La cancellazione di TPM non richiede una nuova password, ma "cambia la password del proprietario" richiede la vecchia


15

Di recente ho cancellato il mio TPM (Dell e7240, Windows 10). Durante il processo, il BIOS o Windows non hanno mai richiesto una nuova password TPM. (E da quando ho comprato questo laptop non ho mai impostato una password TPM, per quanto ne so.) Ho provato a cancellare sia tramite Windows (con TPM.MSC) che tramite BIOS, e con nessuno dei due metodi mi è stato chiesto per una nuova password.

TPM.MSC segnala che il TPM è "pronto per l'uso", ma se faccio clic su "cambia password proprietario", chiede la vecchia password, nonostante io abbia appena cancellato il TPM.

È possibile cancellare la password del TPM?


Hai provato "Cambia password proprietario" lasciando vuoto il campo "vecchia password"?
Nathan.Eilisha Shiraini,

Sì. Non accetta la password (vuota).
cfp,

Ho appena cancellato anche il mio TPM. Al riavvio, Windows ha affermato che "Windows può proteggere la chiave in modo da non doverla ricordare". Voglio quella chiave per un motivo!
vaindil,

Sembra che tu l'abbia cancellato, ma non lo hai reinizializzato. Forse questo aiuterà: technet.microsoft.com/en-us/itpro/windows/keep-secure/…
lightwing

2
Secondo questo articolo di Microsoft , OSManagedAuthLevel=2significa delegato. Potresti provare a impostarlo su 4 (Completo) e riavviare, quindi azzerare nuovamente il TPM. Leggi le parti pertinenti dell'articolo.
harrymc,

Risposte:


10

Ho avuto lo stesso problema. Questo è ciò che ho trovato dopo molte ricerche: le versioni successive di Windows 10 non consentono di impostare, salvare o modificare la password del proprietario del TPM per impostazione predefinita. La password viene generata da Windows, utilizzata da Windows per configurare il TPM e quindi scartata. In questo modo nessuno può manomettere il TPM dopo che è stato attivato. In effetti, la password del proprietario non esiste più. È possibile disabilitare questa funzione di sicurezza modificando un valore di registro, cancellando il TPM e riavviando. Successivamente, sarai in grado di impostare e modificare la password del proprietario del TPM. Vedi questo articolo: https://technet.microsoft.com/en-us/itpro/windows/keep-secure/change-the-tpm-owner-password?f=255&MSPPError=-2147217396

Dopo aver letto l'articolo, ho deciso di lasciare le cose come sono, con il nuovo predefinito di Windows (cioè nessun modo per accedere o modificare la password del proprietario del TPM). È necessaria la password del proprietario del TPM solo se la sicurezza del PC viene gestita centralmente in una configurazione aziendale con la necessità di un amministratore della sicurezza per accedere al TPM in remoto. In un'applicazione autonoma, l'accesso remoto al TPM non è necessario o auspicabile. Puoi fare tutto il necessario senza la password TPM se hai accesso fisico al PC.


L'articolo TechNet collegato ha chiarito tutto. Grazie! Fantastico avere una risposta chiara almeno.
cfp

@cfp ... Se ne hai la possibilità, conferma cosa hai fatto esattamente per risolvere il tuo problema. Ero solo curioso di sapere se questo chiarisce le cose o se in realtà ti ha permesso di completare ciò che altrimenti non avresti potuto fare. E se tu fossi in grado di completare ciò che non eri altrimenti, curioso di sapere cosa hai fatto nello specifico per risolvere la tua richiesta. Penso che parte del post sarebbe estremamente utile per citare la risposta se l'hai effettivamente applicato e hai confermato che farlo risolveva il tuo problema.
Pimp Juice IT

L'articolo chiariva che non aveva senso tentare di impostare la password TPM. Non ho tentato di seguire i suoi passaggi per abilitare l'impostazione manuale, poiché ero convinto che questo non avrebbe comportato alcun vantaggio. Concordo pienamente con il risponditore delle domande: "dopo aver letto l'articolo, ho deciso di lasciare le cose come sono, con il nuovo predefinito di Windows".
cfp

Grazie. Questa risposta mi ha chiarito davvero le cose. Per un personal computer sicuro, rimarrò con la password sconosciuta creata casualmente.
Brainski,

Inoltre, è possibile disabilitare l'inizializzazione automatica se si desidera farlo da soli con il Disable-TpmAutoProvisioningcomando PowerShell. technet.microsoft.com/en-us/library/jj603114.aspx
Tom Jenkinson,

7

TPM di ripristino di PowerShell

È possibile fornire alcuni dei comandi TPM di PowerShell eseguendoli da un prompt dei comandi di PowerShell elevato (eseguito come amministratore) per ripristinare le impostazioni del TPM.

radura

Vedi Clear- Tpm e Set-TpmOwnerAuth per ulteriori dettagli, ma di seguito sono riportati alcuni esempi :

  • Clear-Tpm
  • Initialize-Tpm -AllowClear -AllowPhysicalPresence

Valore di default

Potresti anche considerare di esaminare Initialize-Tpm e notare che se non specifichi un valore di autorizzazione del proprietario, il cmdlet tenta di leggere il valore dal registro in modo che questo possa leggere e impostare per impostazione predefinita ciò di cui non sai questo valore.

Nuovo valore

È possibile prendere in considerazione l'esecuzione del comando ConvertTo-TpmOwnerAuth per specificare esplicitamente la passphrase del nuovo proprietario. Quindi incorporalo di conseguenza nel tuo processo:

  • ConvertTo-TpmOwnerAuth -PassPhrase "<newpasswordstring>"

Configurazione delle impostazioni dei criteri di gruppo locali per BitLocker

Come ho detto, farei in un commento qui sotto alcuni giorni fa, di seguito sono riportati i passaggi che eseguo per configurare la crittografia TPM su PC aggiunti non di dominio in uno degli ambienti che supporto.

NOTA: Si noti che alcune di queste opzioni potrebbero dover essere riavviate in seguito, cosa che non ho menzionato in modo specifico, ma non ricordo esattamente quali, tranne dove l'ho menzionato. Quindi, se si riavvia o ha bisogno che tu riavvii dopo aver impostato un'opzione, allora è normale, non ne ho parlato.

Durante uno dei riavvii, la macchina potrebbe rilevare una modifica della sicurezza del TPM e richiedere di accettare o rifiutare le modifiche per abilitare, attivare o prendere la proprietà del dispositivo TPM. Quindi vorrai accettare queste modifiche se ricevi una richiesta simile dopo uno dei riavvii per le modifiche da fare di seguito.

  1. Vai su Start > Esegui > digita gpedit.msc e premi Enter, quindi vai al numero 6 come nella schermata seguente

    inserisci qui la descrizione dell'immagine

  2. Ti consigliamo di impostare le impostazioni dalla posizione # 6 sopra con i valori delle due schermate sottostanti seguenti

    inserisci qui la descrizione dell'immagine

    inserisci qui la descrizione dell'immagine

  3. Quindi vai su Pannello di controllo > Crittografia unità Bitlocker > seleziona Attiva BitLocker e quindi premi Nextnella finestra come nella schermata seguente

    inserisci qui la descrizione dell'immagine

  4. Nella finestra Preparazione dell'unità per BitLocker premereNext

  5. Quando la preparazione dell'unità è completa, viene visualizzata la finestra, fare clic Restart Nowsull'opzione

  6. Dopo il riavvio, accedere nuovamente al computer e quando viene visualizzata la finestra di configurazione di Crittografia unità BitLocker , selezionare l' Nextopzione

  7. Quando viene visualizzata la finestra Attiva l'hardware di sicurezza TPM sullo schermo, selezionare l' Restartopzione

  8. Dopo il riavvio, accedere nuovamente al computer e quando viene visualizzata la finestra di configurazione di Crittografia unità BitLocker , selezionare l' Nextopzione

  9. Ti verrà richiesto di inserire un PIN, quindi digita il PIN in entrambi i campi come nella schermata seguente e premi l' Set PINopzione

    inserisci qui la descrizione dell'immagine

  10. Quando si desidera eseguire il backup della finestra della chiave di ripristino , premere l' opzione Salva su un file , quindi premere l' Nextopzione. Dovrai assicurarti di metterlo su una chiavetta USB e salvare questa chiave di ripristino su di essa e quindi copiarla da qualche altra parte in seguito come un'unità di rete, ecc.

    inserisci qui la descrizione dell'immagine

  11. In Scegli la quantità di unità da crittografare , nel mio caso ho selezionato Crittografa spazio su disco utilizzato solo da quando lo faccio per le nuove impostazioni del PC, ma puoi selezionare qui l'opzione più appropriata per le tue esigenze e quindi premere l' Nextopzione

    inserisci qui la descrizione dell'immagine

  12. Nella finestra Scegli la modalità di crittografia da utilizzare , dovrai selezionare l'opzione appropriata per il tuo ambiente, ma quella che seleziono in questo ambiente dalla mia parte è mostrata nella schermata seguente

    inserisci qui la descrizione dell'immagine


Vedi anche Come cancellare il chip TPM da tutte le precedenti credenziali di proprietà e assicurati di seguire queste istruzioni passo dopo passo se non l'hai già fatto.

Come cancellare il chip TPM dalle precedenti credenziali di proprietà

Questo articolo fornisce informazioni su come ripristinare il chip TPM e cancellare tutti i dettagli del proprietario precedente .

Non è possibile ripristinare le credenziali DDPA o DCP sul proprio sistema

È possibile che si verifichi un problema durante il tentativo di reimpostare le credenziali DDP | ​​A o DCP , in cui viene richiesta una password di proprietà Trusted Platform Module (TPM).

Se hai perso la password TPM, il chip TPM può essere cancellato utilizzando Windows .

Avviso: questo cancellerà completamente l'archivio credenziali TPM, inclusi crittografia del disco rigido, impronte digitali, smart card, ecc. Verificare quali dispositivi di sicurezza in uso potrebbero essere interessati. Assicurati di avere una password di Windows impostata e impostata per l'accesso.

Come resettare e cancellare il chip TPM

La prima cosa da fare è rimuovere tutte le password di pre-avvio nella console DDP | ​​A.

Ciò non influirà sulla password di Windows.

Devi essere in grado di convalidare come in qualsiasi scenario di credenziali e devi essere un amministratore su questo sistema per eseguire questa funzione.

  1. Fai clic su Avvia . Nella casella Cerca \ Esegui , digitare tpm.msc e premere INVIO .

  2. Nella sezione Azioni a destra, fai clic su Cancella TPM .

  3. Nella casella Cancella l'hardware di sicurezza TPM , selezionare Non ho la password del proprietario del TPM e fare clic su OK .

  4. Ti verrà chiesto di riavviare. Subito dopo la schermata Dell POST , verrà richiesto di premere un tasto (di solito F10 ) per cancellare TPM. Premi quel tasto .

  5. Una volta riavviato il sistema, ti verrà chiesto di riavviare e seguire le istruzioni per abilitare TPM . Ricomincia.

  6. Subito dopo la schermata POST Dell , verrà richiesto di premere un tasto per abilitare TPM. Premere quel tasto (di solito F10 ).

    Nota: se non si utilizza TPM, premere il tasto ESC .

  7. Una volta tornato sul desktop, viene visualizzata la procedura guidata di configurazione TPM in cui è possibile immettere una password del proprietario del TPM oppure è possibile scegliere Cambia password proprietario .

È ora possibile chiara DDP | credenziali A attraverso la DDP | Una console .

Per ulteriori informazioni, consulta l'articolo di seguito:

fonte


Questo è stato discusso nei commenti (non sono OP ma ho messo la grazia su questo; non posso modificare la domanda). Sono in grado di seguire questi passaggi, ma Windows non mi ha mai dato l'opportunità di impostare la password del proprietario. Dopo che il TPM è stato cancellato e Windows si riavvia, viene visualizzata una finestra che dice che il TPM è stato cancellato e che "Windows può ricordare la password del proprietario per [me] in modo che [I] non debba".
vaindil,

Ho cancellato il TPM con Clear-Tpme questo è andato bene. Prima di riavviare, ho anche eseguito Disable-TpmAutoProvisioning. Dopo aver riavviato tutto, il TPM non era pronto. Allora ho corso Initialize-Tpm -AllowClear -AllowPhysicalPresence. Il comando ha richiesto un momento, quindi è tornato che il TPM è pronto. tpm.mscdice anche che è pronto. Non mi è mai stato richiesto di inserire la password del proprietario.
vaindil,

Le bandiere dell'esempio di -ForceClearAllowede -PhysicalPresenceAllowedsono entrambe non valide e anche un commento sull'articolo lo dice.
vaindil,

@vaindil Ho aggiunto altri cmdlet di PowerShell per cercare una soluzione, ma sarebbe utile sapere qual è il tuo obiettivo finale: come impostare una nuova password del proprietario, tenerla completamente disabilitata o cosa? Ho aggiunto ulteriori cmdlet di PowerShell per modificare la password del proprietario su un nuovo valore.
Pimp Juice IT

Initialize-Tpmnon sembra avere un modo per specificare la nuova password del proprietario come hai detto di fare. ConvertTo-TpmOwnerAuthin realtà non imposta nulla: converte solo una stringa in un valore di autorizzazione del proprietario (qualunque cosa significhi).
vaindil,

3

Ho il sospetto che si tratti di un bug con Windows 10. Ho avuto esattamente lo stesso problema di OP. Ecco i miei risultati. Ho due PC, A e B, entrambi hanno TPM spec 1.2; entrambi hanno il bitlocker abilitato. A è Windows 10 1607, B è su Windows 10 1511.

Usa TPM.MSC su A. Posso cancellare TPM senza fornire la password del proprietario, ma qualsiasi altra cosa richiede la password del proprietario. Tuttavia su B, nessuna di queste azioni richiede la password del proprietario.

Inoltre, sul PC A, ho cancellato il TPM tramite BIOS, riavviato, ho verificato due volte che lo stato del TPM fosse disabilitato e non posseduto nel BIOS. Avvia Windows con la password di ripristino (assicurati di avere la password di ripristino se vuoi provarlo sul tuo PC), prepara il TPM tramite TPM.MSC, segui la procedura guidata, dopo il riavvio, la procedura guidata del TPM di Windows dice che TPM è pronto e "Windows automatico ricordare la password del proprietario, blah blah ... "(lo stesso di Vaindil osservato), non ho mai avuto la possibilità di salvare la password del proprietario del TPM. Quindi riavvio nel BIOS e TPM ora ha lo stato abilitato e posseduto. Ciò ha confermato che Windows è diventato proprietario del TPM. Non ha mai offerto all'utente la possibilità di salvare la password del proprietario. Mi chiedo anche dove sia stata salvata la password, registro?

È interessante notare che su PC B, procedura simile, ho avuto la possibilità di salvare la password del proprietario su AD, archiviarla o stamparla.

Mi sembra che il problema sia legato alla build del 1607. Se in qualche modo riesco a ottenere 1511 supporti di installazione, lo proverò sicuramente sul PC A per confermarlo.


0

ciao, ho battuto la testa nel muro e finalmente ho trovato una soluzione il mattino dopo. basta seguire i passaggi indicati di seguito.

impostare il proprietario del TPM se non impostato già. non molto difficile. vai alle impostazioni del BIOS abilitalo e dai il permesso di gestire anche da Windows. se il tuo bit locker è abilitato. disabilita Crittografia unità BitLocker e segui i passaggi

Esegui CMD come amministratore ...

1 ---- reg add HKLM \ SOFTWARE \ Policies \ Microsoft \ TPM / f / v OSManagedAuthLevel / t REG_DWORD / d 4 2 ---- WMIC / namespace: \ root \ cimv2 \ Security \ MicrosoftTpm Path Win32_Tpm Dove __RELPATH = " Win32_Tpm = @ "Chiama SetPhysicalPresenceRequest 14 3 ---- shutdown -r -t 15 autore originale di cortesia. e dopo il riavvio basta eseguire il passaggio funzionerà senza problemi. woooaahhh !!! tutto fatto.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.