La suppression du TPM ne demande pas de nouveau mot de passe, mais «changer le mot de passe du propriétaire» demande l'ancien

J'ai récemment effacé mon TPM (Dell e7240, Windows 10). Au cours du processus, Bios ou Windows n'ont à aucun moment demandé un nouveau mot de passe TPM. (Et à aucun moment depuis que j'ai acheté cet ordinateur portable, je n'ai jamais défini de mot de passe TPM, au meilleur de ma connaissance.) J'ai essayé d'effacer à la fois via Windows (avec TPM.MSC) et via Bios, et sans aucune méthode, on m'a demandé pour un nouveau mot de passe.

TPM.MSC signale que le TPM est "prêt à l'emploi", mais si je clique sur "changer le mot de passe du propriétaire", il demande l'ancien mot de passe, malgré le fait que je viens d'effacer le TPM.

Est-il possible d'effacer le mot de passe TPM?

J'ai eu le même problème. C'est ce que j'ai trouvé après de nombreuses recherches: les versions ultérieures de Windows 10 ne vous permettent pas de définir, enregistrer ou modifier le mot de passe du propriétaire du TPM par défaut. Le mot de passe est généré par Windows, utilisé par Windows pour configurer le TPM puis supprimé. De cette façon, personne ne peut altérer le TPM après son activation. En effet, le mot de passe propriétaire n'existe plus. Vous pouvez désactiver cette fonction de sécurité en modifiant une valeur de registre, en effaçant le module de plateforme sécurisée et en redémarrant. Après cela, vous pourrez définir et modifier le mot de passe du propriétaire du TPM. Voir cet article: https://technet.microsoft.com/en-us/itpro/windows/keep-secure/change-the-tpm-owner-password?f=255&MSPPError=-2147217396

Après avoir lu l'article, j'ai décidé de laisser les choses telles quelles, avec la nouvelle valeur par défaut de Windows (c'est-à-dire aucun moyen d'accéder ou de changer le mot de passe du propriétaire du TPM). Vous n'avez besoin du mot de passe du propriétaire du TPM que si la sécurité du PC est gérée de manière centralisée dans une configuration d'entreprise avec la nécessité pour un administrateur de sécurité d'accéder à distance au TPM. Dans une application autonome, l'accès à distance au module de plateforme sécurisée n'est ni nécessaire ni souhaitable. Vous pouvez faire tout ce dont vous avez besoin sans le mot de passe TPM si vous avez un accès physique au PC.

Réinitialisation de PowerShell TPM

Vous pouvez essayer certaines commandes PowerShell TPM en les exécutant à partir d'une invite de commandes PowerShell élevée (exécutée en tant qu'administrateur) pour réinitialiser les paramètres TPM.

Clairière

Voir Clear-Tpm et Set-TpmOwnerAuth pour plus de détails, mais voici quelques-uns pour donner un aperçu:

• Clear-Tpm
• Initialize-Tpm -AllowClear -AllowPhysicalPresence

Valeur par défaut

Vous pouvez également envisager de consulter Initialize-Tpm et noter que si vous ne spécifiez pas de valeur d'autorisation du propriétaire, l'applet de commande tente de lire la valeur dans le registre , ce qui peut être en train de lire et de définir par défaut ce que vous ne savez pas cette valeur.

Nouvelle valeur

Vous pouvez envisager d'exécuter la commande ConvertTo-TpmOwnerAuth pour spécifier explicitement la nouvelle phrase secrète du propriétaire. Intégrez donc ceci dans votre processus en conséquence:

• ConvertTo-TpmOwnerAuth -PassPhrase "<newpasswordstring>"

Configuration des paramètres de stratégie de groupe locale pour BitLocker

Comme je l'ai dit dans un commentaire ci-dessous il y a quelques jours, voici les étapes que je prends pour configurer le cryptage TPM sur des PC non liés à un domaine dans l'un des environnements que je supporte.

^{REMARQUE: Veuillez noter que certaines de ces options peuvent devoir redémarrer par la suite, ce que je n'ai pas mentionné spécifiquement, mais je ne me souviens pas lesquelles exactement, sauf là où je l'ai mentionné. Donc, s'il redémarre ou a besoin que vous redémarriez après avoir défini une option, alors c'est normal, je ne l'ai pas mentionné.}

^{Pendant l'un des redémarrages, la machine peut détecter une modification de sécurité du TPM et vous invite à accepter ou rejeter les modifications pour activer, activer ou prendre possession du périphérique TPM. Vous voudrez donc accepter ces modifications si vous obtenez une telle invite après l'un des redémarrages conformément aux modifications à effectuer mentionnées ci-dessous.}

1. Allez dans Démarrer > Exécuter > tapez gpedit.msc et appuyez sur Enter, puis accédez à # 6 comme dans la capture d'écran ci-dessous

   

2. Vous souhaiterez définir les paramètres à partir de l' emplacement n ° 6 ci-dessus avec les valeurs des deux captures d'écran ci-dessous.

   

   

3. Ensuite, allez dans Panneau de configuration > Chiffrement de lecteur Bitlocker > sélectionnez Activer BitLocker puis appuyez Nextdans la fenêtre comme dans la capture d'écran ci-dessous

   

4. Dans la fenêtre Préparation de votre lecteur pour BitLocker , appuyez surNext

5. Lorsque la préparation du lecteur est terminée, des fenêtres s'affichent, cliquez sur l' Restart Nowoption

6. Après le redémarrage, reconnectez-vous à la machine et lorsque la fenêtre de configuration de BitLocker Drive Encryption apparaît, sélectionnez l' Nextoption

7. Lorsque la fenêtre Activer le matériel de sécurité TPM apparaît sur votre écran, sélectionnez l' Restartoption

8. Après le redémarrage, reconnectez-vous à la machine et lorsque la fenêtre de configuration de BitLocker Drive Encryption apparaît, sélectionnez l' Nextoption

9. Vous serez ensuite invité à entrer un code PIN afin de taper le code PIN dans ces deux champs comme dans la capture d'écran ci-dessous, puis appuyez sur l' Set PINoption

   

10. Lorsque la fenêtre Comment voulez-vous sauvegarder votre clé de récupération , vous devrez appuyer sur l' option Enregistrer dans un fichier , puis sur l' Nextoption. Vous devrez vous assurer de le mettre sur une clé USB et d'y enregistrer cette clé de récupération, puis de la copier ailleurs plus tard, comme un lecteur réseau, etc.

    

11. Dans le champ Choisir la quantité de votre disque à chiffrer , dans mon cas, je n'ai sélectionné que l' espace disque utilisé pour chiffrer , car je le fais pour les nouvelles configurations de PC, mais vous pouvez sélectionner l'option la plus appropriée ici selon vos besoins, puis appuyer sur l' Nextoption

    

12. Dans la fenêtre Choisir le mode de cryptage à utiliser , vous voudrez vérifier l'option appropriée pour votre environnement, mais celle que je sélectionne dans cet environnement de mon côté est indiquée dans la capture d'écran ci-dessous

    

Voir également Comment effacer la puce TPM de toutes les informations d'identification de propriété précédentes et assurez-vous de suivre ces instructions étape par étape si vous ne l'avez pas déjà fait.

Comment effacer la puce TPM de toutes les informations d'identification de propriété précédentes

_{Cet article fournit des informations sur la façon de réinitialiser la puce TPM et d'effacer tous les détails du propriétaire précédent .}

Vous ne pouvez pas réinitialiser les informations d'identification DDPA ou DCP sur votre système

Vous pouvez rencontrer un problème lors de la tentative de réinitialisation des informations d'identification DDP | ​​A ou DCP , lorsque vous êtes invité à entrer un mot de passe de propriété TPM (Trusted Platform Module).

Si vous avez perdu le mot de passe TPM, la puce TPM peut être effacée à l'aide de Windows .

_{Remarque: cela effacera complètement le magasin d'informations d'identification du TPM, y compris le cryptage du disque dur, les empreintes digitales, les cartes à puce, etc. Veuillez vérifier quels dispositifs de sécurité que vous utilisez qui pourraient être affectés. Assurez-vous qu'un mot de passe Windows est configuré et configuré pour la connexion.}

Comment réinitialiser et effacer la puce TPM

La première chose à faire est de supprimer tous les mots de passe de pré-démarrage dans la console DDP | ​​A.

Cela n'affectera pas le mot de passe Windows.

Vous devez être en mesure de valider comme dans n'importe quel scénario de justificatif d'identité, et vous devez être administrateur sur ce système pour exécuter cette fonction.

1. Cliquez sur Démarrer . Dans la zone Search \ Run , tapez tpm.msc et appuyez sur ENTRÉE .

2. Dans la section Actions à droite, cliquez sur Effacer le module de plateforme sécurisée .

3. Dans la case Effacer le matériel de sécurité du TPM , cochez Je n'ai pas le mot de passe du propriétaire du TPM et cliquez sur OK .

4. Il vous sera demandé de redémarrer. Juste après l' écran Dell POST , vous serez invité à appuyer sur une touche (généralement F10 ) pour effacer le TPM. Appuyez sur cette touche .

5. Une fois le système redémarré, vous serez invité à redémarrer et à suivre les instructions pour activer le module de plateforme sécurisée . Redémarrer.

6. Juste après l' écran Dell POST , vous serez invité à appuyer sur une touche pour activer le TPM. Appuyez sur cette touche ( généralement F10 ).

   _{Remarque: Si vous n'utilisez pas TPM, appuyez sur la touche ESC .}

7. Une fois de retour sur le bureau, soit l' assistant de configuration du module de plateforme sécurisée s'affiche pour vous permettre de saisir un mot de passe propriétaire du module de plateforme sécurisée, soit vous pouvez choisir Modifier le mot de passe du propriétaire .

Vous pouvez maintenant clair DDP | A lettres de créance par le DDP | Une console .

Pour plus d'informations, veuillez consulter l'article ci-dessous:

• http://technet.microsoft.com/en-us/library/cc753694.aspx

_{la source}

Je soupçonne que c'est un bogue avec Windows 10. J'ai eu exactement le même problème que OP. Voici mes découvertes. J'ai deux PC, A et B, les deux ont la spécification TPM 1.2; tous les deux ont bitlocker activé. A est Windows 10 1607, B est sous Windows 10 1511.

Utilisez TPM.MSC sur A. Je peux effacer le module de plateforme sécurisée sans fournir le mot de passe propriétaire, mais tout autre élément nécessite un mot de passe propriétaire. Cependant sur B, aucune de ces actions ne nécessite un mot de passe propriétaire.

De plus, sur PC A, j'ai effacé le TPM via le BIOS, redémarré, revérifié que le statut du TPM était désactivé et sans propriétaire dans le BIOS. Démarrez dans Windows via le mot de passe de récupération (assurez-vous que vous avez votre mot de passe de récupération si vous voulez essayer cela sur votre PC), préparez le TPM via TPM.MSC, suivez l'assistant, après le redémarrage, l'assistant Windows TPM dit que le TPM est prêt et "Windows souvenir automatique du mot de passe du propriétaire, bla bla ... "(identique à celui observé en vaindil), je n'ai jamais eu la possibilité de sauvegarder le mot de passe du propriétaire du TPM. Je redémarre ensuite dans le BIOS et le TPM a maintenant le statut activé et possédé. Ces fenêtres confirmées ont en effet pris possession du TPM. Il n'a tout simplement jamais offert à l'utilisateur la possibilité d'enregistrer le mot de passe du propriétaire. Je me demande aussi où le mot de passe a été enregistré, inscription?

Fait intéressant, sur PC B, procédure similaire, j'ai eu la chance d'enregistrer le mot de passe du propriétaire dans AD, de le classer ou de l'imprimer.

Il me semble que le problème est lié à la version 1607. Si je peux obtenir le support d'installation du 1511, je vais certainement l'essayer sur le PC A pour le confirmer.

Salut, j'ai frappé ma tête dans le mur et j'ai finalement trouvé une solution le lendemain matin. suivez simplement les étapes ci-dessous.

définissez votre propriétaire TPM s'il n'est pas déjà défini. pas très difficile. allez dans le bios, activez-le et donnez également la permission de gérer à partir de Windows. si votre casier de bits est activé. désactivez le chiffrement de lecteur BitLocker et suivez les étapes

Exécutez CMD en tant qu'administrateur ...

1 ---- reg add HKLM \ SOFTWARE \ Policies \ Microsoft \ TPM / f / v OSManagedAuthLevel / t REG_DWORD / d 4 2 ---- WMIC / namespace: \ root \ cimv2 \ Security \ MicrosoftTpm Path Win32_Tpm Where __RELPATH = " Win32_Tpm = @ "Appelez SetPhysicalPresenceRequest 14 3 ---- shutdown -r -t 15 avec la permission de l'auteur original. et après le redémarrage, exécutez simplement l'étape, cela se déroulera sans problème. woooaahhh !!! terminé.