การล้าง TPM ไม่ได้ขอรหัสผ่านใหม่ แต่ "เปลี่ยนรหัสผ่านของเจ้าของ" จะถามรหัสเดิม

ฉันเพิ่งล้าง TPM ของฉัน (Dell e7240, Windows 10) ในระหว่างกระบวนการ Bios หรือ Windows ไม่ขอรหัสผ่าน TPM ใหม่ (และไม่นับตั้งแต่ฉันซื้อแล็ปท็อปนี้ฉันไม่เคยตั้งรหัสผ่าน TPM ให้เป็นความรู้ที่ดีที่สุดของฉัน) ฉันได้ลองล้างทั้งผ่าน Windows (ด้วย TPM.MSC) และผ่าน Bios และฉันก็ไม่ได้ใช้วิธีใด สำหรับรหัสผ่านใหม่

TPM.MSC รายงานว่า TPM เป็น "พร้อมใช้งาน" แต่ถ้าฉันคลิก "เปลี่ยนรหัสผ่านของเจ้าของ" มันจะถามรหัสผ่านเก่าแม้ว่าฉันจะเพิ่งล้าง TPM แล้วก็ตาม

เป็นไปได้หรือไม่ที่จะล้างรหัสผ่าน TPM

ผมมีปัญหาเดียวกัน. นี่คือสิ่งที่ฉันพบหลังจากการค้นหาจำนวนมาก: Windows 10 รุ่นใหม่กว่าไม่อนุญาตให้คุณตั้งค่าบันทึกหรือเปลี่ยนรหัสผ่านของเจ้าของ TPM ตามค่าเริ่มต้น รหัสผ่านถูกสร้างโดย windows ใช้โดย windows เพื่อกำหนดค่า TPM จากนั้นทิ้ง วิธีนี้จะไม่มีใครสามารถแก้ไข TPM ได้หลังจากเปิดใช้งานแล้ว ไม่มีผลบังคับใช้รหัสผ่านเจ้าของไม่มีอยู่อีกต่อไป คุณสามารถปิดใช้งานคุณลักษณะความปลอดภัยนี้ได้โดยการเปลี่ยนค่ารีจิสตรีการล้าง TPM และการรีบูต หลังจากนั้นคุณจะสามารถตั้งค่าและเปลี่ยนรหัสผ่านของเจ้าของ TPM ได้ ดูบทความนี้: https://technet.microsoft.com/en-us/itpro/windows/keep-secure/change-the-tpm-owner-password?f=255&MSPPError=-2147217396

หลังจากอ่านบทความฉันตัดสินใจที่จะทิ้งสิ่งต่าง ๆ ไว้ตามเดิมด้วยค่าเริ่มต้นของ Windows ใหม่ (เช่นไม่มีวิธีเข้าถึงหรือเปลี่ยนรหัสผ่านของเจ้าของ TPM) คุณต้องใช้รหัสผ่านของเจ้าของ TPM เท่านั้นหากการรักษาความปลอดภัยของพีซีได้รับการจัดการจากส่วนกลางในการตั้งค่าระดับองค์กรโดยผู้ดูแลระบบความปลอดภัยต้องเข้าถึง TPM จากระยะไกล ในแอปพลิเคชันแบบสแตนด์อโลนการเข้าถึงระยะไกลไปยัง TPM นั้นไม่จำเป็นหรือเป็นที่ต้องการ คุณสามารถทำทุกสิ่งที่คุณต้องการโดยไม่ต้องใช้รหัสผ่าน TPM หากคุณมีการเข้าถึงเครื่อง PC

PowerShell กำลังรีเซ็ต TPM

คุณสามารถให้คำสั่ง PowerShell TPM บางช็อตโดยเรียกใช้จากพรอมต์คำสั่ง PowerShell (เรียกใช้ในฐานะผู้ดูแลระบบ) เพื่อยกระดับการตั้งค่า TPM

การหักบัญชี

ดูClear-TpmและSet-TpmOwnerAuthสำหรับรายละเอียดเพิ่มเติม แต่ด้านล่างเป็นตัวอย่างเล็กน้อย:

• Clear-Tpm
• Initialize-Tpm -AllowClear -AllowPhysicalPresence

ค่าเริ่มต้น

คุณอาจต้องการพิจารณาInitialize-Tpmและโปรดทราบว่าหากคุณไม่ได้ระบุค่าการอนุญาตเจ้าของ cmdlet จะพยายามอ่านค่าจากรีจิสตรีดังนั้นนี่อาจเป็นการอ่านและการตั้งค่าตามค่าเริ่มต้นสิ่งที่คุณไม่รู้ ค่านี้

ค่าใหม่

คุณอาจต้องการพิจารณาใช้คำสั่งConvertTo-TpmOwnerAuthเพื่อระบุวลีรหัสผ่านเจ้าของใหม่อย่างชัดเจน ดังนั้นรวมสิ่งนี้ในกระบวนการของคุณตาม:

• ConvertTo-TpmOwnerAuth -PassPhrase "<newpasswordstring>"

การกำหนดการตั้งค่านโยบายกลุ่มโลคัลสำหรับ BitLocker

ตามที่ฉันบอกว่าฉันทำในความคิดเห็นด้านล่างไม่กี่วันที่ผ่านมาด้านล่างเป็นขั้นตอนที่ฉันใช้ในการตั้งค่าการเข้ารหัส TPM บนพีซีที่ไม่ใช่โดเมนที่เข้าร่วมในสภาพแวดล้อมที่ฉันสนับสนุน

^{หมายเหตุ: โปรดทราบว่าตัวเลือกเหล่านี้บางอย่างอาจต้องรีสตาร์ทหลังจากนั้นซึ่งฉันไม่ได้กล่าวถึงโดยเฉพาะ แต่ฉันจำไม่ได้ว่าตัวเลือกใดที่แน่นอนยกเว้นที่ฉันพูดถึง ดังนั้นหากมันรีสตาร์ทหรือต้องการให้คุณรีสตาร์ทหลังจากตั้งค่าตัวเลือกแล้วนั่นเป็นเรื่องปกติฉันไม่ได้พูดถึงมัน}

^{ระหว่างการรีสตาร์ทหนึ่งครั้งเครื่องอาจตรวจพบการเปลี่ยนแปลงความปลอดภัยของ TPM และแจ้งให้คุณยอมรับหรือปฏิเสธการเปลี่ยนแปลงเพื่อเปิดใช้งานเปิดใช้งานหรือเป็นเจ้าของอุปกรณ์ TPM ดังนั้นคุณจะต้องยอมรับการเปลี่ยนแปลงเหล่านี้หากคุณได้รับพรอมต์หลังจากรีบูตหนึ่งครั้งต่อการเปลี่ยนแปลงเพื่อให้กล่าวถึงด้านล่าง}

1. ไปที่เริ่ม > เรียกใช้ > พิมพ์ในgpedit.mscแล้วกดEnterจากนั้นไปที่ # 6 เช่นเดียวกับภาพหน้าจอด้านล่าง

   

2. คุณจะต้องการตั้งค่าจากตำแหน่ง# 6ด้านบนด้วยค่าจากภาพด้านล่างสองภาพถัดไป

   

   

3. ถัดไปไปที่แผงควบคุม > การเข้ารหัสลับไดรฟ์ด้วย Bitlocker > เลือกเปิด BitLockerจากนั้นกดNextในหน้าต่างดังภาพด้านล่าง

   

4. ในการเตรียมความพร้อมของไดรฟ์สำหรับ BitLockerหน้าต่างกดNext

5. เมื่อหน้าต่างการเตรียมไดรฟ์สมบูรณ์จะปรากฏขึ้นให้คลิกRestart Nowตัวเลือก

6. หลังจากรีสตาร์ทให้ลงชื่อกลับเข้าสู่เครื่องและเมื่อหน้าต่างการตั้งค่าการเข้ารหัสลับไดรฟ์ด้วย BitLockerปรากฏขึ้นให้เลือกNextตัวเลือก

7. เมื่อหน้าต่างเปิดฮาร์ดแวร์ความปลอดภัย TPMปรากฏขึ้นบนหน้าจอให้เลือกRestartตัวเลือก

8. หลังจากรีสตาร์ทให้ลงชื่อกลับเข้าสู่เครื่องและเมื่อหน้าต่างการตั้งค่าการเข้ารหัสลับไดรฟ์ด้วย BitLockerปรากฏขึ้นให้เลือกNextตัวเลือก

9. จากนั้นคุณจะได้รับแจ้งให้ป้อน PINเพื่อพิมพ์ PIN ในทั้งสองฟิลด์ดังที่แสดงในภาพด้านล่างจากนั้นกดSet PINตัวเลือก

   

10. เมื่อคุณต้องการสำรองหน้าต่างคีย์การกู้คืนคุณจะกดตัวเลือกบันทึกไปยังไฟล์จากนั้นกดNextตัวเลือก คุณจะต้องตรวจสอบให้แน่ใจว่าคุณวางสิ่งนี้ลงใน thumb drive USB และบันทึกคีย์การกู้คืนนี้แล้วคัดลอกไปที่อื่นในภายหลังเช่นไดรฟ์เครือข่าย ฯลฯ

    

11. ในการเลือกจำนวนไดรฟ์ของคุณที่จะเข้ารหัสในกรณีของฉันฉันได้เลือกพื้นที่ดิสก์ที่ใช้เข้ารหัสเท่านั้นตั้งแต่ฉันทำสิ่งนี้สำหรับการตั้งค่าพีซีใหม่ แต่คุณสามารถเลือกตัวเลือกที่เหมาะสมที่สุดที่นี่สำหรับความต้องการของคุณแล้วกดNextตัวเลือก

    

12. ในหน้าต่างเลือกโหมดการเข้ารหัสที่จะใช้คุณจะต้องตรวจสอบตัวเลือกที่เหมาะสมกับสภาพแวดล้อมของคุณ แต่รุ่นที่ฉันเลือกในสภาพแวดล้อมนี้ที่ด้านข้างของฉันจะแสดงในภาพหน้าจอด้านล่าง

    

ดูวิธีล้างชิป TPM ของหนังสือรับรองการเป็นเจ้าของก่อนหน้านี้และทำตามคำแนะนำเหล่านี้ทีละขั้นตอนหากคุณยังไม่ได้ดำเนินการ

วิธีล้างชิป TPM ของหนังสือรับรองการเป็นเจ้าของก่อนหน้านี้

_{บทความนี้จะให้ข้อมูลเกี่ยวกับวิธีการตั้งค่าชิป TPM และล้างรายละเอียดเจ้าของก่อนหน้านี้ทั้งหมด}

คุณไม่สามารถรีเซ็ตข้อมูลรับรอง DDPA หรือ DCP ในระบบของคุณ

คุณอาจประสบปัญหาในขณะที่พยายามรีเซ็ตข้อมูลประจำตัวDDP | ​​Aหรือ DCPซึ่งคุณจะได้รับพร้อมท์ให้ใส่รหัสผ่านการเป็นเจ้าของ Trusted Platform Module (TPM)

หากคุณได้สูญเสียรหัสผ่าน TPM ชิป TPM สามารถล้างใช้ Windows

_{ข้อสังเกต: การดำเนินการนี้จะลบที่เก็บข้อมูลรับรอง TPM อย่างสมบูรณ์รวมถึงการเข้ารหัสฮาร์ดไดรฟ์ลายนิ้วมือสมาร์ทการ์ด ฯลฯ โปรดตรวจสอบว่าคุณใช้อุปกรณ์ความปลอดภัยใดที่อาจได้รับผลกระทบ ตรวจสอบให้แน่ใจว่าคุณมีการตั้งค่ารหัสผ่าน Windows และตั้งค่าสำหรับการเข้าสู่ระบบ}

วิธีรีเซ็ตและล้างชิป TPM

สิ่งแรกที่ต้องทำคือการลบรหัสผ่านก่อนบูตใน คอนโซลDDP | ​​A

สิ่งนี้จะไม่ส่งผลกระทบต่อรหัสผ่าน Windows

คุณจะต้องสามารถตรวจสอบได้เช่นเดียวกับในสถานการณ์ข้อมูลรับรองใด ๆ และคุณต้องเป็นผู้ดูแลระบบนี้เพื่อที่จะทำหน้าที่นี้

1. คลิกเริ่มการทำงาน ในการค้นหา \ Runพิมพ์tpm.mscและกดENTER

2. ภายใต้การดำเนินการส่วนด้านขวาคลิกล้าง TPM

3. ในการล้าง TPM การรักษาความปลอดภัยฮาร์ดแวร์กล่องตรวจสอบผมไม่ได้มีรหัสผ่านของเจ้าของของ TPMและคลิกตกลง

4. คุณจะถูกขอให้รีบูต หลังหน้าจอDell POSTคุณจะได้รับแจ้งให้กดปุ่ม (ปกติคือF10 ) เพื่อล้างTPM ข่าวที่สำคัญ

5. เมื่อบูตระบบใหม่ที่คุณจะได้รับแจ้งให้เริ่มต้นใหม่และปฏิบัติตามคำแนะนำในการเปิดใช้งาน TPM เริ่มต้นใหม่.

6. หลังหน้าจอDell POSTคุณจะได้รับแจ้งให้กดปุ่มเพื่อเปิดใช้งาน TPM กดปุ่มนั้น ( ปกติคือ F10 )

   _{หมายเหตุ: หากคุณไม่ได้ใช้ TPM กดESCสำคัญ}

7. เมื่อกลับมาที่เดสก์ท็อปตัวช่วยสร้างการตั้งค่า TPMจะปรากฏขึ้นเพื่อให้คุณป้อนรหัสผ่านเจ้าของ TPMหรือคุณสามารถเลือกเปลี่ยนรหัสผ่านเจ้าของได้

ขณะนี้คุณสามารถที่ชัดเจนDDP | ข้อมูลประจำตัวผ่านDDP | คอนโซล

สำหรับข้อมูลเพิ่มเติมโปรดอ่านบทความด้านล่าง:

• http://technet.microsoft.com/en-us/library/cc753694.aspx

_{แหล่ง}

ฉันสงสัยว่ามันเป็นข้อผิดพลาดกับ Windows 10 ฉันมีปัญหาเช่นเดียวกับ OP นี่คือสิ่งที่ฉันค้นพบ ฉันมีพีซีสองเครื่อง A และ B ทั้งสองมี TPM สเปค 1.2; ทั้งสองมีการเปิดใช้งาน bitlocker A คือ Windows 10 1607, B อยู่บน Windows 10 1511

ใช้ TPM.MSC ใน A. ฉันสามารถลบ TPM ได้โดยไม่ต้องใส่รหัสผ่านของเจ้าของ แต่อย่างอื่นก็ต้องใช้รหัสผ่านของเจ้าของด้วย อย่างไรก็ตามใน B ไม่ใช่การกระทำเหล่านี้ต้องใช้รหัสผ่านของเจ้าของ

เพิ่มเติมบนพีซี A ฉันล้าง TPM ผ่าน BIOS รีบูตตรวจสอบอีกครั้งว่าสถานะ TPM ถูกปิดใช้งานและไม่ได้เป็นเจ้าของใน BIOS บูตเข้าสู่ windows ด้วยรหัสผ่านการกู้คืน (ตรวจสอบให้แน่ใจว่าคุณมีรหัสผ่านการกู้คืนหากคุณจะลองทำสิ่งนี้บนพีซีของคุณ) เตรียม TPM ผ่าน TPM.MSC ตามตัวช่วยสร้างหลังจากรีบูตหน้าต่างตัวช่วยสร้าง TPM บอกว่า TPM พร้อมแล้ว จำรหัสผ่านของเจ้าของอัตโนมัติ, blah blah ... "(เหมือนกับ vaindil สังเกต), ฉันไม่เคยมีโอกาสบันทึกรหัสผ่านของเจ้าของ TPM จากนั้นฉันจะรีบูตเข้าสู่ BIOS และ TPM ตอนนี้มีสถานะเป็นเจ้าของและเปิดใช้งาน หน้าต่างที่ได้รับการยืนยันนี้ใช้สิทธิ์การเป็นเจ้าของ TPM แน่นอน มันไม่เคยให้โอกาสผู้ใช้ในการบันทึกรหัสผ่านของเจ้าของ ฉันยังสงสัยว่ารหัสผ่านถูกบันทึกลงทะเบียนหรือไม่

ที่น่าสนใจสำหรับ PC B ขั้นตอนที่คล้ายกันฉันมีโอกาสบันทึกรหัสผ่านของเจ้าของลงใน AD ไฟล์หรือพิมพ์

ดูเหมือนว่าฉันจะมีปัญหาเกี่ยวข้องกับการสร้าง 1607 ถ้าอย่างใดฉันสามารถรับสื่อการติดตั้ง 1511 ฉันจะลองบนพีซี A อย่างแน่นอนเพื่อยืนยัน

สวัสดีที่นั่นฉันทุบหัวของกำแพงและในที่สุดก็พบทางออกในเช้าวันรุ่งขึ้น เพียงทำตามขั้นตอนด้านล่าง

ตั้งเจ้าของ TPM ของคุณหากยังไม่ได้ตั้งค่า ไม่ยากมาก ไปที่การตั้งค่าไบออสเปิดใช้งานและให้สิทธิ์ในการจัดการจาก windows เช่นกัน ถ้าเปิดใช้งานตัวล็อกบิตของคุณ ปิดใช้งานการเข้ารหัสลับไดรฟ์ด้วย BitLocker และทำตามขั้นตอน

เรียกใช้ CMD ในฐานะผู้ดูแลระบบ ...

1 ---- reg เพิ่ม HKLM \ SOFTWARE \ Policies \ Microsoft \ TPM / f / v OSManagedAuthLevel / t REG_DWORD / d 4 2 ---- WMIC / namespace: \ root \ cimv2 \ Security \ MicrosoftTpm เส้นทาง Win32_Tpm โดยที่ __RELPATH = " Win32_Tpm = @ "Call SetPhysicalPresenceRequest 14 3 ---- ปิด -r -t 15 ผู้เขียนต้นฉบับมารยาท และหลังจากรีสตาร์ทเพียงแค่เรียกใช้ขั้นตอนมันจะทำงานได้อย่างราบรื่น woooaahhh !!! เสร็จหมดแล้ว.