La suppression du TPM ne demande pas de nouveau mot de passe, mais «changer le mot de passe du propriétaire» demande l'ancien

15

J'ai récemment effacé mon TPM (Dell e7240, Windows 10). Au cours du processus, Bios ou Windows n'ont à aucun moment demandé un nouveau mot de passe TPM. (Et à aucun moment depuis que j'ai acheté cet ordinateur portable, je n'ai jamais défini de mot de passe TPM, au meilleur de ma connaissance.) J'ai essayé d'effacer à la fois via Windows (avec TPM.MSC) et via Bios, et sans aucune méthode, on m'a demandé pour un nouveau mot de passe.

TPM.MSC signale que le TPM est "prêt à l'emploi", mais si je clique sur "changer le mot de passe du propriétaire", il demande l'ancien mot de passe, malgré le fait que je viens d'effacer le TPM.

Est-il possible d'effacer le mot de passe TPM?

cfp
la source
Avez-vous essayé "Changer le mot de passe du propriétaire" en laissant le champ "ancien mot de passe" vide?
Nathan.Eilisha Shiraini
Oui. Il n'accepte pas le mot de passe (vide).
cfp
Je viens également d'effacer mon TPM. Lors de son redémarrage, Windows a dit quelque chose comme «Windows peut garder votre clé en sécurité pour que vous n'ayez pas à vous en souvenir». Je veux cette clé pour une raison!
vaindil
On dirait que vous l'avez effacé, mais vous ne l'avez pas réinitialisé. Peut-être que cela vous aidera: technet.microsoft.com/en-us/itpro/windows/keep-secure/…
lightwing
2
Selon cet article de Microsoft , OSManagedAuthLevel=2signifie délégué. Vous pouvez essayer de le régler sur 4 (Complet) et redémarrer, puis effacer à nouveau le TPM. Lisez les parties pertinentes de l'article.
harrymc

Réponses:

10

J'ai eu le même problème. C'est ce que j'ai trouvé après de nombreuses recherches: les versions ultérieures de Windows 10 ne vous permettent pas de définir, enregistrer ou modifier le mot de passe du propriétaire du TPM par défaut. Le mot de passe est généré par Windows, utilisé par Windows pour configurer le TPM puis supprimé. De cette façon, personne ne peut altérer le TPM après son activation. En effet, le mot de passe propriétaire n'existe plus. Vous pouvez désactiver cette fonction de sécurité en modifiant une valeur de registre, en effaçant le module de plateforme sécurisée et en redémarrant. Après cela, vous pourrez définir et modifier le mot de passe du propriétaire du TPM. Voir cet article: https://technet.microsoft.com/en-us/itpro/windows/keep-secure/change-the-tpm-owner-password?f=255&MSPPError=-2147217396

Après avoir lu l'article, j'ai décidé de laisser les choses telles quelles, avec la nouvelle valeur par défaut de Windows (c'est-à-dire aucun moyen d'accéder ou de changer le mot de passe du propriétaire du TPM). Vous n'avez besoin du mot de passe du propriétaire du TPM que si la sécurité du PC est gérée de manière centralisée dans une configuration d'entreprise avec la nécessité pour un administrateur de sécurité d'accéder à distance au TPM. Dans une application autonome, l'accès à distance au module de plateforme sécurisée n'est ni nécessaire ni souhaitable. Vous pouvez faire tout ce dont vous avez besoin sans le mot de passe TPM si vous avez un accès physique au PC.

James Tattersall
la source
L'article TechNet lié a tout clarifié. Merci! Super d'avoir au moins une réponse claire.
cfp
@cfp ... Si vous en avez l'occasion, veuillez confirmer ce que vous avez fait exactement pour résoudre votre problème. J'étais simplement curieux de savoir si cela clarifiait les choses ou si cela vous permettait de terminer ce que vous n'auriez pas pu faire autrement. Et si vous avez été en mesure de terminer ce que vous n'étiez pas autrement, il vous suffit de savoir ce que vous avez fait spécifiquement pour résoudre votre demande. Je pense qu'une partie du message serait extrêmement utile à citer dans la réponse si vous l'avez effectivement appliquée et confirmé que le faire a résolu votre problème.
Pimp Juice IT
L'article indiquait clairement qu'il était inutile d'essayer de définir le mot de passe TPM. Je n'ai pas essayé de suivre ses étapes pour activer le réglage manuel, car j'étais convaincu qu'il n'y avait aucun avantage à cela. Je suis entièrement d'accord avec le répondeur: "après avoir lu l'article, j'ai décidé de laisser les choses telles quelles, avec le nouveau Windows par défaut".
cfp
Merci. Cette réponse m'a vraiment clarifié les choses. Pour un ordinateur personnel sécurisé, je resterai avec le mot de passe inconnu créé au hasard.
Brainski
Vous pouvez également désactiver l'initialisation automatique si vous souhaitez le faire vous-même avec la Disable-TpmAutoProvisioningcommande powershell. technet.microsoft.com/en-us/library/jj603114.aspx
Tom Jenkinson
7

Réinitialisation de PowerShell TPM

Vous pouvez essayer certaines commandes PowerShell TPM en les exécutant à partir d'une invite de commandes PowerShell élevée (exécutée en tant qu'administrateur) pour réinitialiser les paramètres TPM.

Clairière

Voir Clear-Tpm et Set-TpmOwnerAuth pour plus de détails, mais voici quelques-uns pour donner un aperçu:

  • Clear-Tpm
  • Initialize-Tpm -AllowClear -AllowPhysicalPresence

Valeur par défaut

Vous pouvez également envisager de consulter Initialize-Tpm et noter que si vous ne spécifiez pas de valeur d'autorisation du propriétaire, l'applet de commande tente de lire la valeur dans le registre , ce qui peut être en train de lire et de définir par défaut ce que vous ne savez pas cette valeur.

Nouvelle valeur

Vous pouvez envisager d'exécuter la commande ConvertTo-TpmOwnerAuth pour spécifier explicitement la nouvelle phrase secrète du propriétaire. Intégrez donc ceci dans votre processus en conséquence:

  • ConvertTo-TpmOwnerAuth -PassPhrase "<newpasswordstring>"

Configuration des paramètres de stratégie de groupe locale pour BitLocker

Comme je l'ai dit dans un commentaire ci-dessous il y a quelques jours, voici les étapes que je prends pour configurer le cryptage TPM sur des PC non liés à un domaine dans l'un des environnements que je supporte.

REMARQUE: Veuillez noter que certaines de ces options peuvent devoir redémarrer par la suite, ce que je n'ai pas mentionné spécifiquement, mais je ne me souviens pas lesquelles exactement, sauf là où je l'ai mentionné. Donc, s'il redémarre ou a besoin que vous redémarriez après avoir défini une option, alors c'est normal, je ne l'ai pas mentionné.

Pendant l'un des redémarrages, la machine peut détecter une modification de sécurité du TPM et vous invite à accepter ou rejeter les modifications pour activer, activer ou prendre possession du périphérique TPM. Vous voudrez donc accepter ces modifications si vous obtenez une telle invite après l'un des redémarrages conformément aux modifications à effectuer mentionnées ci-dessous.

  1. Allez dans Démarrer > Exécuter > tapez gpedit.msc et appuyez sur Enter, puis accédez à # 6 comme dans la capture d'écran ci-dessous

    entrez la description de l'image ici

  2. Vous souhaiterez définir les paramètres à partir de l' emplacement n ° 6 ci-dessus avec les valeurs des deux captures d'écran ci-dessous.

    entrez la description de l'image ici

    entrez la description de l'image ici

  3. Ensuite, allez dans Panneau de configuration > Chiffrement de lecteur Bitlocker > sélectionnez Activer BitLocker puis appuyez Nextdans la fenêtre comme dans la capture d'écran ci-dessous

    entrez la description de l'image ici

  4. Dans la fenêtre Préparation de votre lecteur pour BitLocker , appuyez surNext

  5. Lorsque la préparation du lecteur est terminée, des fenêtres s'affichent, cliquez sur l' Restart Nowoption

  6. Après le redémarrage, reconnectez-vous à la machine et lorsque la fenêtre de configuration de BitLocker Drive Encryption apparaît, sélectionnez l' Nextoption

  7. Lorsque la fenêtre Activer le matériel de sécurité TPM apparaît sur votre écran, sélectionnez l' Restartoption

  8. Après le redémarrage, reconnectez-vous à la machine et lorsque la fenêtre de configuration de BitLocker Drive Encryption apparaît, sélectionnez l' Nextoption

  9. Vous serez ensuite invité à entrer un code PIN afin de taper le code PIN dans ces deux champs comme dans la capture d'écran ci-dessous, puis appuyez sur l' Set PINoption

    entrez la description de l'image ici

  10. Lorsque la fenêtre Comment voulez-vous sauvegarder votre clé de récupération , vous devrez appuyer sur l' option Enregistrer dans un fichier , puis sur l' Nextoption. Vous devrez vous assurer de le mettre sur une clé USB et d'y enregistrer cette clé de récupération, puis de la copier ailleurs plus tard, comme un lecteur réseau, etc.

    entrez la description de l'image ici

  11. Dans le champ Choisir la quantité de votre disque à chiffrer , dans mon cas, je n'ai sélectionné que l' espace disque utilisé pour chiffrer , car je le fais pour les nouvelles configurations de PC, mais vous pouvez sélectionner l'option la plus appropriée ici selon vos besoins, puis appuyer sur l' Nextoption

    entrez la description de l'image ici

  12. Dans la fenêtre Choisir le mode de cryptage à utiliser , vous voudrez vérifier l'option appropriée pour votre environnement, mais celle que je sélectionne dans cet environnement de mon côté est indiquée dans la capture d'écran ci-dessous

    entrez la description de l'image ici


Voir également Comment effacer la puce TPM de toutes les informations d'identification de propriété précédentes et assurez-vous de suivre ces instructions étape par étape si vous ne l'avez pas déjà fait.

Comment effacer la puce TPM de toutes les informations d'identification de propriété précédentes

Cet article fournit des informations sur la façon de réinitialiser la puce TPM et d'effacer tous les détails du propriétaire précédent .

Vous ne pouvez pas réinitialiser les informations d'identification DDPA ou DCP sur votre système

Vous pouvez rencontrer un problème lors de la tentative de réinitialisation des informations d'identification DDP | ​​A ou DCP , lorsque vous êtes invité à entrer un mot de passe de propriété TPM (Trusted Platform Module).

Si vous avez perdu le mot de passe TPM, la puce TPM peut être effacée à l'aide de Windows .

Remarque: cela effacera complètement le magasin d'informations d'identification du TPM, y compris le cryptage du disque dur, les empreintes digitales, les cartes à puce, etc. Veuillez vérifier quels dispositifs de sécurité que vous utilisez qui pourraient être affectés. Assurez-vous qu'un mot de passe Windows est configuré et configuré pour la connexion.

Comment réinitialiser et effacer la puce TPM

La première chose à faire est de supprimer tous les mots de passe de pré-démarrage dans la console DDP | ​​A.

Cela n'affectera pas le mot de passe Windows.

Vous devez être en mesure de valider comme dans n'importe quel scénario de justificatif d'identité, et vous devez être administrateur sur ce système pour exécuter cette fonction.

  1. Cliquez sur Démarrer . Dans la zone Search \ Run , tapez tpm.msc et appuyez sur ENTRÉE .

  2. Dans la section Actions à droite, cliquez sur Effacer le module de plateforme sécurisée .

  3. Dans la case Effacer le matériel de sécurité du TPM , cochez Je n'ai pas le mot de passe du propriétaire du TPM et cliquez sur OK .

  4. Il vous sera demandé de redémarrer. Juste après l' écran Dell POST , vous serez invité à appuyer sur une touche (généralement F10 ) pour effacer le TPM. Appuyez sur cette touche .

  5. Une fois le système redémarré, vous serez invité à redémarrer et à suivre les instructions pour activer le module de plateforme sécurisée . Redémarrer.

  6. Juste après l' écran Dell POST , vous serez invité à appuyer sur une touche pour activer le TPM. Appuyez sur cette touche ( généralement F10 ).

    Remarque: Si vous n'utilisez pas TPM, appuyez sur la touche ESC .

  7. Une fois de retour sur le bureau, soit l' assistant de configuration du module de plateforme sécurisée s'affiche pour vous permettre de saisir un mot de passe propriétaire du module de plateforme sécurisée, soit vous pouvez choisir Modifier le mot de passe du propriétaire .

Vous pouvez maintenant clair DDP | A lettres de créance par le DDP | Une console .

Pour plus d'informations, veuillez consulter l'article ci-dessous:

la source

Pimp Juice IT
la source
Cela a été discuté dans les commentaires (je ne suis pas OP mais je mets la prime là-dessus; je ne peux pas éditer la question). Je suis en mesure de suivre ces étapes, mais Windows ne m'a jamais donné la possibilité de définir le mot de passe du propriétaire. Une fois le TPM effacé et Windows redémarré, une fenêtre apparaît indiquant que le TPM est effacé et que «Windows peut se souvenir du mot de passe du propriétaire pour [moi] afin que [je] ne doive pas».
vaindil
J'ai effacé le TPM avec Clear-Tpmet ça s'est bien passé. Avant de redémarrer, j'ai également couru Disable-TpmAutoProvisioning. Après le redémarrage, tout a dit que le TPM n'était pas prêt. J'ai ensuite couru Initialize-Tpm -AllowClear -AllowPhysicalPresence. La commande a pris un moment, puis il est revenu que le TPM est prêt. tpm.mscdit également qu'il est prêt. On ne m'a jamais demandé de mot de passe propriétaire.
vaindil
Les drapeaux de l'exemple de -ForceClearAllowedet -PhysicalPresenceAllowedsont tous deux invalides, et un commentaire sur l'article le dit également.
vaindil
@vaindil J'ai ajouté d'autres applets de commande PowerShell pour essayer une solution, mais cela aiderait à savoir quel est votre objectif ultime: comme définir un nouveau mot de passe de propriétaire, le garder complètement désactivé ou quoi? J'ai ajouté des applets de commande PowerShell supplémentaires pour remplacer le mot de passe du propriétaire par une nouvelle valeur.
Pimp Juice IT
Initialize-Tpmne semble pas avoir un moyen de spécifier le nouveau mot de passe du propriétaire comme vous l'avez mentionné. ConvertTo-TpmOwnerAuthne définit en fait rien - il convertit uniquement une chaîne en une valeur d'autorisation du propriétaire (quoi que cela signifie).
vaindil
3

Je soupçonne que c'est un bogue avec Windows 10. J'ai eu exactement le même problème que OP. Voici mes découvertes. J'ai deux PC, A et B, les deux ont la spécification TPM 1.2; tous les deux ont bitlocker activé. A est Windows 10 1607, B est sous Windows 10 1511.

Utilisez TPM.MSC sur A. Je peux effacer le module de plateforme sécurisée sans fournir le mot de passe propriétaire, mais tout autre élément nécessite un mot de passe propriétaire. Cependant sur B, aucune de ces actions ne nécessite un mot de passe propriétaire.

De plus, sur PC A, j'ai effacé le TPM via le BIOS, redémarré, revérifié que le statut du TPM était désactivé et sans propriétaire dans le BIOS. Démarrez dans Windows via le mot de passe de récupération (assurez-vous que vous avez votre mot de passe de récupération si vous voulez essayer cela sur votre PC), préparez le TPM via TPM.MSC, suivez l'assistant, après le redémarrage, l'assistant Windows TPM dit que le TPM est prêt et "Windows souvenir automatique du mot de passe du propriétaire, bla bla ... "(identique à celui observé en vaindil), je n'ai jamais eu la possibilité de sauvegarder le mot de passe du propriétaire du TPM. Je redémarre ensuite dans le BIOS et le TPM a maintenant le statut activé et possédé. Ces fenêtres confirmées ont en effet pris possession du TPM. Il n'a tout simplement jamais offert à l'utilisateur la possibilité d'enregistrer le mot de passe du propriétaire. Je me demande aussi où le mot de passe a été enregistré, inscription?

Fait intéressant, sur PC B, procédure similaire, j'ai eu la chance d'enregistrer le mot de passe du propriétaire dans AD, de le classer ou de l'imprimer.

Il me semble que le problème est lié à la version 1607. Si je peux obtenir le support d'installation du 1511, je vais certainement l'essayer sur le PC A pour le confirmer.

user37066
la source
0

Salut, j'ai frappé ma tête dans le mur et j'ai finalement trouvé une solution le lendemain matin. suivez simplement les étapes ci-dessous.

définissez votre propriétaire TPM s'il n'est pas déjà défini. pas très difficile. allez dans le bios, activez-le et donnez également la permission de gérer à partir de Windows. si votre casier de bits est activé. désactivez le chiffrement de lecteur BitLocker et suivez les étapes

Exécutez CMD en tant qu'administrateur ...

1 ---- reg add HKLM \ SOFTWARE \ Policies \ Microsoft \ TPM / f / v OSManagedAuthLevel / t REG_DWORD / d 4 2 ---- WMIC / namespace: \ root \ cimv2 \ Security \ MicrosoftTpm Path Win32_Tpm Where __RELPATH = " Win32_Tpm = @ "Appelez SetPhysicalPresenceRequest 14 3 ---- shutdown -r -t 15 avec la permission de l'auteur original. et après le redémarrage, exécutez simplement l'étape, cela se déroulera sans problème. woooaahhh !!! terminé.

ahmar
la source