Jak przeprowadzić aktualizację oprogramowania TPM w najnowszym systemie Windows 10?

0

Mam kilka komputerów stacjonarnych HP z najnowszym systemem Windows 10 i wymagających aktualizacji oprogramowania układowego TPM (sp82407.exe), aby naprawić zeszłoroczną wadliwą lukę w zabezpieczeniach kryptograficznych Infineon. Aktualizator wymaga zainicjowania modułu TPM i wymaga od użytkownika wprowadzenia hasła lub pliku kopii zapasowej klucza, aby kontynuować.

System Windows 10 odmawia wyświetlenia okna dialogowego wpisu hasła / kopii zapasowej klucza podczas inicjowania modułu TPM, bez względu na to, co próbuję. Wszystkie przewodniki, które czytam, są albo przestarzałe, albo całkowicie błędne. W Win7 było to łatwe, opcja ręcznej inicjalizacji znajdowała się właśnie w tpm.msc. Ale Win10 w pewnym momencie go zmienił, tak że ze względów bezpieczeństwa domyślnie generowany jest losowy klucz, a następnie odrzucany. Dlatego teraz aktualizacja oprogramowania układowego jest niemożliwa.

Sytuację pogarsza jeszcze wymóg obecności TPM w celu fizycznego naciśnięcia F3 w czasie rozruchu w celu potwierdzenia kroku czyszczenia TPM. Spędziłem dosłownie godziny na miejscu, wielokrotnie uruchamiając ponownie wolno uruchamiający się komputer i wypróbowując różne polecenia i przełączniki z znalezionych przewodników. To frustruje i denerwuje. Ani Microsoft, ani HP nie potwierdzają tego zachowania w dokumentacji TPM, a narzędzie do aktualizacji oprogramowania układowego nie obsługuje tego nowego zachowania systemu Windows.

Czy ktoś może dostarczyć instrukcje robocze dotyczące sposobu przełączania inicjowania modułu TPM w tryb ręczny w najnowszym systemie Windows 10?

theultramage
źródło

Odpowiedzi:

0

Według Readme.html zawartego w archiwum SoftPaq sp82407.exe:

Windows 10 ®, wersja 1607 i nowsze
. Autoryzacja właściciela nie jest już przechowywana w systemie lokalnym. Aby zaktualizować oprogramowanie układowe, należy wyczyścić moduł TPM i ponownie przejąć na własność ze zmodyfikowanym ustawieniem systemu Windows, aby autoryzacja właściciela była przechowywana w systemie lokalnym.

Aby zaktualizować oprogramowanie, należy wykonać następujące kroki:

  1. Ustaw klucz rejestru „HKLM \ Software \ Policies \ Microsoft \ TPM \ OSManagedAuthLevel” na 4 [REG_DWORD].
  2. Uruchom tpm.msc i kliknij „Wyczyść TPM ...”. Zrestartuj komputer.
  3. Uruchom tpm.msc i kliknij „Przygotuj TPM ...”.
  4. Uruchom narzędzie TPM Firmware Update i zaktualizuj oprogramowanie wewnętrzne. Zrestartuj komputer.
  5. Przywróć klucz rejestru do poprzedniej wartości.
  6. Uruchom tpm.msc i kliknij „Wyczyść TPM ...”. Zrestartuj komputer.
  7. Uruchom tpm.msc i kliknij „Przygotuj TPM ...”.

Jeśli chodzi o to, jak to dokładnie działa, użyłem nazwy klucza rejestru, aby znaleźć ustawienia zasad grupy TPM . Wyjaśnia, co oznaczają poszczególne wartości i jak się zachowują:

Jeśli włączysz to ustawienie zasad, system operacyjny Windows będzie przechowywać autoryzację właściciela TPM w rejestrze komputera lokalnego zgodnie z wybranym ustawieniem uwierzytelniania TPM.
0 = brak, 2 = delegowane, 4 = pełne. Począwszy od wersji Windows 10 1703, wartością domyślną jest 5 (fikcyjny).

Znalazłem również post na blogu Microsoft Hasło właściciela TPM, który szczegółowo opisuje, gdzie i jak hasło jest przechowywane oraz jak z niego korzystać.

W nigdy nie działających systemach (Windows 8.1 / 10) moduł TPM jest inicjowany automatycznie - oznacza to, że moduł TPM jest aktywowany automatycznie. System Windows używa losowo generowanego uwierzytelnienia blokady w celu udostępnienia modułu TPM, a następnie niszczy uwierzytelnienie blokady bez ujawniania go użytkownikowi. Jednak w zależności od ustawień obiektu zasad grupy hasło właściciela TPM może być dodatkowo przechowywane w rejestrze.

Zatem sztuczka polega na ustawieniu OSManagedAuthLevel na Full i ponownej inicjalizacji. Nadal nie ma interfejsu użytkownika do tworzenia kopii zapasowych kluczy, ale obecność klucza rejestru spowoduje zapisanie klucza TPM w rejestrze. Zgodnie z plikiem readme, program aktualizujący powinien mieć możliwość automatycznego pobrania klucza. Jeśli nie, klucz można wyodrębnić z rejestru.

theultramage
źródło