Ich habe mehrere HP-Desktops mit dem neuesten Windows 10 und benötige ein TPM-Firmware-Upgrade (sp82407.exe), um die fehlerhafte Krypto-Sicherheitslücke von Infineon vom letzten Jahr zu beheben. Für das Update muss das TPM initialisiert werden und der Benutzer muss entweder die Passphrase oder die Schlüsselsicherungsdatei eingeben, um fortzufahren.
Windows 10 weigert sich, während der TPM-Initialisierung den Dialog zur Passphrase-Eingabe/Schlüsselsicherung anzuzeigen, egal, was ich versuche. Alle Anleitungen, die ich lese, sind entweder veraltet oder schlichtweg falsch. Unter Win7 war es früher einfach, die Option zur manuellen Initialisierung war direkt in tpm.msc vorhanden. Aber Win10 hat es irgendwann geändert, sodass standardmäßig aus Sicherheitsgründen ein zufälliger Schlüssel generiert und dann verworfen wird. Daher ist es jetzt unmöglich, die Firmware zu aktualisieren.
Dies wird noch dadurch verschlimmert, dass das TPM eine physische Anwesenheit erfordert, um beim Booten F3 zu drücken und den TPM-Löschschritt zu bestätigen. Ich habe buchstäblich Stunden vor Ort damit verbracht, einen langsam bootenden PC wiederholt neu zu starten und verschiedene Befehle und Schalter aus Anleitungen auszuprobieren, die ich gefunden habe. Es ist frustrierend und ärgerlich. Weder Microsoft noch HP bestätigen dieses Verhalten in ihrer TPM-Dokumentation, und das Firmware-Upgrade-Tool berücksichtigt dieses neue Windows-Verhalten nicht.
Kann also jemand funktionierende Anweisungen dazu bereitstellen, wie man die TPM-Initialisierung im neuesten Windows 10 in den manuellen Modus umstellt?
Antwort1
Laut Readme.html im SoftPaq-Archiv sp82407.exe:
Windows 10 ® Version 1607 und höher
Die Besitzerberechtigung wird nicht mehr auf dem lokalen System gespeichert. Um die Firmware zu aktualisieren, müssen Sie das TPM löschen und den Besitz mit geänderten Windows-Einstellungen erneut übernehmen, damit die Besitzerberechtigung auf dem lokalen System gespeichert wird.Um die Firmware zu aktualisieren sind folgende Schritte notwendig:
- Setzen Sie den Registrierungsschlüssel „HKLM\Software\Policies\Microsoft\TPM\OSManagedAuthLevel“ auf 4 [REG_DWORD].
- Starten Sie tpm.msc und klicken Sie auf „TPM löschen...“. Starten Sie den Computer neu.
- Starten Sie tpm.msc und klicken Sie auf „TPM vorbereiten …“.
- Führen Sie das TPM-Firmware-Updatetool aus und aktualisieren Sie die Firmware. Starten Sie den Computer neu.
- Stellen Sie den Registrierungsschlüssel auf seinen vorherigen Wert wieder her.
- Starten Sie tpm.msc und klicken Sie auf „TPM löschen...“. Starten Sie den Computer neu.
- Starten Sie tpm.msc und klicken Sie auf „TPM vorbereiten …“.
Wie das genau funktioniert, habe ich anhand des Namens des Registrierungsschlüssels herausgefunden.TPM-Gruppenrichtlinieneinstellungen. Es wird erklärt, was die verschiedenen Werte bedeuten und wie sie sich verhalten:
Wenn Sie diese Richtlinieneinstellung aktivieren, speichert das Windows-Betriebssystem die TPM-Besitzerautorisierung in der Registrierung des lokalen Computers entsprechend der von Ihnen gewählten TPM-Authentifizierungseinstellung.
0 = Keine, 2 = Delegiert, 4 = Vollständig. Ab Windows 10 Version 1703 ist der Standardwert 5 (Dummy).
Ich habe auch einen Microsoft-Blogbeitrag gefundenTPM-BesitzerkennwortDarin wird detailliert beschrieben, wo und wie das Passwort gespeichert wird und wie es verwendet wird.
Bei Betriebssystemen (Windows 8.1/10) wird TPM automatisch bereitgestellt, d. h. TPM wird automatisch aktiviert. Windows verwendet die zufällig generierte Lockout-Authentifizierung, um das TPM bereitzustellen, und zerstört dann die Lockout-Authentifizierung, ohne sie dem Benutzer jemals anzuzeigen. Abhängig von den GPO-Einstellungen kann das TPM-Besitzerkennwort jedoch zusätzlich in der Registrierung gespeichert werden.
Der Trick besteht also darin, OSManagedAuthLevel auf Full zu setzen und neu zu initialisieren. Es gibt immer noch keine Benutzeroberfläche zum Sichern des Schlüssels, aber das Vorhandensein des Registrierungsschlüssels führt dazu, dass der TPM-Schlüssel in der Registrierung gespeichert wird. Laut Readme sollte der Updater dann in der Lage sein, den Schlüssel automatisch abzurufen. Wenn dies nicht der Fall ist, kann der Schlüssel aus der Registrierung extrahiert werden.