Questão Limpar o TPM não solicita uma nova senha, mas a palavra “alterar senha do proprietário” solicita a senha antiga


Recentemente, limpei meu TPM (Dell e7240, Windows 10). Durante o processo, em nenhum momento a Bios ou o Windows pediram uma nova senha do TPM. (E em nenhum ponto, desde que comprei este laptop, defini uma senha do TPM, tanto quanto é do meu conhecimento.) Eu tentei limpar tanto via Windows (com TPM.MSC) quanto via Bios, e sem nenhum método me perguntaram para uma nova senha.

O TPM.MSC informa que o TPM está "pronto para uso", mas se eu clicar em "alterar senha do proprietário", ele pedirá a senha antiga, apesar de eu ter acabado de limpar o TPM.

É possível limpar a senha do TPM?


13


origem


Você já tentou "Alterar senha do proprietário" deixando o campo "senha antiga" em branco? - Nathan.Eilisha Shiraini
Sim. Não aceita a senha (vazia). - cfp
Acabei de limpar meu TPM também. Quando foi reinicializado, o Windows disse algo no sentido de "o Windows pode manter sua chave segura para que você não precise se lembrar dela". Eu quero essa chave por um motivo! - vaindil
Parece que você limpou, mas você não reinicializou. Talvez isso ajude: technet.microsoft.com/pt-pt/itpro/windows/keep-secure/… - lightwing
De acordo com isso Artigo da Microsoft, OSManagedAuthLevel=2 significa Delegado. Você pode tentar configurá-lo para 4 (Full) e reinicializar, depois desmarcar novamente o TPM. Leia as partes relevantes do artigo. - harrymc


Respostas:


Eu tive o mesmo problema. Isto é o que eu encontrei depois de muita pesquisa: As versões posteriores do Windows 10 não permitem definir, salvar ou alterar a senha do proprietário do TPM por padrão. A senha é gerada pelo windows, usada pelas janelas para configurar o TPM e depois descartada. Dessa forma, ninguém pode interferir com o TPM depois de ter sido ativado. Na verdade, a senha do proprietário não existe mais. Você pode desativar esse recurso de segurança alterando um valor do registro, limpando o TPM e reinicializando. Depois disso, você poderá definir e alterar a senha do proprietário do TPM. Veja este artigo: https://technet.microsoft.com/pt-br/itpro/windows/keep-secure/change-the-tpm-owner-password?f=255&MSPPError=-2147217396

Depois de ler o artigo, decidi deixar as coisas como estão, com o novo padrão do Windows (ou seja, não há como acessar ou alterar a senha do proprietário do TPM). Você só precisa da senha do proprietário do TPM se a segurança do PC estiver sendo gerenciada centralmente em uma configuração corporativa com a necessidade de um administrador de segurança acessar o TPM remotamente. Em um aplicativo independente, o acesso remoto ao TPM não é necessário ou desejável. Você pode fazer tudo que precisa sem a senha do TPM, se tiver acesso físico ao PC.


8



O artigo do TechNet vinculado esclareceu tudo. Obrigado! Ótimo para ter uma resposta clara, pelo menos. - cfp
@cfp ... Se você tiver uma chance, por favor confirme o que você fez exatamente para consertar seu problema. Eu estava apenas curioso para saber se isso esclareceria as coisas ou se na verdade permitia que você completasse o que de outra forma você não conseguiria fazer. E se você fosse capaz de completar o que você não era de outra forma, apenas curioso o que a partir desse post especificamente você fez para resolver sua pergunta. Eu acho que parte do post seria extremamente útil para citar a resposta se você realmente aplicou e confirmou que fazê-lo resolveu o seu problema. - Pimp Juice IT
O artigo deixou claro que não adiantava tentar definir a senha do TPM. Eu não tentei seguir seus passos para habilitar o ajuste manual, pois estava convencido de que não havia nenhum benefício nisso. Eu concordo inteiramente com o questionador: "depois de ler o artigo, decidi deixar as coisas como estão, com o novo padrão do Windows". - cfp
Obrigado. Esta resposta realmente esclareceu as coisas para mim. Para um computador pessoal seguro, ficarei com a senha desconhecida criada aleatoriamente. - Brainski
Além disso, você pode desativar a inicialização automática se quiser fazer isso sozinho com o Disable-TpmAutoProvisioning comando powershell. technet.microsoft.com/pt-pt/library/jj603114.aspx - Tom Jenkinson


Redefinição do TPM pelo PowerShell

Você pode executar alguns dos comandos do PowerShell TPM executando-os a partir de um prompt de comando elevado do PowerShell (executado como administrador) para redefinir as configurações do TPM.

Compensação 

Vejo Tpm claro e Set-TpmOwnerAuth para mais detalhes, mas abaixo estão alguns para dar um tiro:

  • Clear-Tpm
  • Initialize-Tpm -AllowClear -AllowPhysicalPresence

Valor padrão

Você também pode querer considerar olhar por cima Inicializar-Tpm e note que se você não especificar um valor de autorização do proprietário, o cmdlet tentará ler o valor do registro então isso pode estar lendo e definindo por padrão o que você não conhece deste valor.

Novo valor

Você pode querer considerar correr ConvertTo-TpmOwnerAuth comando para especificar explicitamente a nova frase secreta do proprietário. Portanto, incorpore isso ao seu processo de acordo:

  • ConvertTo-TpmOwnerAuth -PassPhrase "<newpasswordstring>"

Definindo configurações de diretiva de grupo local para o BitLocker

Como eu disse que faria em um comentário abaixo alguns dias atrás, abaixo estão as etapas que tomo para configurar a criptografia TPM em PCs não associados ao domínio em um dos ambientes que eu suporte.

NOTA:  Por favor, note que algumas destas opções podem ter que   reiniciar depois que eu não mencionei especificamente, mas eu não   Lembra quais exatamente, exceto onde eu mencionei isso. Então se   ele reinicia ou precisa ser reiniciado após a configuração de uma opção.   é normal, só não mencionei. 

Durante uma das reinicializações, a máquina pode detectar um TPM   mudança de segurança e solicitar que você aceite ou rejeite as alterações   ativar, ativar ou apropriar-se do dispositivo TPM. Então você vai   quer aceitar essas mudanças se você receber tal prompt depois de um dos   reinicia as alterações feitas abaixo.

  1. Vamos para Começar > Corre > digite gpedit.msc e pressione Entere, em seguida, navegue para # 6 como na imagem de tela abaixo

    enter image description here

  2. Você vai querer definir as configurações acima # 6 localização com os valores das duas imagens abaixo da próxima tela

    enter image description here

    enter image description here

  3. Em seguida vá para Painel de controle > Criptografia de unidade bitlocker > selecione Ativar o BitLocker e depois pressione Next na janela como na imagem abaixo

    enter image description here

  4. No Preparando seu disco para o BitLocker janela de imprensa Next

  5. Quando o A preparação do Drive está concluída janelas aparecem, clique no Restart Now opção

  6. Após o reinício, entre novamente na máquina e quando o Configuração de Criptografia de Unidade de Disco BitLocker janela aparece, selecione o Next opção

  7. Quando o Ativar o hardware de segurança do TPM janelas aparecem na tela, selecione o Restart opção

  8. Após o reinício, entre novamente na máquina e quando o Configuração de Criptografia de Unidade de Disco BitLocker janela aparece, selecione o Next opção

  9. Você será solicitado a Digite um PIN Digite o PIN em ambos os campos, como na tela abaixo e pressione o botão Set PIN opção

    enter image description here

  10. Quando o Como você deseja fazer backup de sua chave de recuperação? janela, você vai querer pressionar o Salvar em um arquivo opção e, em seguida, pressione o Next opção. Você precisará garantir que você coloque isso em uma unidade USB e salve essa chave de recuperação nela e copie-a para outro lugar mais tarde, como uma unidade de rede, etc.

    enter image description here

  11. No Escolha quanto da sua unidade para criptografar, no meu caso eu selecionei o Criptografar somente o espaço em disco usado desde que eu faça isso para novas configurações de PC, mas você pode selecionar a opção mais adequada aqui para suas necessidades e, em seguida, pressione o Next opção

    enter image description here

  12. No Escolha qual modo de criptografia usar janela você vai querer verificar a opção apropriada para o seu ambiente, mas o que eu seleciono neste ambiente do meu lado é mostrado na imagem abaixo

    enter image description here


Veja também Como limpar o chip TPM de quaisquer credenciais de propriedade anteriores e não se esqueça de seguir estas instruções passo-a-passo, se ainda não o fez.

Como limpar o chip TPM de quaisquer credenciais de propriedade anteriores

Este artigo fornece informações sobre como redefinir o chip do TPM e limpar todos os detalhes anteriores do proprietário.

Você não consegue redefinir credenciais DDPA ou DCP no seu sistema

Você pode encontrar um problema ao tentar redefinir o DDP | ​​A ou    DCP credenciais, onde você será solicitado a fornecer uma senha de propriedade do Trusted Platform Module (TPM).

Se você perdeu o Senha TPM, o chip TPM pode ser limpo usando   janelas.

Aviso: Isso apagará completamente o armazenamento de credenciais do TPM, incluindo criptografia do disco rígido, impressões digitais, cartões inteligentes etc.     Por favor, verifique quais dispositivos de segurança você está usando que podem ser     afetado. Certifique-se de ter uma senha do Windows configurada e definida para     entrar.

Como redefinir e limpar o chip do TPM

A primeira coisa a fazer é remover qualquer senhas de pré-inicialização no    DDP | ​​A console.

Isso não afetará a senha do Windows.

Você deve ser capaz de validar assim como em qualquer cenário de credencial,   e você deve estar um administrador neste sistema a fim de   executar esta função.

  1. Clique Começar. No Pesquisar \ Executar caixa, tipo tpm.msc e pressione ENTRAR.

  2. Debaixo de Seção Ações à direita, clique em TPM claro.

  3. No Limpar o hardware de segurança do TPM caixa, cheque Eu não tenho a senha do proprietário do TPM e clique Está bem.

  4. Você será solicitado a reiniciar. Logo após o Dell POSTAR tela, você será solicitado a pressionar uma tecla F10) para limpar TPM.   Pressione essa tecla.

  5. Quando o sistema for reinicializado, você será solicitado a reiniciar e seguir as instruções ativar o TPM. Reiniciar.

  6. Logo após o Dell POSTAR tela, você será solicitado a pressionar uma tecla para ativar o TPM. Pressione essa tecla (geralmente F10).

    Nota: Se você não usar o TPM, pressione o botão ESC chave.

  7. Uma vez de volta ao desktop, o Assistente de configuração do TPM aparece para você inserir um Senha do proprietário do TPM ou você pode escolher mudança   Senha do Proprietário.

Agora você pode limpar DDP | ​​A credenciais através de DDP | ​​A console.

Para mais informações, confira o artigo abaixo:

fonte


5



Isso foi discutido nos comentários (eu não sou OP, mas coloco a recompensa nisso; não posso editar a pergunta). Eu sou capaz de seguir estes passos, mas nunca tive a oportunidade, pelo Windows, de definir a senha do proprietário. Depois que o TPM é limpo e o Windows é reinicializado, uma janela é exibida dizendo que o TPM está desmarcado e que "o Windows pode lembrar a senha do proprietário para [mim], de modo que não é necessário". - vaindil
Limpei o TPM com Clear-Tpm e tudo correu bem. Antes de reiniciar, eu também corri Disable-TpmAutoProvisioning. Depois de reiniciar tudo, o TPM não estava pronto. Então eu corri Initialize-Tpm -AllowClear -AllowPhysicalPresence. O comando demorou um pouco, então retornou que o TPM está pronto. tpm.msc também diz que está pronto. Eu nunca fui solicitado por uma senha de proprietário. - vaindil
As bandeiras do exemplo -ForceClearAllowed e -PhysicalPresenceAllowed ambos são inválidos, e um comentário no artigo diz isso também. - vaindil
@vaindil Adicionei outros cmdlets do PowerShell para tentar uma solução, mas ajudaria saber qual é o seu objetivo final: definir uma nova senha de proprietário, mantê-la totalmente desativada ou o que? Eu adicionei cmdlets adicionais do PowerShell para alterar a senha do proprietário para um novo valor. - Pimp Juice IT
Initialize-Tpm não parece ter uma maneira de especificar a nova senha do proprietário como você mencionou para fazer. ConvertTo-TpmOwnerAuth na verdade não define nada - apenas converte uma string em um valor de autorização do proprietário (seja lá o que isso signifique). - vaindil


Eu suspeito que é um bug com o Windows 10. Eu tive exatamente o mesmo problema que o OP. Aqui estão minhas descobertas. Eu tenho dois PCs, A e B, ambos têm a especificação TPM 1.2; ambos têm o bitlocker ativado. A é o Windows 10 1607, B está no Windows 10 1511.

Use TPM.MSC em A. Posso limpar o TPM sem fornecer a senha do proprietário, mas qualquer outra coisa exige a senha do proprietário. No entanto, em B, nenhuma dessas ações exige a senha do proprietário.

Além disso, no PC A, eu limpei o TPM via BIOS, reiniciei, verifiquei duas vezes se o status do TPM estava desativado e sem dono no BIOS. Inicialize o Windows via senha de recuperação (certifique-se de ter sua senha de recuperação se for tentar fazer isso no PC), prepare o TPM via TPM.MSC, siga o assistente, após a reinicialização, o assistente do Windows TPM diz que o TPM está pronto e "Windows automático lembrar senha do proprietário, blá blá ... "(o mesmo que vaindil observou), nunca tive a chance de salvar a senha do proprietário do TPM. Em seguida, reinicio o BIOS e o TPM agora tem status ativado e de propriedade. Essas janelas confirmadas realmente tiraram a propriedade do TPM. Ele nunca ofereceu ao usuário a chance de salvar a senha do proprietário. Eu também me pergunto onde a senha foi salva, registery?

Curiosamente, no PC B, procedimento semelhante, tive a chance de salvar a senha do proprietário para o AD, arquivo ou imprimi-lo.

Parece-me que o problema está relacionado com 1607 build. Se de alguma forma eu conseguir instalar o 1511, eu definitivamente tentarei no PC A para confirmá-lo.


3





oi lá eu bati minha cabeça na parede e finalmente encontrei uma solução na manhã seguinte. basta seguir os passos abaixo mencionados.

defina seu proprietário do TPM, se ainda não estiver definido. não é muito difícil. vá para a configuração de bios, ative-a e dê permissão para gerenciar a partir das janelas também. se o seu armário de bits estiver ativado. desative a Criptografia de Unidade de Disco BitLocker e siga as etapas

Execute o CMD como administrador ...

1 ---- reg add HKLM \ SOFTWARE \ Policies \ Microsoft \ TPM / f / v OSManagedAuthLevel / t REG_DWORD / d 4 2 ---- WMIC / namespace: \ root \ cimv2 \ Segurança \ Caminho MicrosoftTpm Win32_Tpm Onde __RELPATH = "Win32_Tpm = @" Chame SetPhysicalPresenceRequest 14 3 ---- shutdown -r -t 15 cortesia autor original. e após o reinício apenas execute o passo, ele rodará sem problemas. woooaahhh !!! tudo feito.


0