Share via

Изменение пароля владельца доверенного платформенного модуля

В этой статье для ИТ-специалистов описано, как изменить пароль или ПИН-код для владельца доверенного платформенного модуля (TPM), установленного в вашей системе.

Сведения о пароле владельца доверенного платформенного модуля

Начиная с Windows 10 версии 1607, Windows не сохраняет пароль владельца доверенного платформенного модуля при подготовке доверенного платформенного модуля. Пароль устанавливается на случайное значение высокой энтропии, а затем отбрасывается.

Важно.

Хотя пароль владельца доверенного платформенного модуля не сохраняется начиная с Windows 10 версии 1607, вы можете изменить раздел реестра по умолчанию, чтобы сохранить его. Однако настоятельно рекомендуется не вносить это изменение. Чтобы сохранить пароль владельца доверенного платформенного модуля, в разделе HKLM\Software\Policies\Microsoft\TPMреестра создайте REG_DWORD значение и присвойте OSManagedAuthLevel ему 4значение .

Для версий Windows, более поздних, чем Windows 10 1703, значение по умолчанию для этого ключа равно 5. Значение 5 означает:

  • TPM 2.0: сохраните авторизацию блокировки.
  • TPM 1.2. Отмена полной авторизации владельца доверенного платформенного модуля и сохранение только делегированной авторизации.

Если значение раздела реестра не изменено с 5 на 4 до подготовки доверенного платформенного модуля, пароль владельца не сохраняется.

Для каждого доверенного платформенного модуля существует только один пароль владельца. Пароль владельца доверенного платформенного модуля позволяет включать, отключать или очищать TPM без физического доступа к компьютеру, например с помощью средств командной строки удаленно. Пароль владельца доверенного платформенного модуля также позволяет манипулировать логикой атаки в словаре доверенного платформенного модуля. Windows берет на себя ответственность за TPM в процессе подготовки при каждой загрузке. Владелец может измениться при совместном использовании пароля или отмене владения доверенным платформенный модуль, чтобы кто-то другой смог инициализировать его.

Без пароля владельца вы по-прежнему можете выполнять все предыдущие действия с подтверждением физического присутствия из UEFI.

Другие варианты управления TPM

Вместо изменения пароля владельца можно также использовать следующие параметры для управления TPM:

  • Очистите доверенный платформенный модуль . Если вы хотите сделать недействительными все существующие ключи, созданные с момента владения доверенным платформенного модуля, его можно очистить. Важные меры предосторожности для этого процесса и инструкции по его выполнению см. в статье Очистка всех ключей из доверенного платформенного модуля.

  • Отключите доверенный платформенный платформенный модуль. С TPM 1.2 и Windows 10 версий 1507 и 1511 можно отключить TPM. Отключите TPM, если вы хотите сохранить все существующие ключи и данные без изменений и отключить службы, предоставляемые доверенным платформенным модульом. Дополнительные сведения см. в разделе Отключение доверенного платформенного модуля.

Изменение пароля владельца доверенного платформенного модуля

В Windows 10 версии 1507 или 1511, если вы специально решили сохранить пароль владельца доверенного платформенного модуля, вы можете использовать сохраненный пароль, чтобы изменить его на новый.

Чтобы изменить новый пароль владельца доверенного платформенного модуля, в TPM.mscвыберите Изменить пароль владельца и следуйте инструкциям. Он запрашивает указать файл пароля владельца или ввести пароль. Затем вы можете создать новый пароль автоматически или вручную и сохранить его в файле или в виде распечатки.

Использование командлетов TPM

Можно управлять доверенным платформенным модулем с помощью Windows PowerShell. Дополнительные сведения см. в статье Командлеты доверенного платформенного модуля в Windows PowerShell.