web-dev-qa-db-fra.com

Clearing TPM ne demande pas un nouveau mot de passe, mais "changer le mot de passe du propriétaire" demande l'ancien

J'ai récemment effacé mon TPM (Dell e7240, Windows 10). Pendant le processus, Bios ou Windows n'ont à aucun moment demandé un nouveau mot de passe TPM. (Et à aucun moment depuis que j'ai acheté cet ordinateur portable, je n'ai jamais défini de mot de passe TPM, autant que je sache.) J'ai essayé de nettoyer à la fois via Windows (avec TPM.MSC) et via Bios. pour un nouveau mot de passe.

TPM.MSC indique que le TPM est "prêt à être utilisé", mais si je clique sur "changer le mot de passe du propriétaire", il demande l'ancien mot de passe, alors que je venais de vider le TPM.

Est-il possible d'effacer le mot de passe TPM?

15
cfp

J'ai eu le même problème. C’est ce que j’ai trouvé après de nombreuses recherches: Les versions ultérieures de Windows 10 ne vous autorisent pas à définir, enregistrer ou modifier le mot de passe du propriétaire du TPM par défaut. Le mot de passe est généré par Windows, utilisé par Windows pour configurer le TPM puis abandonné. De cette manière, personne ne peut altérer le TPM après son activation. En effet, le mot de passe du propriétaire n'existe plus. Vous pouvez désactiver cette fonctionnalité de sécurité en modifiant une valeur de registre, en effaçant le TPM et en redémarrant. Après cela, vous pourrez définir et modifier le mot de passe du propriétaire du TPM. Voir cet article: https://technet.Microsoft.com/en-us/itpro/windows/keep-secure/change-the-tpm-owner-password?f=255&MSPPError=- 2147217396

Après avoir lu l'article, j'ai décidé de laisser les choses en l'état, avec la nouvelle valeur par défaut de Windows (c'est-à-dire aucun moyen d'accéder ou de changer le mot de passe du propriétaire du TPM). Vous n'avez besoin du mot de passe du propriétaire du TPM que si la sécurité du PC est gérée de manière centralisée dans une configuration d'entreprise et qu'un administrateur de la sécurité doit accéder au TPM à distance. Dans une application autonome, l'accès à distance au TPM n'est ni nécessaire ni souhaitable. Vous pouvez faire tout ce dont vous avez besoin sans le mot de passe TPM si vous avez un accès physique au PC.

9
James Tattersall

PowerShell Réinitialisation du TPM

Vous pouvez donner une chance à certaines des commandes TPM de PowerShell en les exécutant à partir d'une commande PowerShell avec privilèges élevés (exécuter en tant qu'administrateur) pour réinitialiser les paramètres du TPM.

Effacement

Voir Clear-Tpm et Set-TpmOwnerAuth pour plus de détails, mais vous trouverez ci-dessous quelques exemples:

  • Clear-Tpm
  • Initialize-Tpm -AllowClear -AllowPhysicalPresence

Valeur par défaut

Vous pouvez également envisager de regarder Initialize-Tpm et notez que si vous ne spécifiez pas de valeur d'autorisation du propriétaire, la cmdlet tente de lire la valeur à partir du registre donc cela peut être lire et définir par défaut ce que vous ne savez pas à partir de cette valeur.

Nouvelle valeur

Vous pouvez envisager de lancer la commande ConvertTo-TpmOwnerAuth pour spécifier explicitement la nouvelle phrase de passe du propriétaire. Alors intégrez ceci dans votre processus en conséquence:

  • ConvertTo-TpmOwnerAuth -PassPhrase "<newpasswordstring>"

Configuration des paramètres de stratégie de groupe local pour BitLocker

Comme je l'ai dit dans un commentaire ci-dessous il y a quelques jours, voici les étapes à suivre pour configurer le cryptage TPM sur des PC non liés à un domaine dans l'un des environnements que je prend en charge.

REMARQUE: Veuillez noter que certaines de ces options peuvent devoir être relancées par la suite, ce que je n'ai pas mentionné spécifiquement mais que je ne sais pas. rappelez-vous lesquels exactement, sauf pour ce que j'ai mentionné. Donc, si cela redémarre ou si vous avez besoin de redémarrer après avoir défini une option, c'est normal, je ne l'ai simplement pas mentionné.

Lors de l'un des redémarrages, la machine peut détecter une modification de sécurité du TPM et vous demander d'accepter ou de refuser les modifications afin d'activer, d'activer ou de s'approprier le périphérique TPM. Vous voudrez donc accepter ces modifications si vous recevez une telle invite après l’un des redémarrages, conformément aux modifications à effectuer mentionnées ci-dessous.

  1. Aller à Démarrer > Exécuter > taper gpedit.msc et appuyez sur Enter, puis accédez au point 6 comme dans la capture d'écran ci-dessous

    enter image description here

  2. Vous souhaitez définir les paramètres à partir de l'emplacement ci-dessus # 6 avec les valeurs des deux captures d'écran ci-dessous, puis

    enter image description here

    enter image description here

  3. Ensuite, allez à Panneau de configuration > Chiffrement de lecteur Bitlocker > sélectionnez Activez BitLocker puis appuyez sur Next dans la fenêtre comme dans la capture d'écran ci-dessous

    enter image description here

  4. Dans la fenêtre Préparation de votre lecteur pour BitLocker , appuyez sur Next

  5. Lorsque la préparation du lecteur est terminée s'affiche, cliquez sur le bouton Restart Now option

  6. Après le redémarrage, reconnectez-vous à la machine et lorsque la fenêtre Configuration du chiffrement de lecteur BitLocker apparaît, sélectionnez le Next option

  7. Lorsque la fenêtre est activée sur votre écran de sécurité TPM , sélectionnez la fenêtre Restart option

  8. Après le redémarrage, reconnectez-vous à la machine et lorsque la fenêtre Configuration du chiffrement de lecteur BitLocker apparaît, sélectionnez le Next option

  9. Vous serez ensuite invité à Entrez un code PIN . Tapez le PIN dans ces deux champs, comme dans la capture d'écran ci-dessous, puis appuyez sur la Set PIN option

    enter image description here

  10. Lorsque la comment voulez-vous sauvegarder votre fenêtre de clé de récupération , vous voudrez appuyer sur la touche Enregistrer dans fichier puis appuyez sur la touche Next option. Vous devez vous assurer de placer cette information sur une clé USB, d'y enregistrer cette clé de récupération, puis de la copier ultérieurement, par exemple un lecteur réseau, etc.

    enter image description here

  11. Dans le choisissez la quantité de votre lecteur à chiffrer , dans mon cas, j'ai sélectionné le Crypter l'espace disque utilisé. seulement puisque je le fais pour les nouvelles configurations de PC, mais vous pouvez sélectionner l'option la plus appropriée ici pour vos besoins et appuyer ensuite sur la touche Next option

    enter image description here

  12. Dans la fenêtre , choisissez le mode de cryptage à utiliser pour vérifier l'option appropriée pour votre environnement, mais celle que je sélectionne dans cet environnement est la suivante: montré dans la capture d'écran ci-dessous

    enter image description here


Voir également Comment effacer la puce TPM de toutes les références de propriété précédentes et assurez-vous de suivre ces instructions étape par étape si vous ne l'avez pas déjà fait.

Comment effacer la puce TPM de tout titre de propriété précédent

Cet article explique comment réinitialiser la puce TPM et effacer tous les détails du propriétaire précédent .

Vous ne pouvez pas réinitialiser les informations d'identification DDPA ou DCP sur votre système

Vous pouvez rencontrer un problème lorsque vous essayez de réinitialiser le DDP | ​​A ou DCP informations d'identification, où vous êtes invité à entrer un mot de passe de propriété TPM (Trusted Platform Module).

Si vous avez perdu le mot de passe du TPM , vous pouvez vider la puce TPM à l'aide de Windows .

Remarque: Ceci effacera complètement le magasin d'informations d'identification du TPM, y compris le cryptage du disque dur, les empreintes digitales, les cartes à puce, etc. Veuillez vérifier quels périphériques de sécurité que vous utilisez sont susceptibles d'être affectés. Assurez-vous que vous avez un mot de passe Windows configuré et configuré pour la connexion.

Comment réinitialiser et effacer la puce TPM

La première chose à faire est de supprimer tous les mots de passe de pré-démarrage dans le DDP | ​​A console.

Ceci n'affectera pas le mot de passe Windows.

Vous devez être capable de valider comme dans tout scénario d'identification, et vous devez être administrateur de ce système afin d’exécuter cette fonction.

  1. Cliquez sur Démarrer . Dans la zone Search\Run , tapez tpm.msc et appuyez sur ENTREZ.

  2. Sous la section Actions à droite, cliquez sur Effacer le TPM .

  3. Dans la zone , décochez la case Matériel de sécurité TPM , cochez le mot de passe du propriétaire du TPM et cliquez sur OK.

  4. Vous serez invité à redémarrer. Juste après l'écran Dell POST, vous serez invité à appuyer sur une touche (généralement F10 ) pour effacer TPM. Appuyez sur cette touche .

  5. Une fois le système redémarré, vous serez invité à redémarrer et à suivre les instructions pour activer TPM . Redémarrer.

  6. Juste après l'écran Dell POST, vous serez invité à appuyer sur une touche pour activer le TPM. Appuyez sur cette touche ( généralement F10 ).

    Remarque: Si vous n'utilisez pas TPM, appuyez sur la touche ESC.

  7. Une fois sur le bureau, l’Assistant de configuration du TPM vous permet de saisir un mot de passe du propriétaire du TPM ou vous pouvez choisir Changer le mot de passe du propriétaire .

Vous pouvez maintenant effacer les informations d'identification DDP | ​​A via la console DDP | ​​A .

Pour plus d'informations, veuillez consulter l'article ci-dessous:

source

6
Pimp Juice IT

Je soupçonne que c'est un bogue avec Windows 10. J'ai eu exactement le même problème que l'OP. Voici mes conclusions. J'ai deux PC, A et B, les deux ont la spécification TPM 1.2; les deux ont bitlocker activé. A est Windows 10 1607, B est sous Windows 10 1511.

Utilisez TPM.MSC sur A. Je peux effacer TPM sans fournir de mot de passe du propriétaire, mais tout le reste nécessite un mot de passe du propriétaire. Cependant, sur B, aucune de ces actions ne nécessite un mot de passe de propriétaire.

De plus, sur le PC A, j’ai effacé le TPM via le BIOS, redémarré, vérifié deux fois que l’état du TPM était désactivé et non possédé dans le BIOS. Démarrez Windows avec un mot de passe de récupération (assurez-vous que vous avez votre mot de passe de récupération si vous comptez essayer ceci sur votre PC), préparez le TPM via TPM.MSC, suivez l’assistant, après le redémarrage, l’assistant Windows TPM indique que le TPM est prêt et "Windows mémoriser automatiquement le mot de passe du propriétaire, bla bla ... "(même chose que vaindil a observé), je n’ai jamais eu la chance de sauvegarder le mot de passe du propriétaire du TPM. Je redémarre ensuite dans le BIOS et le statut du TPM est maintenant activé et possédé. Cette confirmation des fenêtres a en effet pris la propriété du TPM. Cela ne permettait jamais à l'utilisateur de sauvegarder le mot de passe du propriétaire. Je me demande aussi où le mot de passe a été enregistré, registre?

Fait intéressant, sur PC B, procédure similaire, j’ai eu la chance d’enregistrer le mot de passe du propriétaire dans AD, le classer ou l’imprimer.

Il me semble que le problème est lié à 1607 build. Si, d’une manière ou d’une autre, je peux obtenir le support d’installation 1511, je l’essayerai certainement sur le PC A pour le confirmer.

3
user37066

salut, je me suis cogné la tête contre un mur et j'ai finalement trouvé une solution le lendemain matin. Il suffit de suivre les étapes mentionnées ci-dessous.

définissez le propriétaire de votre TPM s'il n'est pas déjà défini. pas très difficile. allez dans le paramétrage du bios, activez-le et donnez également la permission de gérer à partir de Windows. si votre casier est activé. Désactivez le chiffrement de lecteur BitLocker et suivez les étapes

Exécuter CMD en tant qu'administrateur ...

1 ---- reg add HKLM\LOGICIEL\Policies\Microsoft\TPM/f/v OSManagedAuthLevel/t REG_DWORD/d 4 2 ---- WMIC/espace de noms:\root\cimv2\Security\MicrosoftTpm Chemin Win32_Tpm Où __RELPATH = " Win32_Tpm = @ "Appelez SetPhysicalPresenceRequest 14 3 ---- shutdown -r -t 15 avec la permission de l'auteur original. et après le redémarrage, il suffit de lancer l'étape pour que tout se passe bien. woooaahhh !!! terminé.

0
ahmar