Xóa TPM không yêu cầu mật khẩu mới, nhưng mật khẩu thay đổi chủ sở hữu, mật khẩu yêu cầu mật khẩu cũ


15

Gần đây tôi đã xóa TPM của mình (Dell e7240, Windows 10). Trong quá trình, Bios hoặc Windows không yêu cầu mật khẩu TPM mới. . cho một mật khẩu mới.

TPM.MSC báo cáo rằng TPM "đã sẵn sàng để sử dụng", nhưng nếu tôi nhấp vào "thay đổi mật khẩu chủ sở hữu", nó sẽ hỏi mật khẩu cũ, mặc dù tôi vừa xóa TPM.

Có thể xóa mật khẩu TPM?


Bạn đã thử "Thay đổi mật khẩu chủ sở hữu" trong khi để trống trường "mật khẩu cũ" chưa?
Nathan.Eilisha Shiraini

Đúng. Nó không chấp nhận mật khẩu (trống).
cfp

Tôi chỉ xóa TPM của tôi là tốt. Khi được khởi động lại, Windows đã nói điều gì đó với tác dụng của "Windows có thể giữ khóa của bạn an toàn để bạn không cần phải nhớ nó". Tôi muốn chìa khóa đó cho một lý do!
vaindil

Âm thanh như bạn đã xóa nó, nhưng bạn đã không khởi tạo lại nó. Có lẽ điều này sẽ giúp: technet.microsoft.com/en-us/itpro/windows/keep-secure/ mẹo
lightwing

2
Theo bài viết này của Microsoft , OSManagedAuthLevel=2có nghĩa là Đại biểu. Bạn có thể thử đặt thành 4 (Đầy đủ) và khởi động lại, sau đó xóa lại TPM. Đọc các phần có liên quan của bài viết.
harrymc

Câu trả lời:


10

Tôi đã từng gặp vấn đề tương tự. Đây là những gì tôi tìm thấy sau nhiều lần tìm kiếm: Các phiên bản Windows 10 sau này không cho phép bạn đặt, lưu hoặc thay đổi mật khẩu chủ sở hữu TPM theo mặc định. Mật khẩu được tạo bởi các cửa sổ, được sử dụng bởi các cửa sổ để cấu hình TPM sau đó bị loại bỏ. Bằng cách đó, không ai có thể can thiệp vào TPM sau khi nó được kích hoạt. Trong thực tế, mật khẩu chủ sở hữu không còn tồn tại. Bạn có thể vô hiệu hóa tính năng bảo mật này bằng cách thay đổi giá trị đăng ký, xóa TPM và khởi động lại. Sau đó, bạn sẽ có thể đặt và thay đổi mật khẩu chủ sở hữu TPM. Xem bài viết này: https://technet.microsoft.com/en-us/itpro/windows/keep-secure/change-the-tpm-owner-password?f=255&MSPPError=-2147217394

Sau khi đọc bài viết, tôi quyết định để mọi thứ như hiện tại, với mặc định Windows mới (nghĩa là không có cách nào để truy cập hoặc thay đổi mật khẩu chủ sở hữu TPM). Bạn chỉ cần mật khẩu chủ sở hữu TPM nếu bảo mật PC được quản lý tập trung trong thiết lập doanh nghiệp với nhu cầu quản trị viên bảo mật truy cập TPM từ xa. Trong một ứng dụng độc lập, việc truy cập từ xa vào TPM là không cần thiết hoặc không mong muốn. Bạn có thể làm mọi thứ bạn cần mà không cần mật khẩu TPM nếu bạn có quyền truy cập vật lý vào PC.


Bài báo TechNet được liên kết đã làm rõ mọi thứ. Cảm ơn! Tuyệt vời để có một câu trả lời rõ ràng ít nhất.
cfp

@cfp ... Nếu bạn có cơ hội, vui lòng xác nhận chính xác những gì bạn đã làm để khắc phục vấn đề của mình. Tôi chỉ tò mò nếu điều này làm sáng tỏ mọi thứ hoặc nếu nó thực sự cho phép bạn hoàn thành những gì bạn không thể hoàn thành. Và nếu bạn có thể hoàn thành những gì bạn không biết, chỉ cần tò mò những gì từ bài đăng đó cụ thể bạn đã làm để giải quyết yêu cầu của bạn. Tôi nghĩ rằng một phần của bài viết sẽ cực kỳ hữu ích để trích dẫn trong câu trả lời nếu bạn thực sự áp dụng nó và xác nhận rằng việc thực hiện nó đã giải quyết vấn đề của bạn.
Pimp Juice IT

Bài báo đã làm rõ rằng không có điểm nào cố gắng đặt mật khẩu TPM. Tôi đã không cố gắng làm theo các bước của nó để kích hoạt cài đặt thủ công, vì tôi tin rằng không có lợi cho việc này. Tôi hoàn toàn đồng ý với người trả lời câu hỏi: "sau khi đọc bài viết, tôi quyết định để mọi thứ như hiện tại, với mặc định Windows mới".
cfp

Cảm ơn. Câu trả lời này thực sự làm rõ mọi thứ với tôi. Đối với một máy tính cá nhân an toàn, tôi sẽ ở lại với mật khẩu không xác định được tạo ngẫu nhiên.
Brainski

Ngoài ra, bạn có thể tắt chức năng khởi động tự động nếu bạn muốn tự làm điều này bằng Disable-TpmAutoProvisioninglệnh powershell. technet.microsoft.com/en-us/l Library / jj603114.aspx
Tom Jenkinson

7

PowerShell đặt lại TPM

Bạn có thể cung cấp cho một số lệnh TPM PowerShell bằng cách chạy chúng từ dấu nhắc lệnh PowerShell nâng cao (chạy với tư cách quản trị viên) để đặt lại cài đặt TPM.

Dọn dẹp

Xem Clear-TpmSet-TpmOwnerAuth để biết thêm chi tiết nhưng dưới đây là một vài cách để đưa ra một cú đánh:

  • Clear-Tpm
  • Initialize-Tpm -AllowClear -AllowPhysicalPresence

Giá trị mặc định

Bạn cũng có thể muốn xem xét việc xem qua Khởi tạo-Tpm và lưu ý rằng nếu bạn không chỉ định giá trị ủy quyền của chủ sở hữu, cmdlet sẽ cố gắng đọc giá trị từ sổ đăng ký để điều này có thể được đọc và cài đặt theo mặc định những gì bạn không biết giá trị này.

Giá trị mới

Bạn có thể muốn xem xét việc chạy lệnh ConvertTo-TpmOwnerAuth để chỉ định rõ ràng cụm mật khẩu của chủ sở hữu mới. Vì vậy, kết hợp điều này vào quá trình của bạn cho phù hợp:

  • ConvertTo-TpmOwnerAuth -PassPhrase "<newpasswordstring>"

Định cấu hình cài đặt chính sách nhóm cục bộ cho BitLocker

Như tôi đã nói tôi sẽ làm trong một bình luận bên dưới vài ngày trước, dưới đây là các bước tôi thực hiện để thiết lập mã hóa TPM trên các PC không thuộc miền tham gia trong một trong những môi trường tôi hỗ trợ.

LƯU Ý: Xin lưu ý rằng một số tùy chọn này có thể phải khởi động lại sau đó mà tôi không đề cập cụ thể nhưng tôi không nhớ chính xác những tùy chọn nào ngoại trừ nơi tôi đã đề cập đến. Vì vậy, nếu nó khởi động lại hoặc cần bạn khởi động lại sau khi đặt tùy chọn, thì điều đó là bình thường, tôi chỉ không đề cập đến nó.

Trong quá trình khởi động lại, máy có thể phát hiện thay đổi bảo mật TPM và nhắc bạn chấp nhận hoặc từ chối các thay đổi để bật, kích hoạt hoặc sở hữu thiết bị TPM. Vì vậy, bạn sẽ muốn chấp nhận những thay đổi này nếu bạn nhận được lời nhắc như vậy sau khi một trong những lần khởi động lại theo các thay đổi được thực hiện dưới đây.

  1. Đi đến Bắt đầu > Chạy > nhập gpedit.msc và nhấn Enter, sau đó điều hướng đến # 6 như trong ảnh chụp màn hình bên dưới

    nhập mô tả hình ảnh ở đây

  2. Bạn sẽ muốn đặt cài đặt từ vị trí số 6 ở trên với các giá trị từ hai ảnh chụp màn hình bên dưới tiếp theo

    nhập mô tả hình ảnh ở đây

    nhập mô tả hình ảnh ở đây

  3. Tiếp theo, đi tới Bảng điều khiển > Mã hóa ổ đĩa Bitlocker > chọn Bật BitLocker và sau đó nhấn Nexttrong cửa sổ như trong ảnh chụp màn hình bên dưới

    nhập mô tả hình ảnh ở đây

  4. Trên cửa sổ Chuẩn bị ổ đĩa cho BitLocker, nhấnNext

  5. Khi quá trình chuẩn bị Drive hoàn tất, cửa sổ bật lên, nhấp vào Restart Nowtùy chọn

  6. Sau khi khởi động lại, hãy đăng nhập lại vào máy và khi cửa sổ thiết lập Mã hóa BitLocker Drive bật lên, chọn Nexttùy chọn

  7. Khi cửa sổ bật phần cứng bảo mật TPM bật lên trên màn hình của bạn, chọn Restarttùy chọn

  8. Sau khi khởi động lại, hãy đăng nhập lại vào máy và khi cửa sổ thiết lập Mã hóa BitLocker Drive bật lên, chọn Nexttùy chọn

  9. Sau đó, bạn sẽ được nhắc nhập mã PIN để nhập mã PIN vào cả hai trường như trong ảnh chụp màn hình bên dưới và sau đó nhấn Set PINtùy chọn

    nhập mô tả hình ảnh ở đây

  10. Khi bạn muốn sao lưu cửa sổ phím khôi phục , bạn sẽ muốn nhấn tùy chọn Lưu vào tệp và sau đó nhấn Nexttùy chọn. Bạn sẽ cần đảm bảo bạn đặt cái này vào ổ USB và lưu khóa khôi phục này vào nó và sau đó sao chép nó ở một nơi khác sau đó như ổ đĩa mạng, v.v.

    nhập mô tả hình ảnh ở đây

  11. Trong phần Chọn số lượng ổ đĩa của bạn cần mã hóa , trong trường hợp của tôi, tôi đã chọn Mã hóa dung lượng ổ đĩa đã sử dụng chỉ khi tôi thực hiện việc này cho các thiết lập PC mới, nhưng bạn có thể chọn tùy chọn phù hợp nhất ở đây cho các yêu cầu của mình và sau đó nhấn Nexttùy chọn

    nhập mô tả hình ảnh ở đây

  12. Trong cửa sổ Chọn chế độ mã hóa để sử dụng, bạn sẽ muốn kiểm tra tùy chọn phù hợp với môi trường của mình nhưng chế độ tôi chọn trong môi trường này về phía tôi được hiển thị trong ảnh chụp màn hình bên dưới

    nhập mô tả hình ảnh ở đây


Đồng thời xem Cách xóa Chip TPM của bất kỳ Thông tin sở hữu trước đây và chắc chắn làm theo các hướng dẫn từng bước nếu bạn chưa làm như vậy.

Cách xóa Chip TPM của mọi Thông tin xác thực quyền sở hữu trước đó

Bài viết này cung cấp thông tin về cách đặt lại chip TPM và xóa tất cả các chi tiết chủ sở hữu trước đó .

Bạn không thể đặt lại thông tin đăng nhập DDPA hoặc DCP trên hệ thống của bạn

Bạn có thể gặp sự cố trong khi cố gắng đặt lại thông tin đăng nhập DDP | ​​A hoặc DCP , nơi bạn được nhắc nhập mật khẩu quyền sở hữu Mô-đun nền tảng đáng tin cậy (TPM).

Nếu bạn mất mật khẩu TPM, chip TPM có thể bị xóa bằng Windows .

Lưu ý: Điều này sẽ xóa hoàn toàn kho thông tin TPM, bao gồm mã hóa ổ cứng, dấu vân tay, thẻ thông minh, v.v. Vui lòng kiểm tra xem thiết bị bảo mật nào bạn đang sử dụng có thể bị ảnh hưởng. Đảm bảo rằng bạn đã thiết lập mật khẩu Windows và thiết lập để đăng nhập.

Cách đặt lại và xóa Chip TPM

Điều đầu tiên cần làm là xóa mọi mật khẩu tiền khởi động trong bảng điều khiển DDP | ​​A.

Điều này sẽ không ảnh hưởng đến mật khẩu Windows.

Bạn phải có thể xác thực như trong bất kỳ kịch bản thông tin xác thực nào và bạn phải là quản trị viên trên hệ thống này để thực hiện chức năng này.

  1. Nhấp vào Bắt đầu . Trong hộp Tìm kiếm \ Chạy , nhập tpm.msc và nhấn ENTER .

  2. Trong phần Hành động ở bên phải, nhấp vào Xóa TPM .

  3. Trong hộp Xóa phần cứng bảo mật TPM , kiểm tra tôi không có mật khẩu chủ sở hữu TPM và bấm OK .

  4. Bạn sẽ được yêu cầu Khởi động lại. Ngay sau màn hình Dell POST , bạn sẽ được nhắc nhấn một phím (thường là F10 ) để xóa TPM. Nhấn phím đó .

  5. Khi hệ thống khởi động lại, bạn sẽ được nhắc khởi động lại và làm theo hướng dẫn để bật TPM . Khởi động lại.

  6. Ngay sau màn hình Dell POST , bạn sẽ được nhắc nhấn một phím để bật TPM. Nhấn phím đó ( thường là F10 ).

    Lưu ý: Nếu bạn không sử dụng TPM, hãy bấm phím ESC .

  7. Khi quay lại máy tính để bàn, Trình hướng dẫn cài đặt TPM sẽ xuất hiện để bạn nhập mật khẩu chủ sở hữu TPM hoặc bạn có thể chọn Thay đổi mật khẩu chủ sở hữu .

Bạn có thể bây giờ rõ ràng DDP | credentials Một qua DDP | Một giao diện điều khiển .

Để biết thêm thông tin, xin vui lòng kiểm tra bài viết dưới đây:

nguồn


Điều này đã được thảo luận trong các ý kiến ​​(Tôi không phải là OP nhưng tôi đặt tiền thưởng vào việc này; tôi không thể chỉnh sửa câu hỏi). Tôi có thể làm theo các bước này nhưng tôi chưa bao giờ cho Windows cơ hội đặt mật khẩu chủ sở hữu. Sau khi TPM bị xóa và Windows khởi động lại, một cửa sổ bật lên nói rằng TPM bị xóa và "Windows có thể nhớ mật khẩu chủ sở hữu cho [tôi] để [tôi] không phải".
vaindil

Tôi đã xóa TPM Clear-Tpmvà điều đó đã ổn. Trước khi khởi động lại, tôi cũng chạy Disable-TpmAutoProvisioning. Sau khi khởi động lại mọi thứ cho biết TPM chưa sẵn sàng. Sau đó tôi chạy Initialize-Tpm -AllowClear -AllowPhysicalPresence. Lệnh mất một lúc, sau đó nó trả lại rằng TPM đã sẵn sàng. tpm.msccũng nói rằng nó đã sẵn sàng. Tôi không bao giờ được nhắc nhập mật khẩu chủ sở hữu.
vaindil

Các cờ của ví dụ -ForceClearAllowed-PhysicalPresenceAllowedđều không hợp lệ, và một nhận xét về bài báo cũng nói như vậy.
vaindil

@vaindil Tôi đã thêm các lệnh ghép ngắn PowerShell khác để thử giải pháp nhưng sẽ giúp biết mục tiêu cuối cùng của bạn là gì: muốn đặt mật khẩu chủ sở hữu mới, giữ cho nó hoàn toàn bị vô hiệu hóa hay sao? Tôi đã thêm các lệnh ghép ngắn PowerShell bổ sung để thay đổi mật khẩu chủ sở hữu thành một giá trị mới.
Pimp Juice IT

Initialize-Tpmdường như không có cách chỉ định mật khẩu chủ sở hữu mới như bạn đã đề cập. ConvertTo-TpmOwnerAuthkhông thực sự đặt bất cứ điều gì - nó chỉ chuyển đổi một chuỗi thành giá trị ủy quyền của chủ sở hữu (bất kể điều đó có nghĩa là gì).
vaindil

3

Tôi nghi ngờ đây là một lỗi với Windows 10. Tôi gặp vấn đề chính xác như OP. Đây là những phát hiện của tôi. Tôi có hai PC, A và B, cả hai đều có TPM spec 1.2; cả hai đều được kích hoạt bitlocker. A là Windows 10 1607, B là trên Windows 10 1511.

Sử dụng TPM.MSC trên A. Tôi có thể xóa TPM mà không cần cung cấp mật khẩu chủ sở hữu, nhưng bất cứ điều gì khác yêu cầu mật khẩu chủ sở hữu. Tuy nhiên, trên B, các hành động này không yêu cầu mật khẩu chủ sở hữu.

Hơn nữa, trên PC A, tôi đã xóa TPM thông qua BIOS, khởi động lại, kiểm tra kỹ trạng thái TPM đã bị vô hiệu hóa và không có tên trong BIOS. Khởi động vào windows thông qua mật khẩu khôi phục (đảm bảo bạn có mật khẩu khôi phục nếu bạn sẽ thử điều này trên PC), chuẩn bị TPM qua TPM.MSC, theo trình hướng dẫn, sau khi khởi động lại, trình hướng dẫn TPM cho biết TPM đã sẵn sàng và "Windows tự động nhớ mật khẩu chủ sở hữu, blah blah ... "(giống như vaindil đã quan sát), chưa bao giờ tôi có cơ hội lưu mật khẩu chủ sở hữu TPM. Sau đó tôi khởi động lại vào BIOS và TPM hiện đã kích hoạt và sở hữu trạng thái. Cửa sổ được xác nhận này thực sự đã sở hữu TPM. Nó chỉ không bao giờ cung cấp cho người dùng một cơ hội để lưu mật khẩu chủ sở hữu. Tôi cũng tự hỏi mật khẩu đã được lưu ở đâu, đăng ký?

Thật thú vị, trên PC B, quy trình tương tự, tôi đã có cơ hội lưu mật khẩu chủ sở hữu vào AD, tập tin hoặc in nó.

Nó xuất hiện với tôi vấn đề liên quan đến bản dựng 1607. Nếu bằng cách nào đó tôi có thể nhận được 1511 phương tiện cài đặt, tôi chắc chắn sẽ thử nó trên PC A để xác nhận nó.


0

xin chào tôi đã đập đầu vào tường và cuối cùng đã tìm ra giải pháp vào sáng hôm sau. chỉ cần làm theo các bước được đề cập dưới đây.

đặt chủ sở hữu TPM của bạn nếu chưa được đặt. không khó lắm đi tới cài đặt bios cho phép nó và cũng cho phép quản lý từ các cửa sổ. nếu khóa bit của bạn được kích hoạt. vô hiệu hóa mã hóa ổ đĩa BitLocker và làm theo các bước

Chạy CMD với tư cách quản trị viên ...

1 ---- reg thêm HKLM \ SOFTWARE \ Chính sách \ Microsoft \ TPM / f / v OSManagedAuthLevel / t REG_DWORD / d 4 2 ---- WMIC / không gian tên: \ root \ cimv2 \ Security \ MicrosoftTpm Đường dẫn Win32_Tpm Trong đó __RELPATH = " Win32_Tpm = @ "Gọi SetPhysicalPresenceRequest 14 3 ---- tắt máy -r -t 15 tác giả gốc lịch sự. và sau khi khởi động lại chỉ cần chạy bước nó sẽ chạy trơn tru. woooaahhh !!! tất cả đã được làm xong.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.