Borrar TPM no solicita una nueva contraseña, pero "cambiar la contraseña del propietario" solicita la antigua

15

Recientemente borré mi TPM (Dell e7240, Windows 10). Durante el proceso, en ningún momento Bios o Windows solicitaron una nueva contraseña de TPM. (Y en ningún momento desde que compré esta computadora portátil, alguna vez configuré una contraseña TPM, que yo sepa). He intentado borrar tanto a través de Windows (con TPM.MSC) como a través de Bios, y con ninguno de los métodos me preguntaron para una nueva contraseña

TPM.MSC informa que el TPM está "listo para usar", pero si hago clic en "cambiar contraseña de propietario", me pide la contraseña anterior, a pesar de que acabo de borrar el TPM.

¿Es posible borrar la contraseña de TPM?

windows-10 bios password-recovery tpm cfp
fuente
¿Has probado "Cambiar contraseña de propietario" mientras dejas en blanco el campo "contraseña anterior"?
Nathan.Eilisha Shiraini
Si. No acepta la contraseña (vacía).
cfp
Acabo de borrar mi TPM también. Cuando se reinició, Windows dijo algo en el sentido de que "Windows puede mantener su clave segura para que no necesite recordarla". ¡Quiero esa llave por una razón!
vaindil
Parece que lo borró, pero no lo ha reinicializado. Quizás esto ayude: technet.microsoft.com/en-us/itpro/windows/keep-secure/…
lightwing
2
Según este artículo de Microsoft , OSManagedAuthLevel=2significa Delegado. Puede intentar establecerlo en 4 (Completo) y reiniciar, luego borrar nuevamente el TPM. Lea las partes relevantes del artículo.
harrymc

Respuestas:

10

Yo tuve el mismo problema. Esto es lo que encontré después de muchas búsquedas: las versiones posteriores de Windows 10 no le permiten establecer, guardar o cambiar la contraseña del propietario de TPM de forma predeterminada. Windows genera la contraseña, que Windows usa para configurar el TPM y luego se descarta. De esa manera, nadie puede alterar el TPM después de que se haya activado. En efecto, la contraseña del propietario ya no existe. Puede deshabilitar esta característica de seguridad cambiando un valor de registro, borrando el TPM y reiniciando. Después de eso, podrá establecer y cambiar la contraseña del propietario de TPM. Consulte este artículo: https://technet.microsoft.com/en-us/itpro/windows/keep-secure/change-the-tpm-owner-password?f=255&MSPPError=-2147217396

Después de leer el artículo, decidí dejar las cosas como están, con el nuevo valor predeterminado de Windows (es decir, no hay forma de acceder o cambiar la contraseña del propietario de TPM). Solo necesita la contraseña del propietario de TPM si la seguridad de la PC se gestiona de forma centralizada en una configuración empresarial con la necesidad de que un administrador de seguridad acceda al TPM de forma remota. En una aplicación independiente, el acceso remoto al TPM no es necesario ni deseable. Puede hacer todo lo que necesite sin la contraseña de TPM si tiene acceso físico a la PC.

James Tattersall
fuente
El artículo vinculado de TechNet lo ha aclarado todo. ¡Gracias! Genial tener una respuesta clara al menos.
cfp
@cfp ... Si tienes la oportunidad, confirma lo que hiciste exactamente para solucionar tu problema. Solo tenía curiosidad por saber si esto aclara las cosas o si realmente le permitió completar lo que de otra manera no podría hacer. Y si pudiste completar lo que no estabas de otra manera, solo tienes curiosidad por saber qué de esa publicación hiciste específicamente para resolver tu consulta. Creo que parte de la publicación sería extremadamente útil para citar la respuesta si realmente la aplicaste y confirmaras que hacerlo resolvió tu problema.
Pimp Juice IT
El artículo dejó en claro que no tenía sentido tratar de establecer la contraseña de TPM. No intenté seguir sus pasos para habilitar la configuración manual, ya que estaba convencido de que esto no tenía ningún beneficio. Estoy totalmente de acuerdo con la respuesta a la pregunta: "después de leer el artículo, decidí dejar las cosas como están, con el nuevo valor predeterminado de Windows".
cfp
Gracias. Esta respuesta realmente me aclaró las cosas. Para una computadora personal segura, me quedaré con la contraseña desconocida creada al azar.
Brainski
También puede deshabilitar la inicialización automática si desea hacerlo usted mismo con el Disable-TpmAutoProvisioningcomando powershell. technet.microsoft.com/en-us/library/jj603114.aspx
Tom Jenkinson
7

PowerShell Restableciendo TPM

Puede darle una oportunidad a algunos de los comandos de PowerShell TPM ejecutándolos desde un símbolo del sistema de PowerShell elevado (ejecutar como administrador) para restablecer la configuración de TPM.

Claro

Consulte Clear-Tpm y Set-TpmOwnerAuth para obtener más detalles, pero a continuación se detallan algunos para darle una oportunidad:

  • Clear-Tpm
  • Initialize-Tpm -AllowClear -AllowPhysicalPresence

Valor por defecto

También es posible que desee considerar revisar Initialize-Tpm y tener en cuenta que si no especifica un valor de autorización del propietario, el cmdlet intenta leer el valor del registro, por lo que puede estar leyendo y configurando de forma predeterminada lo que no sabe este valor.

Nuevo valor

Es posible que desee considerar ejecutar el comando ConvertTo-TpmOwnerAuth para especificar explícitamente la nueva frase de contraseña del propietario. Así que incorpore esto a su proceso en consecuencia:

  • ConvertTo-TpmOwnerAuth -PassPhrase "<newpasswordstring>"

Configurar opciones de directiva de grupo local para BitLocker

Como dije que haría en un comentario a continuación hace unos días, a continuación se detallan los pasos que tomo para configurar el cifrado TPM en PC sin dominio unido en uno de los entornos que soporto.

NOTA: Tenga en cuenta que algunas de estas opciones pueden tener que reiniciarse después, lo que no mencioné específicamente, pero no recuerdo cuáles exactamente, excepto dónde mencioné eso. Entonces, si se reinicia o necesita reiniciar después de configurar una opción, entonces eso es normal, simplemente no lo mencioné.

Durante uno de los reinicios, la máquina puede detectar un cambio de seguridad de TPM y solicitarle que acepte o rechace los cambios para habilitar, activar o tomar posesión del dispositivo TPM. Por lo tanto, deseará aceptar estos cambios si recibe este aviso después de uno de los reinicios según los cambios que se mencionan a continuación.

  1. Vaya a Inicio > Ejecutar > escriba gpedit.msc y presione Enter, y luego navegue al # 6 como en la captura de pantalla siguiente

    ingrese la descripción de la imagen aquí

  2. Deberá establecer la configuración desde la ubicación # 6 anterior con los valores de las dos capturas de pantalla siguientes.

    ingrese la descripción de la imagen aquí

    ingrese la descripción de la imagen aquí

  3. Luego vaya a Panel de control > Cifrado de unidad Bitlocker > seleccione Activar BitLocker y luego presione Nexten la ventana como en la captura de pantalla siguiente

    ingrese la descripción de la imagen aquí

  4. En la ventana Preparando su unidad para BitLocker , presioneNext

  5. Cuando finalice la preparación de Drive , aparecerá una ventana emergente, haga clic en la Restart Nowopción

  6. Después del reinicio, vuelva a iniciar sesión en la máquina y cuando aparezca la ventana de configuración de Cifrado de unidad BitLocker , seleccione la Nextopción

  7. Cuando aparezca la ventana Activar el hardware de seguridad TPM en su pantalla, seleccione la Restartopción

  8. Después del reinicio, vuelva a iniciar sesión en la máquina y cuando aparezca la ventana de configuración de Cifrado de unidad BitLocker , seleccione la Nextopción

  9. Luego se le pedirá que ingrese un PIN, así que escriba el PIN en ambos campos como en la captura de pantalla siguiente y luego presione la Set PINopción

    ingrese la descripción de la imagen aquí

  10. Cuando la ventana ¿Cómo desea hacer una copia de seguridad de su clave de recuperación , tendrá que presionar la opción Guardar en un archivo y luego presionar la Nextopción. Deberá asegurarse de colocar esto en una unidad de memoria USB y guardar esta clave de recuperación y luego copiarlo en otro lugar, como una unidad de red, etc.

    ingrese la descripción de la imagen aquí

  11. En Elija cuánto de su unidad se va a cifrar , en mi caso, seleccioné la opción Cifrar espacio en disco usado solo porque lo hago para las nuevas configuraciones de PC, pero puede seleccionar la opción más adecuada aquí para sus requisitos y luego presionar la Nextopción

    ingrese la descripción de la imagen aquí

  12. En la ventana Elegir qué modo de cifrado usar , querrá marcar la opción adecuada para su entorno, pero la que seleccioné en este entorno de mi lado se muestra en la siguiente captura de pantalla

    ingrese la descripción de la imagen aquí

Consulte también Cómo borrar el chip TPM de las credenciales de propiedad anteriores y asegúrese de seguir esas instrucciones paso a paso si aún no lo ha hecho.

Cómo borrar el chip TPM de las credenciales de propiedad anteriores

Este artículo proporciona información sobre cómo restablecer el chip TPM y borrar todos los detalles anteriores del propietario .

No puede restablecer las credenciales DDPA o DCP en su sistema

Puede encontrar un problema al intentar restablecer las credenciales DDP | ​​A o DCP , donde se le solicita una contraseña de propiedad del Módulo de plataforma segura (TPM).

Si ha perdido la contraseña de TPM, el chip TPM se puede borrar con Windows .

Aviso: Esto borrará por completo el almacén de credenciales de TPM, incluido el cifrado del disco duro, huellas digitales, tarjetas inteligentes, etc. Compruebe qué dispositivos de seguridad está utilizando que puedan verse afectados. Asegúrese de tener una contraseña de Windows configurada y configurada para iniciar sesión.

Cómo restablecer y borrar el chip TPM

Lo primero que debe hacer es eliminar las contraseñas previas al inicio en la consola DDP | ​​A.

Esto no afectará la contraseña de Windows.

Debe poder validar como en cualquier escenario de credenciales, y debe ser un administrador en este sistema para realizar esta función.

  1. Haga clic en Inicio . En el cuadro Buscar \ Ejecutar , escriba tpm.msc y presione ENTRAR .

  2. Bajo la sección Acciones de la derecha, haga clic en Quitar TPM .

  3. En el cuadro Borrar el hardware de seguridad de TPM , marque No tengo la contraseña de propietario de TPM y haga clic en Aceptar .

  4. Se le pedirá que reinicie. Justo después de la pantalla POST de Dell , se le pedirá que presione una tecla (generalmente F10 ) para borrar TPM. Presiona esa tecla .

  5. Una vez que el sistema se reinicie, se le pedirá que reinicie y siga las instrucciones para habilitar TPM . Reiniciar.

  6. Justo después de la pantalla POST de Dell , se le pedirá que presione una tecla para habilitar TPM. Presione esa tecla ( generalmente F10 ).

    Nota: Si no usa TPM, presione la tecla ESC .

  7. Una vez de vuelta en el escritorio, aparece el Asistente de configuración de TPM para que ingrese una contraseña de propietario de TPM o puede elegir Cambiar contraseña de propietario .

Ahora puede clara DDP | credenciales A través de la DDP | Una consola .

Para obtener más información, consulte el siguiente artículo:

fuente

Pimp Juice IT
fuente
Esto se discutió en los comentarios (no soy OP pero puse la recompensa por esto; no puedo editar la pregunta). Puedo seguir estos pasos pero Windows nunca me da la oportunidad de establecer la contraseña del propietario. Después de que se borra el TPM y se reinicia Windows, aparece una ventana que dice que el TPM se borra y que "Windows puede recordar la contraseña del propietario para [mí] para que [yo] no tenga que hacerlo".
vaindil
Limpié el TPM con Clear-Tpmy eso salió bien. Antes de reiniciar, también corrí Disable-TpmAutoProvisioning. Después de reiniciar todo, dijo que el TPM no estaba listo. Entonces corrí Initialize-Tpm -AllowClear -AllowPhysicalPresence. El comando tomó un momento, luego regresó que el TPM está listo. tpm.mscTambién dice que está listo. Nunca se me solicitó una contraseña de propietario.
vaindil
Las banderas del ejemplo de -ForceClearAllowedy no -PhysicalPresenceAllowedson válidas, y un comentario sobre el artículo también lo dice.
vaindil
@vaindil Agregué otros cmdlets de PowerShell para buscar una solución, pero sería útil saber cuál es su objetivo final: establecer una nueva contraseña de propietario, mantenerla completamente deshabilitada, ¿o qué? Agregué cmdlets adicionales de PowerShell para cambiar la contraseña del propietario a un nuevo valor.
Pimp Juice IT
Initialize-Tpmno parece tener una manera de especificar la nueva contraseña de propietario como mencionaste. ConvertTo-TpmOwnerAuthen realidad no establece nada, solo convierte una cadena en un valor de autorización del propietario (lo que sea que eso signifique).
vaindil
3

Sospecho que es un error con Windows 10. Tuve exactamente el mismo problema que OP. Aquí están mis hallazgos. Tengo dos PC, A y B, ambas tienen TPM spec 1.2; ambos tienen bitlocker habilitado. A es Windows 10 1607, B está en Windows 10 1511.

Use TPM.MSC en A. Puedo borrar TPM sin proporcionar la contraseña de propietario, pero cualquier otra cosa requiere una contraseña de propietario. Sin embargo, en B, ninguna de estas acciones requiere contraseña de propietario.

Además, en la PC A, borré el TPM a través del BIOS, reinicié, verifiqué dos veces que el estado del TPM estaba desactivado y no era el propietario del BIOS. Arranque en Windows a través de la contraseña de recuperación (asegúrese de tener su contraseña de recuperación si va a intentar esto en su PC), preparó TPM a través de TPM.MSC, siguió al asistente, después del reinicio, el asistente de Windows TPM dice que TPM está listo y "Windows recordar automáticamente la contraseña del propietario, bla, bla ... "(igual que observó Vaindil), nunca tuve la oportunidad de guardar la contraseña del propietario de TPM. Luego reinicio en BIOS y TPM ahora tiene el estado habilitado y de propiedad. Esta ventana confirmada tomó la propiedad de TPM. Simplemente nunca ofreció al usuario la oportunidad de guardar la contraseña del propietario. También me pregunto dónde se guardó la contraseña, ¿registro?

Curiosamente, en la PC B, procedimiento similar, tuve la oportunidad de guardar la contraseña del propietario en AD, archivarla o imprimirla.

Me parece que el problema está relacionado con la compilación 1607. Si de alguna manera puedo obtener 1511 medios de instalación, definitivamente lo intentaré en la PC A para confirmarlo.

usuario37066
fuente
0

Hola, me golpeé la cabeza contra la pared y finalmente encontré una solución a la mañana siguiente. solo siga los pasos mencionados a continuación.

configure su propietario de TPM si no está configurado ya. No muy difícil. vaya a la configuración de BIOS, habilítelo y dé permiso para administrar también desde Windows. si su casillero de bits está habilitado. deshabilite el Cifrado de unidad BitLocker y siga los pasos

Ejecute CMD como administrador ...

1 ---- reg agregar HKLM \ SOFTWARE \ Políticas \ Microsoft \ TPM / f / v OSManagedAuthLevel / t REG_DWORD / d 4 2 ---- WMIC / namespace: \ root \ cimv2 \ Security \ MicrosoftTpm Path Win32_Tpm Where __RELPATH = " Win32_Tpm = @ "Llame a SetPhysicalPresenceRequest 14 3 ---- shutdown -r -t 15 cortesía del autor original. y después de reiniciar solo ejecute el paso, se ejecutará sin problemas. woooaahhh !!! todo listo.

ahmar
fuente