Tenho vários desktops HP executando o Windows 10 mais recente e exigindo uma atualização de firmware TPM (sp82407.exe) para corrigir a vulnerabilidade de criptografia Infineon defeituosa do ano passado. O atualizador exige que o TPM seja inicializado e que o usuário insira a senha ou o arquivo de backup da chave para continuar.
O Windows 10 se recusa a abrir a caixa de diálogo de entrada de senha/backup de chave durante a inicialização do TPM, não importa o que eu tente. Todos os guias que li estão desatualizados ou totalmente errados. No Win7 costumava ser fácil, a opção de inicializar manualmente estava ali em tpm.msc. Mas o Win10 em algum momento mudou isso, de modo que por padrão, por razões de segurança, uma chave aleatória é gerada e depois descartada. Portanto, agora é impossível atualizar o firmware.
Isso é ainda pior pela exigência do TPM de estar fisicamente presente para pressionar F3 no momento da inicialização para confirmar a etapa de limpeza do TPM. Passei literalmente horas no local reiniciando repetidamente um PC de inicialização lenta e tentando vários comandos e alternadores dos guias que encontrei. É frustrante e perturbador. Nem a Microsoft nem a HP reconhecem qualquer um desses comportamentos em sua documentação do TPM, e a ferramenta de atualização de firmware não se adapta a esse novo comportamento do Windows.
Então, alguém pode fornecer instruções de trabalho sobre como alternar a inicialização do TPM para o modo manual no Windows 10 mais recente?
Responder1
De acordo com Readme.html incluído no arquivo SoftPaq sp82407.exe:
Windows 10® Versão 1607 e posterior
A autorização do proprietário não está mais armazenada no sistema local. Para atualizar o firmware, você precisa limpar o TPM e assumir a propriedade novamente com a configuração modificada do Windows para que a autorização do proprietário seja armazenada no sistema local.As seguintes etapas são necessárias para atualizar o firmware:
- Defina a chave de registro 'HKLM\Software\Policies\Microsoft\TPM\OSManagedAuthLevel' como 4 [REG_DWORD].
- Inicie tpm.msc e clique em 'Limpar TPM...'. Reinicie o computador.
- Inicie tpm.msc e clique em 'Preparar o TPM...'.
- Execute a ferramenta TPM Firmware Update e atualize o firmware. Reinicie o computador.
- Restaure a chave de registro para seu valor anterior.
- Inicie tpm.msc e clique em 'Limpar TPM...'. Reinicie o computador.
- Inicie tpm.msc e clique em 'Preparar o TPM...'.
Para saber exatamente como isso funciona, usei o nome da chave de registro para encontrarConfigurações de política de grupo TPM. Explica o que significam os vários valores e como eles se comportam:
Se você habilitar essa configuração de política, o sistema operacional Windows armazenará a autorização do proprietário do TPM no registro do computador local de acordo com a configuração de autenticação do TPM escolhida.
0 = Nenhum, 2 = Delegado, 4 = Completo. A partir do Windows 10 versão 1703, o valor padrão é 5 (fictício).
Também encontrei uma postagem no blog da MicrosoftSenha do proprietário do TPMque detalha onde e como a senha é armazenada e como usá-la.
Para sistemas nunca operacionais (Windows 8.1/10), o TPM é provisionado automaticamente – isso significa que o TPM é ativado automaticamente. O Windows usa o Lockout Auth gerado aleatoriamente para provisionar o TPM e, em seguida, destrói o Lockout Auth sem nunca revelá-lo ao usuário. No entanto, dependendo das configurações do GPO, a senha do proprietário do TPM pode ser armazenada adicionalmente no registro.
Portanto, o truque é definir OSManagedAuthLevel como Full e reinicializar. Ainda não há interface de backup de chave, mas a presença da chave de registro fará com que a chave TPM seja salva no registro. De acordo com o leia-me, o atualizador deverá ser capaz de buscar a chave automaticamente. Caso contrário, a chave poderá ser extraída do registro.