Tengo varias computadoras de escritorio HP que ejecutan la última versión de Windows 10 y requieren una actualización del firmware TPM (sp82407.exe) para solucionar la vulnerabilidad criptográfica defectuosa de Infineon del año pasado. El actualizador requiere que se inicialice el TPM y requiere que el usuario ingrese la frase de contraseña o el archivo de copia de seguridad clave para continuar.
Windows 10 se niega a abrir el cuadro de diálogo de entrada de contraseña/copia de seguridad de clave durante la inicialización de TPM, sin importar lo que intente. Todas las guías que leo están desactualizadas o completamente equivocadas. En Win7 solía ser fácil, la opción de inicializar manualmente estaba allí en tpm.msc. Pero Win10 en algún momento lo cambió, de modo que de forma predeterminada, por razones de seguridad, se genera una clave aleatoria y luego se descarta. Así que ahora es imposible actualizar el firmware.
Esto se ve aún peor por el requisito del TPM de estar físicamente presente para presionar F3 en el momento del arranque para confirmar el paso de limpieza del TPM. He pasado literalmente horas en el sitio reiniciando repetidamente una PC que arranca lentamente y probando varios comandos y alternancias de las guías que encontré. Es frustrante y perturbador. Ni Microsoft ni HP reconocen este comportamiento en su documentación de TPM y la herramienta de actualización de firmware no se adapta a este nuevo comportamiento de Windows.
Entonces, ¿alguien puede proporcionar instrucciones de trabajo sobre cómo cambiar la inicialización de TPM al modo manual en la última versión de Windows 10?
Respuesta1
Según Readme.html incluido en el archivo SoftPaq sp82407.exe:
Windows 10 ® versión 1607 y posteriores
La autorización del propietario ya no se almacena en el sistema local. Para actualizar el firmware, debe borrar el TPM y volver a tomar posesión con la configuración de Windows modificada para que la autorización del propietario se almacene en el sistema local.Se necesitan los siguientes pasos para actualizar el firmware:
- Establezca la clave de registro 'HKLM\Software\Policies\Microsoft\TPM\OSManagedAuthLevel' en 4 [REG_DWORD].
- Inicie tpm.msc y haga clic en 'Borrar TPM...'. Reinicia la computadora.
- Inicie tpm.msc y haga clic en 'Preparar el TPM...'.
- Ejecute la herramienta de actualización de firmware de TPM y actualice el firmware. Reinicia la computadora.
- Restaure la clave de registro a su valor anterior.
- Inicie tpm.msc y haga clic en 'Borrar TPM...'. Reinicia la computadora.
- Inicie tpm.msc y haga clic en 'Preparar el TPM...'.
En cuanto a cómo funciona esto exactamente, he usado el nombre de la clave de registro para encontrarConfiguración de la política de grupo de TPM. Explica qué significan los distintos valores y cómo se comportan:
Si habilita esta configuración de política, el sistema operativo Windows almacenará la autorización del propietario de TPM en el registro de la computadora local de acuerdo con la configuración de autenticación de TPM que elija.
0 = Ninguno, 2 = Delegado, 4 = Completo. A partir de Windows 10 versión 1703, el valor predeterminado es 5 (ficticio).
También encontré una publicación de blog de Microsoft.Contraseña del propietario del TPMque detalla dónde y cómo se almacena la contraseña y cómo utilizarla.
Para los sistemas que nunca funcionan (Windows 8.1/10), TPM se aprovisiona automáticamente, lo que significa que TPM se activa automáticamente. Windows utiliza la autenticación de bloqueo generada aleatoriamente para aprovisionar el TPM y luego destruye la autenticación de bloqueo sin revelarla al usuario. Sin embargo, según la configuración de GPO, la contraseña del propietario de TPM se puede almacenar adicionalmente en el registro.
Entonces, el truco consiste en configurar OSManagedAuthLevel en Completo y reinicializar. Todavía no hay una interfaz de usuario de copia de seguridad de claves, pero la presencia de la clave de registro hará que la clave TPM se guarde en el registro. Según el archivo Léame, el actualizador debería poder recuperar la clave automáticamente. Si no es así, la clave se puede extraer del registro.