清除 TPM 不会要求输入新密码，但“更改所有者密码”会要求输入旧密码

Question

我最近清除了我的 TPM（Dell e7240、Windows 10）。在此过程中，Bios 或 Windows 从未要求提供新的 TPM 密码。（据我所知，自从我购买这台笔记本电脑以来，我从未设置过 TPM 密码。）我尝试过通过 Windows（使用 TPM.MSC）和通过 Bios 进行清除，但我没有问过这两种方法获取新密码。

TPM.MSC 报告 TPM 已“准备好使用”，但如果我单击“更改所有者密码”，它会要求输入旧密码，尽管我刚刚清除了 TPM。

是否可以清除 TPM 密码？

Answer 1

我有同样的问题。这是我经过大量搜索后发现的：默认情况下，更高版本的 Windows 10 不允许您设置、保存或更改 TPM 所有者密码。密码由 windows 生成，windows 使用它来配置 TPM，然后丢弃。这样，任何人都无法在 TPM 激活后对其进行篡改。实际上，所有者密码不再存在。您可以通过更改注册表值、清​​除 TPM 并重新启动来禁用此安全功能。之后，您将能够设置和更改 TPM 所有者密码。请参阅这篇文章：https : //technet.microsoft.com/en-us/itpro/windows/keep-secure/change-the-tpm-owner-password?f=255&MSPPError=-2147217396

阅读完这篇文章后，我决定保持原样，使用新的 Windows 默认值（即无法访问或更改 TPM 所有者密码）。如果 PC 安全是在企业设置中集中管理且需要安全管理员远程访问 TPM，则您只需要 TPM 所有者密码。在独立应用程序中，不需要或不需要远程访问 TPM。如果您可以物理访问 PC，则无需 TPM 密码即可执行所需的一切操作。

Answer 2

PowerShell 重置 TPM

您可以通过从提升的（以管理员身份运行）PowerShell 命令提示符运行某些 PowerShell TPM 命令以重置 TPM 设置来尝试一下。

清算

有关更多详细信息，请参阅Clear- Tpm和Set-TpmOwnerAuth，但以下是一些可以试一试的：

• Clear-Tpm
• Initialize-Tpm -AllowClear -AllowPhysicalPresence

默认值

您可能还需要考虑查看Initialize-Tpm并注意，如果您未指定所有者授权值，则 cmdlet 会尝试从注册表中读取该值，因此这可能会默认读取和设置您不知道的内容这个值。

新价值

您可能需要考虑运行ConvertTo-TpmOwnerAuth命令来明确指定新的所有者密码。因此，请相应地将其纳入您的流程中：

• ConvertTo-TpmOwnerAuth -PassPhrase "<newpasswordstring>"

为 BitLocker 配置本地组策略设置

正如我几天前在下面的评论中所说的那样，以下是我在我支持的一种环境中在未加入域的 PC 上设置 TPM 加密的步骤。

^{注意： 请注意，其中一些选项可能必须在之后重新启动，我没有特别提及，但除了我提到的地方之外，我不记得究竟是哪些选项。所以如果它在设置选项后重新启动或需要您重新启动，那么这是正常的，我只是没有提到它。}

^{在其中一次重新启动期间，计算机可能会检测到 TPM 安全更改并提示您接受或拒绝更改以启用、激活或取得 TPM 设备的所有权。因此，如果您在根据下面提到的更改重新启动之一后收到这样的提示，您将希望接受这些更改。}

1. 转到开始>运行> 输入gpedit.msc并按Enter，然后导航到 #6，如下面的屏幕截图所示

   

2. 接下来，您将需要使用以下两个屏幕截图中的值来设置上述#6位置的设置

   

   

3. 接下来转到控制面板> Bitlocker 驱动器加密> 选择打开 BitLocker，然后Next在窗口中按下，如下面的屏幕截图

   

4. 在“为 BitLocker 准备驱动器”窗口中按Next

5. 当驱动器准备完成窗口弹出时，单击Restart Now选项

6. 重新启动后，重新登录计算机，当BitLocker 驱动器加密设置窗口弹出时，选择该Next选项

7. 当屏幕上弹出打开 TPM 安全硬件窗口时，选择Restart选项

8. 重新启动后，重新登录计算机，当BitLocker 驱动器加密设置窗口弹出时，选择该Next选项

9. 然后系统将提示您输入 PIN 码，因此在这两个字段中输入 PIN码，如下面的屏幕截图所示，然后按Set PIN选项

   

10. 当您想如何备份恢复密钥窗口时，您需要按保存到文件选项，然后按该Next选项。您需要确保将其放在 USB 拇指驱动器上并将此恢复密钥保存到其中，然后稍后将其复制到其他地方，例如网络驱动器等。

    

11. 在选择要加密的驱动器的数量中，在我的情况下，我选择了加密使用的磁盘空间，因为我为新的 PC 设置执行此操作，但是您可以在此处根据您的要求选择最合适的选项，然后按Next选项

    

12. 在选择要使用的加密模式窗口中，您需要检查适合您环境的选项，但我在此环境中选择的选项显示在下面的屏幕截图中

    

另请参阅如何清除任何以前的所有权凭证的 TPM 芯片，如果您还没有这样做，请务必逐步按照这些说明进行操作。

如何清除任何先前所有权凭证的 TPM 芯片

_{本文提供了有关如何重置 TPM 芯片和清除所有先前所有者详细信息的信息。}

您无法在系统上重置 DDPA 或 DCP 凭据

您在尝试重置DDP|A或 DCP凭据时可能会遇到问题，系统会提示您输入可信平台模块 (TPM) 所有权密码。

如果您丢失了TPM 密码，可以使用 Windows 清除 TPM 芯片。

_{注意：这将彻底清除 TPM 凭证存储，包括硬盘加密、指纹、智能卡等。请检查您使用的安全设备可能受到影响。确保您设置了 Windows 密码并设置为登录。}

如何重置和清除 TPM 芯片

首先要做的是删除DDP|A控制台中的 所有预启动密码。

这不会影响 Windows 密码。

您必须能够像在任何凭证方案中一样进行验证，并且您必须是该系统的管理员才能执行此功能。

1. 单击开始。在搜索\运行框中，键入tpm.msc并按ENTER。

2. 在右侧的操作部分下，单击清除 TPM。

3. 在清除 TPM 安全硬件框中，选中我没有 TPM 所有者密码，然后单击确定。

4. 您将被要求重新启动。在 Dell POST屏幕之后，系统会提示您按一个键（通常是F10）以清除TPM。按那个键。

5. 系统重新启动后，系统将提示您重新启动并按照说明启用 TPM。重新开始。

6. 在 Dell POST屏幕之后，系统将提示您按一个键以启用 TPM。按那个键（通常是 F10）。

   _{注意：如果您不使用 TPM，请按ESC键。}

7. 回到桌面后，会出现TPM 设置向导让您输入TPM 所有者密码，或者您可以选择“更改所有者密码”。

您现在可以通过DDP|A 控制台清除DDP|A 凭据。

欲了解更多信息，请查看以下文章：

• http://technet.microsoft.com/en-us/library/cc753694.aspx

_来源