У меня есть несколько настольных компьютеров HP с последней версией Windows 10, требующих обновления прошивки TPM (sp82407.exe) для исправления прошлогодней уязвимости шифрования Infineon. Обновление требует инициализации TPM и требует от пользователя ввести либо парольную фразу, либо файл резервной копии ключа для продолжения.
Windows 10 отказывается выводить диалог ввода парольной фразы / резервного копирования ключа во время инициализации TPM, что бы я ни делал. Все руководства, которые я читал, либо устарели, либо совершенно неверны. В Win7 это было просто, опция ручной инициализации была прямо там, в tpm.msc. Но в Win10 в какой-то момент это изменилось, так что по умолчанию, в целях безопасности, генерируется случайный ключ, который затем отбрасывается. Так что теперь обновление прошивки невозможно.
Это еще больше усугубляется требованием TPM физически присутствовать, чтобы нажать F3 во время загрузки для подтверждения шага очистки TPM. Я провел буквально часы на месте, неоднократно перезапуская медленно загружающийся ПК и пробуя различные команды и переключатели из руководств, которые я нашел. Это раздражает и расстраивает. Ни Microsoft, ни HP не признают такого поведения в своей документации TPM, а инструмент обновления прошивки не учитывает это новое поведение Windows.
Итак, может ли кто-нибудь предоставить рабочую инструкцию по переключению инициализации TPM в ручной режим в последней версии Windows 10?
решение1
Согласно файлу Readme.html, включенному в архив SoftPaq sp82407.exe:
Windows 10 ® версии 1607 и более поздние версии
Авторизация владельца больше не хранится в локальной системе. Чтобы обновить прошивку, вам нужно очистить TPM и снова стать владельцем с измененными настройками Windows, чтобы авторизация владельца хранилась в локальной системе.Для обновления прошивки необходимо выполнить следующие шаги:
- Установите для ключа реестра «HKLM\Software\Policies\Microsoft\TPM\OSManagedAuthLevel» значение 4 [REG_DWORD].
- Запустите tpm.msc и нажмите «Очистить TPM...». Перезагрузите компьютер.
- Запустите tpm.msc и нажмите «Подготовить TPM...».
- Запустите средство обновления прошивки TPM и обновите прошивку. Перезагрузите компьютер.
- Восстановите предыдущее значение ключа реестра.
- Запустите tpm.msc и нажмите «Очистить TPM...». Перезагрузите компьютер.
- Запустите tpm.msc и нажмите «Подготовить TPM...».
Что касается того, как именно это работает, я использовал имя ключа реестра, чтобы найтиПараметры групповой политики TPM. Он объясняет, что означают различные значения и как они себя ведут:
Если включить этот параметр политики, операционная система Windows сохранит авторизацию владельца TPM в реестре локального компьютера в соответствии с выбранным вами параметром аутентификации TPM.
0 = Нет, 2 = Делегированная, 4 = Полная. Начиная с Windows 10 версии 1703, значение по умолчанию — 5 (фиктивное).
Я также нашел запись в блоге MicrosoftПароль владельца TPMв котором подробно рассказывается о том, где и как хранится пароль, а также как его использовать.
Для никогда не операционных систем (Windows 8.1/10) TPM автоматически инициализируется – это означает, что TPM автоматически активируется. Windows использует случайно сгенерированную Lockout Auth для инициализации TPM, затем уничтожает Lockout Auth, не раскрывая его пользователю. Однако, в зависимости от настроек GPO, пароль владельца TPM может дополнительно храниться в реестре.
Итак, трюк в том, чтобы установить OSManagedAuthLevel на Full и выполнить повторную инициализацию. Пользовательского интерфейса для резервного копирования ключей по-прежнему нет, но наличие раздела реестра приведет к сохранению ключа TPM в реестре. Согласно readme, после этого программа обновления должна иметь возможность автоматически извлечь ключ. Если этого не произойдет, ключ можно извлечь из реестра.