Xóa TPM không yêu cầu mật khẩu mới, nhưng mật khẩu thay đổi chủ sở hữu, mật khẩu yêu cầu mật khẩu cũ

Gần đây tôi đã xóa TPM của mình (Dell e7240, Windows 10). Trong quá trình, Bios hoặc Windows không yêu cầu mật khẩu TPM mới. . cho một mật khẩu mới.

TPM.MSC báo cáo rằng TPM "đã sẵn sàng để sử dụng", nhưng nếu tôi nhấp vào "thay đổi mật khẩu chủ sở hữu", nó sẽ hỏi mật khẩu cũ, mặc dù tôi vừa xóa TPM.

Có thể xóa mật khẩu TPM?

Tôi đã từng gặp vấn đề tương tự. Đây là những gì tôi tìm thấy sau nhiều lần tìm kiếm: Các phiên bản Windows 10 sau này không cho phép bạn đặt, lưu hoặc thay đổi mật khẩu chủ sở hữu TPM theo mặc định. Mật khẩu được tạo bởi các cửa sổ, được sử dụng bởi các cửa sổ để cấu hình TPM sau đó bị loại bỏ. Bằng cách đó, không ai có thể can thiệp vào TPM sau khi nó được kích hoạt. Trong thực tế, mật khẩu chủ sở hữu không còn tồn tại. Bạn có thể vô hiệu hóa tính năng bảo mật này bằng cách thay đổi giá trị đăng ký, xóa TPM và khởi động lại. Sau đó, bạn sẽ có thể đặt và thay đổi mật khẩu chủ sở hữu TPM. Xem bài viết này: https://technet.microsoft.com/en-us/itpro/windows/keep-secure/change-the-tpm-owner-password?f=255&MSPPError=-2147217394

Sau khi đọc bài viết, tôi quyết định để mọi thứ như hiện tại, với mặc định Windows mới (nghĩa là không có cách nào để truy cập hoặc thay đổi mật khẩu chủ sở hữu TPM). Bạn chỉ cần mật khẩu chủ sở hữu TPM nếu bảo mật PC được quản lý tập trung trong thiết lập doanh nghiệp với nhu cầu quản trị viên bảo mật truy cập TPM từ xa. Trong một ứng dụng độc lập, việc truy cập từ xa vào TPM là không cần thiết hoặc không mong muốn. Bạn có thể làm mọi thứ bạn cần mà không cần mật khẩu TPM nếu bạn có quyền truy cập vật lý vào PC.

PowerShell đặt lại TPM

Bạn có thể cung cấp cho một số lệnh TPM PowerShell bằng cách chạy chúng từ dấu nhắc lệnh PowerShell nâng cao (chạy với tư cách quản trị viên) để đặt lại cài đặt TPM.

Dọn dẹp

Xem Clear-Tpm và Set-TpmOwnerAuth để biết thêm chi tiết nhưng dưới đây là một vài cách để đưa ra một cú đánh:

• Clear-Tpm
• Initialize-Tpm -AllowClear -AllowPhysicalPresence

Giá trị mặc định

Bạn cũng có thể muốn xem xét việc xem qua Khởi tạo-Tpm và lưu ý rằng nếu bạn không chỉ định giá trị ủy quyền của chủ sở hữu, cmdlet sẽ cố gắng đọc giá trị từ sổ đăng ký để điều này có thể được đọc và cài đặt theo mặc định những gì bạn không biết giá trị này.

Giá trị mới

Bạn có thể muốn xem xét việc chạy lệnh ConvertTo-TpmOwnerAuth để chỉ định rõ ràng cụm mật khẩu của chủ sở hữu mới. Vì vậy, kết hợp điều này vào quá trình của bạn cho phù hợp:

• ConvertTo-TpmOwnerAuth -PassPhrase "<newpasswordstring>"

Định cấu hình cài đặt chính sách nhóm cục bộ cho BitLocker

Như tôi đã nói tôi sẽ làm trong một bình luận bên dưới vài ngày trước, dưới đây là các bước tôi thực hiện để thiết lập mã hóa TPM trên các PC không thuộc miền tham gia trong một trong những môi trường tôi hỗ trợ.

^{LƯU Ý: Xin lưu ý rằng một số tùy chọn này có thể phải khởi động lại sau đó mà tôi không đề cập cụ thể nhưng tôi không nhớ chính xác những tùy chọn nào ngoại trừ nơi tôi đã đề cập đến. Vì vậy, nếu nó khởi động lại hoặc cần bạn khởi động lại sau khi đặt tùy chọn, thì điều đó là bình thường, tôi chỉ không đề cập đến nó.}

^{Trong quá trình khởi động lại, máy có thể phát hiện thay đổi bảo mật TPM và nhắc bạn chấp nhận hoặc từ chối các thay đổi để bật, kích hoạt hoặc sở hữu thiết bị TPM. Vì vậy, bạn sẽ muốn chấp nhận những thay đổi này nếu bạn nhận được lời nhắc như vậy sau khi một trong những lần khởi động lại theo các thay đổi được thực hiện dưới đây.}

1. Đi đến Bắt đầu > Chạy > nhập gpedit.msc và nhấn Enter, sau đó điều hướng đến # 6 như trong ảnh chụp màn hình bên dưới

   

2. Bạn sẽ muốn đặt cài đặt từ vị trí số 6 ở trên với các giá trị từ hai ảnh chụp màn hình bên dưới tiếp theo

   

   

3. Tiếp theo, đi tới Bảng điều khiển > Mã hóa ổ đĩa Bitlocker > chọn Bật BitLocker và sau đó nhấn Nexttrong cửa sổ như trong ảnh chụp màn hình bên dưới

   

4. Trên cửa sổ Chuẩn bị ổ đĩa cho BitLocker, nhấnNext

5. Khi quá trình chuẩn bị Drive hoàn tất, cửa sổ bật lên, nhấp vào Restart Nowtùy chọn

6. Sau khi khởi động lại, hãy đăng nhập lại vào máy và khi cửa sổ thiết lập Mã hóa BitLocker Drive bật lên, chọn Nexttùy chọn

7. Khi cửa sổ bật phần cứng bảo mật TPM bật lên trên màn hình của bạn, chọn Restarttùy chọn

8. Sau khi khởi động lại, hãy đăng nhập lại vào máy và khi cửa sổ thiết lập Mã hóa BitLocker Drive bật lên, chọn Nexttùy chọn

9. Sau đó, bạn sẽ được nhắc nhập mã PIN để nhập mã PIN vào cả hai trường như trong ảnh chụp màn hình bên dưới và sau đó nhấn Set PINtùy chọn

   

10. Khi bạn muốn sao lưu cửa sổ phím khôi phục , bạn sẽ muốn nhấn tùy chọn Lưu vào tệp và sau đó nhấn Nexttùy chọn. Bạn sẽ cần đảm bảo bạn đặt cái này vào ổ USB và lưu khóa khôi phục này vào nó và sau đó sao chép nó ở một nơi khác sau đó như ổ đĩa mạng, v.v.

    

11. Trong phần Chọn số lượng ổ đĩa của bạn cần mã hóa , trong trường hợp của tôi, tôi đã chọn Mã hóa dung lượng ổ đĩa đã sử dụng chỉ khi tôi thực hiện việc này cho các thiết lập PC mới, nhưng bạn có thể chọn tùy chọn phù hợp nhất ở đây cho các yêu cầu của mình và sau đó nhấn Nexttùy chọn

    

12. Trong cửa sổ Chọn chế độ mã hóa để sử dụng, bạn sẽ muốn kiểm tra tùy chọn phù hợp với môi trường của mình nhưng chế độ tôi chọn trong môi trường này về phía tôi được hiển thị trong ảnh chụp màn hình bên dưới

    

Đồng thời xem Cách xóa Chip TPM của bất kỳ Thông tin sở hữu trước đây và chắc chắn làm theo các hướng dẫn từng bước nếu bạn chưa làm như vậy.

Cách xóa Chip TPM của mọi Thông tin xác thực quyền sở hữu trước đó

_{Bài viết này cung cấp thông tin về cách đặt lại chip TPM và xóa tất cả các chi tiết chủ sở hữu trước đó .}

Bạn không thể đặt lại thông tin đăng nhập DDPA hoặc DCP trên hệ thống của bạn

Bạn có thể gặp sự cố trong khi cố gắng đặt lại thông tin đăng nhập DDP | ​​A hoặc DCP , nơi bạn được nhắc nhập mật khẩu quyền sở hữu Mô-đun nền tảng đáng tin cậy (TPM).

Nếu bạn mất mật khẩu TPM, chip TPM có thể bị xóa bằng Windows .

_{Lưu ý: Điều này sẽ xóa hoàn toàn kho thông tin TPM, bao gồm mã hóa ổ cứng, dấu vân tay, thẻ thông minh, v.v. Vui lòng kiểm tra xem thiết bị bảo mật nào bạn đang sử dụng có thể bị ảnh hưởng. Đảm bảo rằng bạn đã thiết lập mật khẩu Windows và thiết lập để đăng nhập.}

Cách đặt lại và xóa Chip TPM

Điều đầu tiên cần làm là xóa mọi mật khẩu tiền khởi động trong bảng điều khiển DDP | ​​A.

Điều này sẽ không ảnh hưởng đến mật khẩu Windows.

Bạn phải có thể xác thực như trong bất kỳ kịch bản thông tin xác thực nào và bạn phải là quản trị viên trên hệ thống này để thực hiện chức năng này.

1. Nhấp vào Bắt đầu . Trong hộp Tìm kiếm \ Chạy , nhập tpm.msc và nhấn ENTER .

2. Trong phần Hành động ở bên phải, nhấp vào Xóa TPM .

3. Trong hộp Xóa phần cứng bảo mật TPM , kiểm tra tôi không có mật khẩu chủ sở hữu TPM và bấm OK .

4. Bạn sẽ được yêu cầu Khởi động lại. Ngay sau màn hình Dell POST , bạn sẽ được nhắc nhấn một phím (thường là F10 ) để xóa TPM. Nhấn phím đó .

5. Khi hệ thống khởi động lại, bạn sẽ được nhắc khởi động lại và làm theo hướng dẫn để bật TPM . Khởi động lại.

6. Ngay sau màn hình Dell POST , bạn sẽ được nhắc nhấn một phím để bật TPM. Nhấn phím đó ( thường là F10 ).

   _{Lưu ý: Nếu bạn không sử dụng TPM, hãy bấm phím ESC .}

7. Khi quay lại máy tính để bàn, Trình hướng dẫn cài đặt TPM sẽ xuất hiện để bạn nhập mật khẩu chủ sở hữu TPM hoặc bạn có thể chọn Thay đổi mật khẩu chủ sở hữu .

Bạn có thể bây giờ rõ ràng DDP | credentials Một qua DDP | Một giao diện điều khiển .

Để biết thêm thông tin, xin vui lòng kiểm tra bài viết dưới đây:

• http://technet.microsoft.com/en-us/l Library / cc753694.aspx

_nguồn

Tôi nghi ngờ đây là một lỗi với Windows 10. Tôi gặp vấn đề chính xác như OP. Đây là những phát hiện của tôi. Tôi có hai PC, A và B, cả hai đều có TPM spec 1.2; cả hai đều được kích hoạt bitlocker. A là Windows 10 1607, B là trên Windows 10 1511.

Sử dụng TPM.MSC trên A. Tôi có thể xóa TPM mà không cần cung cấp mật khẩu chủ sở hữu, nhưng bất cứ điều gì khác yêu cầu mật khẩu chủ sở hữu. Tuy nhiên, trên B, các hành động này không yêu cầu mật khẩu chủ sở hữu.

Hơn nữa, trên PC A, tôi đã xóa TPM thông qua BIOS, khởi động lại, kiểm tra kỹ trạng thái TPM đã bị vô hiệu hóa và không có tên trong BIOS. Khởi động vào windows thông qua mật khẩu khôi phục (đảm bảo bạn có mật khẩu khôi phục nếu bạn sẽ thử điều này trên PC), chuẩn bị TPM qua TPM.MSC, theo trình hướng dẫn, sau khi khởi động lại, trình hướng dẫn TPM cho biết TPM đã sẵn sàng và "Windows tự động nhớ mật khẩu chủ sở hữu, blah blah ... "(giống như vaindil đã quan sát), chưa bao giờ tôi có cơ hội lưu mật khẩu chủ sở hữu TPM. Sau đó tôi khởi động lại vào BIOS và TPM hiện đã kích hoạt và sở hữu trạng thái. Cửa sổ được xác nhận này thực sự đã sở hữu TPM. Nó chỉ không bao giờ cung cấp cho người dùng một cơ hội để lưu mật khẩu chủ sở hữu. Tôi cũng tự hỏi mật khẩu đã được lưu ở đâu, đăng ký?

Thật thú vị, trên PC B, quy trình tương tự, tôi đã có cơ hội lưu mật khẩu chủ sở hữu vào AD, tập tin hoặc in nó.

Nó xuất hiện với tôi vấn đề liên quan đến bản dựng 1607. Nếu bằng cách nào đó tôi có thể nhận được 1511 phương tiện cài đặt, tôi chắc chắn sẽ thử nó trên PC A để xác nhận nó.

xin chào tôi đã đập đầu vào tường và cuối cùng đã tìm ra giải pháp vào sáng hôm sau. chỉ cần làm theo các bước được đề cập dưới đây.

đặt chủ sở hữu TPM của bạn nếu chưa được đặt. không khó lắm đi tới cài đặt bios cho phép nó và cũng cho phép quản lý từ các cửa sổ. nếu khóa bit của bạn được kích hoạt. vô hiệu hóa mã hóa ổ đĩa BitLocker và làm theo các bước

Chạy CMD với tư cách quản trị viên ...

1 ---- reg thêm HKLM \ SOFTWARE \ Chính sách \ Microsoft \ TPM / f / v OSManagedAuthLevel / t REG_DWORD / d 4 2 ---- WMIC / không gian tên: \ root \ cimv2 \ Security \ MicrosoftTpm Đường dẫn Win32_Tpm Trong đó __RELPATH = " Win32_Tpm = @ "Gọi SetPhysicalPresenceRequest 14 3 ---- tắt máy -r -t 15 tác giả gốc lịch sự. và sau khi khởi động lại chỉ cần chạy bước nó sẽ chạy trơn tru. woooaahhh !!! tất cả đã được làm xong.