Wie führt man eine Aktualisierung der TPM-Firmware unter Windows 10 durch?

661
theultramage

Ich habe mehrere HP-Desktops, auf denen das neueste Windows 10 ausgeführt wird und eine TPM-Firmware-Aktualisierung (sp82407.exe) erforderlich ist, um die letztjährige fehlerhafte Infineon-Krypto-Sicherheitsanfälligkeit zu beheben. Der Updater erfordert, dass das TPM initialisiert wird, und der Benutzer muss entweder die Passphrase eingeben oder die Schlüsselsicherungsdatei, um fortzufahren.

Windows 10 weigert sich, während der TPM-Initialisierung den Passphraseneingabe- / Schlüsselsicherungsdialog aufzurufen, unabhängig davon, was ich versuche. Alle Anleitungen, die ich gelesen habe, sind entweder veraltet oder völlig falsch. Unter Win7 war es früher einfach, die Option zum manuellen Initialisieren war in tpm.msc genau dort. Win10 hat es jedoch irgendwann geändert, so dass standardmäßig aus Sicherheitsgründen ein zufälliger Schlüssel generiert und anschließend verworfen wird. Daher ist ein Upgrade der Firmware jetzt nicht möglich.

Dies wird noch verschlimmert durch die Anforderung des TPM, physisch anwesend zu sein, um beim Startzeitpunkt F3 zu drücken, um den TPM-Löschschritt zu bestätigen. Ich habe buchstäblich mehrere Stunden vor Ort verbracht, um einen langsam bootenden PC neu zu starten und verschiedene Befehle und Schalter aus den gefundenen Anleitungen auszuprobieren. Es ist frustrierend und verstörend. Weder Microsoft noch HP erkennen dieses Verhalten in der TPM-Dokumentation an, und das Firmware-Upgrade-Tool ist für dieses neue Windows-Verhalten nicht geeignet.

Kann irgendjemand eine Arbeitsanweisung zum Wechseln der TPM-Initialisierung in den manuellen Modus unter Windows 10 bereitstellen?

0

1 Antwort auf die Frage

0
theultramage

Laut Readme.html im sp82407.exe SoftPaq-Archiv:

Windows 10 ® Version 1607 und höher
Die Eigentümerberechtigung wird nicht mehr auf dem lokalen System gespeichert. Um die Firmware zu aktualisieren, müssen Sie das TPM löschen und den Besitz mit geänderten Windows-Einstellungen erneut übernehmen, sodass die Eigentümerberechtigung auf dem lokalen System gespeichert wird.

Die folgenden Schritte sind erforderlich, um die Firmware zu aktualisieren:

  1. Setzen Sie den Registrierungsschlüssel 'HKLM \ Software \ Policies \ Microsoft \ TPM \ OSManagedAuthLevel' auf 4 [REG_DWORD].
  2. Starten Sie tpm.msc und klicken Sie auf 'TPM löschen ...'. Starte den Computer neu.
  3. Starten Sie tpm.msc und klicken Sie auf "TPM vorbereiten ...".
  4. Führen Sie das TPM-Firmware-Update-Tool aus und aktualisieren Sie die Firmware. Starte den Computer neu.
  5. Stellen Sie den Registrierungsschlüssel auf den vorherigen Wert wieder her.
  6. Starten Sie tpm.msc und klicken Sie auf 'TPM löschen ...'. Starte den Computer neu.
  7. Starten Sie tpm.msc und klicken Sie auf "TPM vorbereiten ...".

Wie genau dies funktioniert, habe ich den Namen des Registrierungsschlüssels verwendet, um die TPM-Gruppenrichtlinieneinstellungen zu finden . Es erklärt, was die verschiedenen Werte bedeuten und wie sie sich verhalten:

Wenn Sie diese Richtlinieneinstellung aktivieren, speichert das Windows-Betriebssystem die TPM-Eigentümerautorisierung entsprechend der von Ihnen gewählten TPM-Authentifizierungseinstellung in der Registrierung des lokalen Computers.
0 = keine, 2 = delegiert, 4 = voll. Ab Windows 10 Version 1703 ist der Standardwert 5 (Dummy).

Ich habe auch ein Microsoft-Blogpost- TPM-Besitzerkennwort gefunden, in dem detailliert beschrieben wird, wo und wie das Kennwort gespeichert wird und wie es verwendet werden kann.

Bei niemals Betriebssystemen (Windows 8.1 / 10) wird TPM automatisch bereitgestellt, dh TPM wird automatisch aktiviert. Windows verwendet die zufällig generierte Lockout-Authentifizierung, um das TPM bereitzustellen, und zerstört dann die Lockout-Authentifizierung, ohne sie dem Benutzer anzuzeigen. Abhängig von den GPO-Einstellungen kann das TPM-Besitzerkennwort jedoch zusätzlich in der Registrierung gespeichert werden.

Der Trick besteht also darin, OSManagedAuthLevel auf Full zu setzen und erneut zu initialisieren. Es gibt immer noch keine Sicherungs-UI für Schlüssel, aber wenn der Registrierungsschlüssel vorhanden ist, wird der TPM-Schlüssel in der Registrierung gespeichert. Laut der Readme-Datei sollte der Updater dann den Schlüssel automatisch abrufen können. Wenn dies nicht der Fall ist, kann der Schlüssel aus der Registrierung extrahiert werden.

Verwandte Probleme