TPMをクリアしても新しいパスワードは要求されませんが、「所有者パスワードの変更」では古いパスワードが要求されます


15

最近、TPM(Dell e7240、Windows 10)をクリアしました。プロセス中に、BiosまたはWindowsが新しいTPMパスワードを要求することはありませんでした。(このラップトップを購入して以来、TPMパスワードを設定したことはありません。私の知る限り)。新しいパスワード。

TPM.MSCは、TPMが「使用準備完了」であると報告しますが、「所有者パスワードの変更」をクリックすると、TPMをクリアしたばかりであるにもかかわらず、古いパスワードを要求します。

TPMパスワードをクリアすることはできますか?


「古いパスワード」フィールドを空白のままにして、「所有者パスワードの変更」を試みましたか?
Nathan.Eilisha Shiraini 16

はい。(空の)パスワードを受け入れません。
cfp

TPMもクリアしました。再起動すると、Windowsは「Windowsはキーを安全に保つことができるので、それを覚えておく必要がない」という結果になりました。私は理由のためにそのキーが欲しい!
-vaindil

クリアしたように聞こえますが、再初期化されていません。多分これは役立ちます:technet.microsoft.com/en-us/itpro/windows/keep-secure/...
lightwing

2
このMicrosoftの記事によると、OSManagedAuthLevel=2委任を意味します。4(フル)に設定して再起動してから、TPMを再度クリアしてください。記事の関連部分を読んでください。
harrymc

回答:


10

同じ問題がありました。これは私が多くの検索の後に見つけたものです。Windows10の後のバージョンでは、デフォルトでTPM所有者パスワードを設定、保存、または変更することはできません。パスワードはWindowsによって生成され、WindowsがTPMを構成するために使用してから破棄されます。そうすれば、TPMがアクティブ化された後、TPMを改ざんすることはできません。実際には、所有者パスワードはもう存在しません。レジストリ値を変更し、TPMをクリアして再起動すると、このセキュリティ機能を無効にできます。その後、TPM所有者パスワードを設定および変更できるようになります。この記事を参照してください:https : //technet.microsoft.com/en-us/itpro/windows/keep-secure/change-the-tpm-owner-password?f=255&MSPPError=-2147217396

この記事を読んだ後、新しいWindowsの既定値(つまり、TPM所有者パスワードにアクセスしたり変更したりする方法はありません)のままにしておくことにしました。TPMの所有者パスワードが必要なのは、セキュリティ管理者がTPMにリモートでアクセスする必要があるエンタープライズセットアップでPCセキュリティが集中管理されている場合のみです。スタンドアロンアプリケーションでは、TPMへのリモートアクセスは不要または望ましくありません。PCに物理的にアクセスできる場合、TPMパスワードなしで必要なすべてを実行できます。


リンクされたTechNetの記事は、すべてを明確にしました。ありがとう!少なくとも明確な答えを持っていることは素晴らしいことです。
cfp

@cfp ...機会があれば、問題を解決するために正確に行ったことを確認してください。これで問題が解決するのか、それ以外の場合は完了できなかった作業を実際に完了できるのか、興味がありました。そして、あなたがそうしなかったものを完了することができたなら、あなたの質問を解決するためにその投稿から具体的に何をしたかだけに興味があります。投稿の一部は、実際に適用して問題を解決したことを確認した場合、回答で引用するのに非常に役立つと思います。
ピンプジュースIT

この記事は、TPMパスワードを設定しようとしても意味がないことを明らかにしました。手動設定を有効にする手順を実行しようとはしませんでした。これにはメリットがないと確信していたからです。私は質問の回答者に完全に同意します:「記事を読んだ後、新しいWindowsのデフォルトで、物事をそのままにすることにしました」。
cfp

ありがとう。この答えは本当に私に物事を明確にしました。安全なパーソナルコンピューターのために、ランダムに作成された不明なパスワードを使用します。
ブレインスキー16

また、Disable-TpmAutoProvisioningpowershellコマンドを使用して自分でこれを行う場合は、自動初期化を無効にすることができます。 technet.microsoft.com/en-us/library/jj603114.aspx
トムジェンキンソン

7

PowerShellによるTPMのリセット

昇格した(管理者として実行する)PowerShellコマンドプロンプトから実行して、TPM設定をリセットすることにより、PowerShell TPMコマンドの一部を試すことができます。

清算

詳細については、Clear-TpmおよびSet-TpmOwnerAuthを参照してください。ただし、以下にいくつか例を示します。

  • Clear-Tpm
  • Initialize-Tpm -AllowClear -AllowPhysicalPresence

デフォルト値

また、Initialize-Tpm確認することを検討し、所有者の認証値を指定しない場合、コマンドレットはレジストリから値を読み取ろうとするため、デフォルトでは不明な情報を読み取って設定する場合があります。この値。

新しい価値

ConvertTo-TpmOwnerAuthコマンドを実行して、新しい所有者パスフレーズを明示的に指定することを検討できます。したがって、これをプロセスに適切に組み込みます。

  • ConvertTo-TpmOwnerAuth -PassPhrase "<newpasswordstring>"

BitLockerのローカルグループポリシー設定の構成

数日前のコメントで述べたように、以下は、サポートしている環境の1つで、ドメインに参加していないPCでTPM暗号化をセットアップするための手順です。

注: これらのオプションのいくつかは後で再起動する必要があるかもしれないことに注意してください。これについては特に言及しませんでしたが、言及した場所以外は正確に覚えていません。したがって、オプションを設定した後に再起動するか、再起動する必要がある場合、それは正常なことであり、言及していません。

再起動のいずれかで、マシンはTPMセキュリティの変更を検出し、TPMデバイスの有効化、アクティブ化、または所有権の取得を行うために変更を受け入れるか拒否するかを尋ねる場合があります。そのため、以下で説明する変更ごとにリブートのいずれかを行った後にこのようなプロンプトが表示された場合、これらの変更を受け入れたいと思うでしょう。

  1. [スタート] > [ファイル名を指定して実行]に移動し、gpedit.mscと入力してを押しEnter、次に以下のスクリーンショットのように#6に移動します。

    ここに画像の説明を入力してください

  2. 次のスクリーンショットの2つの値を使用して、上記の#6の場所から設定を設定します。

    ここに画像の説明を入力してください

    ここに画像の説明を入力してください

  3. 次に、[コントロールパネル] > [ Bitlockerドライブ暗号化]に移動し、[ BitLockerオンにする]を選択Nextして、下のスクリーンショットのようにウィンドウを押します。

    ここに画像の説明を入力してください

  4. BitLocker用のドライブ準備ウィンドウで、Next

  5. ドライブの準備が完了したら、ウィンドウがポップアップ表示されたらRestart Nowオプションをクリックします

  6. 再起動後、マシンに再度サインインし、BitLockerドライブ暗号化セットアップウィンドウが表示されたら、Nextオプションを選択します

  7. ときTPMセキュリティハードウェアの電源をオンにウィンドウが画面上にポップアップ表示、選択するRestartオプションを

  8. 再起動後、マシンに再度サインインし、BitLockerドライブ暗号化セットアップウィンドウが表示されたら、Nextオプションを選択します

  9. 次に、PIN入力するように求められるので、以下のスクリーンショットのように両方のフィールドにPINを入力し、Set PINオプションを押します

    ここに画像の説明を入力してください

  10. [ 回復キーをどのようにバックアップしますか]ウィンドウで、[ ファイルに保存 ]オプションを押してからNextオプションを押します。これをUSBサムドライブに配置して、この回復キーを保存し、後でネットワークドライブなどの別の場所にコピーする必要があります。

    ここに画像の説明を入力してください

  11. では、どのくらい暗号化するために、ドライブの選択、私の場合には、私が選択した暗号化は、ディスク領域のみを使用し、私は新しいPCのセットアップのためにこれを行うために、しかし、あなたはあなたの要件については、ここで最も適切なオプションを選択して押すことができるNextオプションを

    ここに画像の説明を入力してください

  12. [ 使用する暗号化モード選択]ウィンドウで、環境に適したオプションを確認しますが、この環境で自分が選択したオプションは下のスクリーンショットに表示されます。

    ここに画像の説明を入力してください


また、以前の所有者資格情報のTPMチップをクリアする方法を参照し、まだ行っていない場合は、それらの手順を順を追って実行してください。

以前の所有者資格情報のTPMチップをクリアする方法

この記事では、TPMチップをリセットし、以前の所有者の詳細をすべてクリアする方法に関する情報を提供します

システムのDDPAまたはDCP資格情報をリセットできません

DDP | Aまたは DCP資格情報をリセットしようとすると、Trusted Platform Module(TPM)所有者パスワードの入力を求められる問題が発生する場合があります。

TPMパスワードを紛失した場合、Windowsを使用してTPMチップをクリアできます

注意:これにより、ハードドライブ暗号化、指紋、スマートカードなど、TPM資格情報ストアが完全に消去されます。使用しているセキュリティデバイスのうち、影響を受ける可能性があるものを確認してください。Windowsパスワードがセットアップされ、ログイン用に設定されていることを確認してください。

TPMチップをリセットしてクリアする方法

最初に行うことは、 DDP | Aコンソールでプリブートパスワードを削除することです。

これはWindowsパスワードには影響しません。

あなたでなければなりません検証できるだけのいずれかの資格のシナリオのように、そしてあなたでなければなりません。このシステムでの管理者この機能を実行するために。

  1. 開始をクリックします。[ 検索\実行]ボックスにtpm.msc入力しEnterキーを押します

  2. 下にアクション]セクション右に、クリックのクリアTPMを

  3. クリアTPMセキュリティハードウェアボックス、チェック私はTPM所有者パスワードを持っていないとクリックし、[OK]を

  4. 再起動するように求められます。Dell POST画面の直後に、キー(通常はF10)を押してTPMをクリアするように求められますそのキーを押します

  5. システムが再起動すると、再起動するように求められ、指示に従ってTPM有効にします。再起動。

  6. Dell POST画面の直後に、キーを押してTPMを有効にするように求められます。そのキー(通常はF10)を押します。

    注:TPMを使用しない場合は、ESCキーを押します。

  7. デスクトップに戻ると、TPMセットアップウィザードが表示され、TPM所有者パスワードを入力するか、所有者パスワードの変更を選択できます。

これで、DDP | AコンソールからDDP | A資格情報をクリアできます。

詳細については、以下の記事をご覧ください。

ソース


これはコメントで議論されました(私はOPではありませんが、これに賞金をかけました;質問を編集することはできません)。これらの手順を実行することはできますが、Windowsから所有者パスワードを設定する機会が与えられることはありません。TPMがクリアされ、Windowsが再起動すると、TPMがクリアされ、「Windowsは[me]の所有者パスワードを記憶できるため、[I]は不要」というウィンドウがポップアップ表示されます。
vaindil

TPMをクリアしましたが、Clear-Tpmうまくいきました。再起動する前に、私も走ったDisable-TpmAutoProvisioning。再起動後、TPMの準備ができていないとすべて表示されました。それから走りましたInitialize-Tpm -AllowClear -AllowPhysicalPresence。コマンドには少し時間がかかり、TPMの準備ができたことが返されました。tpm.mscまた、準備ができていると言います。所有者パスワードの入力を求められることはありませんでした。
-vaindil

-ForceClearAllowedとの-PhysicalPresenceAllowed両方の例のフラグは無効であり、記事へのコメントでも同様です。
-vaindil

@vaindilソリューションを試すために他のPowerShellコマンドレットを追加しましたが、新しい所有者パスワードを設定する、完全に無効にするなど、最終的な目標を知るのに役立ちます。追加のPowerShellコマンドレットを追加して、所有者のパスワードを新しい値に変更しました。
ピンプジュースIT

Initialize-Tpmあなたが言ったように、新しい所有者のパスワードを指定する方法がないようです。ConvertTo-TpmOwnerAuth実際には何も設定しません。文字列を所有者認証値に変換するだけです(その意味は何でも)。
-vaindil

3

Windows 10のバグだと思います。OPとまったく同じ問題がありました。これが私の発見です。AとBの2台のPCがあり、両方ともTPM仕様1.2です。両方ともbitlockerが有効になっています。AはWindows 10 1607、BはWindows 10 1511です。

AでTPM.MSCを使用します。所有者パスワードを指定せずにTPMをクリアできますが、それ以外の場合は所有者パスワードが必要です。ただし、Bでは、これらのアクションのいずれにも所有者パスワードが必要です。

さらに、PC Aで、BIOSを介してTPMをクリアし、再起動し、TPMステータスが無効でありBIOSで所有されていないことを再確認しました。回復パスワードでWindowsを起動し(PCでこれを試す場合は回復パスワードを確認してください)、TPM.MSCでTPMを準備し、ウィザードに従って、再起動後、Windows TPMウィザードでTPMの準備ができて「Windows自動的に所有者パスワードを覚えて、なんとか...」(vaindilが観察したのと同じ)、TPM所有者パスワードを保存する機会がなかった。その後、BIOSを再起動すると、TPMのステータスが有効になり、所有されます。これにより、ウィンドウが実際にTPMの所有権を取得したことが確認されました。ユーザーに所有者パスワードを保存する機会を提供することはありませんでした。私はまた、パスワードがどこに保存されたのか不思議に思いますか?

興味深いことに、PC Bでは、同様の手順で、所有者のパスワードをADに保存、ファイル、または印刷する機会がありました。

この問題は1607ビルドに関連しているように見えます。どういうわけか1511のインストールメディアを入手できる場合は、PC Aで確実に確認してみます。


0

こんにちは、私は壁で頭をbeatり、ついに翌朝解決策を見つけました。下記の手順に従ってください。

まだ設定されていない場合は、TPM所有者を設定します。それほど難しくありません。BIOS設定で有効にし、Windowsからも管理する許可を与えます。ビットロッカーが有効になっている場合。BitLockerドライブ暗号化を無効にし、手順に従います

管理者としてCMDを実行...

1 ---- reg add HKLM \ SOFTWARE \ Policies \ Microsoft \ TPM / f / v OSManagedAuthLevel / t REG_DWORD / d 4 2 ---- WMIC / namespace:\ root \ cimv2 \ Security \ MicrosoftTpm Path Win32_Tpm Where __RELPATH = " Win32_Tpm = @ "SetPhysicalPresenceRequest 14を呼び出す3 ---- shutdown -r -t 15礼儀元の著者。また、再起動後はステップを実行するだけでスムーズに実行されます。うわぁ!!! 全部できた。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.