Como executar a atualização de firmware do TPM no Windows 10 mais recente?

0

Tenho vários desktops HP executando o Windows 10 mais recente e exigindo uma atualização de firmware do TPM (sp82407.exe) para corrigir a vulnerabilidade de criptografia Infineon do ano passado. O atualizador exige que o TPM seja inicializado e exige que o usuário insira a frase secreta ou o arquivo de backup da chave para prosseguir.

O Windows 10 se recusa a exibir a caixa de diálogo de senha / entrada de senha durante a inicialização do TPM, não importa o que eu tente. Todos os guias que leio estão desatualizados ou completamente errados. No Win7, costumava ser fácil, a opção de inicializar manualmente estava em tpm.msc. Mas Win10 em algum momento mudou, de modo que, por padrão, por razões de segurança, uma chave aleatória é gerada e depois descartada. Então, agora, é impossível atualizar o firmware.

Isso é ainda pior devido ao requisito do TPM de estar fisicamente presente para pressionar F3 no momento da inicialização para confirmar a etapa de limpeza do TPM. Eu passei literalmente horas no local repetidamente reiniciando um PC de inicialização lenta e tentando vários comandos e alterna de guias que encontrei. É frustrante e perturbador. Nem a Microsoft nem a HP reconhecem qualquer um desses comportamentos em sua documentação do TPM, e a ferramenta de atualização de firmware não acomoda esse novo comportamento do Windows.

Então, alguém pode fornecer instruções de trabalho sobre como alternar a inicialização do TPM para o modo manual no Windows 10 mais recente?

    
por theultramage 11.10.2018 / 14:06

1 resposta

0

De acordo com o arquivo Readme.html, incluído no arquivo spP2407.exe SoftPaq:

Windows 10 ® Version 1607 and later
The owner authorization is no longer stored on the local system. To update the firmware you need to clear the TPM and take ownership again with modified Windows setting so that owner authorization is stored on the local system.

The following steps are needed to update the firmware:

  1. Set registry key 'HKLM\Software\Policies\Microsoft\TPM\OSManagedAuthLevel' to 4 [REG_DWORD].
  2. Start tpm.msc and click on 'Clear TPM...'. Restart the computer.
  3. Start tpm.msc and click on 'Prepare the TPM...'.
  4. Run the TPM Firmware Update tool and update the firmware. Restart the computer.
  5. Restore the registry key to its previous value.
  6. Start tpm.msc and click on 'Clear TPM...'. Restart the computer.
  7. Start tpm.msc and click on 'Prepare the TPM...'.

Sobre como exatamente isso funciona, usei o nome da chave do Registro para encontrar . Explica o que os vários valores significam e como eles se comportam:

If you enable this policy setting, the Windows operating system will store the TPM owner authorization in the registry of the local computer according to the TPM authentication setting you choose.
0 = None, 2 = Delegated, 4 = Full. Beginning with Windows 10 version 1703, the default value is 5 (dummy).

Também encontrei uma Senha do proprietário do TPM no blog da Microsoft que entra em detalhes sobre onde e como a senha é armazenada e como usá-la.

For never operating systems (Windows 8.1/10) TPM is auto-provisioned – that means TPM is automatically activated. Windows uses the randomly-generated Lockout Auth to provision the TPM, then destroys the Lockout Auth without ever revealing it to the user. However, depending on GPO settings, TPM Owner Password can be stored additionally in the registry.

Então o truque é definir OSManagedAuthLevel como Full e reinicializar. Ainda não há uma chave de backup para a interface do usuário, mas a presença da chave do registro fará com que a chave do TPM seja salva no registro. De acordo com o leia-me, o atualizador deve poder buscar a chave automaticamente. Se não, a chave pode ser extraída do registro.

    
por 30.10.2018 / 14:54