14

Я недавно очистил свой TPM (Dell e7240, Windows 10). Во время процесса ни BIOS, ни Windows ни разу не запрашивали новый пароль TPM. (И ни разу после того, как я купил этот ноутбук, я когда-либо устанавливал пароль TPM, насколько мне известно.) Я попытался очистить как через Windows (с TPM.MSC), так и через Bios, и ни с одним из способов меня не попросили новый пароль.

TPM.MSC сообщает, что TPM "готов к использованию", но если я нажимаю "изменить пароль владельца", он запрашивает старый пароль, несмотря на то, что я только что очистил TPM.

Можно ли очистить пароль TPM?

4 ответа4

8

У меня такая же проблема. Вот что я обнаружил после долгих поисков: более поздние версии Windows 10 не позволяют вам устанавливать, сохранять или изменять пароль владельца TPM по умолчанию. Пароль генерируется окнами, используется окнами для настройки TPM, а затем отбрасывается. Таким образом, никто не сможет вмешаться в TPM после его активации. По сути, пароль владельца больше не существует. Вы можете отключить эту функцию безопасности, изменив значение реестра, очистив доверенный платформенный модуль и перезагрузив компьютер. После этого вы сможете установить и изменить пароль владельца TPM. См. Эту статью: https://technet.microsoft.com/en-us/itpro/windows/keep-secure/change-the-tpm-owner-password?f=255&MSPPError=-2147217396

Прочитав статью, я решил оставить все как есть, с новым значением по умолчанию для Windows (т.е. нет возможности получить доступ или изменить пароль владельца TPM). Пароль владельца доверенного платформенного модуля требуется только в том случае, если безопасность компьютера управляется централизованно при настройке предприятия, а администратору безопасности требуется удаленный доступ к доверенному платформенному модулю. В автономном приложении удаленный доступ к TPM не нужен или нежелателен. Вы можете делать все, что вам нужно, без пароля TPM, если у вас есть физический доступ к ПК.

5

PowerShell Сброс TPM

Некоторые команды PowerShell TPM можно сделать снимком, запустив их из командной строки PowerShell с повышенными правами (запуск от имени администратора) для сброса настроек TPM.

клиринг

См. Clear-Tpm и Set-TpmOwnerAuth для получения дополнительной информации, но ниже приведены несколько примеров :

  • Clear-Tpm
  • Initialize-Tpm -AllowClear -AllowPhysicalPresence

Значение по умолчанию

Вы также можете захотеть просмотреть Initialize-Tpm и заметить, что если вы не укажете значение авторизации владельца, командлет попытается прочитать значение из реестра, так что это может быть чтение и установка по умолчанию того, чего вы не знаете из это значение.

Новое значение

Возможно, вы захотите запустить команду ConvertTo-TpmOwnerAuth, чтобы явно указать новую фразу-пароль владельца. Поэтому включите это в свой процесс соответственно:

  • ConvertTo-TpmOwnerAuth -PassPhrase "<newpasswordstring>"

Настройка параметров локальной групповой политики для BitLocker

Как я сказал, я сделаю это в комментарии ниже, несколько дней назад, ниже приведены шаги, которые я предпринимаю для настройки шифрования TPM на компьютерах, не подключенных к домену, в одной из сред, которые я поддерживаю.

ПРИМЕЧАНИЕ. Обратите внимание, что некоторые из этих параметров могут быть перезапущены впоследствии, что я не упомянул конкретно, но я не помню, какие именно, кроме тех, где я упомянул это.Так что если он перезапускается или вам нужно перезапустить после установки параметра, то это нормально, я просто не упомянул об этом.

Во время одного из перезапусков устройство может обнаружить изменение безопасности доверенного платформенного модуля и предложить вам принять или отклонить эти изменения, чтобы включить, активировать или стать владельцем устройства TPM. Таким образом, вы захотите принять эти изменения, если вы получите такое приглашение после одной из перезагрузок в соответствии с изменениями, которые будут упомянуты ниже.

  1. Перейдите в Пуск > Выполнить >, введите gpedit.msc и нажмите Enter, а затем перейдите к # 6, как на снимке экрана ниже

  2. Вам нужно будет установить настройки из вышеприведенного местоположения # 6 со значениями из двух снимков экрана ниже

  3. Затем перейдите в Панель управления > Шифрование диска Bitlocker > выберите Включить BitLocker и затем нажмите Next в окне, как показано на снимке экрана ниже.

  4. В окне « Подготовка диска к BitLocker» нажмите « Next

  5. Когда подготовка диска завершится, появится окно « Restart Now

  6. После перезагрузки снова войдите в систему и, когда появится окно настройки шифрования диска BitLocker, выберите параметр « Next

  7. Когда на вашем экране появится окно включения аппаратного обеспечения безопасности TPM, выберите параметр « Restart

  8. После перезагрузки снова войдите в систему и, когда появится окно настройки шифрования диска BitLocker, выберите параметр « Next

  9. Затем вам будет предложено ввести ПИН-код, поэтому введите ПИН-код в обоих этих полях, как показано на снимке экрана ниже, а затем нажмите параметр Set PIN

  10. Когда в окне Как вы хотите сделать резервную копию своего ключа восстановления, вы захотите нажать опцию Сохранить в файл, а затем нажать опцию Next . Вам нужно убедиться, что вы поместили его на флэш-накопитель USB и сохранили на нем этот ключ восстановления, а затем скопировали его куда-нибудь позже, например, на сетевой диск и т.д.

  11. В поле « Выбрать, сколько вашего диска нужно шифровать», в моем случае я выбрал « Шифровать используемое дисковое пространство» только потому, что я делаю это для новых настроек ПК, но вы можете выбрать наиболее подходящий вариант для ваших требований и затем нажать « Next вариант

  12. В окне Выбор режима шифрования, который вы хотите использовать, вы захотите проверить соответствующий параметр для вашей среды, но тот, который я выбрал в этой среде на моей стороне, показан на снимке экрана ниже.


Также см. Как очистить чип TPM от любых предыдущих учетных данных владельца и обязательно следуйте этим инструкциям шаг за шагом, если вы этого еще не сделали.

Как очистить чип TPM от любых предыдущих учетных данных владельца

Эта статья содержит информацию о том, как сбросить микросхему TPM и очистить все предыдущие сведения о владельце.

Вы не можете сбросить учетные данные DDPA или DCP в своей системе

Вы можете столкнуться с проблемой при попытке сбросить учетные данные DDP | A или DCP , когда вам будет предложено ввести пароль владельца доверенного платформенного модуля (TPM).

Если вы потеряли пароль TPM, чип TPM можно очистить с помощью Windows.

Примечание. Это полностью удалит хранилище учетных данных доверенного платформенного модуля, включая шифрование жесткого диска, отпечатки пальцев, смарт-карты и т.д. Проверьте, какие устройства безопасности, которые вы используете, могут быть затронуты. Убедитесь, что у вас есть пароль Windows, настроенный и настроенный для входа в систему.

Как сбросить и очистить чип TPM

Первое, что нужно сделать, это удалить все предзагрузочные пароли в консоли DDP | A.

Это не повлияет на пароль Windows.

Вы должны быть в состоянии проверить, как в любом сценарии учетных данных, и вы должны быть администратором в этой системе , чтобы выполнить эту функцию.

  1. Нажмите Пуск. В поле Поиск \ Выполнить введите tpm.msc и нажмите клавишу ВВОД.

  2. В разделе « Действия» справа нажмите « Очистить TPM».

  3. В поле « Очистить оборудование безопасности TPM» установите флажок « У меня нет пароля владельца TPM» и нажмите кнопку « ОК».

  4. Вам будет предложено перезагрузить. Сразу после экрана Dell POST вам будет предложено нажать клавишу (обычно F10), чтобы очистить TPM. Нажмите эту клавишу.

  5. После перезагрузки системы вам будет предложено перезагрузить компьютер и следовать инструкциям, чтобы включить TPM. Запустить снова.

  6. Сразу после появления экрана Dell POST вам будет предложено нажать клавишу для включения TPM. Нажмите эту клавишу (обычно F10).

    Примечание. Если вы не используете TPM, нажмите клавишу ESC.

  7. Вернувшись на рабочий стол, появится либо мастер установки TPM , где вы сможете ввести пароль владельца TPM, либо вы можете выбрать « Изменить пароль владельца».

Теперь вы можете очистить учетные данные DDP | A через консоль DDP | A.

Для получения дополнительной информации, пожалуйста, ознакомьтесь со статьей ниже:

источник

3

Я подозреваю, что это ошибка в Windows 10. У меня была точно такая же проблема, как и у OP. Вот мои выводы. У меня есть два компьютера, A и B, оба имеют TPM spec 1.2; у обоих включен битлокер. A - Windows 10 1607, B - Windows 10 1511.

Используйте TPM.MSC на A. Я могу очистить TPM без указания пароля владельца, но все остальное требует пароля владельца. Однако для B ни одно из этих действий не требует пароля владельца.

Далее, на ПК A, я очистил TPM через BIOS, перезагрузился, дважды проверил, что статус TPM был отключен и неизвестен в BIOS. Загрузитесь в Windows с помощью пароля восстановления (убедитесь, что у вас есть пароль восстановления, если вы собираетесь попробовать это на своем ПК), подготовьте TPM через TPM.MSC, следуйте указаниям мастера, после перезагрузки мастер Windows TPM сообщает, что TPM готов и "Windows автоматическое запоминание пароля владельца, бла-бла ... "(так же, как заметил Вайндил), у меня никогда не было возможности сохранить пароль владельца TPM. Затем я перезагружаюсь в BIOS, и TPM теперь имеет статус включен и принадлежит. Это подтвержденные окна действительно взяли собственность TPM. Просто никогда не предлагалось пользователю сохранить пароль владельца. Мне также интересно, где был сохранен пароль, зарегистрируйтесь?

Интересно, что на ПК B, по аналогичной процедуре, у меня была возможность сохранить пароль владельца в AD, файл или распечатать его.

Мне кажется, проблема связана со сборкой 1607 года. Если каким-то образом я смогу получить 1511 установочный носитель, я обязательно попробую его на ПК А, чтобы подтвердить это.

0

Привет, я бился головой о стену и, наконец, нашел решение на следующее утро. просто следуйте указанным ниже шагам.

установите владельца TPM, если он еще не установлен. не очень сложно. зайдите в настройки BIOS, включите его и дайте разрешение на управление из окон. если ваш битовый шкафчик включен. отключите шифрование диска BitLocker и следуйте инструкциям

Запустите CMD от имени администратора ...

1 ---- reg add HKLM\SOFTWARE\Policies\Microsoft\TPM /f /v OSManagedAuthLevel /t REG_DWORD /d 4 2 ---- WMIC / пространство имен:\root\cimv2\Security\MicrosoftTpm Путь Win32_Tpm Где __RELPATH = " Win32_Tpm = @ "Call SetPhysicalPresenceRequest 14 3 ---- shutdown -r -t 15 любезно предоставлено автором. и после перезапуска просто запустите шаг, он будет работать гладко. woooaahhh !!! все сделано.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .