Update von 1511 zu 1607: kein Zugriff mehr auf TPM

[karod3]

Hi,

eben hat sich nach einem Neustart das Anniversary Update von 1511 auf 1607 installiert.

Seit der Installation kann ich mich nicht mehr bei Keepass anmelden, da das Zertifikat zur Anmeldung im TPM abelegt ist.
Ebenso habe ich keinen Zugriff mehr auf die Konfiguration des TPM, wenn ich nämlich in der Systemsteuerung auf "Infineon Security Platform" klicke bekomme ich diese Fehlermeldung



Zum Glück habe ich noch zugriff auf meine Laufwerke, denn die Bitlocker Laufwerke sind nicht betroffen. Sie sind geöffnet.

Wie bekomme ich das wieder repariert??

 

[Mojo1987]

Dann würde ich mal prüfen obs für die TPM Plattform ein Treiberupdate oder ähnliches gibt?
Das aber nur ne Idee, gab ja bei Grafikkarten z.B. auch Treiber extra fürs Anniversary Update. Keine Ahnung ob das bei deinem Problem wirklich was bringt.

 

[karod3]

Habe zuerst 2 mal Windows Update laufen lassen, was auch jeweils 1 Update installiert hat, was aber in bezug auf TPM nichts gebracht hatte.

Habe dann auf der Asus Seite nach langem Suchen den TPM Teiber gefunden.
Die TPM Software war ja noch auf dem PC drauf.
Habe also den Treiber vom Win10 Standard Treiber zu dem von Asus/Infineon geändert.

Nun kann ich mich wieder bei Keepass anmelden und das Konfig Tool vom TPM geht wieder.

------------

Aber ein neues Problem besteht jetzt:

Bitlocker meldet dass die Verschlüsselung von Laufwerk C:\ angehalten wurde. Will ich sie fortsetzen, meldet er plötzlich, dass mein TPM Modul nicht mehr kompatibel sei.



Und im Gerätemanager ist ein gelbes Ausrufezeichen bei "SmartCardUserOne" (UseOne ist mein Nutzername).

 

[visiothek]

Hallo,
ab 1607 wird nur TPM 2.0 unterstützt. Daher kann dein TPM Modul, das vermutlich nach dem 1.2 Standard arbeitet, nicht mehr vom System angesprochen werden. Du brauchst ein neues TPM 2.0 Modul.

 

[karod3]

Und wo bekomme ich das nun her für mein Asus Z97-AR??

Ich werde jetzt so lange es geht zur Sicherheit meine Bitlocker-Laufwerke entschlüsseln, nicht dass durch das WindowsUpdate auf 1607 von meinen eigenen Daten ausgesperrt werde.

Ergänzung (27. September 2016)

Anscheinend gibt es inzwischen auch TPM 2.0 Module zu kaufen.
Als ich das Mainboard vor ein paar Monaten gekauft hatte gab es nur TPM 1.2 Module.

 

[visiothek]

Du brauchst ein 20+1 TPM Modul für dein MB mit der Bezeichnung 90MC0410-M0XBN0. Z.B. Alternate verkauft solche.
Infineon Software wird nicht mehr weiterentwickelt. Win 10 hat alles notwendige an Board.

 

[karod3]

Danke.

Du scheinst dich da etwas auszukennen. Ich habe mich noch weiter eingelesen.

Ist es möglich statt dTPM (discrete per Zusatzkarte) wie dem Modul, dass du benannt hast, auch fTPM zu nutzen?
Auf der Microsoftseite gab es darüber einen Artikel, dass meine CPU (Haswell) fTPM (firmwarebasiertes TPM) unterstützt. Dabei regelt statt dem TPM-Modul die Intel Management Engine alles. Oder geht das nur bei den mobilen Intel CPUs?

Ergänzung (27. September 2016)

Nach etwas Recherche scheint dieses fTPM nur bei Intel NUCs und Tablets integriert zu sein.
So dass ich auch das von dir empfohlene diskrete TPM Modul angewiesen bin.

Hier steht zwar meine CPU (Haswell) dabei, aber anscheinend bezieht sich das nicht auf die Desktop-CPU

https://technet.microsoft.com/de-de/itpro/windows/keep-secure/tpm-recommendations#firmware-tpm

Ergänzung (27. September 2016)

Ich habe mal die mobilen mit dem desktop CPU bei Intel ARK verglichen und den Desktop-CPUs fehlt die Intel Trusted Execution Technology. Daher geht wohl auch kein fTPM bei Desktop CPUs.

Also wie bisher bin ich auf das Ansteck-Modul angewiesen.

Diese Frage habe ich mir damals beim Kauf des TPM 1.2 Modul noch nicht gestellt, da erst seit TPM 2.0 firmware-basiertes TPM unterstützt wird.

 

[visiothek]

Nein, das geht mit deiner Kombination nicht. fTPM setzt eine Kombination aus Software (Intel) + UEFI Implementation (ASUS). Asus hat sich für eine Hardware TPM Lösung entschieden und bietet keine TPM UEFI-Anpassung an.
Die kosten für neue TPM Hardware sind sehr überschaubar (10-12 Euro). Die 2.0 TPM Module werden seit Kurzem angeboten, daher war dein Kauf damals absolut richtig.