Menghapus TPM tidak meminta kata sandi baru, tetapi "mengubah kata sandi pemilik" meminta kata sandi lama

15

Saya baru-baru ini membersihkan TPM saya (Dell e7240, Windows 10). Selama proses, tidak ada titik apakah Bios atau Windows meminta kata sandi TPM baru. (Dan sejak saya membeli laptop ini, saya tidak pernah menetapkan kata sandi TPM, sejauh yang saya ketahui.) Saya telah mencoba membersihkan keduanya melalui Windows (dengan TPM.MSC) dan melalui Bios, dan tanpa metode apa pun saya bertanya untuk kata sandi baru.

TPM.MSC melaporkan bahwa TPM "siap digunakan", tetapi jika saya mengklik "ubah kata sandi pemilik", ia meminta kata sandi lama, meskipun saya baru saja membersihkan TPM.

Apakah mungkin untuk menghapus kata sandi TPM?

cfp
sumber
Sudahkah Anda mencoba "Ubah kata sandi pemilik" sambil membiarkan bidang "kata sandi lama" kosong?
Nathan.Eilisha Shiraini
Iya. Itu tidak menerima kata sandi (kosong).
cfp
Saya baru saja membersihkan TPM saya juga. Ketika reboot, Windows mengatakan sesuatu dengan efek "Windows dapat menjaga kunci Anda aman sehingga Anda tidak perlu mengingatnya". Saya ingin kunci itu karena suatu alasan!
vaindil
Sepertinya Anda sudah membersihkannya, tetapi Anda belum menginisialisasi ulang. Mungkin ini akan membantu: technet.microsoft.com/en-us/itpro/windows/keep-secure/...
lightwing
2
Menurut artikel Microsoft ini , OSManagedAuthLevel=2berarti Didelegasikan. Anda mungkin mencoba untuk mengaturnya ke 4 (Penuh) dan reboot, lalu hapus lagi TPM. Baca bagian artikel yang relevan.
harrymc

Jawaban:

10

Saya memiliki masalah yang sama. Inilah yang saya temukan setelah banyak mencari: Versi Windows 10 yang lebih baru tidak memungkinkan Anda untuk mengatur, menyimpan, atau mengubah kata sandi pemilik TPM secara default. Kata sandi dihasilkan oleh windows, digunakan oleh windows untuk mengkonfigurasi TPM kemudian dibuang. Dengan begitu tidak ada yang bisa mengutak-atik TPM setelah diaktifkan. Akibatnya, kata sandi pemilik tidak ada lagi. Anda dapat menonaktifkan fitur keamanan ini dengan mengubah nilai registri, menghapus TPM dan me-reboot. Setelah itu, Anda akan dapat mengatur dan mengubah kata sandi pemilik TPM. Lihat artikel ini: https://technet.microsoft.com/en-us/itpro/windows/keep-secure/change-the-tpm-owner-password?f=255&MSPPError=-2147217396

Setelah membaca artikel tersebut, saya memutuskan untuk meninggalkan semuanya, dengan Windows default baru (yaitu tidak ada cara untuk mengakses atau mengubah kata sandi pemilik TPM). Anda hanya memerlukan kata sandi pemilik TPM jika keamanan PC dikelola secara terpusat dalam pengaturan perusahaan dengan kebutuhan admin keamanan untuk mengakses TPM dari jarak jauh. Dalam aplikasi yang berdiri sendiri, akses jarak jauh ke TPM tidak diperlukan atau tidak diinginkan. Anda dapat melakukan semua yang Anda butuhkan tanpa kata sandi TPM jika Anda memiliki akses fisik ke PC.

James Tattersall
sumber
Artikel TechNet yang ditautkan telah mengklarifikasi semuanya. Terima kasih! Hebat untuk memiliki jawaban yang jelas setidaknya.
cfp
@ cfp ... Jika Anda mendapat kesempatan, harap konfirmasikan apa yang Anda lakukan persis untuk memperbaiki masalah Anda. Saya hanya ingin tahu apakah ini jelas atau apakah itu benar-benar memungkinkan Anda untuk menyelesaikan apa yang Anda tidak dapat lakukan. Dan jika Anda bisa menyelesaikan apa yang tidak Anda lakukan sebaliknya, hanya ingin tahu apa dari pos itu khusus yang Anda lakukan untuk menyelesaikan pertanyaan Anda. Saya pikir bagian dari posting akan sangat membantu untuk mengutip dalam jawaban jika Anda benar-benar menerapkannya dan mengonfirmasi bahwa melakukannya menyelesaikan masalah Anda.
Pimp Juice,
Artikel itu menjelaskan bahwa tidak ada gunanya mencoba mengatur kata sandi TPM. Saya tidak berusaha mengikuti langkah-langkahnya untuk mengaktifkan pengaturan manual, karena saya yakin tidak ada manfaatnya. Saya setuju sepenuhnya dengan penjawab pertanyaan: "setelah membaca artikel, saya memutuskan untuk meninggalkan semuanya apa adanya, dengan standar Windows baru".
cfp
Terima kasih. Jawaban ini benar-benar menjelaskan hal-hal kepada saya. Untuk komputer pribadi yang aman, saya akan tetap menggunakan kata sandi yang tidak dikenal yang dibuat secara acak.
Brainski
Anda juga dapat menonaktifkan inisialisasi otomatis jika Anda ingin melakukan ini sendiri dengan Disable-TpmAutoProvisioningperintah powershell. technet.microsoft.com/en-us/library/jj603114.aspx
Tom Jenkinson
7

Mengatur Ulang PowerShell TPM

Anda dapat memberikan beberapa perintah PowerShell TPM dengan menjalankannya dari prompt perintah PowerShell yang ditinggikan untuk mengatur ulang pengaturan TPM.

Membersihkan

Lihat Clear-Tpm dan Set-TpmOwnerAuth untuk detail lebih lanjut tetapi di bawah ini ada beberapa yang bisa Anda coba :

  • Clear-Tpm
  • Initialize-Tpm -AllowClear -AllowPhysicalPresence

Nilai Default

Anda mungkin juga ingin mempertimbangkan melihat Inisialisasi-Tpm dan perhatikan bahwa jika Anda tidak menentukan nilai otorisasi pemilik, cmdlet mencoba membaca nilai dari registri sehingga ini mungkin membaca dan mengatur secara default apa yang tidak Anda ketahui. nilai ini.

Nilai baru

Anda mungkin ingin mempertimbangkan untuk menjalankan ConvertTo-TpmOwnerAuth perintah untuk secara eksplisit menentukan frasa sandi pemilik baru. Jadi, masukkan ini ke dalam proses Anda sesuai:

  • ConvertTo-TpmOwnerAuth -PassPhrase "<newpasswordstring>"

Mengkonfigurasi Pengaturan Kebijakan Grup Lokal untuk BitLocker

Seperti yang saya katakan akan saya lakukan dalam komentar di bawah beberapa hari yang lalu, di bawah ini adalah langkah-langkah yang saya ambil untuk mengatur enkripsi TPM pada PC yang tidak bergabung dengan domain di salah satu lingkungan yang saya dukung.

CATATAN: Harap perhatikan bahwa beberapa opsi ini mungkin harus dimulai ulang setelah itu yang tidak saya sebutkan secara spesifik, tetapi saya tidak ingat yang mana tepatnya kecuali di mana saya menyebutkannya. Jadi jika itu restart atau perlu Anda me-restart setelah menetapkan opsi, maka itu normal, saya hanya tidak menyebutkannya.

Selama salah satu restart, mesin dapat mendeteksi perubahan keamanan TPM dan meminta Anda untuk menerima atau menolak perubahan untuk mengaktifkan, mengaktifkan, atau mengambil kepemilikan perangkat TPM. Jadi Anda akan ingin menerima perubahan ini jika Anda mendapatkan prompt seperti itu setelah salah satu reboot per perubahan untuk membuat yang disebutkan di bawah ini.

  1. Pergi ke Mulai > Jalankan > ketik gpedit.msc dan tekan Enter, lalu navigasikan ke # 6 seperti di screenshot di bawah ini

    masukkan deskripsi gambar di sini

  2. Anda akan ingin mengatur pengaturan dari lokasi # 6 di atas dengan nilai-nilai dari dua tangkapan layar di bawah berikutnya

    masukkan deskripsi gambar di sini

    masukkan deskripsi gambar di sini

  3. Selanjutnya pergi ke Control Panel > Bitlocker Drive Encryption > pilih Turn on BitLocker dan kemudian tekan Nextdi jendela seperti di screenshot di bawah ini

    masukkan deskripsi gambar di sini

  4. Pada jendela Mempersiapkan Drive untuk BitLocker Anda, tekanNext

  5. Ketika persiapan Drive selesai, jendela muncul, klik Restart Nowopsi

  6. Setelah restart, masuk kembali ke mesin dan ketika jendela pengaturan Enkripsi BitLocker Drive muncul, pilih Nextopsi

  7. Ketika Nyalakan perangkat keras keamanan TPM muncul di layar Anda, pilih Restartopsi

  8. Setelah restart, masuk kembali ke mesin dan ketika jendela setup Enkripsi BitLocker Drive muncul, pilihNextopsi

  9. Anda kemudian akan diminta untuk Masukkan PIN jadi ketikkan PIN di kedua bidang tersebut seperti di screenshot di bawah ini dan kemudian tekan Set PINopsi

    masukkan deskripsi gambar di sini

  10. Saat Bagaimana Anda ingin mencadangkan jendela kunci pemulihan Anda, Anda ingin menekan opsi Simpan ke file dan kemudian tekan Nextopsi. Anda harus memastikan bahwa Anda meletakkan ini di USB thumb drive dan menyimpan kunci pemulihan ini untuk itu dan kemudian menyalinnya di tempat lain nanti seperti drive jaringan, dll.

    masukkan deskripsi gambar di sini

  11. Di bagian Pilih berapa banyak drive Anda untuk dienkripsi , dalam kasus saya saya telah memilih ruang disk yang digunakan Enkripsi hanya karena saya melakukan ini untuk setup PC baru, tetapi Anda dapat memilih opsi yang paling tepat di sini untuk kebutuhan Anda dan kemudian tekan Nextopsi

    masukkan deskripsi gambar di sini

  12. Di jendela Pilih mode enkripsi mana yang akan digunakan, Anda akan ingin memeriksa opsi yang sesuai untuk lingkungan Anda, tetapi yang saya pilih di lingkungan ini di sisi saya ditunjukkan pada tangkapan layar di bawah ini.

    masukkan deskripsi gambar di sini


Juga lihat Cara Menghapus Chip TPM dari Kredensial Kepemilikan sebelumnya dan pastikan untuk mengikuti instruksi tersebut langkah demi langkah jika Anda belum melakukannya.

Cara Menghapus Chip TPM dari Kredensial Kepemilikan sebelumnya

Artikel ini memberikan informasi tentang cara mereset chip TPM dan menghapus semua detail pemilik sebelumnya .

Anda tidak dapat mengatur ulang kredensial DDPA atau DCP pada sistem Anda

Anda mungkin mengalami masalah saat berusaha mengatur ulang DDP | ​​A atau DCP kredensial , di mana Anda diminta untuk kata sandi kepemilikan Modul Platform Tepercaya (TPM).

Jika Anda kehilangan kata sandi TPM, chip TPM dapat dihapus menggunakan Windows .

Perhatian: Ini sepenuhnya akan menghapus toko kredensial TPM, termasuk enkripsi hard drive, sidik jari, kartu pintar, dll. Periksa perangkat keamanan yang Anda gunakan yang mungkin terpengaruh. Pastikan Anda memiliki kata sandi Windows yang diatur dan ditetapkan untuk login.

Cara mengatur ulang dan menghapus TPM Chip

Hal pertama yang harus dilakukan adalah menghapus kata sandi pra-boot di konsol DDP | ​​A.

Ini tidak akan memengaruhi kata sandi Windows.

Anda harus dapat memvalidasi seperti dalam skenario kredensial apa pun, dan Anda harus menjadi administrator pada sistem ini untuk menjalankan fungsi ini.

  1. Klik Mulai . Di kotak Cari \ Jalankan , ketik tpm.msc dan tekan ENTER .

  2. Di bawah bagian Tindakan di sebelah kanan, klik Bersihkan TPM .

  3. Di kotak Bersihkan Perangkat Keras Keamanan TPM , centang Saya tidak memiliki kata sandi pemilik TPM dan klik OK .

  4. Anda akan diminta untuk Reboot. Tepat setelah layar Dell POST , Anda akan diminta untuk menekan tombol (biasanya F10 ) untuk menghapus TPM. Tekan tombol itu .

  5. Setelah sistem reboot, Anda akan diminta untuk me-restart dan ikuti instruksi untuk mengaktifkan TPM . Mengulang kembali.

  6. Tepat setelah layar Dell POST , Anda akan diminta untuk menekan tombol untuk mengaktifkan TPM. Tekan tombol itu ( biasanya F10 ).

    Catatan: Jika Anda tidak menggunakan TPM, tekan tombol ESC .

  7. Setelah kembali ke desktop, baik Wizard Pengaturan TPM muncul untuk Anda memasukkan kata sandi pemilik TPM atau Anda dapat memilih Ubah Kata Sandi Pemilik .

Anda sekarang dapat menghapus kredensial DDP | ​​A melalui DDP | A konsol .

Untuk informasi lebih lanjut, silakan baca artikel di bawah ini:

sumber

Pimp Juice
sumber
Ini dibahas dalam komentar (saya bukan OP tapi saya berikan hadiahnya; saya tidak bisa mengedit pertanyaan). Saya dapat mengikuti langkah-langkah ini tetapi saya tidak pernah diberi kesempatan oleh Windows untuk mengatur kata sandi pemilik. Setelah TPM dihapus dan Windows reboot, sebuah jendela muncul mengatakan bahwa TPM dihapus dan bahwa "Windows dapat mengingat kata sandi pemilik untuk [saya] sehingga [saya] tidak perlu".
vaindil
Saya membersihkan TPM Clear-Tpmdan itu baik-baik saja. Sebelum memulai kembali, saya juga berlari Disable-TpmAutoProvisioning. Setelah mem-boot ulang semua yang dikatakan TPM tidak siap. Saya kemudian berlari Initialize-Tpm -AllowClear -AllowPhysicalPresence. Perintah butuh beberapa saat, lalu dikembalikan bahwa TPM siap. tpm.mscjuga mengatakan bahwa itu sudah siap. Saya tidak pernah dimintai kata sandi pemilik.
vaindil
Bendera contoh -ForceClearAlloweddan -PhysicalPresenceAllowedkeduanya tidak valid, dan komentar pada artikel mengatakan itu juga.
vaindil
@vaindil Saya menambahkan cmdlet PowerShell lain untuk mencoba solusi tetapi itu akan membantu untuk mengetahui apa tujuan akhir Anda: ingin mengatur kata sandi pemilik baru, tetap dinonaktifkan sepenuhnya, atau apa? Saya menambahkan cmdlet PowerShell tambahan untuk mengubah kata sandi pemilik ke nilai baru.
Pimp Juice,
Initialize-Tpmtampaknya tidak memiliki cara untuk menentukan kata sandi pemilik baru seperti yang Anda lakukan. ConvertTo-TpmOwnerAuthsebenarnya tidak mengatur apa pun - itu hanya mengkonversi string ke nilai otorisasi pemilik (apa pun artinya).
vaindil
3

Saya menduga itu adalah bug dengan Windows 10. Saya punya masalah yang sama persis seperti OP. Ini temuan saya. Saya memiliki dua PC, A dan B, keduanya memiliki TPM spec 1.2; keduanya memiliki bitlocker diaktifkan. A adalah Windows 10 1607, B pada Windows 10 1511.

Gunakan TPM.MSC pada A. Saya dapat menghapus TPM tanpa memberikan kata sandi pemilik, tetapi hal lain membutuhkan kata sandi pemilik. Namun pada B, tindakan ini tidak memerlukan kata sandi pemilik.

Selanjutnya, pada PC A, saya membersihkan TPM melalui BIOS, reboot, memeriksa ulang status TPM telah dinonaktifkan dan tidak dimiliki dalam BIOS. Boot ke windows melalui kata sandi pemulihan (pastikan Anda memiliki kata sandi pemulihan jika ingin mencoba ini di PC Anda), siapkan TPM melalui TPM.MSC, ikuti wizard, setelah reboot, wizard TPM windows mengatakan TPM siap dan "Windows otomatis ingat kata sandi pemilik, bla bla ... "(sama seperti yang diamati vaindil), tidak pernah saya memiliki kesempatan untuk menyimpan kata sandi pemilik TPM. Saya kemudian reboot ke BIOS dan TPM sekarang memiliki status diaktifkan dan dimiliki. Jendela yang dikonfirmasi ini memang mengambil kepemilikan TPM. Hanya saja tidak pernah menawarkan pengguna kesempatan untuk menyimpan kata sandi pemilik. Saya juga bertanya-tanya di mana kata sandi disimpan, mendaftar?

Menariknya, pada PC B, prosedur serupa, saya berkesempatan untuk menyimpan kata sandi pemilik untuk AD, mengarsipkan atau mencetaknya.

Tampaknya bagi saya masalah ini terkait dengan 1607 build. Jika entah bagaimana saya bisa mendapatkan 1511 media instal, saya pasti akan mencobanya pada PC A untuk mengkonfirmasinya.

pengguna37066
sumber
0

hai di sana saya telah mengalahkan kepala saya di dinding dan akhirnya menemukan solusi keesokan paginya. cukup ikuti langkah-langkah di bawah ini.

atur pemilik TPM Anda jika belum ditetapkan. tidak terlalu sulit. buka pengaturan bios aktifkan dan berikan izin untuk mengelola dari windows juga. jika loker bit Anda diaktifkan. nonaktifkan BitLocker Drive Enkripsi dan ikuti langkah-langkahnya

Jalankan CMD sebagai administrator ...

1 ---- reg tambahkan HKLM \ SOFTWARE \ Kebijakan \ Microsoft \ TPM / f / v OSManagedAuthLevel / t REG_DWORD / d 4 2 ---- WMIC / namespace: \ root \ cimv2 \ Keamanan \ MicrosoftTPM Path Win32_Tpm Di mana __RELPATH = " Win32_Tpm = @ "Hubungi SetPhysicalPresenceRequest 14 3 ---- shutdown -r -t 15 milik penulis asli. dan setelah restart cukup jalankan langkah itu akan berjalan dengan lancar. woooaahhh !!! semua selesai.

ahmar
sumber