TPM temizlendiğinde yeni şifre istenmez, ancak “sahip şifresini değiştir” eski şifreyi sorar


15

Yakın zamanda TPM'mi temizledim (Dell e7240, Windows 10). İşlem sırasında hiçbir noktada Bios veya Windows yeni bir TPM şifresi istemedi. (Ve bu dizüstü bilgisayarı aldığımdan beri hiçbir zaman bilgim dahilinde bir TPM şifresi ayarladım.) Hem Windows (TPM.MSC ile) hem de Bios aracılığıyla temizlemeyi denedim ve hiçbir yöntemle sorulmadım yeni bir şifre için.

TPM.MSC, TPM'nin "kullanıma hazır" olduğunu bildirir, ancak "sahip parolasını değiştir" i tıklarsam, TPM'yi temizlememe rağmen eski şifreyi sorar.

TPM şifresini silmek mümkün müdür?


"Eski şifre" alanını boş bırakarak "Sahip şifresini değiştir" i denediniz mi?
Nathan.Eilisha Shiraini

Evet. (Boş) şifreyi kabul etmez.
cfp

TPM'mi de temizledim. Yeniden başlatıldığında, Windows "Windows anahtarınızı güvende tutabilir, böylece hatırlamanıza gerek kalmaz" etkisine bir şey söyledi. O anahtarı bir sebepten istiyorum!
vaindil

Temizlediğiniz gibi görünüyor, ancak yeniden başlatmadınız. Belki bu yardımcı olacaktır: technet.microsoft.com/en-us/itpro/windows/keep-secure/...
lightwing

2
Bu Microsoft makalesine göre , OSManagedAuthLevel=2Temsilci anlamına gelir. 4 (Tam) olarak ayarlayıp yeniden başlatmayı deneyebilir, ardından tekrar TPM'yi temizleyebilirsiniz. Makalenin ilgili bölümlerini okuyun.
harrymc

Yanıtlar:


10

Ben de aynı problemi yaşadım. Bir çok aramadan sonra bulduğum şey: Windows 10'un sonraki sürümleri, TPM sahibi parolasını varsayılan olarak ayarlamanıza, kaydetmenize veya değiştirmenize izin vermez. Parola, TPM'yi yapılandırmak için pencereler tarafından kullanılan ve daha sonra atılan pencereler tarafından oluşturulur. Bu şekilde, etkinleştirildikten sonra hiç kimse TPM'ye müdahale edemez. Aslında, sahip şifresi artık mevcut değil. Bir kayıt defteri değerini değiştirerek, TPM'yi temizleyerek ve yeniden başlatarak bu güvenlik özelliğini devre dışı bırakabilirsiniz. Bundan sonra, TPM sahip şifresini ayarlayabilir ve değiştirebilirsiniz. Bu makaleye bakın: https://technet.microsoft.com/tr-tr/itpro/windows/keep-secure/change-the-tpm-owner-password?f=255&MSPPError=-2147217396

Makaleyi okuduktan sonra, yeni Windows varsayılanı ile şeyleri olduğu gibi bırakmaya karar verdim (yani TPM sahibi şifresine erişmenin veya değiştirmenin hiçbir yolu yok). TPM sahibi parolasına yalnızca, PC güvenliği TPM'ye uzaktan erişmek için bir güvenlik yöneticisine ihtiyaç duyan bir kuruluş kurulumunda merkezi olarak yönetiliyorsa ihtiyacınız vardır. Bağımsız bir uygulamada, TPM'ye uzaktan erişim gerekli değildir veya istenmez. Bilgisayara fiziksel erişiminiz varsa, TPM şifresi olmadan ihtiyacınız olan her şeyi yapabilirsiniz.


Bağlantılı TechNet makalesi her şeyi açıklığa kavuşturdu. Teşekkürler! En azından net bir cevap almak harika.
cfp

@cfp ... Bir şansınız varsa, lütfen sorununuzu çözmek için tam olarak ne yaptığınızı doğrulayın. Bunun bir şeyleri temizleyip temizlemediğini veya gerçekten yapamayacağınız şeyi tamamlamanıza izin verip vermediğini merak ettim. Başka türlü yapmadığınızı tamamlayabildiyseniz, sorunuzu çözmek için özellikle bu gönderiden ne yaptığınızı merak ediyorsunuz. Eğer gerçekten uyguladıysanız ve bunu yapmanın sorununuzu çözdüğünü onayladıysanız, yazının bir kısmının cevapta alıntı yapmak için son derece yararlı olacağını düşünüyorum.
Pimp Juice IT

Makale, TPM şifresini ayarlamaya çalışmanın bir anlamı olmadığını açıkça belirtti. Bunun bir faydası olmadığına ikna olduğum için manuel ayarı etkinleştirmek için adımlarını izlemeye çalışmadım. Soru cevaplayıcıya tamamen katılıyorum: "makaleyi okuduktan sonra, yeni Windows varsayılanıyla işleri olduğu gibi bırakmaya karar verdim".
cfp

Teşekkürler. Bu cevap bana işleri netleştirdi. Güvenli bir kişisel bilgisayar için, rastgele oluşturulan bilinmeyen bir parolayla kalacağım.
Brainski

Ayrıca bunu Disable-TpmAutoProvisioningpowershell komutuyla kendiniz yapmak istiyorsanız otomatik başlatmayı devre dışı bırakabilirsiniz . technet.microsoft.com/tr-tr/library/jj603114.aspx
Tom Jenkinson

7

PowerShell Sıfırlama TPM

TPM ayarlarını sıfırlamak için bazı PowerShell TPM komutlarını yükseltilmiş (yönetici olarak çalıştır) komut isteminden çalıştırarak bir çekim yapabilirsiniz.

takas

Daha fazla ayrıntı için Clear-Tpm ve Set-TpmOwnerAuth'a bakın, ancak aşağıda birkaç çekim yapabilirsiniz:

  • Clear-Tpm
  • Initialize-Tpm -AllowClear -AllowPhysicalPresence

Varsayılan değer

Ayrıca Initialize-Tpm'yi gözden geçirmeyi düşünebilirsiniz ve bir sahip yetkilendirme değeri belirtmezseniz, cmdlet'in değeri kayıt defterinden okumaya çalıştığını unutmayın; Bu değer.

Yeni değer

Yeni sahip parolasını açıkça belirtmek için ConvertTo-TpmOwnerAuth komutunu çalıştırmayı düşünebilirsiniz . Bu yüzden bunu buna göre ekleyin:

  • ConvertTo-TpmOwnerAuth -PassPhrase "<newpasswordstring>"

BitLocker için Yerel Grup İlkesi Ayarlarını Yapılandırma

Birkaç gün önce aşağıdaki bir yorumda yapacağımı söylediğim gibi, aşağıda desteklediğim ortamlardan birinde etki alanına katılmayan bilgisayarlarda TPM şifrelemesi ayarlamak için attığım adımlar aşağıdadır.

NOT: Lütfen bu seçeneklerden bazılarının daha sonra yeniden başlatma gerekebileceğini unutmayın, özellikle bahsetmediğim, ancak tam olarak bahsettiğim yerler dışında hangilerini hatırlamıyorum. Bu yüzden yeniden başlatılırsa veya bir seçenek belirledikten sonra yeniden başlatmanız gerekiyorsa, bu normaldir, bundan bahsetmedim.

Yeniden başlatmalardan biri sırasında, makine bir TPM güvenlik değişikliği algılayabilir ve TPM cihazını etkinleştirmek, etkinleştirmek veya sahipliğini almak için değişiklikleri kabul etmenizi veya reddetmenizi isteyebilir. Dolayısıyla, aşağıda belirtilen değişikliklere göre yeniden başlatmalardan sonra böyle bir istem alırsanız bu değişiklikleri kabul etmek isteyeceksiniz.

  1. Git Başlat > Çalıştır içinde> tip gpedit.msc'ye ve basın Enteraşağıdaki ekran görüntüsü gibi daha sonra gezinme için # 6 ve

    resim açıklamasını buraya girin

  2. Ayarları yukarıdaki # 6 konumundan, aşağıdaki iki ekran görüntüsünün değerleri ile ayarlamak isteyeceksiniz.

    resim açıklamasını buraya girin

    resim açıklamasını buraya girin

  3. Ardından Denetim Masası > Bitlocker Sürücü Şifrelemesi'ne gidin > BitLocker'ı Aç'ı seçin ve ardından Nextaşağıdaki ekran görüntüsünde olduğu gibi pencereye basın

    resim açıklamasını buraya girin

  4. Drive'ınızı BitLocker için Hazırlama penceresindeNext

  5. Ne zaman Sürücü hazırlıkları tamamlandı pencereler açılır, tıklayın Restart Nowseçeneği

  6. Yeniden başlattıktan sonra makinede tekrar oturum açın ve BitLocker Sürücü Şifrelemesi kurulum penceresi açıldığında, Nextseçeneği belirleyin

  7. Ne zaman TPM güvenlik donanımı açın pencereleri ekranda açılır, seçmek Restartseçeneği

  8. Yeniden başlattıktan sonra makinede tekrar oturum açın ve BitLocker Sürücü Şifrelemesi kurulum penceresi açıldığında, Nextseçeneği belirleyin

  9. Daha sonra bir PIN girmeniz istenir, bu nedenle PIN'i aşağıdaki ekran resmindeki gibi her iki alana da yazın ve ardından Set PINseçeneğe basın

    resim açıklamasını buraya girin

  10. Ne zaman size kurtarma anahtarı yedeklemek istiyor musunuz nasıl penceresini tuşuna isteyeceksiniz bir dosya kaydet seçeneği ve ardından Nextseçeneği. Bunu bir USB flaş sürücüye yerleştirdiğinizden ve bu kurtarma anahtarını bu sürücüye kaydettiğinizden ve daha sonra ağ sürücüsü vb. Gibi başka bir yere kopyaladığınızdan emin olmanız gerekir.

    resim açıklamasını buraya girin

  11. In şifrelemek için sürücünün ne kadar seç , benim durumumda seçtiğim Şifrele sadece disk alanı kullanılmış yeni bilgisayar kurulumları için bunu beri, ancak gereksinimleri için burada en uygun seçeneği seçin ve ardından basabilirsiniz Nextseçeneği

    resim açıklamasını buraya girin

  12. Gelen kullanımı seç hangi şifreleme modu penceresinden ekran atış altında gösterilmektedir yanımda bu ortamda ben seçmek ortamınıza uygun seçeneği ancak biri kontrol etmek isteyeceklerdir

    resim açıklamasını buraya girin


Ayrıca , önceki Sahiplik Kimlik Bilgilerinin TPM Çipini Temizleme konusuna bakın ve henüz yapmadıysanız bu talimatları adım adım izlediğinizden emin olun.

Önceki Sahiplik Kimlik Bilgilerinin TPM Çipini Temizleme

Bu makalede, TPM yongasının sıfırlanması ve önceki tüm sahip ayrıntılarının nasıl silineceği hakkında bilgi verilmektedir .

Sisteminizdeki DDPA veya DCP kimlik bilgilerini sıfırlayamıyorsunuz

Güvenilir Platform Modülü (TPM) sahiplik parolası girmeniz istenen DDP | ​​A veya DCP kimlik bilgilerini sıfırlamaya çalışırken bir sorunla karşılaşabilirsiniz .

TPM şifresini kaybettiyseniz, TPM yongası Windows kullanılarak silinebilir .

Uyarı: Bu işlem, sabit sürücü şifrelemesi, parmak izleri, akıllı kartlar vb. Dahil TPM kimlik bilgilerini tamamen siler. Lütfen kullandığınız güvenlik aygıtlarının etkilenebileceğini kontrol edin. Oturum açmak için bir Windows parolası ayarladığınızdan ve ayarladığınızdan emin olun.

TPM Chip nasıl sıfırlanır ve temizlenir

Yapılacak ilk şey , DDP | ​​A konsolundaki önyükleme öncesi parolaları kaldırmaktır .

Bu, Windows parolasını etkilemez.

Her türlü kimlik bilgisi senaryosunda olduğu gibi doğrulayabilmeniz ve bu işlevi gerçekleştirmek için bu sistemde yönetici olmanız gerekir .

  1. Başlat'a tıklayın . Gelen Arama \ Run kutusuna tpm.msc ve basın basın .

  2. Sağdaki İşlemler bölümünün altında TPM'yi Temizle'yi tıklayın .

  3. In Temizle TPM Güvenliği Donanım kutusu, kontrol Ben TPM sahibi şifreniz yoksa ve tıklayın OK .

  4. Yeniden başlatmanız istenecektir. Dell POST ekranından hemen sonra, TPM'yi silmek için bir tuşa (genellikle F10 ) basmanız istenir . O tuşa basın .

  5. Sistem yeniden başlatıldığında, yeniden başlatmanız ve TPM'yi etkinleştirmek için talimatları izlemeniz istenir . Tekrar başlat.

  6. Dell POST ekranından hemen sonra, TPM'yi etkinleştirmek için bir tuşa basmanız istenir. Bu tuşa basın ( genellikle F10 ).

    Not: TPM kullanmazsanız, ESC tuşuna basın .

  7. Masaüstüne geri döndüğünüzde, bir TPM sahip parolası girmeniz için TPM Kurulum Sihirbazı görünür veya Sahip Parolasını Değiştir'i seçebilirsiniz .

Artık berrak can bir kimlik | DDP aracılığıyla DDP | Bir konsol .

Daha fazla bilgi için lütfen aşağıdaki makaleye göz atın:

kaynak


Bu yorumlarda tartışıldı (OP değilim ama bunu ödüllendirdim; soruyu düzenleyemiyorum). Bu adımları uygulayabiliyorum ancak Windows tarafından sahip parolasını ayarlama fırsatım olmadı. TPM temizlendikten ve Windows yeniden başlatıldıktan sonra, TPM'nin temizlendiğini ve "Windows [ben] için sahip şifresini hatırlayabilir, böylece [ben] 'in gerekmediğini" belirten bir pencere açılır.
vaindil

TPM ile temizledim Clear-Tpmve bu iyi gitti. Yeniden başlatmadan önce de koştum Disable-TpmAutoProvisioning. Her şeyi yeniden başlattıktan sonra TPM'nin hazır olmadığını söyledi. Sonra koştum Initialize-Tpm -AllowClear -AllowPhysicalPresence. Komut bir dakika sürdü, sonra TPM'nin hazır olduğunu döndürdü. tpm.mscayrıca hazır olduğunu söylüyor. Hiçbir zaman bir sahip şifresi istenmedi.
vaindil

Örneğin bayrakları -ForceClearAllowedve -PhysicalPresenceAllowedher ikisi de geçersizdir ve makaleye yapılan bir yorum da bunu söyler.
vaindil

@vaindil Bir çözüm denemek için başka PowerShell cmdlet'leri ekledim, ancak nihai hedefinizin ne olduğunu bilmek yardımcı olacaktır: yeni bir sahip şifresi belirlemek, tamamen devre dışı bırakmak veya ne yapmak isterdiniz? Sahip şifresini yeni bir değere değiştirmek için ek PowerShell cmdlet'leri ekledim.
Pezevenk Suyu IT

Initialize-Tpmbelirttiğiniz gibi yeni sahip şifresini belirtmenin bir yolu yok gibi görünüyor. ConvertTo-TpmOwnerAuthaslında hiçbir şey ayarlamaz - yalnızca bir dizeyi sahip yetkilendirme değerine dönüştürür (ne anlama gelirse).
vaindil

3

Windows 10 ile ilgili bir hata olduğundan şüpheleniyorum. OP ile aynı problemim vardı. İşte bulgularım. İki bilgisayarım var, A ve B, her ikisi de TPM spec 1.2; her ikisi de bitlocker etkin. A Windows 10 1607, B Windows 10 1511'de.

TPM.MSC'yi A'da kullanın. TPM'yi sahip parolası girmeden temizleyebilirim, ancak başka bir şey sahip parolası gerektirir. Ancak B'de bu işlemlerin hiçbiri için sahip şifresi gerekmez.

Ayrıca, PC A'da, TPM'yi BIOS üzerinden temizledim, yeniden başlatın, TPM durumunun BIOS'ta devre dışı bırakıldığını ve sahip olmadığını iki kez kontrol ettim. TPM.MSC aracılığıyla TPM'yi hazırlayan, yeniden başlattıktan sonra sihirbazın ardından sihirbazın ardından, kurtarma şifresi ile pencerelere önyükleme yapın (PC'nizde deneyecekseniz kurtarma şifrenizin olduğundan emin olun) TPM sihirbazı TPM'nin hazır olduğunu ve "Windows otomatik sahibinin şifresini hatırla, falan filan ... "(vaindil ile aynı gözlendi), TPM sahibi şifresini kaydetme şansım olmadı. Daha sonra BIOS'u yeniden başlatıyorum ve TPM'de durum etkin ve sahip oldu. Bu onaylanmış pencereler gerçekten de TPM mülkiyetini aldı. Sadece kullanıcıya sahip şifresini kaydetme şansı vermedi. Ayrıca şifrenin nereye kaydedildiğini merak ediyorum, kayıt?

İlginç bir şekilde, PC B'de, benzer prosedürde, sahip şifresini AD'ye kaydetme, dosyalama veya yazdırma şansım oldu.

Bana öyle geliyor ki konu 1607 derlemesi ile ilgili. Bir şekilde 1511 medya yükleyebilirsem, onaylamak için kesinlikle PC A'da deneyeceğim.


0

merhaba ben duvarda kafamı dövdü ve sonunda ertesi sabah bir çözüm buldum. sadece aşağıdaki adımları izleyin.

önceden ayarlanmamışsa TPM sahibinizi ayarlayın. çok zor değil. bios ayarına gidin ve etkinleştirin ve pencerelerden yönetme izni verin. bit dolabınız etkinse. BitLocker Sürücü Şifrelemesini devre dışı bırakın ve adımları izleyin

CMD'yi yönetici olarak çalıştır ...

1 ---- reg HKLM \ SOFTWARE \ Policies \ Microsoft \ TPM / f / v OSManagedAuthLevel / t REG_DWORD / d 4 2 ---- WMIC / ad alanı: \ root \ cimv2 \ Güvenlik \ MicrosoftTpm Yolu Win32_Tpm Nerede __RELPATH = " Win32_Tpm = @ "SetPhysicalPresenceRequest 14'ü arayın 3 ---- shutdown -r -t 15 nezaket orijinal yazar. ve yeniden başlattıktan sonra sadece çalıştırmak adım sorunsuz çalışır. woooaahhh !!! hepsi tamam.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.