś w stylu „Windows może zabezpieczyć Twój klucz, abyś nie musiał go pamiętać”. Chcę ten klucz bez powodu!
vaindil
Wygląda na to, że wyczyściłeś go, ale nie zainicjalizowałeś go ponownie. Może to pomoże: technet.microsoft.com/en-us/itpro/windows/keep-secure/…
lightwing
2
Zgodnie z tym artykułem Microsoft , OSManagedAuthLevel=2oznacza delegowanych. Możesz spróbować ustawić go na 4 (pełny) i zrestartować komputer, a następnie ponownie wyczyścić TPM. Przeczytaj odpowiednie części artykułu.
harrymc

Odpowiedzi:

10

Miałem ten sam problem. Oto, co znalazłem po wielu poszukiwaniach: późniejsze wersje systemu Windows 10 nie pozwalają domyślnie ustawiać, zapisywać ani zmieniać hasła właściciela TPM. Hasło jest generowane przez system Windows, używane przez system Windows do konfiguracji modułu TPM, a następnie odrzucane. W ten sposób nikt nie może manipulować modułem TPM po jego aktywacji. W efekcie hasło właściciela już nie istnieje. Możesz wyłączyć tę funkcję bezpieczeństwa, zmieniając wartość rejestru, czyszcząc moduł TPM i uruchamiając ponownie. Następnie będziesz mógł ustawić i zmienić hasło właściciela TPM. Zobacz ten artykuł: https://technet.microsoft.com/en-us/itpro/windows/keep-secure/change-the-tpm-owner-password?f=255&MSPPError=-2147217396

Po przeczytaniu artykułu postanowiłem zostawić rzeczy takimi, jakie są, z nowym domyślnym systemem Windows (tj. Nie ma możliwości uzyskania dostępu lub zmiany hasła właściciela TPM). Hasło właściciela modułu TPM jest potrzebne tylko wtedy, gdy zabezpieczenia komputera są centralnie zarządzane w konfiguracji korporacyjnej z potrzebą administratora bezpieczeństwa, aby uzyskać zdalny dostęp do modułu TPM. W aplikacji autonomicznej dostęp zdalny do modułu TPM nie jest potrzebny ani pożądany. Możesz zrobić wszystko, czego potrzebujesz bez hasła TPM, jeśli masz fizyczny dostęp do komputera.

James Tattersall
źródło
Połączony artykuł TechNet wyjaśnił wszystko. Dzięki! Świetnie mieć przynajmniej jasną odpowiedź.
por.
@ cfp ... Jeśli masz szansę, potwierdź, co dokładnie zrobiłeś, aby rozwiązać problem. Byłem po prostu ciekawy, czy to wszystko wyjaśni, czy rzeczywiście pozwoliło ci to dokończyć to, czego inaczej nie byłbyś w stanie zrobić. A jeśli byłeś w stanie dokończyć to, co nie było inaczej, po prostu ciekawe, co z tego posta konkretnie zrobiłeś, aby rozwiązać swoje zapytanie. Myślę, że ta część wpisu byłaby niezwykle pomocna, aby zacytować odpowiedź, jeśli rzeczywiście ją zastosowałeś i potwierdziłeś, że zrobienie tego rozwiązało problem.
Pimp Juice IT
W artykule wyjaśniono, że nie ma sensu ustawiać hasła TPM. Nie próbowałem podążać za jego krokami, aby umożliwić ręczne ustawienie, ponieważ byłem przekonany, że nie przyniosło to żadnych korzyści. Zgadzam się całkowicie z odpowiedzią na pytanie: „po przeczytaniu artykułu postanowiłem zostawić rzeczy takimi, jakie są, z nowym domyślnym systemem Windows”.
por.
Dzięki. Ta odpowiedź naprawdę mnie wyjaśniła. Dla bezpiecznego komputera osobistego pozostanę przy losowo utworzonym nieznanym haśle.
Brainski
Możesz także wyłączyć automatyczne inicjowanie, jeśli chcesz to zrobić samodzielnie za Disable-TpmAutoProvisioningpomocą polecenia PowerShell. technet.microsoft.com/en-us/library/jj603114.aspx
Tom Jenkinson
7

PowerShell Resetowanie TPM

Możesz spróbować niektórych poleceń programu PowerShell TPM, uruchamiając je z podniesionego (uruchamianego jako administrator) wiersza polecenia programu PowerShell w celu zresetowania ustawień TPM.

Clearing

Zobacz Clear-Tpm i Set-TpmOwnerAuth, aby uzyskać więcej szczegółów, ale poniżej jest kilka, aby dać szansę:

  • Clear-Tpm
  • Initialize-Tpm -AllowClear -AllowPhysicalPresence

Domyślna wartość

Możesz także rozważyć sprawdzenie opcji Initialize-Tpm i zauważyć, że jeśli nie określisz wartości autoryzacji właściciela, polecenie cmdlet spróbuje odczytać wartość z rejestru, więc może to być odczyt i ustawienie domyślnie tego, czego nie wiesz ta wartość.

Nowa wartość

Możesz rozważyć uruchomienie polecenia ConvertTo-TpmOwnerAuth, aby jawnie określić hasło nowego właściciela. Włącz to odpowiednio do swojego procesu:

  • ConvertTo-TpmOwnerAuth -PassPhrase "<newpasswordstring>"

Konfigurowanie lokalnych ustawień zasad grupy dla funkcji BitLocker

Jak powiedziałem, że zrobię to w komentarzu poniżej kilka dni temu, poniżej przedstawiam kroki, które podejmuję, aby skonfigurować szyfrowanie TPM na komputerach nieprzyłączonych do domeny w jednym z obsługiwanych przeze mnie środowisk.

UWAGA: Należy pamiętać, że niektóre z tych opcji mogą wymagać późniejszego ponownego uruchomienia, o czym nie wspomniałem konkretnie, ale nie pamiętam, które dokładnie, oprócz tych, o których wspomniałem. Więc jeśli uruchomi się ponownie lub wymaga ponownego uruchomienia po ustawieniu opcji, to jest to normalne, po prostu o tym nie wspomniałem.

Podczas jednego z ponownych uruchomień urządzenie może wykryć zmianę zabezpieczeń TPM i poprosić o zaakceptowanie lub odrzucenie zmian w celu włączenia, aktywacji lub przejęcia własności urządzenia TPM. Będziesz więc chciał zaakceptować te zmiany, jeśli pojawi się taki monit po jednym z ponownych uruchomień zgodnie z wprowadzonymi zmianami.

  1. Przejdź do Start > Uruchom > wpisz gpedit.msc i naciśnij Enter, a następnie przejdź do # 6 jak na poniższym zrzucie ekranu

    wprowadź opis zdjęcia tutaj

  2. Będziesz chciał ustawić ustawienia z powyższej lokalizacji # 6, a następnie wartości z dwóch poniższych zrzutów ekranu

    wprowadź opis zdjęcia tutaj

    wprowadź opis zdjęcia tutaj

  3. Następnie przejdź do Panelu sterowania > Szyfrowanie dysków funkcją Bitlocker > wybierz WłączNext funkcję BitLocker, a następnie naciśnij w oknie, jak na poniższym zrzucie ekranu

    wprowadź opis zdjęcia tutaj

  4. W oknie Przygotowanie dysku do funkcji BitLocker naciśnijNext

  5. Po zakończeniu przygotowania dysku pojawi się okno, kliknij Restart Nowopcję

  6. Po ponownym uruchomieniu zaloguj się ponownie na maszynie, a gdy pojawi się okno konfiguracji szyfrowania dysków funkcją BitLocker , wybierz Nextopcję

  7. Kiedy na ekranie pojawi się okno Włącz sprzęt zabezpieczający TPM , wybierz Restartopcję

  8. Po ponownym uruchomieniu zaloguj się ponownie na maszynie, a gdy pojawi się okno konfiguracji szyfrowania dysków funkcją BitLocker , wybierz Nextopcję

  9. Zostaniesz poproszony o wprowadzenie kodu PIN, więc wpisz kod PIN w obu polach, jak na poniższym zrzucie ekranu, a następnie naciśnij Set PINopcję

    wprowadź opis zdjęcia tutaj

  10. Kiedy w oknie Jak chcesz wykonać kopię zapasową klucza odzyskiwania , będziesz chciał nacisnąć opcję Zapisz w pliku , a następnie tę Nextopcję. Musisz upewnić się, że umieścisz to na pendrivie USB i zapiszesz w nim ten klucz odzyskiwania, a następnie skopiujesz go w innym miejscu, takim jak dysk sieciowy itp.

    wprowadź opis zdjęcia tutaj

  11. W Wybierz, ile dysku chcesz zaszyfrować , w moim przypadku wybrałem Zaszyfruj tylko zajęte miejsce na dysku, ponieważ robię to dla nowych konfiguracji komputera, ale możesz tutaj wybrać najbardziej odpowiednią opcję dla swoich wymagań, a następnie nacisnąć Nextopcję

    wprowadź opis zdjęcia tutaj

  12. W oknie Wybierz tryb szyfrowania, którego chcesz użyć , chcesz sprawdzić odpowiednią opcję dla swojego środowiska, ale ta, którą wybrałem w tym środowisku po mojej stronie, jest pokazana na poniższym zrzucie ekranu

    wprowadź opis zdjęcia tutaj


Zobacz także Jak wyczyścić układ TPM z poprzednich poświadczeń własności i postępuj zgodnie z instrukcjami krok po kroku, jeśli jeszcze tego nie zrobiłeś.

Jak wyczyścić chip TPM z poprzednich poświadczeń własności

Ten artykuł zawiera informacje na temat resetowania układu TPM i czyszczenia wszystkich danych poprzedniego właściciela .

Nie można zresetować poświadczeń DDPA lub DCP w systemie

Podczas próby zresetowania poświadczeń DDP | ​​A lub DCP może wystąpić problem z wyświetleniem monitu o podanie hasła własności modułu zaufanej platformy (TPM).

W przypadku utraty hasła TPM układ TPM można wyczyścić za pomocą systemu Windows .

Uwaga: Spowoduje to całkowite skasowanie magazynu danych uwierzytelniających TPM, w tym szyfrowania dysku twardego, odcisków palców, kart inteligentnych itp. Sprawdź, które urządzenia bezpieczeństwa używasz, których może to dotyczyć. Upewnij się, że masz skonfigurowane hasło systemu Windows i dane logowania.

Jak zresetować i wyczyścić układ TPM

Pierwszą rzeczą do zrobienia jest usunięcie wszelkich haseł przed uruchomieniem w konsoli DDP | ​​A.

Nie wpłynie to na hasło systemu Windows.

Musisz być w stanie zweryfikować , tak jak w każdym scenariuszu poświadczeń, i trzeba być administratorem systemu w celu wykonywania tej funkcji.

  1. Kliknij Start . W polu Wyszukaj \ Uruchom wpisz tpm.msc i naciśnij klawisz ENTER .

  2. W sekcji Działania po prawej stronie kliknij Wyczyść TPM .

  3. W polu Wyczyść sprzęt zabezpieczeń TPM zaznacz opcję Nie mam hasła właściciela TPM i kliknij przycisk OK .

  4. Zostaniesz poproszony o ponowne uruchomienie. Zaraz po ekranie Dell POST pojawi się monit o naciśnięcie klawisza (zwykle F10 ) w celu wyczyszczenia TPM. Naciśnij ten klawisz .

  5. Po ponownym uruchomieniu systemu pojawi się monit o ponowne uruchomienie i postępowanie zgodnie z instrukcjami, aby włączyć moduł TPM . Uruchom ponownie

  6. Zaraz po ekranie Dell POST pojawi się monit o naciśnięcie klawisza, aby włączyć moduł TPM. Naciśnij ten klawisz ( zwykle F10 ).

    Uwaga: Jeśli nie korzystasz z TPM, naciśnij klawisz ESC .

  7. Po powrocie na pulpit pojawi się albo Kreator instalacji TPM , aby wprowadzić hasło właściciela TPM lub możesz wybrać Zmień hasło właściciela .

Można teraz jasne DDP | referencji poprzez DDP | Konsola .

Aby uzyskać więcej informacji, sprawdź poniższy artykuł:

źródło

Pimp Juice IT
źródło
Zostało to omówione w komentarzach (nie jestem OP, ale naliczam za to nagrodę; nie mogę edytować pytania). Jestem w stanie wykonać te kroki, ale system Windows nigdy nie daje mi możliwości ustawienia hasła właściciela. Po wyczyszczeniu modułu TPM i ponownym uruchomieniu systemu Windows pojawia się okno z informacją, że moduł TPM został wyczyszczony i że „system Windows może zapamiętać hasło właściciela dla [mnie], aby [ja] nie musiał”.
vaindil,
Wyczyściłem TPM Clear-Tpmi poszło dobrze. Przed ponownym uruchomieniem również uruchomiłem Disable-TpmAutoProvisioning. Po ponownym uruchomieniu wszystko powiedziało, że TPM nie był gotowy. Wtedy pobiegłem Initialize-Tpm -AllowClear -AllowPhysicalPresence. Polecenie zajęło chwilę, a następnie zwróciło gotowość modułu TPM. tpm.mscmówi również, że jest gotowy. Nigdy nie monitowano mnie o hasło właściciela.
vaindil
Flagi przykładu -ForceClearAllowedi -PhysicalPresenceAllowedsą zarówno nieprawidłowe, jak i komentarz do artykułu.
vaindil
@vaindil Dodałem inne polecenia cmdlet programu PowerShell, aby wypróbować rozwiązanie, ale pomogłoby to dowiedzieć się, jaki jest twój ostateczny cel: jak ustawić nowe hasło właściciela, utrzymać je całkowicie wyłączone, czy co? Dodałem dodatkowe polecenia cmdlet programu PowerShell, aby zmienić hasło właściciela na nową wartość.
Pimp Juice IT
Initialize-Tpmwydaje się, że nie ma sposobu na podanie nowego hasła właściciela, jak wspomniano. ConvertTo-TpmOwnerAuthtak naprawdę niczego nie ustawia - konwertuje tylko ciąg znaków na wartość autoryzacji właściciela (cokolwiek to znaczy).
vaindil
3

Podejrzewam, że to błąd w systemie Windows 10. Miałem dokładnie taki sam problem jak OP. Oto moje ustalenia. Mam dwa komputery PC, A i B, oba mają specyfikację TPM 1.2; oba mają włączoną funkcję Bitlocker. A to Windows 10 1607, B to Windows 10 1511.

Użyj TPM.MSC na A. Mogę wyczyścić TPM bez podawania hasła właściciela, ale wszystko inne wymaga hasła właściciela. Jednak w przypadku B żadne z tych działań nie wymaga hasła właściciela.

Co więcej, na PC A wyczyściłem TPM przez BIOS, uruchomiłem ponownie, dwukrotnie sprawdziłem, czy status TPM jest wyłączony i niezauważony w BIOS. Uruchom system Windows za pomocą hasła odzyskiwania (upewnij się, że masz hasło odzyskiwania, jeśli masz zamiar wypróbować to na komputerze), przygotuj TPM przez TPM.MSC, podążaj za kreatorem, po ponownym uruchomieniu, Windows kreator TPM mówi, że TPM jest gotowy i „Windows automatyczne zapamiętaj hasło właściciela, bla bla ... ”(tak samo jak zaobserwował vaindil), nigdy nie miałem okazji zapisać hasła właściciela TPM. Następnie ponownie uruchamiam system BIOS, a moduł TPM ma teraz status włączony i jest własnością. To potwierdzone okna rzeczywiście przejęły własność TPM. Po prostu nigdy nie oferował użytkownikowi możliwości zapisania hasła właściciela. Zastanawiam się także, gdzie zostało zapisane hasło, rejestracja?

Co ciekawe, na PC B, podobna procedura, miałem okazję zapisać hasło właściciela do AD, plik lub wydrukować.

Wydaje mi się, że problem dotyczy kompilacji 1607. Jeśli w jakiś sposób uda mi się uzyskać nośnik instalacyjny 1511, zdecydowanie wypróbuję go na komputerze A, aby go potwierdzić.

użytkownik37066
źródło
0

cześć, pobiłem głowę w ścianę i wreszcie znalazłem rozwiązanie następnego dnia rano. po prostu wykonaj wymienione poniżej kroki.

ustaw właściciela TPM, jeśli jeszcze nie został ustawiony. niezbyt trudne. przejdź do ustawienia bios, włącz go i zezwól na zarządzanie także z okien. jeśli Twoja blokada bitów jest włączona. wyłącz szyfrowanie dysków funkcją BitLocker i postępuj zgodnie z instrukcjami

Uruchom CMD jako administrator ...

1 ---- reg dodaj HKLM \ SOFTWARE \ Policies \ Microsoft \ TPM / f / v OSManagedAuthLevel / t REG_DWORD / d 4 2 ---- WMIC / namespace: \ root \ cimv2 \ Security \ MicrosoftTpm Ścieżka Win32_Tpm Gdzie __RELPATH = " Win32_Tpm = @ "Call SetPhysicalPreysRreest 14 3 ---- shutdown -r -t 15 dzięki uprzejmości oryginalnego autora. a po ponownym uruchomieniu wystarczy uruchomić krok, będzie on działał płynnie. woooaahhh !!! wszystko gotowe.

Ahmar
źródło