web-dev-qa-db-ja.com

TPMをクリアしても新しいパスワードは要求されませんが、「所有者パスワードの変更」で古いパスワードが要求されます。

私は最近TPMをクリアしました(Dell e7240、Windows 10)。このプロセスの間、BiosやWindowsは新しいTPMパスワードを要求しませんでした。 (そして、このラップトップを買ってから、私の知る限りでは、TPMパスワードを設定したことはありません。)私は、Windows(TPM.MSCを使用)とBiosの両方を使用してクリアしてみました。新しいパスワードを入力してください。

TPM.MSCはTPMが「使用可能」であると報告しますが、「所有者パスワードの変更」をクリックすると、TPMをクリアしたにも関わらず、古いパスワードを要求されます。

TPMパスワードをクリアすることは可能ですか?

15
cfp

私は同じ問題を抱えていました。これは私が多くの検索の後に見つけたものです:Windows 10のそれ以降のバージョンではデフォルトでTPM所有者パスワードを設定、保存、変更することができません。パスワードはwindowsによって生成され、TPMを設定するためにwindowsによって使用され、その後破棄されます。そのようにして、TPMがアクティブにされた後で誰もTPMを改ざんすることはできません。事実上、所有者パスワードはもう存在しません。レジストリ値を変更し、TPMをクリアして再起動すると、このセキュリティ機能を無効にできます。その後、TPM所有者パスワードを設定および変更できます。この記事を参照してください。 https://technet.Microsoft.com/ja-jp/itpro/windows/keep-secure/change-the-tpm-owner-password?f=255&MSPPError=- 2147217396

この記事を読んだ後、私は新しいWindowsのデフォルト(つまりTPM所有者のパスワードにアクセスしたり変更したりする方法はない)をそのままにしておくことにしました。 TPMにリモートでアクセスするためにセキュリティ管理者が必要とし、PCのセキュリティが企業の設定で一元管理されている場合にのみ、TPM所有者パスワードが必要です。スタンドアロンアプリケーションでは、TPMへのリモートアクセスは不要または望ましくありません。 PCに物理的にアクセスできる場合は、TPMパスワードなしで必要なことをすべて実行できます。

9

PowerShellによるTPMのリセット

PowerShell TPMコマンドの一部を試してみるには、管理者として昇格したPowerShellコマンドプロンプトから実行して、TPM設定をリセットします。

クリアリング

Clear-Tpm および Set-TpmOwnerAuth を参照してください。ただし、以下にいくつか例を示します。

  • Clear-Tpm
  • Initialize-Tpm -AllowClear -AllowPhysicalPresence

デフォルト値

また、 Initialize-Tpm を調べて、に注意してください。所有者の認証値を指定しない場合、コマンドレットはレジストリから値を読み取ろうとします。これにより、この値からは分からないことがデフォルトで読み取られて設定される可能性があります。

新しい値

ConvertTo-TpmOwnerAuth コマンドを実行して、新しい所有者パスフレーズを明示的に指定することを検討できます。したがって、これをプロセスに適切に組み込みます。

  • ConvertTo-TpmOwnerAuth -PassPhrase "<newpasswordstring>"

BitLockerのローカルグループポリシー設定の構成

数日前のコメントで述べたように、以下は、サポートする環境の1つで、ドメインに参加していないPCでTPM暗号化をセットアップするための手順です。

注:これらのオプションの一部は、後で言及しなかったが、再言及する必要がある場合があることに注意してください。それ。したがって、オプションを設定した後に再起動するか、再起動する必要がある場合、それは正常です、私はそれについて言及しませんでした。

再起動のいずれかで、マシンはTPMセキュリティの変更を検出し、TPMデバイスの有効化、アクティブ化、または所有権の取得のために変更を承認または拒否するよう求めるプロンプトを表示する場合があります。したがって、以下で説明する変更ごとにリブートの1つが行われた後にこのようなプロンプトが表示された場合は、これらの変更を受け入れる必要があります。

  1. 開始> 実行に移動し、gpedit.mscと入力して押します Enter、そして次のスクリーンショットのように#6に移動します

    enter image description here

  2. 上記の設定を設定する必要があります#6次の2つのスクリーンショットの値を持つ場所

    enter image description here

    enter image description here

  3. 次に、コントロールパネル> Bitlockerドライブ暗号化に移動し、BitLockerをオンにするを選択してから、 Next 以下のスクリーンショットのようなウィンドウで

    enter image description here

  4. BitLocker用のドライブの準備ウィンドウを押します Next

  5. ドライブの準備が完了しましたウィンドウが表示されたら、 Restart Now オプション

  6. 再起動後、マシンに再度サインインし、BitLocker Drive Encryption setupウィンドウが表示されたら、 Next オプション

  7. TPMセキュリティハードウェアをオンにするウィンドウが画面にポップアップ表示されたら、 Restart オプション

  8. 再起動後、マシンに再度サインインし、BitLocker Drive Encryption setupウィンドウが表示されたら、 Next オプション

  9. 次に、PINを入力のプロンプトが表示されるので、以下のスクリーンショットのように両方のフィールドにPINを入力し、 Set PIN オプション

    enter image description here

  10. リカバリキーのバックアップ方法ウィンドウが表示されたら、ファイルに保存オプションを押してから、 Next オプション。これをUSBサムドライブに置いて、この回復キーを保存し、後でネットワークドライブなどの別の場所にコピーする必要があります。

    enter image description here

  11. 暗号化するドライブの量を選択してくださいで、私の場合は使用済みディスク領域のみ暗号化するを選択しました。要件に最も適したオプションをここで選択してから、 Next オプション

    enter image description here

  12. 使用する暗号化モードの選択ウィンドウでは、環境に適したオプションをチェックする必要がありますが、この環境で私の側で選択したオプションは、以下のスクリーンショットに示されています

    enter image description here


以前の所有者資格情報のTPMチップをクリアする方法 も参照してください。まだ行っていない場合は、これらの手順を順を追って実行してください。

以前の所有資格のTPMチップをクリアする方法

この記事では、TPMチップをリセットし、以前の所有者の詳細をすべてクリアする方法に関する情報を提供します

システムのDDPAまたはDCP資格情報をリセットできません

DDP | AまたはDCP資格情報をリセットしようとすると、Trusted Platform Module(TPM)所有者パスワードの入力を求められる問題が発生する場合があります。

TPMパスワードを紛失した場合、Windowsを使用してTPMチップをクリアできます

注意:これにより、ハードドライブ暗号化、指紋、スマートカードなど、TPM資格情報ストアが完全に消去されます。使用しているセキュリティデバイスのうち、影響を受ける可能性があるものを確認してください。 Windowsパスワードがセットアップされ、ログイン用に設定されていることを確認してください。

TPMチップをリセットおよびクリアする方法

最初にすることは、DDP | Aコンソールのpre-boot passwordsを削除することです。

これはWindowsパスワードに影響しません。

検証可能である必要があり、他のクレデンシャルシナリオと同じであり、この機能を実行するにはこのシステムの管理者である必要があります。

  1. Startをクリックします。 Search\Runボックスにtpm.mscと入力し、ENTERを押します。

  2. 右側のアクションセクションの下で、TPMのクリアをクリックします。

  3. TPMセキュリティハードウェアのクリアボックスで、TPM所有者パスワードを持っていませんをチェックし、OKをクリックします。

  4. 再起動するように求められます。 Dell POST画面の直後に、キー(通常F1)を押してTPMをクリアするように求められます。そのキーを押します

  5. システムが再起動すると、再起動するように求められ、指示に従ってTPMを有効化になります。再起動。

  6. Dell POST画面の直後に、キーを押してTPMを有効にするように求められます。そのキーを押します(通常F1)。

    注:TPMを使用しない場合は、ESCキーを押します。

  7. デスクトップに戻ったら、TPM Setup Wizardが表示されてTPM所有者パスワードを入力するか、または所有者パスワードの変更を選択できます。

DDP | A consoleDDP | Aクレデンシャルをクリアできるようになりました。

詳細については、以下の記事をご覧ください。

ソース

6
Pimp Juice IT

私はそれがWindows 10のバグだと思う。私はOPと全く同じ問題を抱えていた。これが私の調査結果です。 AとBの2台のPCがあり、どちらもTPM仕様1.2です。どちらもビットロッカーが有効になっています。 AはWindows 10 1607、BはWindows 10 1511上にあります。

AでTPM.MSCを使用します。所有者パスワードを入力せずにTPMをクリアできますが、それ以外の場合は所有者パスワードが必要です。しかしBでは、これらのアクションのどれも所有者パスワードを必要としません。

さらに、PC Aでは、BIOSを介してTPMをクリアし、再起動し、TPMステータスが無効になっていてBIOSで所有されていないことを再確認しました。 TPM.MSCを介してTPMを準備し、再起動後にTPMの準備が整ったと表示されます。所有者のパスワードを自動的に記憶する、blah blah ... "(観察されたvaindilと同じ)、TPMの所有者のパスワードを保存することはできませんでした。それから私はBIOSを再起動すると、TPMは現在ステータスが有効で所有されています。この確認されたウィンドウは確かにTPMの所有権を取得しました。それは単に所有者のパスワードを保存する機会をユーザーに提供することは決してありませんでした。パスワードはどこに保存されたのでしょうか。

興味深いことに、PC Bでも同様の手順で、所有者のパスワードをADに保存したり、ファイルに保存したり、印刷したりすることができました。

この問題は1607ビルドに関連しているようです。どういうわけか私が1511インストールメディアを手に入れることができるならば、私はそれを確かめるために確かにPC Aでそれを試みます。

3
user37066

こんにちは私は壁に頭を打ち、そしてついに翌朝の解決策を見つけました。下記の手順に従ってください。

まだ設定していない場合は、TPM所有者を設定してください。それほど難しいことではありません。それを有効にするBIOS設定に行き、同様に窓から管理する許可を与えなさい。あなたのビットロッカーが有効になっている場合。 BitLockerドライブ暗号化を無効にして手順に従う

管理者としてCMDを実行します...

1 ---- reg HKLM¥SOFTWARE¥Policies¥Microsoft¥TPM/f/v OSManagedAuthLevel/t REG_DWORD/d 4 2 ---- WMIC /ネームスペース:\ root\cimv2\Security\MicrosoftTpm Path Win32_Tpm Win32_Tpm = @ "SetPhysicalPresenceRequest 14 3を呼び出します。---- shutdown -r -t 15そして再起動後に実行ステップを実行するだけでスムーズに実行されます。 woooaahhh !!!全部できた。

0
ahmar