更改 TPM 所有者密码
本文面向 IT 专业人员介绍如何更改系统上安装的受信任平台模块 (TPM) 所有者的密码或 PIN。
关于 TPM 所有者密码
从 Windows 10 版本 1607 开始,Windows 在预配 TPM 时不会保留 TPM 所有者密码。 密码设置为随机高枚举值,然后丢弃。
重要提示
尽管从 Windows 10 版本 1607 开始不会保留 TPM 所有者密码,但你可以更改默认注册表项来保留它。 但是,我们强烈建议不要进行此更改。 若要保留 TPM 所有者密码,请在注册表项 HKLM\Software\Policies\Microsoft\TPM
下创建一个 REG_DWORD
值 OSManagedAuthLevel
并将其设置为 4
。
对于高于 Windows 10 1703 的 Windows 版本,此键的默认值为 5。 值为 5 表示:
- TPM 2.0:保留锁定授权。
- TPM 1.2:放弃完整的 TPM 所有者授权,仅保留委托的授权。
除非在预配 TPM 之前将注册表项值从 5 更改为 4,否则不会保存所有者密码。
每个 TPM 仅存在一个所有者密码。 TPM 所有者密码允许启用、禁用或清除 TPM,而无需对计算机进行物理访问,例如,通过远程使用命令行工具。 TPM 所有者密码还允许操作 TPM 字典攻击逻辑。 Windows 在每次启动时将 TPM 的所有权作为预配过程的一部分。 共享密码或清除 TPM 的所有权时,所有权可能会更改,以便其他人可以初始化它。
如果没有所有者密码,仍可以通过 UEFI 确认物理状态来执行上述所有操作。
其他 TPM 管理选项
除了更改所有者密码,还可以使用以下选项来管理 TPM:
- 清除 TPM - 如果要使自取得 TPM 所有权以来创建的所有现有密钥失效,可以清除它。 有关此过程的重要预防措施和完成过程的说明,请参阅 从 TPM 清除所有密钥。
- 关闭 TPM - 使用 TPM 1.2 和 Windows 10 版本 1507 和 1511,你可以关闭 TPM。 如果要使所有现有密钥和数据保持不变并禁用 TPM 提供的服务,请关闭 TPM。 有关详细信息,请参阅 关闭 TPM。
更改 TPM 所有者密码
对于 Windows 10 版本 1507 或 1511,如果你专门选择保留 TPM 所有者密码,则可以使用保存的密码更改为新密码。
若要更改为新的 TPM 所有者密码,请在 中选择 TPM.msc
“ 更改所有者密码”,并按照说明进行操作。 它提示提供所有者密码文件或键入密码。 然后,可以自动或手动创建新密码,并将密码保存在文件或打印输出中。
使用 TPM cmdlet
可以使用 Windows PowerShell 管理 TPM。 有关详细信息,请参阅 Windows PowerShell 中的 TPM Cmdlet。