我最近清除了我的 TPM(Dell e7240,Windows 10)。在此过程中,Bios 或 Windows 从未要求输入新的 TPM 密码。(据我所知,自从我买了这台笔记本电脑以来,我从未设置过 TPM 密码。)我尝试通过 Windows(使用 TPM.MSC)和 Bios 清除,这两种方法都没有要求我输入新密码。
TPM.MSC 报告 TPM 已“准备好使用”,但如果我单击“更改所有者密码”,它会要求输入旧密码,尽管我刚刚清除了 TPM。
是否可以清除 TPM 密码?
答案1
我也遇到过同样的问题。这是我经过大量搜索后发现的:Windows 10 的更高版本默认不允许您设置、保存或更改 TPM 所有者密码。该密码由 Windows 生成,由 Windows 用于配置 TPM,然后丢弃。这样,在激活 TPM 后,任何人都无法篡改它。实际上,所有者密码不再存在。您可以通过更改注册表值、清除 TPM 并重新启动来禁用此安全功能。之后,您将能够设置和更改 TPM 所有者密码。请参阅此文章:https://technet.microsoft.com/en-us/itpro/windows/keep-secure/change-the-tpm-owner-password?f=255&MSPPError=-2147217396
阅读完文章后,我决定保持现状,使用新的 Windows 默认设置(即无法访问或更改 TPM 所有者密码)。如果 PC 安全在企业设置中进行集中管理,并且需要安全管理员远程访问 TPM,则仅需要 TPM 所有者密码。在独立应用程序中,不需要或不希望远程访问 TPM。如果您可以物理访问 PC,则可以在没有 TPM 密码的情况下执行所有操作。
答案2
PowerShell 重置 TPM
您可以通过从提升的(以管理员身份运行)PowerShell 命令提示符运行某些 PowerShell TPM 命令来重置 TPM 设置。
清算
看清除Tpm和设置 TpmOwnerAuth了解更多详细信息,但以下是一些可供尝试的内容:
Clear-Tpm
Initialize-Tpm -AllowClear -AllowPhysicalPresence
默认值
您可能还想考虑查看初始化-Tpm并注意如果您未指定所有者授权值,则该 cmdlet 将尝试从注册表中读取该值因此这可能是默认读取和设置您不知道的该值的内容。
新价值
你可能想考虑跑步ConvertTo-TpmOwnerAuth命令明确指定新所有者密码。因此,请将其相应地纳入您的流程:
ConvertTo-TpmOwnerAuth -PassPhrase "<newpasswordstring>"
为 BitLocker 配置本地组策略设置
正如我几天前在下面的评论中所说的那样,下面是我在我支持的环境中在未加入域的 PC 上设置 TPM 加密所采取的步骤。
笔记: 请注意,其中一些选项之后可能需要重新启动,我没有特别提到,但除了我提到的地方之外,我不记得具体是哪些。因此,如果它重新启动或需要您在设置选项后重新启动,那么这是正常的,我只是没有提到它。
在某次重启过程中,机器可能会检测到 TPM 安全更改,并提示您接受或拒绝更改以启用、激活或取得 TPM 设备的所有权。因此,如果您在某次重启后收到这样的提示,您将需要接受这些更改,具体操作如下所述。
去开始>跑步> 输入管理控制台并按
Enter
,然后导航至 #6,如下面的屏幕截图所示您需要设置上面的设置#6使用下面两个屏幕截图中的值
接下来转到控制面板>Bitlocker 驱动器加密> 选择启用 BitLocker然后
Next
在窗口中按下如下面的屏幕截图所示在为 BitLocker 准备驱动器窗户印刷机
Next
当。。。的时候驱动器准备完成弹出窗口,点击
Restart Now
选项重启后,重新登录机器,当BitLocker 驱动器加密设置弹出窗口,选择
Next
选项当。。。的时候打开 TPM 安全硬件屏幕上弹出窗口,选择
Restart
选项重启后,重新登录机器,当BitLocker 驱动器加密设置弹出窗口,选择
Next
选项然后系统将提示您输入 PIN因此,在这两个字段中输入 PIN 码,如下面的屏幕截图所示,然后按
Set PIN
选项当。。。的时候您希望如何备份恢复密钥窗口,您需要按保存到文件选项,然后按该
Next
选项。您需要确保将其放在 USB 拇指驱动器上并将恢复密钥保存到其中,然后稍后将其复制到其他位置,例如网络驱动器等。在里面选择要加密的驱动器大小,我选择了仅加密已使用的磁盘空间因为我是针对新电脑设置这样做的,但你可以在这里选择最适合你需求的选项,然后按
Next
选项在里面选择要使用的加密模式窗口中,您需要检查适合您环境的选项,但我在此环境中选择的选项显示在下面的屏幕截图中
另请参阅如何清除 TPM 芯片上的任何先前所有权凭证如果您还没有这样做,请务必逐步遵循这些说明。
如何清除 TPM 芯片上的任何先前所有权凭证
本文提供有关如何重置 TPM 芯片并清除所有先前所有者详细信息的信息。
您无法在系统上重置 DDPA 或 DCP 凭据
尝试重置时,您可能会遇到问题顺铂|或者 磷酸氢钙凭证,系统会提示您输入可信平台模块 (TPM) 所有权密码。
如果你丢失了TPM 密码,可使用 Windows。
注意:这将完全清除 TPM 凭据存储,包括硬盘加密、指纹、智能卡等。请检查您使用的哪些安全设备可能受到影响。确保您已设置并设置了 Windows 密码以进行登录。
如何重置和清除 TPM 芯片
首先要做的是删除任何预启动密码在里面 顺铂|安慰。
这不会影响 Windows 密码。
你一定是能够验证就像任何凭证场景一样,你必须此系统的管理员才能发挥这一功能。
点击开始。 在里面搜索\运行框,类型管理控制台并按进入。
在下面操作部分点击右侧的清除 TPM。
在里面清除 TPM 安全硬件盒子,支票我没有 TPM 所有者密码并点击好的。
系统将要求您重新启动。在戴尔邮政屏幕上,系统将提示您按一个键(通常F10) 清除TPM。按下该键。
系统重新启动后,系统将提示你重新启动并按照说明进行操作启用 TPM。 重新开始。
就在戴尔邮政屏幕上,系统将提示您按某个键来启用 TPM。按该键 (通常为 F10)。
注意:如果您不使用 TPM,请按ESC键钥匙。
返回桌面后,TPM 设置向导出现让你输入TPM 所有者密码或者你可以选择更改所有者密码。
您现在可以清除DDP|A 凭证通过DDP|A控制台。
欲了解更多信息,请查看以下文章:
答案3
我怀疑这是 Windows 10 的一个错误。我遇到了与 OP 完全相同的问题。这是我的发现。我有两台 PC,A 和 B,都具有 TPM 规范 1.2;都启用了 bitlocker。A 是 Windows 10 1607,B 是 Windows 10 1511。
在 A 上使用 TPM.MSC。我可以清除 TPM 而无需提供所有者密码,但其他任何操作都需要所有者密码。但是在 B 上,这些操作都不需要所有者密码。
此外,在 PC A 上,我通过 BIOS 清除了 TPM,重新启动,仔细检查了 BIOS 中的 TPM 状态是否已禁用且无人拥有。通过恢复密码启动 Windows(如果您要在 PC 上尝试此操作,请确保您有恢复密码),通过 TPM.MSC 准备 TPM,按照向导操作,重新启动后,Windows TPM 向导显示 TPM 已准备就绪,并且“Windows 自动记住所有者密码,等等……”(与 vaindil 观察到的相同),我从来没有机会保存 TPM 所有者密码。然后我重新启动进入 BIOS,TPM 现在处于启用和拥有状态。这证实了 Windows 确实拥有 TPM 所有权。它只是从未为用户提供保存所有者密码的机会。我还想知道密码保存在哪里,注册?
有趣的是,在 PC B 上,通过类似的程序,我有机会将所有者密码保存到 AD、文件或打印它。
我觉得这个问题与 1607 版本有关。如果我能以某种方式获得 1511 安装介质,我一定会在 PC A 上尝试以确认这一点。
答案4
有一天晚上我整晚都在绞尽脑汁,第二天早上我终于通过以下步骤找到了解决方案。
如果尚未设置,请设置您的 TPM 所有者。进入 BIOS 设置并启用 TPM,并授予其从 Windows 进行管理的权限。
如果您的 BitLocker 已启用,请禁用 BitLocker 驱动器加密,然后按照以下步骤操作
重要的:运行命令之前,以管理员身份运行提升权限的 CMD。
reg add HKLM\SOFTWARE\Policies\Microsoft\TPM /f /v OSManagedAuthLevel /t REG_DWORD /d 4
WMIC /namespace:\\root\cimv2\Security\MicrosoftTpm Path Win32_Tpm > Where __RELPATH="Win32_Tpm=@" Call SetPhysicalPresenceRequest 14
shutdown -r -t 15
重启后,一切都按预期工作并且顺利运行,没有问题。