A limpeza do TPM não solicita nova senha, mas “alterar senha do proprietário” solicita a antiga


15

Recentemente, limpei meu TPM (Dell e7240, Windows 10). Durante o processo, em nenhum momento a Bios ou o Windows solicitaram uma nova senha do TPM. (E em nenhum momento desde que comprei este laptop, já defini uma senha do TPM, com o melhor de meu conhecimento.) Tentei limpar tanto pelo Windows (com TPM.MSC) quanto pelo Bios, e com nenhum dos métodos fui solicitado para uma nova senha.

O TPM.MSC relata que o TPM está "pronto para uso", mas se eu clicar em "alterar senha do proprietário", ele solicitará a senha antiga, apesar de eu ter acabado de limpar o TPM.

É possível limpar a senha do TPM?


Você já tentou "Alterar senha do proprietário", deixando o campo "senha antiga" em branco?
Nathan.Eilisha Shiraini

Sim. Ele não aceita a senha (vazia).
cfp 26/07

Acabei de limpar meu TPM também. Quando reiniciado, o Windows disse algo com o efeito "O Windows pode manter sua chave segura, para que você não precise se lembrar dela". Eu quero essa chave por um motivo!
vaindil

Parece que você a limpou, mas não a reinicializou. Talvez isto ajude: technet.microsoft.com/en-us/itpro/windows/keep-secure/...
Lightwing

2
De acordo com este artigo da Microsoft , OSManagedAuthLevel=2significa Delegado. Você pode tentar configurá-lo para 4 (Completo) e reiniciar e, em seguida, limpar novamente o TPM. Leia as partes relevantes do artigo.
precisa saber é

Respostas:


10

Eu tive o mesmo problema. Foi o que descobri após muitas pesquisas: as versões posteriores do Windows 10 não permitem definir, salvar ou alterar a senha de proprietário do TPM por padrão. A senha é gerada pelo windows, usada pelo windows para configurar o TPM e depois descartada. Dessa forma, ninguém poderá adulterar o TPM depois que ele for ativado. Com efeito, a senha do proprietário não existe mais. Você pode desativar esse recurso de segurança alterando um valor do registro, limpando o TPM e reiniciando. Depois disso, você poderá definir e alterar a senha do proprietário do TPM. Consulte este artigo: https://technet.microsoft.com/en-us/itpro/windows/keep-secure/change-the-tpm-owner-password?f=255&MSPPError=-2147217396

Depois de ler o artigo, decidi deixar as coisas como estão, com o novo padrão do Windows (ou seja, não há maneira de acessar ou alterar a senha do proprietário do TPM). Você só precisa da senha de proprietário do TPM se a segurança do PC estiver sendo gerenciada centralmente em uma configuração corporativa, com a necessidade de um administrador de segurança para acessar o TPM remotamente. Em um aplicativo independente, o acesso remoto ao TPM não é necessário ou desejável. Você pode fazer tudo o que precisa sem a senha do TPM se tiver acesso físico ao PC.


O artigo vinculado do TechNet esclareceu tudo. Obrigado! É ótimo ter uma resposta clara, pelo menos.
cfp 19/09/16

@cfp ... Se você tiver uma chance, confirme o que fez exatamente para corrigir o problema. Fiquei curioso para saber se isso esclarece as coisas ou se realmente permitiu que você concluísse o que de outra forma não poderia fazer. E se você conseguiu concluir o que não era de outra forma, fique curioso para saber o que foi feito especificamente na publicação para resolver sua pergunta. Acho que parte da postagem seria extremamente útil para citar a resposta se você realmente a aplicasse e confirmasse que fazê-lo resolveu o seu problema.
Pimp Juice IT

O artigo deixou claro que não havia sentido em tentar definir a senha do TPM. Não tentei seguir suas etapas para habilitar a configuração manual, pois estava convencido de que não havia benefício nisso. Concordo inteiramente com o respondente da pergunta: "depois de ler o artigo, decidi deixar as coisas como estão, com o novo padrão do Windows".
PCP

Obrigado. Esta resposta realmente esclareceu as coisas para mim. Para um computador pessoal seguro, ficarei com a senha desconhecida criada aleatoriamente.
Brainski

Além disso, você pode desativar a inicialização automática se desejar fazer isso sozinho com o Disable-TpmAutoProvisioningcomando powershell. technet.microsoft.com/en-us/library/jj603114.aspx
Tom Jenkinson

7

Redefinição do TPM do PowerShell

Você pode testar alguns dos comandos do PowerShell TPM executando-os em um prompt de comando do PowerShell elevado (executado como administrador) para redefinir as configurações do TPM.

Compensação

Consulte Clear-Tpm e Set-TpmOwnerAuth para obter mais detalhes, mas abaixo estão alguns para dar uma chance:

  • Clear-Tpm
  • Initialize-Tpm -AllowClear -AllowPhysicalPresence

Valor padrão

Você também pode considerar examinar Initialize-Tpm e observar que, se você não especificar um valor de autorização do proprietário, o cmdlet tentará ler o valor do registro, portanto, pode estar lendo e configurando por padrão o que você não conhece. esse valor.

Novo valor

Convém executar o comando ConvertTo-TpmOwnerAuth para especificar explicitamente a nova senha do proprietário. Portanto, incorpore isso ao seu processo de acordo:

  • ConvertTo-TpmOwnerAuth -PassPhrase "<newpasswordstring>"

Definindo configurações de diretiva de grupo local para o BitLocker

Como eu disse em um comentário abaixo, há alguns dias, abaixo estão as etapas que eu segui para configurar a criptografia TPM em PCs que não pertencem ao domínio em um dos ambientes que eu suporte.

NOTA: Observe que algumas dessas opções podem ter que reiniciar posteriormente, as quais não mencionei especificamente, mas não me lembro exatamente quais, exceto onde mencionei isso. Portanto, se ele reiniciar ou precisar que você reinicie após definir uma opção, isso é normal, simplesmente não mencionei.

Durante uma das reinicializações, a máquina pode detectar uma alteração na segurança do TPM e solicitar que você aceite ou rejeite as alterações para ativar, ativar ou se apropriar do dispositivo TPM. Portanto, você desejará aceitar essas alterações se receber esse aviso após uma das reinicializações, conforme as alterações a serem mencionadas abaixo.

  1. Vá em Iniciar > Executar > digite gpedit.msc e pressione Entere, em seguida, navegue para # 6 como na captura de tela abaixo

    insira a descrição da imagem aqui

  2. Você deseja definir as configurações do local nº 6 acima com os valores das duas capturas de tela abaixo a seguir

    insira a descrição da imagem aqui

    insira a descrição da imagem aqui

  3. Em seguida, vá para Painel de Controle > Criptografia de Unidade de Disco Bitlocker > selecione Ativar BitLocker e pressione Nextna janela como na captura de tela abaixo

    insira a descrição da imagem aqui

  4. Na janela Preparando sua unidade para o BitLocker , pressioneNext

  5. Quando a preparação do Drive estiver concluída , aparece a janela, clique na Restart Nowopção

  6. Após a reinicialização, faça logon novamente na máquina e, quando a janela de configuração do BitLocker Drive Encryption for exibida, selecione a Nextopção

  7. Quando a janela Ativar o hardware de segurança TPM aparecer na tela, selecione a Restartopção

  8. Após a reinicialização, faça logon novamente na máquina e, quando a janela de configuração do BitLocker Drive Encryption for exibida, selecione a Nextopção

  9. Você será solicitado a digitar um PIN. Digite o PIN nos dois campos, como na captura de tela abaixo e pressione a Set PINopção

    insira a descrição da imagem aqui

  10. Quando a janela Como você deseja fazer backup da sua chave de recuperação , pressione a opção Salvar em um arquivo e pressione a Nextopção. Você precisará garantir que você coloque isso em uma unidade USB, salve a chave de recuperação nela e depois copie-a em outro lugar mais tarde, como uma unidade de rede, etc.

    insira a descrição da imagem aqui

  11. Em Escolha quanto da sua unidade criptografar , no meu caso, selecionei o espaço em disco Criptografar usado apenas porque faço isso para novas configurações de PC, mas você pode selecionar a opção mais apropriada aqui para seus requisitos e pressionar a Nextopção

    insira a descrição da imagem aqui

  12. Na janela Escolher qual modo de criptografia usar , você desejará verificar a opção apropriada para o seu ambiente, mas a que seleciono neste ambiente do meu lado é mostrada na captura de tela abaixo

    insira a descrição da imagem aqui


Consulte também Como limpar o chip TPM de quaisquer credenciais de propriedade anteriores e siga estas instruções passo a passo, se você ainda não o fez.

Como limpar o chip TPM de quaisquer credenciais de propriedade anteriores

Este artigo fornece informações sobre como redefinir o chip TPM e limpar todos os detalhes do proprietário anterior .

Você não consegue redefinir credenciais DDPA ou DCP no seu sistema

Você pode encontrar um problema ao tentar redefinir as credenciais DDP | ​​A ou DCP , em que é solicitada uma senha de propriedade do Trusted Platform Module (TPM).

Se você perdeu a senha do TPM, o chip do TPM pode ser limpo usando o Windows .

Aviso: Isso apagará completamente o armazenamento de credenciais do TPM, incluindo criptografia de disco rígido, impressões digitais, cartões inteligentes, etc. Verifique quais dispositivos de segurança que você está usando e que podem ser afetados. Verifique se você tem uma senha do Windows configurada para o login.

Como redefinir e limpar o chip TPM

A primeira coisa a fazer é remover as senhas de pré-inicialização no console do DDP | ​​A.

Isso não afetará a senha do Windows.

Você deve poder validar exatamente como em qualquer cenário de credencial e deve ser um administrador neste sistema para executar esta função.

  1. Clique em Iniciar . Na caixa Pesquisar \ Executar , digite tpm.msc e pressione ENTER .

  2. Na seção Ações à direita, clique em Limpar TPM .

  3. Na caixa Limpar o hardware de segurança do TPM , marque Não tenho a senha de proprietário do TPM e clique em OK .

  4. Você será solicitado a reiniciar. Logo após a tela do Dell POST , você será solicitado a pressionar uma tecla (geralmente F10 ) para limpar o TPM. Pressione essa tecla .

  5. Depois que o sistema reiniciar, você será solicitado a reiniciar e siga as instruções para ativar o TPM . Reiniciar.

  6. Logo após a tela do Dell POST , você será solicitado a pressionar uma tecla para ativar o TPM. Pressione essa tecla ( geralmente F10 ).

    Nota: Se você não usar o TPM, pressione a tecla ESC .

  7. De volta à área de trabalho, o Assistente de instalação do TPM aparece para você digitar uma senha de proprietário do TPM ou pode escolher Alterar senha do proprietário .

Você pode agora claro DDP | A credenciais através do DDP | A consola .

Para mais informações, consulte o artigo abaixo:

fonte


Isso foi discutido nos comentários (eu não sou OP, mas coloquei a recompensa nisso; não consigo editar a pergunta). Consigo seguir estas etapas, mas o Windows nunca teve a oportunidade de definir a senha do proprietário. Depois que o TPM é limpo e o Windows é reiniciado, uma janela é exibida dizendo que o TPM foi limpo e que "o Windows pode lembrar a senha do proprietário para [mim], para que [eu] não precise".
vaindil

Limpei o TPM Clear-Tpme isso foi bom. Antes de reiniciar, eu também corri Disable-TpmAutoProvisioning. Depois de reiniciar, tudo dizia que o TPM não estava pronto. Eu então corri Initialize-Tpm -AllowClear -AllowPhysicalPresence. O comando levou um momento, depois retornou que o TPM está pronto. tpm.msctambém diz que está pronto. Nunca foi solicitada uma senha de proprietário.
vaindil

Os sinalizadores do exemplo -ForceClearAllowede -PhysicalPresenceAllowedsão inválidos, e um comentário no artigo também diz isso.
vaindil

@vaindil Adicionei outros cmdlets do PowerShell para tentar uma solução, mas ajudaria a saber qual é seu objetivo final: como definir uma nova senha de proprietário, mantê-la totalmente desativada ou o quê? Adicionei cmdlets adicionais do PowerShell para alterar a senha do proprietário para um novo valor.
Pimp Juice IT

Initialize-Tpmparece não ter uma maneira de especificar a nova senha de proprietário, como você mencionou. ConvertTo-TpmOwnerAuthna verdade, não define nada - apenas converte uma string em um valor de autorização do proprietário (o que isso significa).
vaindil

3

Eu suspeito que seja um bug no Windows 10. Eu tive exatamente o mesmo problema que o OP. Aqui estão minhas descobertas. Eu tenho dois PCs, A e B, ambos têm especificação TPM 1.2; ambos têm o bloqueador de bits ativado. A é o Windows 10 1607, B está no Windows 10 1511.

Use o TPM.MSC em A. Posso limpar o TPM sem fornecer a senha do proprietário, mas qualquer outra coisa requer uma senha do proprietário. No entanto, em B, nenhuma dessas ações requer senha de proprietário.

Além disso, no PC A, limpei o TPM via BIOS, reiniciei, verifiquei o status do TPM como desabilitado e sem dono no BIOS. Inicialize no Windows via senha de recuperação (verifique se você tem sua senha de recuperação se quiser tentar isso no seu PC), prepare o TPM via TPM.MSC, siga o assistente, após a reinicialização, o assistente do Windows TPM diz que o TPM está pronto e "Windows lembrar automaticamente a senha do proprietário, blá, blá ... "(igual ao vaindil observado), nunca tive a chance de salvar a senha de proprietário do TPM. Em seguida, reinicializo o BIOS e o TPM agora tem o status ativado e de propriedade. Isso confirmou que o Windows realmente assumiu a propriedade do TPM. Ele nunca ofereceu ao usuário a chance de salvar a senha do proprietário. Também me pergunto onde a senha foi salva.

Curiosamente, no PC B, procedimento semelhante, tive a chance de salvar a senha do proprietário no AD, arquivar ou imprimi-la.

Parece-me que o problema está relacionado à versão 1607. Se, de alguma forma, eu conseguir a mídia de instalação 1511, definitivamente tentarei no PC A para confirmar.


0

oi lá eu bati minha cabeça na parede e finalmente encontrei uma solução na manhã seguinte. basta seguir os passos abaixo mencionados.

defina seu proprietário do TPM se ainda não estiver definido. não é muito difícil. vá para a configuração do BIOS ativá-lo e dê permissão para gerenciar a partir do Windows também. se o seu bit locker estiver ativado. desative a Criptografia de Unidade de Disco BitLocker e siga as etapas

Execute o CMD como administrador ...

1 ---- reg add HKLM \ SOFTWARE \ Policies \ Microsoft \ TPM / f / v OSManagedAuthLevel / t REG_DWORD / d 4 2 ---- WMIC / namespace: \ root \ cimv2 \ Security \ MicrosoftTpm Caminho Win32_Tpm Onde __RELPATH = " Win32_Tpm = @ "Ligue para SetPhysicalPresenceRequest 14 3 ---- shutdown -r -t 15, cortesia do autor original. e depois de reiniciar, basta executar o passo, ele será executado sem problemas. woooaahhh !!! tudo feito.

Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.