In dieser Kurzmitteilung möchte ich demonstrieren, wie wir mit einer ConfigMgr-Task Sequence Infineon TPM Security Updates für HP-Geräte installieren. Eine Übersicht der Updates gibt es hier: HPSBHF03568 rev. 11 – Infineon TPM Security Update.

Vorbereitung

1. Die Update-Dateien von HP herunterladen und entpacken
2. Einfache Packages ohne Programm erstellen
   

Die einzelnen Schritte

1. BitLocker anhalten
   1. manage-bde -protectors c: -disable -rebootcount 0
2. BIOS-Passwort temp. leeren
   1. BiosConfigUtility64.exe /nspwdfile:““ /cspwdfile:“password.bin“ /log
3. OSManagedAuthLevel > 4
   1. reg add HKLM\SOFTWARE\Policies\Microsoft\TPM /f /v OSManagedAuthLevel /t REG_DWORD /d 4
4. TPM Chip löschen
   1. powershell.exe -command “ & {(Get-WmiObject -Namespace root\CIMV2\Security\MicrosoftTpm -Class Win32_TPM).SetPhysicalPresenceRequest(14)}“
5. Computer neu starten
   1. shutdown -r -t 0
6. Update installieren
   1. SLB 9656 (TPM 1.2) > SP82407
      1. IFXTPMUpdate_TPM12_v0434.com /update /logfile:C:\Temp\TPMUpdate.log
   2. SLB 9660 (TPM 1.2) > SP82133
      1. IFXTPMUpdate_TPM12_v0443.com /update /logfile:C:\Temp\TPMUpdate.log
   3. SLB 9670 (TPM 1.2) > SP87753
      1. TPMConfig64.exe -s -a1.2 -xVTx
   4. SLB 9665 (TPM 2.0), SLB 9670 (TPM 2.0) > SP87753
      1. TPMConfig64.exe -s -a2.0 -xVTx
7. Computer neu starten
   1. shutdown -r -t 0
8. OSManagedAuthLevel > 2
   1. reg add HKLM\SOFTWARE\Policies\Microsoft\TPM /f /v OSManagedAuthLevel /t REG_DWORD /d 2
9. TPM Chip löschen
   1. powershell.exe -command “ & {(Get-WmiObject -Namespace root\CIMV2\Security\MicrosoftTpm -Class Win32_TPM).SetPhysicalPresenceRequest(14)}“
10. Computer neu starten
    1. shutdown -r -t 0
11. TPM Chip initialisieren
    1. powershell.exe -command „& {Initialize-Tpm}“
12. BIOS-Passwort setzen
    1. BiosConfigUtility64.exe /nspwdfile:“password.bin“ /cspwdfile:““ /log
13. BitLocker aktivieren
    1. manage-bde -protectors c: -enable

Das Grundgerüst der Task Sequence basiert auf Building a Better Task Sequence von Adam Gross‘ Blog – A Square Dozen.

Task Sequence-Schritte

1. Use Toolkit Package
   1. MDT integrierte Task Sequence mit Zugriff auf eine MDT-Datenbank, in welche die Computermodelle gepflegt werden.
      
   2. Für die Ermittlung des richtigen TPM-Updates habe ich eine benutzerdefinierte Spalte in die Tabelle Settings eingefügt > How to extend the MDT 2010 database with custom settings
      
2. Gather
   1. Die Regel-Datei (CustomSettings.ini) sieht wie folgt aus:

      [Settings]
      Priority=HardwareInfo,MMSettings,Default
      Properties=MakeAlias,ModelAlias,TPMUpdate
      
      [HardwareInfo]
      UserExit=CUSTOM_AliasUserExit.vbs
      MakeAlias=#SetMakeAlias()#
      ModelAlias=#SetModelAlias()#
      
      [Default]
      OSInstall=Y
      
      ;Custom Variables
      [MMSettings]
      SQLServer=SQLSERVER
      Port=SQLPORT
      DBID=SQLUSER
      DBPwd=SQLPASSWORD
      Database=MDT
      Netlib=DBMSSOCN
      Table=MakeModelSettings
      Parameters=ModelAlias
      ModelAlias=Model

3. Hinweis: Als Alternative kann man auch Set Dynamic Variables verwenden
   
4. Gruppe Update TPM
5. Bedingung für die Ausführung
   
6. TPM firmware update SP82407 > Update TPM 1.2 Firmware
7. Bedingung
   
8. TPM firmware update SP82133 > Update TPM 1.2 Firmware
   1. Bedingung
      
9. TPM firmware update SP87753 > Update TPM 1.2 Firmware
   1. Bedingung
      
10. TPM firmware update SP87753 > Update TPM 2.0 Firmware
    1. Bedingung
       

       

Schlusswort

Der Rechner muss öfter neu starten. Leider lässt sich auch nicht verhindern, dass bei verschiedenen Modellen nach dem Schritt TPM Chip löschen und dem darauf folgenden Neustart die Tasten F1 oder F3 oder F12 (PPI, Physical Presence Interface) gedrückt werden muss.