A limpeza do TPM não solicita nova senha, mas “alterar senha do proprietário” solicita a antiga

Recentemente, limpei meu TPM (Dell e7240, Windows 10). Durante o processo, em nenhum momento a Bios ou o Windows solicitaram uma nova senha do TPM. (E em nenhum momento desde que comprei este laptop, já defini uma senha do TPM, com o melhor de meu conhecimento.) Tentei limpar tanto pelo Windows (com TPM.MSC) quanto pelo Bios, e com nenhum dos métodos fui solicitado para uma nova senha.

O TPM.MSC relata que o TPM está "pronto para uso", mas se eu clicar em "alterar senha do proprietário", ele solicitará a senha antiga, apesar de eu ter acabado de limpar o TPM.

É possível limpar a senha do TPM?

Eu tive o mesmo problema. Foi o que descobri após muitas pesquisas: as versões posteriores do Windows 10 não permitem definir, salvar ou alterar a senha de proprietário do TPM por padrão. A senha é gerada pelo windows, usada pelo windows para configurar o TPM e depois descartada. Dessa forma, ninguém poderá adulterar o TPM depois que ele for ativado. Com efeito, a senha do proprietário não existe mais. Você pode desativar esse recurso de segurança alterando um valor do registro, limpando o TPM e reiniciando. Depois disso, você poderá definir e alterar a senha do proprietário do TPM. Consulte este artigo: https://technet.microsoft.com/en-us/itpro/windows/keep-secure/change-the-tpm-owner-password?f=255&MSPPError=-2147217396

Depois de ler o artigo, decidi deixar as coisas como estão, com o novo padrão do Windows (ou seja, não há maneira de acessar ou alterar a senha do proprietário do TPM). Você só precisa da senha de proprietário do TPM se a segurança do PC estiver sendo gerenciada centralmente em uma configuração corporativa, com a necessidade de um administrador de segurança para acessar o TPM remotamente. Em um aplicativo independente, o acesso remoto ao TPM não é necessário ou desejável. Você pode fazer tudo o que precisa sem a senha do TPM se tiver acesso físico ao PC.

Redefinição do TPM do PowerShell

Você pode testar alguns dos comandos do PowerShell TPM executando-os em um prompt de comando do PowerShell elevado (executado como administrador) para redefinir as configurações do TPM.

Compensação

Consulte Clear-Tpm e Set-TpmOwnerAuth para obter mais detalhes, mas abaixo estão alguns para dar uma chance:

• Clear-Tpm
• Initialize-Tpm -AllowClear -AllowPhysicalPresence

Valor padrão

Você também pode considerar examinar Initialize-Tpm e observar que, se você não especificar um valor de autorização do proprietário, o cmdlet tentará ler o valor do registro, portanto, pode estar lendo e configurando por padrão o que você não conhece. esse valor.

Novo valor

Convém executar o comando ConvertTo-TpmOwnerAuth para especificar explicitamente a nova senha do proprietário. Portanto, incorpore isso ao seu processo de acordo:

• ConvertTo-TpmOwnerAuth -PassPhrase "<newpasswordstring>"

Definindo configurações de diretiva de grupo local para o BitLocker

Como eu disse em um comentário abaixo, há alguns dias, abaixo estão as etapas que eu segui para configurar a criptografia TPM em PCs que não pertencem ao domínio em um dos ambientes que eu suporte.

^{NOTA: Observe que algumas dessas opções podem ter que reiniciar posteriormente, as quais não mencionei especificamente, mas não me lembro exatamente quais, exceto onde mencionei isso. Portanto, se ele reiniciar ou precisar que você reinicie após definir uma opção, isso é normal, simplesmente não mencionei.}

^{Durante uma das reinicializações, a máquina pode detectar uma alteração na segurança do TPM e solicitar que você aceite ou rejeite as alterações para ativar, ativar ou se apropriar do dispositivo TPM. Portanto, você desejará aceitar essas alterações se receber esse aviso após uma das reinicializações, conforme as alterações a serem mencionadas abaixo.}

1. Vá em Iniciar > Executar > digite gpedit.msc e pressione Entere, em seguida, navegue para # 6 como na captura de tela abaixo

   

2. Você deseja definir as configurações do local nº 6 acima com os valores das duas capturas de tela abaixo a seguir

   

   

3. Em seguida, vá para Painel de Controle > Criptografia de Unidade de Disco Bitlocker > selecione Ativar BitLocker e pressione Nextna janela como na captura de tela abaixo

   

4. Na janela Preparando sua unidade para o BitLocker , pressioneNext

5. Quando a preparação do Drive estiver concluída , aparece a janela, clique na Restart Nowopção

6. Após a reinicialização, faça logon novamente na máquina e, quando a janela de configuração do BitLocker Drive Encryption for exibida, selecione a Nextopção

7. Quando a janela Ativar o hardware de segurança TPM aparecer na tela, selecione a Restartopção

8. Após a reinicialização, faça logon novamente na máquina e, quando a janela de configuração do BitLocker Drive Encryption for exibida, selecione a Nextopção

9. Você será solicitado a digitar um PIN. Digite o PIN nos dois campos, como na captura de tela abaixo e pressione a Set PINopção

   

10. Quando a janela Como você deseja fazer backup da sua chave de recuperação , pressione a opção Salvar em um arquivo e pressione a Nextopção. Você precisará garantir que você coloque isso em uma unidade USB, salve a chave de recuperação nela e depois copie-a em outro lugar mais tarde, como uma unidade de rede, etc.

    

11. Em Escolha quanto da sua unidade criptografar , no meu caso, selecionei o espaço em disco Criptografar usado apenas porque faço isso para novas configurações de PC, mas você pode selecionar a opção mais apropriada aqui para seus requisitos e pressionar a Nextopção

    

12. Na janela Escolher qual modo de criptografia usar , você desejará verificar a opção apropriada para o seu ambiente, mas a que seleciono neste ambiente do meu lado é mostrada na captura de tela abaixo

    

Consulte também Como limpar o chip TPM de quaisquer credenciais de propriedade anteriores e siga estas instruções passo a passo, se você ainda não o fez.

Como limpar o chip TPM de quaisquer credenciais de propriedade anteriores

_{Este artigo fornece informações sobre como redefinir o chip TPM e limpar todos os detalhes do proprietário anterior .}

Você não consegue redefinir credenciais DDPA ou DCP no seu sistema

Você pode encontrar um problema ao tentar redefinir as credenciais DDP | ​​A ou DCP , em que é solicitada uma senha de propriedade do Trusted Platform Module (TPM).

Se você perdeu a senha do TPM, o chip do TPM pode ser limpo usando o Windows .

_{Aviso: Isso apagará completamente o armazenamento de credenciais do TPM, incluindo criptografia de disco rígido, impressões digitais, cartões inteligentes, etc. Verifique quais dispositivos de segurança que você está usando e que podem ser afetados. Verifique se você tem uma senha do Windows configurada para o login.}

Como redefinir e limpar o chip TPM

A primeira coisa a fazer é remover as senhas de pré-inicialização no console do DDP | ​​A.

Isso não afetará a senha do Windows.

Você deve poder validar exatamente como em qualquer cenário de credencial e deve ser um administrador neste sistema para executar esta função.

1. Clique em Iniciar . Na caixa Pesquisar \ Executar , digite tpm.msc e pressione ENTER .

2. Na seção Ações à direita, clique em Limpar TPM .

3. Na caixa Limpar o hardware de segurança do TPM , marque Não tenho a senha de proprietário do TPM e clique em OK .

4. Você será solicitado a reiniciar. Logo após a tela do Dell POST , você será solicitado a pressionar uma tecla (geralmente F10 ) para limpar o TPM. Pressione essa tecla .

5. Depois que o sistema reiniciar, você será solicitado a reiniciar e siga as instruções para ativar o TPM . Reiniciar.

6. Logo após a tela do Dell POST , você será solicitado a pressionar uma tecla para ativar o TPM. Pressione essa tecla ( geralmente F10 ).

   _{Nota: Se você não usar o TPM, pressione a tecla ESC .}

7. De volta à área de trabalho, o Assistente de instalação do TPM aparece para você digitar uma senha de proprietário do TPM ou pode escolher Alterar senha do proprietário .

Você pode agora claro DDP | A credenciais através do DDP | A consola .

Para mais informações, consulte o artigo abaixo:

• http://technet.microsoft.com/en-us/library/cc753694.aspx

_fonte

Eu suspeito que seja um bug no Windows 10. Eu tive exatamente o mesmo problema que o OP. Aqui estão minhas descobertas. Eu tenho dois PCs, A e B, ambos têm especificação TPM 1.2; ambos têm o bloqueador de bits ativado. A é o Windows 10 1607, B está no Windows 10 1511.

Use o TPM.MSC em A. Posso limpar o TPM sem fornecer a senha do proprietário, mas qualquer outra coisa requer uma senha do proprietário. No entanto, em B, nenhuma dessas ações requer senha de proprietário.

Além disso, no PC A, limpei o TPM via BIOS, reiniciei, verifiquei o status do TPM como desabilitado e sem dono no BIOS. Inicialize no Windows via senha de recuperação (verifique se você tem sua senha de recuperação se quiser tentar isso no seu PC), prepare o TPM via TPM.MSC, siga o assistente, após a reinicialização, o assistente do Windows TPM diz que o TPM está pronto e "Windows lembrar automaticamente a senha do proprietário, blá, blá ... "(igual ao vaindil observado), nunca tive a chance de salvar a senha de proprietário do TPM. Em seguida, reinicializo o BIOS e o TPM agora tem o status ativado e de propriedade. Isso confirmou que o Windows realmente assumiu a propriedade do TPM. Ele nunca ofereceu ao usuário a chance de salvar a senha do proprietário. Também me pergunto onde a senha foi salva.

Curiosamente, no PC B, procedimento semelhante, tive a chance de salvar a senha do proprietário no AD, arquivar ou imprimi-la.

Parece-me que o problema está relacionado à versão 1607. Se, de alguma forma, eu conseguir a mídia de instalação 1511, definitivamente tentarei no PC A para confirmar.

oi lá eu bati minha cabeça na parede e finalmente encontrei uma solução na manhã seguinte. basta seguir os passos abaixo mencionados.

defina seu proprietário do TPM se ainda não estiver definido. não é muito difícil. vá para a configuração do BIOS ativá-lo e dê permissão para gerenciar a partir do Windows também. se o seu bit locker estiver ativado. desative a Criptografia de Unidade de Disco BitLocker e siga as etapas

Execute o CMD como administrador ...

1 ---- reg add HKLM \ SOFTWARE \ Policies \ Microsoft \ TPM / f / v OSManagedAuthLevel / t REG_DWORD / d 4 2 ---- WMIC / namespace: \ root \ cimv2 \ Security \ MicrosoftTpm Caminho Win32_Tpm Onde __RELPATH = " Win32_Tpm = @ "Ligue para SetPhysicalPresenceRequest 14 3 ---- shutdown -r -t 15, cortesia do autor original. e depois de reiniciar, basta executar o passo, ele será executado sem problemas. woooaahhh !!! tudo feito.