更改 TPM 所有者密码
本文面向 IT 专业人员介绍如何更改系统上安装的受信任平台模块 (TPM) 所有者的密码或 PIN。
关于 TPM 所有者密码
从 Windows 10 版本 1607 开始,Windows 在预配 TPM 时不会保留 TPM 所有者密码。 密码设置为随机高枚举值,然后丢弃。
重要提示
尽管从 Windows 10 版本 1607 开始不会保留 TPM 所有者密码,但你可以更改默认注册表项来保留它。 但是,我们强烈建议不要进行此更改。 若要保留 TPM 所有者密码,请在注册表项 HKLM\Software\Policies\Microsoft\TPM下创建一个 REG_DWORD 值 OSManagedAuthLevel 并将其设置为 4。
对于高于 Windows 10 1703 的 Windows 版本,此键的默认值为 5。 值为 5 表示:
- TPM 2.0:保留锁定授权。
- TPM 1.2:放弃完整的 TPM 所有者授权,仅保留委托的授权。
除非在预配 TPM 之前将注册表项值从 5 更改为 4,否则不会保存所有者密码。
每个 TPM 仅存在一个所有者密码。 TPM 所有者密码允许启用、禁用或清除 TPM,而无需对计算机进行物理访问,例如,通过远程使用命令行工具。 TPM 所有者密码还允许操作 TPM 字典攻击逻辑。 Windows 在每次启动时将 TPM 的所有权作为预配过程的一部分。 共享密码或清除 TPM 的所有权时,所有权可能会更改,以便其他人可以初始化它。
如果没有所有者密码,仍可以通过 UEFI 确认物理状态来执行上述所有操作。
其他 TPM 管理选项
除了更改所有者密码,还可以使用以下选项来管理 TPM:
清除 TPM - 如果要使自取得 TPM 所有权以来创建的所有现有密钥失效,可以清除它。 有关此过程的重要预防措施和完成过程的说明,请参阅 从 TPM 清除所有密钥。
关闭 TPM - 使用 TPM 1.2 和 Windows 10版本 1507 和 1511,可以关闭 TPM。 如果要使所有现有密钥和数据保持不变并禁用 TPM 提供的服务,请关闭 TPM。 有关详细信息,请参阅 关闭 TPM。
更改 TPM 所有者密码
使用 Windows 10版本 1507 或 1511 时,如果专门选择保留 TPM 所有者密码,则可以使用保存的密码更改为新密码。
若要更改为新的 TPM 所有者密码,请在 中选择 TPM.msc“ 更改所有者密码”,并按照说明进行操作。 它提示提供所有者密码文件或键入密码。 然后,可以自动或手动创建新密码,并将密码保存在文件或打印输出中。
使用 TPM cmdlet
可以使用 Windows PowerShell 管理 TPM。 有关详细信息,请参阅 Windows PowerShell 中的 TPM Cmdlet。
相关文章
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈