J'ai récemment effacé mon TPM (Dell e7240, Windows 10). Au cours du processus, Bios ou Windows n'ont à aucun moment demandé un nouveau mot de passe TPM. (Et à aucun moment depuis que j'ai acheté cet ordinateur portable, je n'ai jamais défini de mot de passe TPM, au meilleur de ma connaissance.) J'ai essayé d'effacer à la fois via Windows (avec TPM.MSC) et via Bios, et sans aucune méthode, on m'a demandé pour un nouveau mot de passe.
TPM.MSC signale que le TPM est "prêt à l'emploi", mais si je clique sur "changer le mot de passe du propriétaire", il demande l'ancien mot de passe, malgré le fait que je viens d'effacer le TPM.
Est-il possible d'effacer le mot de passe TPM?
OSManagedAuthLevel=2
signifie délégué. Vous pouvez essayer de le régler sur 4 (Complet) et redémarrer, puis effacer à nouveau le TPM. Lisez les parties pertinentes de l'article.Réponses:
J'ai eu le même problème. C'est ce que j'ai trouvé après de nombreuses recherches: les versions ultérieures de Windows 10 ne vous permettent pas de définir, enregistrer ou modifier le mot de passe du propriétaire du TPM par défaut. Le mot de passe est généré par Windows, utilisé par Windows pour configurer le TPM puis supprimé. De cette façon, personne ne peut altérer le TPM après son activation. En effet, le mot de passe propriétaire n'existe plus. Vous pouvez désactiver cette fonction de sécurité en modifiant une valeur de registre, en effaçant le module de plateforme sécurisée et en redémarrant. Après cela, vous pourrez définir et modifier le mot de passe du propriétaire du TPM. Voir cet article: https://technet.microsoft.com/en-us/itpro/windows/keep-secure/change-the-tpm-owner-password?f=255&MSPPError=-2147217396
Après avoir lu l'article, j'ai décidé de laisser les choses telles quelles, avec la nouvelle valeur par défaut de Windows (c'est-à-dire aucun moyen d'accéder ou de changer le mot de passe du propriétaire du TPM). Vous n'avez besoin du mot de passe du propriétaire du TPM que si la sécurité du PC est gérée de manière centralisée dans une configuration d'entreprise avec la nécessité pour un administrateur de sécurité d'accéder à distance au TPM. Dans une application autonome, l'accès à distance au module de plateforme sécurisée n'est ni nécessaire ni souhaitable. Vous pouvez faire tout ce dont vous avez besoin sans le mot de passe TPM si vous avez un accès physique au PC.
la source
Disable-TpmAutoProvisioning
commande powershell. technet.microsoft.com/en-us/library/jj603114.aspxRéinitialisation de PowerShell TPM
Vous pouvez essayer certaines commandes PowerShell TPM en les exécutant à partir d'une invite de commandes PowerShell élevée (exécutée en tant qu'administrateur) pour réinitialiser les paramètres TPM.
Clairière
Voir Clear-Tpm et Set-TpmOwnerAuth pour plus de détails, mais voici quelques-uns pour donner un aperçu:
Clear-Tpm
Initialize-Tpm -AllowClear -AllowPhysicalPresence
Valeur par défaut
Vous pouvez également envisager de consulter Initialize-Tpm et noter que si vous ne spécifiez pas de valeur d'autorisation du propriétaire, l'applet de commande tente de lire la valeur dans le registre , ce qui peut être en train de lire et de définir par défaut ce que vous ne savez pas cette valeur.
Nouvelle valeur
Vous pouvez envisager d'exécuter la commande ConvertTo-TpmOwnerAuth pour spécifier explicitement la nouvelle phrase secrète du propriétaire. Intégrez donc ceci dans votre processus en conséquence:
ConvertTo-TpmOwnerAuth -PassPhrase "<newpasswordstring>"
Configuration des paramètres de stratégie de groupe locale pour BitLocker
Comme je l'ai dit dans un commentaire ci-dessous il y a quelques jours, voici les étapes que je prends pour configurer le cryptage TPM sur des PC non liés à un domaine dans l'un des environnements que je supporte.
Allez dans Démarrer > Exécuter > tapez gpedit.msc et appuyez sur
Enter
, puis accédez à # 6 comme dans la capture d'écran ci-dessousVous souhaiterez définir les paramètres à partir de l' emplacement n ° 6 ci-dessus avec les valeurs des deux captures d'écran ci-dessous.
Ensuite, allez dans Panneau de configuration > Chiffrement de lecteur Bitlocker > sélectionnez Activer BitLocker puis appuyez
Next
dans la fenêtre comme dans la capture d'écran ci-dessousDans la fenêtre Préparation de votre lecteur pour BitLocker , appuyez sur
Next
Lorsque la préparation du lecteur est terminée, des fenêtres s'affichent, cliquez sur l'
Restart Now
optionAprès le redémarrage, reconnectez-vous à la machine et lorsque la fenêtre de configuration de BitLocker Drive Encryption apparaît, sélectionnez l'
Next
optionLorsque la fenêtre Activer le matériel de sécurité TPM apparaît sur votre écran, sélectionnez l'
Restart
optionAprès le redémarrage, reconnectez-vous à la machine et lorsque la fenêtre de configuration de BitLocker Drive Encryption apparaît, sélectionnez l'
Next
optionVous serez ensuite invité à entrer un code PIN afin de taper le code PIN dans ces deux champs comme dans la capture d'écran ci-dessous, puis appuyez sur l'
Set PIN
optionLorsque la fenêtre Comment voulez-vous sauvegarder votre clé de récupération , vous devrez appuyer sur l' option Enregistrer dans un fichier , puis sur l'
Next
option. Vous devrez vous assurer de le mettre sur une clé USB et d'y enregistrer cette clé de récupération, puis de la copier ailleurs plus tard, comme un lecteur réseau, etc.Dans le champ Choisir la quantité de votre disque à chiffrer , dans mon cas, je n'ai sélectionné que l' espace disque utilisé pour chiffrer , car je le fais pour les nouvelles configurations de PC, mais vous pouvez sélectionner l'option la plus appropriée ici selon vos besoins, puis appuyer sur l'
Next
optionDans la fenêtre Choisir le mode de cryptage à utiliser , vous voudrez vérifier l'option appropriée pour votre environnement, mais celle que je sélectionne dans cet environnement de mon côté est indiquée dans la capture d'écran ci-dessous
Voir également Comment effacer la puce TPM de toutes les informations d'identification de propriété précédentes et assurez-vous de suivre ces instructions étape par étape si vous ne l'avez pas déjà fait.
la source
Clear-Tpm
et ça s'est bien passé. Avant de redémarrer, j'ai également couruDisable-TpmAutoProvisioning
. Après le redémarrage, tout a dit que le TPM n'était pas prêt. J'ai ensuite couruInitialize-Tpm -AllowClear -AllowPhysicalPresence
. La commande a pris un moment, puis il est revenu que le TPM est prêt.tpm.msc
dit également qu'il est prêt. On ne m'a jamais demandé de mot de passe propriétaire.-ForceClearAllowed
et-PhysicalPresenceAllowed
sont tous deux invalides, et un commentaire sur l'article le dit également.Initialize-Tpm
ne semble pas avoir un moyen de spécifier le nouveau mot de passe du propriétaire comme vous l'avez mentionné.ConvertTo-TpmOwnerAuth
ne définit en fait rien - il convertit uniquement une chaîne en une valeur d'autorisation du propriétaire (quoi que cela signifie).Je soupçonne que c'est un bogue avec Windows 10. J'ai eu exactement le même problème que OP. Voici mes découvertes. J'ai deux PC, A et B, les deux ont la spécification TPM 1.2; tous les deux ont bitlocker activé. A est Windows 10 1607, B est sous Windows 10 1511.
Utilisez TPM.MSC sur A. Je peux effacer le module de plateforme sécurisée sans fournir le mot de passe propriétaire, mais tout autre élément nécessite un mot de passe propriétaire. Cependant sur B, aucune de ces actions ne nécessite un mot de passe propriétaire.
De plus, sur PC A, j'ai effacé le TPM via le BIOS, redémarré, revérifié que le statut du TPM était désactivé et sans propriétaire dans le BIOS. Démarrez dans Windows via le mot de passe de récupération (assurez-vous que vous avez votre mot de passe de récupération si vous voulez essayer cela sur votre PC), préparez le TPM via TPM.MSC, suivez l'assistant, après le redémarrage, l'assistant Windows TPM dit que le TPM est prêt et "Windows souvenir automatique du mot de passe du propriétaire, bla bla ... "(identique à celui observé en vaindil), je n'ai jamais eu la possibilité de sauvegarder le mot de passe du propriétaire du TPM. Je redémarre ensuite dans le BIOS et le TPM a maintenant le statut activé et possédé. Ces fenêtres confirmées ont en effet pris possession du TPM. Il n'a tout simplement jamais offert à l'utilisateur la possibilité d'enregistrer le mot de passe du propriétaire. Je me demande aussi où le mot de passe a été enregistré, inscription?
Fait intéressant, sur PC B, procédure similaire, j'ai eu la chance d'enregistrer le mot de passe du propriétaire dans AD, de le classer ou de l'imprimer.
Il me semble que le problème est lié à la version 1607. Si je peux obtenir le support d'installation du 1511, je vais certainement l'essayer sur le PC A pour le confirmer.
la source
Salut, j'ai frappé ma tête dans le mur et j'ai finalement trouvé une solution le lendemain matin. suivez simplement les étapes ci-dessous.
définissez votre propriétaire TPM s'il n'est pas déjà défini. pas très difficile. allez dans le bios, activez-le et donnez également la permission de gérer à partir de Windows. si votre casier de bits est activé. désactivez le chiffrement de lecteur BitLocker et suivez les étapes
Exécutez CMD en tant qu'administrateur ...
1 ---- reg add HKLM \ SOFTWARE \ Policies \ Microsoft \ TPM / f / v OSManagedAuthLevel / t REG_DWORD / d 4 2 ---- WMIC / namespace: \ root \ cimv2 \ Security \ MicrosoftTpm Path Win32_Tpm Where __RELPATH = " Win32_Tpm = @ "Appelez SetPhysicalPresenceRequest 14 3 ---- shutdown -r -t 15 avec la permission de l'auteur original. et après le redémarrage, exécutez simplement l'étape, cela se déroulera sans problème. woooaahhh !!! terminé.
la source