Очистка TPM не запрашивает новый пароль, но «изменить пароль владельца» запрашивает старый

Я недавно очистил свой TPM (Dell e7240, Windows 10). Во время процесса ни BIOS, ни Windows ни разу не запрашивали новый пароль TPM. (И ни разу после того, как я купил этот ноутбук, я когда-либо устанавливал пароль TPM, насколько мне известно.) Я пытался очистить как через Windows (с TPM.MSC), так и через Bios, и ни с одним из методов меня не спросили для нового пароля.

TPM.MSC сообщает, что TPM «готов к использованию», но если я нажимаю «изменить пароль владельца», он запрашивает старый пароль, несмотря на то, что я только что очистил TPM.

Можно ли очистить пароль TPM?

У меня такая же проблема. Это то, что я обнаружил после долгих поисков: более поздние версии Windows 10 не позволяют вам устанавливать, сохранять или изменять пароль владельца TPM по умолчанию. Пароль генерируется окнами, используется окнами для настройки TPM, а затем отбрасывается. Таким образом, никто не сможет вмешаться в TPM после его активации. По сути, пароль владельца больше не существует. Вы можете отключить эту функцию безопасности, изменив значение реестра, очистив доверенный платформенный модуль и перезагрузив компьютер. После этого вы сможете установить и изменить пароль владельца TPM. См. Эту статью: https://technet.microsoft.com/en-us/itpro/windows/keep-secure/change-the-tpm-owner-password?f=255&MSPPError=-2147217396

Прочитав статью, я решил оставить все как есть, с новым значением по умолчанию для Windows (т.е. нет возможности получить доступ или изменить пароль владельца TPM). Пароль владельца доверенного платформенного модуля требуется только в том случае, если безопасность компьютера управляется централизованно при настройке предприятия, а администратору безопасности требуется удаленный доступ к доверенному платформенному модулю. В автономном приложении удаленный доступ к доверенному платформенному модулю не нужен или нежелателен. Вы можете делать все, что вам нужно, без пароля TPM, если у вас есть физический доступ к ПК.

PowerShell Сброс TPM

Некоторые команды PowerShell TPM можно сделать снимком, запустив их из командной строки PowerShell с повышенными правами (запуск от имени администратора) для сброса настроек TPM.

клиринг

См. Clear-Tpm и Set-TpmOwnerAuth для получения дополнительной информации, но ниже приведены несколько примеров :

• Clear-Tpm
• Initialize-Tpm -AllowClear -AllowPhysicalPresence

Значение по умолчанию

Вы также можете захотеть просмотреть Initialize-Tpm и заметить, что если вы не укажете значение авторизации владельца, командлет попытается прочитать значение из реестра, так что это может быть чтение и установка по умолчанию того, чего вы не знаете из это значение.

Новое значение

Возможно, вы захотите запустить команду ConvertTo-TpmOwnerAuth, чтобы явно указать новую фразу-пароль владельца. Поэтому включите это в свой процесс соответственно:

• ConvertTo-TpmOwnerAuth -PassPhrase "<newpasswordstring>"

Настройка параметров локальной групповой политики для BitLocker

Как я сказал, я сделаю это в комментарии ниже, несколько дней назад, ниже приведены шаги, которые я предпринимаю для настройки шифрования TPM на компьютерах, не подключенных к домену, в одной из сред, которые я поддерживаю.

^{ПРИМЕЧАНИЕ. Обратите внимание, что некоторые из этих параметров могут быть перезапущены после этого, что я не упомянул конкретно, но я не помню, какие именно, за исключением того, где я упомянул это. Так что если он перезапускается или вам нужно перезапустить после установки опции, то это нормально, я просто не упоминал об этом.}

^{Во время одного из перезапусков устройство может обнаружить изменение безопасности доверенного платформенного модуля и предложить вам принять или отклонить эти изменения, чтобы включить, активировать или стать владельцем устройства TPM. Таким образом, вы захотите принять эти изменения, если вы получите такую ​​подсказку после одной из перезагрузок в соответствии с изменениями, упомянутыми ниже.}

1. Перейдите в Пуск > Выполнить >, введите gpedit.msc и нажмите Enter, а затем перейдите к # 6, как на снимке экрана ниже

   

2. Вы хотите установить настройки из вышеупомянутого # 6 местоположения со значениями из двух снимков экрана ниже

   

   

3. Далее перейдите в Панель управления > Шифрование диска Bitlocker > выберите Включить BitLocker и затем нажмите Nextв окне, как показано на снимке экрана ниже.

   

4. В окне Подготовка диска к BitLocker нажмитеNext

5. Когда подготовка Привод полное окно появляется, нажмите на Restart Nowопцию

6. После перезагрузки войдите в систему и, когда появится окно настройки шифрования диска BitLocker , выберите Nextпараметр

7. Когда на вашем экране появится окно Включить оборудование безопасности TPM» , выберите Restartопцию

8. После перезагрузки войдите в систему и, когда появится окно настройки шифрования диска BitLocker , выберите Nextпараметр

9. Вам будет предложено ввести ПИН - код , так введите PIN - код в обоих этих полях , как в скриншоте ниже , а затем нажмите Set PINопцию

   

10. Когда вы хотите сделать резервную копию окна ключа восстановления , вам нужно нажать опцию Сохранить в файл, а затем нажать Nextопцию. Вам нужно убедиться, что вы поместили его на флэш-накопитель USB и сохранили на нем этот ключ восстановления, а затем скопировали его куда-нибудь позже, например, на сетевой диск и т. Д.

    

11. В поле « Выберите, сколько вашего диска нужно шифровать» , в моем случае я выбрал « Шифровать используемое дисковое пространство» только потому, что я делаю это для новых настроек ПК, но вы можете выбрать здесь наиболее подходящий вариант для ваших требований и затем нажатьNext выбора.

    

12. В окне Выбор режима шифрования, который вы хотите использовать, вы захотите проверить соответствующий параметр для вашей среды, но тот, который я выбрал в этой среде на моей стороне, показан на снимке экрана ниже

    

Также см. Как очистить чип TPM от любых предыдущих учетных данных владельца и обязательно следуйте этим инструкциям шаг за шагом, если вы этого еще не сделали.

Как очистить чип TPM от любых предыдущих учетных данных владельца

_{Эта статья содержит информацию о том, как сбросить микросхему TPM и очистить все предыдущие сведения о владельце. .}

Вы не можете сбросить учетные данные DDPA или DCP в своей системе

Вы можете столкнуться с проблемой при попытке сброса DDP | ​​A или учетные данные DCP , когда вам будет предложено ввести пароль владельца доверенного платформенного модуля (TPM).

Если вы потеряли пароль TPM, чип TPM можно очистить с помощью Windows .

_{Примечание. Это полностью удалит хранилище учетных данных доверенного платформенного модуля, включая шифрование жесткого диска, отпечатки пальцев, смарт-карты и т. Д. Проверьте, какие устройства безопасности, которые вы используете, могут быть затронуты. Убедитесь, что у вас есть пароль Windows, настроенный и настроенный для входа в систему.}

Как сбросить и очистить чип TPM

Первое, что нужно сделать, это удалить все предзагрузочные пароли в консоли DDP | ​​A.

Это не повлияет на пароль Windows.

Вы должны быть в состоянии проверить, как в любом сценарии учетных данных, и вы должны быть администратором в этой системе , чтобы выполнить эту функцию.

1. Нажмите Пуск . В поле Поиск \ Выполнить введите tpm.msc и нажмите клавишу ВВОД .

2. В разделе « Действия» справа нажмите « Очистить TPM» .

3. В поле « Очистить оборудование безопасности TPM» установите флажок « У меня нет пароля владельца TPM» и нажмите кнопку « ОК» .

4. Вам будет предложено перезагрузить. Сразу после экрана Dell POST вам будет предложено нажать клавишу (обычно F10 ), чтобы очистить TPM. Нажмите эту клавишу .

5. После перезагрузки системы вам будет предложено перезагрузить компьютер и следовать инструкциям, чтобы включить TPM . Начать сначала.

6. Сразу после экрана Dell POST вам будет предложено нажать клавишу для включения TPM. Нажмите эту клавишу ( обычно F10 ).

   _{Примечание. Если вы не используете TPM, нажмите клавишу ESC .}

7. Вернувшись на рабочий стол, появится либо мастер установки TPM , где вы сможете ввести пароль владельца TPM, либо вы можете выбрать « Изменить пароль владельца» .

Теперь вы можете ясно DDP | полномочия А через DDP | Консоль .

Для получения дополнительной информации, пожалуйста, ознакомьтесь со статьей ниже:

• http://technet.microsoft.com/en-us/library/cc753694.aspx

_{источник}

Я подозреваю, что это ошибка в Windows 10. У меня была точно такая же проблема, как и у OP. Вот мои выводы. У меня есть два компьютера, A и B, оба имеют TPM spec 1.2; у обоих включен битлокер. A - Windows 10 1607, B - Windows 10 1511.

Используйте TPM.MSC на A. Я могу очистить TPM без указания пароля владельца, но все остальное требует пароля владельца. Однако для B ни одно из этих действий не требует пароля владельца.

Кроме того, на ПК A я очистил TPM через BIOS, перезагрузился, дважды проверил, что состояние TPM было отключено и неизвестно в BIOS. Загрузитесь в Windows с помощью пароля восстановления (убедитесь, что у вас есть пароль восстановления, если вы собираетесь попробовать это на своем ПК), подготовьте TPM через TPM.MSC, следуйте указаниям мастера, после перезагрузки мастер Windows TPM сообщает, что TPM готов и "Windows автоматическое запоминание пароля владельца, бла-бла ... "(так же, как заметил Вайндил), у меня никогда не было возможности сохранить пароль владельца TPM. Затем я перезагружаюсь в BIOS, и TPM теперь имеет статус включен и принадлежит. Это подтвержденные окна действительно взяли в собственность TPM. Просто никогда не предлагалось пользователю сохранить пароль владельца. Мне также интересно, где был сохранен пароль, зарегистрируйтесь?

Интересно, что на ПК B, аналогичной процедуре, у меня была возможность сохранить пароль владельца в AD, файл или распечатать его.

Мне кажется, проблема связана со сборкой 1607 года. Если каким-то образом я смогу получить 1511 установочный носитель, я обязательно попробую его на ПК А, чтобы подтвердить это.

Привет! Я ударился головой о стену и, наконец, нашел решение на следующее утро. просто следуйте указанным ниже шагам.

установите владельца TPM, если он еще не установлен. не очень сложно. зайдите в настройки BIOS, включите его и дайте разрешение на управление из окон. если ваш битовый шкафчик включен. отключите шифрование диска BitLocker и следуйте инструкциям

Запустите CMD от имени администратора ...

1 ---- reg add HKLM \ SOFTWARE \ Policies \ Microsoft \ TPM / f / v OSManagedAuthLevel / t REG_DWORD / d 4 2 ---- WMIC / пространство имен: \ root \ cimv2 \ Security \ MicrosoftTpm Путь Win32_Tpm Где __RELPATH = " Win32_Tpm = @ "Call SetPhysicalPresenceRequest 14 3 ---- shutdown -r -t 15 любезно предоставлено автором. и после перезапуска просто запустите шаг, он будет работать гладко. woooaahhh !!! все сделано.