TPM lässt sich nicht konfigurieren

Trapton

Cadet 4th Year
Dabei seit
März 2017
Beiträge
64
Hallo,

ich bin neu hier und hoffe das ich das richtige Forum erwischt habe :)

Ich habe mir vor ein paar Wochen ein TPM-Modul 2.0 von MSI für mein Mainboard bestellt und eingebaut. Nach dem ersten Hindernis, das das Mainboard nur TPM 1.2 Module unterstützt, wurde mir von MSI ein neues BIOS zugesendet, welches die Unterstützung für TPM 2.0 bietet.
Mit dem neuen BIOS wird das Modul im BIOS richtig erkannt und unter Windows im Gerätemanager angezeigt.
Nun möchte ich gerne das Modul konfigurieren, damit ich BitLocker verwenden kann, da fangen die Probleme aber an:

Als erstes rufe ich die TPM-Verwaltungskonsole auf und die sieht aktuell so aus:



Bei Google habe ich gefunden, dass man das Modul erstmal initialisieren soll, diese Option steht bei mir aber nicht zur Verfügung.
Als nächstes soll man ein Besitzerpasswort definieren, diese Option steht zur Verfügung und ich führe die jeweiligen Schritte aus:

1. Da ich keine Datei habe, gebe ich ein Passwort ein:


2. Passwort ist eingeben, ich vermute hier müsste ich ein Passwort eingeben, welches vorher schon definiert ist, aber das habe ich nicht (Passwort ist erstmal ein frei erfundenes und nicht mein Passwort, auch nicht welches später zur Verwendung kommen soll):


3. TPM-Besitzerkennwort erstellen, verwende ich mal "automatisch" (Manuell ist das selbe Problem)


Das erstelle Passwort habe ich mal ausgeblendet, es wird aber eins erzeugt :)


4. Nun klicke ich auf Kennwort ändern und bekomme folgende Fehlermeldung:


Der Fehlercode sagt aus, dass sich wohl zu häufig versucht wurde falsche einzuloggen, der Fehlercode beim ersten Mal war ein anderer, habe leider keine Bild zur Verfügung: 0x80280001


Wie schon bei Schritt 2 vermutet, benötige ich wahrscheinlich ein Passwort, bloß wo bekomme ich das her?
Ich habe schon den Schritt TPM löschen durchgeführt und im BIOS auch auf Clear gestellt, was sich nach einen Neustart logischerweise auf None stellt.
Kann mir jemand mit diesem Problem helfen und vielleicht die helfende Antwort geben?

Mein System:

Intel i7-4790k
MSI Z97 Gaming 9 AC
MSI TPM Modul 2.0
Windows 10 Professional (64-Bit Anniversary Update aktueller Stand)
Treiber sind alle installiert und sollten aktuell sein

Wenn mehr benötigt wird, bitte nachfragen.
 

stage

Lieutenant
Dabei seit
Aug. 2012
Beiträge
584

Trapton

Cadet 4th Year
Ersteller dieses Themas
Dabei seit
März 2017
Beiträge
64
Das ist mein Problem und dadurch wurde ich darauf hingewiesen, dass ich erst mein TPM-Modul konfigurieren soll, danach würde BitLocker funktionieren.



Edit:
Ausgangspunkt:
Das TPM-Modul wird richtig im BIOS und Gerätemanager erkannt, auch die Verwaltungskonsole erklärt das Modul bereit.

Ich bin dem Problem etwas näher auf die Spur gekommen, ich habe folgendes verstanden/recherchiert:

1. Es muss ein UEFI-BIOS sein
2. Es muss SecureBoot aktiviert und funktionieren
3. Es muss ein BIOS-Passwort vergeben sein
4. Ab Windows 10 Version 1607 ist TPM 2.0 Pflicht (Treiber und Software kommt von Microsoft)
5. Die Festplatte muss TCG Opal 2.0 unterstützen

Diese Punkte sind bei mir alle zutreffend.

Ob SecureBoot funktioniert, gibt es von Microsoft eine Hilfe:
https://technet.microsoft.com/en-us/library/dn479183.aspx

Ergebnis ist bei mir so wie vorgesehen, also SecureBoot funktioniert.

BitLocker wirft mir diese Meldung weiterhin aus:
0x80310002 The BIOS did not correctly communicate with the Trusted Platform Module (TPM). Contact the computer manufacturer for BIOS upgrade instructions.

In den Logs habe ich folgendes gefunden:
BitLocker determined that the TCG log is invalid for use of Secure Boot. The filtered TCG log for PCR[7] is included in this event.

Um das zu prüfen bin ich auf diese Seite von MS gestoßen:
https://msdn.microsoft.com/library/windows/hardware/dn375855

Ergebnis aus der CMD:
Volume "C:" []
Alle Schlüsselschutzvorrichtungen

FEHLER: Es wurden keine Schlüsselschutzvorrichtungen gefunden.

Nach weiterer Recherche, aber Halbwissen hänge ich aktuell an den Punkt, dass die SecureBoot-Implementierung nicht ganz sauber ist und deswegen die Verschlüsselung der Festplatte nicht funktioniert.

Das Ganze ging auch ähnlich an den MSI-Support, aber vielleicht kann auch hier jemand noch weiterhelfen und vielleicht auch nur bei der Fehlersuche helfen.
 
Zuletzt bearbeitet: (Neue Informationen)

Trapton

Cadet 4th Year
Ersteller dieses Themas
Dabei seit
März 2017
Beiträge
64
Das Problem ist gelöst.
Windows 10 scheint kein SHA-1 mehr zu unterstützen und im nachgelieferten BIOS war wohl SHA-2 mit SHA-1 vertauscht, daher die Probleme.
Nun klappt es auch mit BitLocker als Betriebssystemlaufwerksverschlüsselung.

Kann geschlossen werden.
 

Orthos

Newbie
Dabei seit
Apr. 2017
Beiträge
4
Hallo!

Ich habe bei mir fast das gleiche Problem. Nur das bei mir die Verschlüsselung problemlos funktioniert.
D.h. das mein Problem ist das der TPM 2.0 Chip bereits vorbereitet ist, und somit der Punkt "TPM vorbereiten..." ausgegraut ist. Wenn ich "TPM löschen..." auswähle ist der TPM-Chip anschließend wieder automatisch vorbereitet worden.

Dadurch erhalte ich leider nie das Besitzerkennwort, oder eine Besitzerkennwortdatei. Kann es daran liegen
das ich Windows 10 PRO nutze (privat, ohne Domäne)? Ich habe bei meinen Recherchen herausgefunden
das Win 10 Pro - in einer Domäne - die Besitzerkennwortdatei in der AD sichert.

Unterm Strich funktioniert alles bei mir, aber wenn ich schon alles verschlüssel würde ich gerne sicher gehen
das ich auch alle Passwörter etc. habe, falls ich sie denn mal brauche. Und das Besitzerkennwort/ die Besitzerkennwortdatei fehlen mir immer.

zur Info: Den Wiederherstellungsschlüssel bekomme ich vor der Verschlüsselung wie es sein sollte.
Brauche ich die Besitzerkennwortdatei überhaupt?

Gruß,
Marc
 

Trapton

Cadet 4th Year
Ersteller dieses Themas
Dabei seit
März 2017
Beiträge
64
So wie ich das verstanden habe, läuft das ganze mit TPM 2.0 etwas anders.
Der Chip besitzt einen eindeutigen und einzigartigen Schlüssel, durch diesen einzigartigen Schlüssel und den Hashwert der gesamten Hardwarekonfiguration, wird die Verschlüsselung erreicht.
Solange die Hardware sich nicht ändert, kann die Festplatte entschlüsselt werden. Sobald die Platte ausgebaut oder die Hardware geändert wird, muss der gespeicherte Wiederherstellungsschlüssel eingegeben werden, da der Schlüssel nicht zurück gerechnet werden kann.
Die Vorbereitung läuft automatisch ab, lässt sich aus der Ereignisanzeige ermitteln und muss normalerweise nicht manuell vorgenommen werden und ein Active Directory ist auch beim Privatmann nicht notwendig. Das dient bei Firmen nur zum Speichern des Wiederherstellungsschlüssels, da der normale Benutzer keinen Zugriff auf die Einrichtung hat und trotzdem eine Möglichkeit bestehen muss, bei Änderung oder defekt das Gerät zu entschlüsseln.

So habe ich das verstanden, falls etwas nicht ganz korrekt ist, bitte verbessern.
 

Orthos

Newbie
Dabei seit
Apr. 2017
Beiträge
4
Kurz zusammengefasst bedeutet das also das ich mit dem TPM 2.0 Chip kein Benutzerkennwort/keine Benutzerkennwortdatei erhalten kann, und das dies(es) auch nicht benötigt wird. Somit ist die Anzeige (mit einem TPM 2.0 Chip) der Punkte "Benutzerkennwort ändern.." und "TPM-Sperre zurücksetzen..." eigentlich fälschlicherweise aktiv, und sollte eigentlich ausgegraut sein?

Sollte dann mein TPM-Chip 2.0 bspw. mal defekt sein kann ich alles wieder mit dem Wiederherstellungspasswort wiederherstellen?
 

Trapton

Cadet 4th Year
Ersteller dieses Themas
Dabei seit
März 2017
Beiträge
64
Diese Optionen habe ich bei mir überhaupt nicht, ich habe nur "TPM löschen...".


Ich habe es so verstanden, dass das löschen vom TPM-Modul einer Änderung des TPM-Moduls gleichkommt, da der Hash neu berechnet wird, somit benötigt man auch wieder den Wiederherstellungsschlüssel.

Wenn der TPM-Chip defekt ist oder die Hardware sich ändert, brauchst du den Wiederherstellungsschlüssel um das System wieder zu starten oder auf die Daten zuzugreifen.

Aber alle Angaben ohne Gewähr.
 

Orthos

Newbie
Dabei seit
Apr. 2017
Beiträge
4
Wenn es wie bei Dir aussehen würde hätte ich mir keine weiteren Gedanken gemacht. Nur die beiden zusätzlichen Punkte die mir angezeigt werden sind mir schleierhaft... Da Du auch eine Pro-Version nutzt verstehe ich das Ganze noch weniger.

Ich installiere mal das Creators Update und versuche es dann noch mal.

Gruß,
Marc
Ergänzung ()

Habs gefunden. :) Man war das eine Suche...

https://superuser.com/questions/1104810/clearing-tpm-does-not-ask-for-new-password-but-change-owner-password-asks-for

https://technet.microsoft.com/en-us/itpro/windows/keep-secure/change-the-tpm-owner-password?f=255&MSPPError=-2147217396

"Although the TPM owner password is not retained starting with Windows 10, version 1607, you can change a default registry key to retain it. However, we strongly recommend that you do not make this change. To retain the TPM owner password, set the registry key 'HKLM\Software\Policies\Microsoft\TPM' [REG_DWORD] 'OSManagedAuthLevel' to 4. The default value for this key is 2, and unless it is changed to 4 before the TPM is provisioned, the owner password will not be saved."

Kurz gesagt ist es so wie es bei mir ist richtig. Dies wurde durch ein Update verändert. Auf der Technet-Seite wird auch darauf hingewiesen es so zu lassen. Ich habe den Reg-Wert dennoch mal auf 4 zurückgesetzt, um zu sehen was passiert. Ich sehe jetzt nur die zwei Punkte die Du auch siehst. Zudem kann ich über tpminit das "TPM-Besitzerkennwort speichern". So wie es aussieht kann dies wohl jeder, der den Rechner entsperrt vorfindet. Hier wird Passwort o.ä. vorher abgefragt, bevor ich die Datei speichern kann. :/
Ergänzung ()

Nachdem ich das Besitzerkennwort gespeichert habe, habe ich den Reg-Wert wieder zurückgesetzt, und neu gestartet. Ich sehe immer noch nur die 2 Punkte. Ggf. hängt dies damit zusammen das der Schlüssel erstellt wurde, nachdem ich den Reg-Key das erste Mal geändert habe.

ABER ich kann das TPM-Besitzerkennwort jetzt nicht mehr speichern. Die Option ist jetzt nicht mehr vorhanden :) Also kann es losgehen!
Ergänzung ()

Noch ein abschließender Kommentar :)

Die Verschlüsselung ist durchgelaufen. Danach habe ich ein Bios-Update durchgeführt. Musste dann natürlich den Key eingeben (Bedingt durch die "veränderte Hardware".).

Lief alles 1a. Vielleicht hilfts ja weiter :)
 
Top