Po wyczyszczeniu TPM nie prosi o nowe hasło, ale „zmień hasło właściciela” prosi o stare

Niedawno wyczyściłem moduł TPM (Dell e7240, Windows 10). W trakcie tego procesu w żadnym momencie Bios lub Windows nie poprosiły o nowe hasło TPM. (Odkąd kupiłem ten laptop, nigdy nie ustawiłem hasła TPM, zgodnie z moją najlepszą wiedzą.) Próbowałem wyczyścić zarówno przez Windows (z TPM.MSC), jak i przez Bios, i żadną z metod nie zostałem zapytany po nowe hasło.

TPM.MSC zgłasza, że ​​TPM jest „gotowy do użycia”, ale jeśli kliknę „zmień hasło właściciela”, poprosi o stare hasło, mimo że właśnie wyczyściłem TPM.

Czy można wyczyścić hasło TPM?

Miałem ten sam problem. Oto, co znalazłem po wielu poszukiwaniach: późniejsze wersje systemu Windows 10 nie pozwalają domyślnie ustawiać, zapisywać ani zmieniać hasła właściciela TPM. Hasło jest generowane przez system Windows, używane przez system Windows do konfiguracji modułu TPM, a następnie odrzucane. W ten sposób nikt nie może manipulować modułem TPM po jego aktywacji. W efekcie hasło właściciela już nie istnieje. Możesz wyłączyć tę funkcję bezpieczeństwa, zmieniając wartość rejestru, czyszcząc moduł TPM i uruchamiając ponownie. Następnie będziesz mógł ustawić i zmienić hasło właściciela TPM. Zobacz ten artykuł: https://technet.microsoft.com/en-us/itpro/windows/keep-secure/change-the-tpm-owner-password?f=255&MSPPError=-2147217396

Po przeczytaniu artykułu postanowiłem zostawić rzeczy takimi, jakie są, z nowym domyślnym systemem Windows (tj. Nie ma możliwości uzyskania dostępu lub zmiany hasła właściciela TPM). Hasło właściciela modułu TPM jest potrzebne tylko wtedy, gdy zabezpieczenia komputera są centralnie zarządzane w konfiguracji korporacyjnej z potrzebą administratora bezpieczeństwa, aby uzyskać zdalny dostęp do modułu TPM. W aplikacji autonomicznej dostęp zdalny do modułu TPM nie jest potrzebny ani pożądany. Możesz zrobić wszystko, czego potrzebujesz bez hasła TPM, jeśli masz fizyczny dostęp do komputera.

PowerShell Resetowanie TPM

Możesz spróbować niektórych poleceń programu PowerShell TPM, uruchamiając je z podniesionego (uruchamianego jako administrator) wiersza polecenia programu PowerShell w celu zresetowania ustawień TPM.

Clearing

Zobacz Clear-Tpm i Set-TpmOwnerAuth, aby uzyskać więcej szczegółów, ale poniżej jest kilka, aby dać szansę:

• Clear-Tpm
• Initialize-Tpm -AllowClear -AllowPhysicalPresence

Domyślna wartość

Możesz także rozważyć sprawdzenie opcji Initialize-Tpm i zauważyć, że jeśli nie określisz wartości autoryzacji właściciela, polecenie cmdlet spróbuje odczytać wartość z rejestru, więc może to być odczyt i ustawienie domyślnie tego, czego nie wiesz ta wartość.

Nowa wartość

Możesz rozważyć uruchomienie polecenia ConvertTo-TpmOwnerAuth, aby jawnie określić hasło nowego właściciela. Włącz to odpowiednio do swojego procesu:

• ConvertTo-TpmOwnerAuth -PassPhrase "<newpasswordstring>"

Konfigurowanie lokalnych ustawień zasad grupy dla funkcji BitLocker

Jak powiedziałem, że zrobię to w komentarzu poniżej kilka dni temu, poniżej przedstawiam kroki, które podejmuję, aby skonfigurować szyfrowanie TPM na komputerach nieprzyłączonych do domeny w jednym z obsługiwanych przeze mnie środowisk.

^{UWAGA: Należy pamiętać, że niektóre z tych opcji mogą wymagać późniejszego ponownego uruchomienia, o czym nie wspomniałem konkretnie, ale nie pamiętam, które dokładnie, oprócz tych, o których wspomniałem. Więc jeśli uruchomi się ponownie lub wymaga ponownego uruchomienia po ustawieniu opcji, to jest to normalne, po prostu o tym nie wspomniałem.}

^{Podczas jednego z ponownych uruchomień urządzenie może wykryć zmianę zabezpieczeń TPM i poprosić o zaakceptowanie lub odrzucenie zmian w celu włączenia, aktywacji lub przejęcia własności urządzenia TPM. Będziesz więc chciał zaakceptować te zmiany, jeśli pojawi się taki monit po jednym z ponownych uruchomień zgodnie z wprowadzonymi zmianami.}

1. Przejdź do Start > Uruchom > wpisz gpedit.msc i naciśnij Enter, a następnie przejdź do # 6 jak na poniższym zrzucie ekranu

   

2. Będziesz chciał ustawić ustawienia z powyższej lokalizacji # 6, a następnie wartości z dwóch poniższych zrzutów ekranu

   

   

3. Następnie przejdź do Panelu sterowania > Szyfrowanie dysków funkcją Bitlocker > wybierz WłączNext funkcję BitLocker, a następnie naciśnij w oknie, jak na poniższym zrzucie ekranu

   

4. W oknie Przygotowanie dysku do funkcji BitLocker naciśnijNext

5. Po zakończeniu przygotowania dysku pojawi się okno, kliknij Restart Nowopcję

6. Po ponownym uruchomieniu zaloguj się ponownie na maszynie, a gdy pojawi się okno konfiguracji szyfrowania dysków funkcją BitLocker , wybierz Nextopcję

7. Kiedy na ekranie pojawi się okno Włącz sprzęt zabezpieczający TPM , wybierz Restartopcję

8. Po ponownym uruchomieniu zaloguj się ponownie na maszynie, a gdy pojawi się okno konfiguracji szyfrowania dysków funkcją BitLocker , wybierz Nextopcję

9. Zostaniesz poproszony o wprowadzenie kodu PIN, więc wpisz kod PIN w obu polach, jak na poniższym zrzucie ekranu, a następnie naciśnij Set PINopcję

   

10. Kiedy w oknie Jak chcesz wykonać kopię zapasową klucza odzyskiwania , będziesz chciał nacisnąć opcję Zapisz w pliku , a następnie tę Nextopcję. Musisz upewnić się, że umieścisz to na pendrivie USB i zapiszesz w nim ten klucz odzyskiwania, a następnie skopiujesz go w innym miejscu, takim jak dysk sieciowy itp.

    

11. W Wybierz, ile dysku chcesz zaszyfrować , w moim przypadku wybrałem Zaszyfruj tylko zajęte miejsce na dysku, ponieważ robię to dla nowych konfiguracji komputera, ale możesz tutaj wybrać najbardziej odpowiednią opcję dla swoich wymagań, a następnie nacisnąć Nextopcję

    

12. W oknie Wybierz tryb szyfrowania, którego chcesz użyć , chcesz sprawdzić odpowiednią opcję dla swojego środowiska, ale ta, którą wybrałem w tym środowisku po mojej stronie, jest pokazana na poniższym zrzucie ekranu

    

Zobacz także Jak wyczyścić układ TPM z poprzednich poświadczeń własności i postępuj zgodnie z instrukcjami krok po kroku, jeśli jeszcze tego nie zrobiłeś.

Jak wyczyścić chip TPM z poprzednich poświadczeń własności

_{Ten artykuł zawiera informacje na temat resetowania układu TPM i czyszczenia wszystkich danych poprzedniego właściciela .}

Nie można zresetować poświadczeń DDPA lub DCP w systemie

Podczas próby zresetowania poświadczeń DDP | ​​A lub DCP może wystąpić problem z wyświetleniem monitu o podanie hasła własności modułu zaufanej platformy (TPM).

W przypadku utraty hasła TPM układ TPM można wyczyścić za pomocą systemu Windows .

_{Uwaga: Spowoduje to całkowite skasowanie magazynu danych uwierzytelniających TPM, w tym szyfrowania dysku twardego, odcisków palców, kart inteligentnych itp. Sprawdź, które urządzenia bezpieczeństwa używasz, których może to dotyczyć. Upewnij się, że masz skonfigurowane hasło systemu Windows i dane logowania.}

Jak zresetować i wyczyścić układ TPM

Pierwszą rzeczą do zrobienia jest usunięcie wszelkich haseł przed uruchomieniem w konsoli DDP | ​​A.

Nie wpłynie to na hasło systemu Windows.

Musisz być w stanie zweryfikować , tak jak w każdym scenariuszu poświadczeń, i trzeba być administratorem systemu w celu wykonywania tej funkcji.

1. Kliknij Start . W polu Wyszukaj \ Uruchom wpisz tpm.msc i naciśnij klawisz ENTER .

2. W sekcji Działania po prawej stronie kliknij Wyczyść TPM .

3. W polu Wyczyść sprzęt zabezpieczeń TPM zaznacz opcję Nie mam hasła właściciela TPM i kliknij przycisk OK .

4. Zostaniesz poproszony o ponowne uruchomienie. Zaraz po ekranie Dell POST pojawi się monit o naciśnięcie klawisza (zwykle F10 ) w celu wyczyszczenia TPM. Naciśnij ten klawisz .

5. Po ponownym uruchomieniu systemu pojawi się monit o ponowne uruchomienie i postępowanie zgodnie z instrukcjami, aby włączyć moduł TPM . Uruchom ponownie

6. Zaraz po ekranie Dell POST pojawi się monit o naciśnięcie klawisza, aby włączyć moduł TPM. Naciśnij ten klawisz ( zwykle F10 ).

   _{Uwaga: Jeśli nie korzystasz z TPM, naciśnij klawisz ESC .}

7. Po powrocie na pulpit pojawi się albo Kreator instalacji TPM , aby wprowadzić hasło właściciela TPM lub możesz wybrać Zmień hasło właściciela .

Można teraz jasne DDP | referencji poprzez DDP | Konsola .

Aby uzyskać więcej informacji, sprawdź poniższy artykuł:

• http://technet.microsoft.com/en-us/library/cc753694.aspx

_źródło

Podejrzewam, że to błąd w systemie Windows 10. Miałem dokładnie taki sam problem jak OP. Oto moje ustalenia. Mam dwa komputery PC, A i B, oba mają specyfikację TPM 1.2; oba mają włączoną funkcję Bitlocker. A to Windows 10 1607, B to Windows 10 1511.

Użyj TPM.MSC na A. Mogę wyczyścić TPM bez podawania hasła właściciela, ale wszystko inne wymaga hasła właściciela. Jednak w przypadku B żadne z tych działań nie wymaga hasła właściciela.

Co więcej, na PC A wyczyściłem TPM przez BIOS, uruchomiłem ponownie, dwukrotnie sprawdziłem, czy status TPM jest wyłączony i niezauważony w BIOS. Uruchom system Windows za pomocą hasła odzyskiwania (upewnij się, że masz hasło odzyskiwania, jeśli masz zamiar wypróbować to na komputerze), przygotuj TPM przez TPM.MSC, podążaj za kreatorem, po ponownym uruchomieniu, Windows kreator TPM mówi, że TPM jest gotowy i „Windows automatyczne zapamiętaj hasło właściciela, bla bla ... ”(tak samo jak zaobserwował vaindil), nigdy nie miałem okazji zapisać hasła właściciela TPM. Następnie ponownie uruchamiam system BIOS, a moduł TPM ma teraz status włączony i jest własnością. To potwierdzone okna rzeczywiście przejęły własność TPM. Po prostu nigdy nie oferował użytkownikowi możliwości zapisania hasła właściciela. Zastanawiam się także, gdzie zostało zapisane hasło, rejestracja?

Co ciekawe, na PC B, podobna procedura, miałem okazję zapisać hasło właściciela do AD, plik lub wydrukować.

Wydaje mi się, że problem dotyczy kompilacji 1607. Jeśli w jakiś sposób uda mi się uzyskać nośnik instalacyjny 1511, zdecydowanie wypróbuję go na komputerze A, aby go potwierdzić.

cześć, pobiłem głowę w ścianę i wreszcie znalazłem rozwiązanie następnego dnia rano. po prostu wykonaj wymienione poniżej kroki.

ustaw właściciela TPM, jeśli jeszcze nie został ustawiony. niezbyt trudne. przejdź do ustawienia bios, włącz go i zezwól na zarządzanie także z okien. jeśli Twoja blokada bitów jest włączona. wyłącz szyfrowanie dysków funkcją BitLocker i postępuj zgodnie z instrukcjami

Uruchom CMD jako administrator ...

1 ---- reg dodaj HKLM \ SOFTWARE \ Policies \ Microsoft \ TPM / f / v OSManagedAuthLevel / t REG_DWORD / d 4 2 ---- WMIC / namespace: \ root \ cimv2 \ Security \ MicrosoftTpm Ścieżka Win32_Tpm Gdzie __RELPATH = " Win32_Tpm = @ "Call SetPhysicalPreysRreest 14 3 ---- shutdown -r -t 15 dzięki uprzejmości oryginalnego autora. a po ponownym uruchomieniu wystarczy uruchomić krok, będzie on działał płynnie. woooaahhh !!! wszystko gotowe.