Teil 20c: TPM-Sperre mittels Besitzerkennwortdatei zurücksetzen

Veröffentlicht am von

TPM-Sperre mittels Besitzerkennwortdatei zurücksetzen – Schritte:

  • Windows 7-Task Sequence für BitLocker konfigurieren und Client003 aufsetzen
  • TPM-OwnerInformation in Active Directory für Windows 8 finden
  • TPM-OwnerInformation in Active Directory für Windows 7 finden
  • tpm_owner.tpm-Datei erstellen
  • TPM-Sperre zurücksetzen

Mit Windows Server 2012 und Windows 8 hat Microsoft das TPM-Management ins Active Directory-Schema integiert. Die TPM-OwnerInformation steht nicht mehr als Attribut direkt beim Computer-Objekt (msTPM-OwnerInformation), sondern ist mit einem eigenen TPM-InformationObject (ms-TPM-InformationObject) verlinkt. Vorsicht beim Löschen von Computer-Objekten in Active Directory: Um Leichen zu vermeiden, zuerst das TPM-InformationObject löschen, dann erst das Computer-Objekt.

In den Gruppenrichtlinien können viele Einstellungen für das TPM konfiguriert werden. Bisher sind wir mit den Standard-Einstellungen ganz gut zurecht gekommen.

Mehr Information dazu unter Trusted Platform Module Technology Overview.

Windows 7-Task Sequence für BitLocker konfigurieren und Client003 aufsetzen

  1. Als Administrator an SERVER02 anmelden
  2. Deployment Workbench starten
  3. OSD Prod Share erweitern
  4. Task Sequences anklicken
  5. Windows 7-Task Sequence rechts anklicken und im Kontextmenü Properties anklicken
  6. Auf den Reiter Task Sequence wechseln
  7. Windows 8-Task Sequence rechts anklicken und im Kontextmenü Properties anklicken
  8. Auf den Reiter Task Sequence wechseln
  9. Den Ordner Enable TPM in BIOS rechts anklicken und im Kontextmenü Copy anklicken
    TPM-001
  10. Zur Windows 7-Task Sequence wechseln
  11. Den Ornder Custom Tasks rechts anklicken und im Kontextmenü Paste anklicken
    TPM-002
  12. Mit Down den Ordner Enable TPM in BIOS aus dem Ordner Custom Tasks verschieben
    TPM-003
  13. Alle Fenster mit OK schließen
  14. Client003 mit Windows 7 und der BitLocker-PIN 1122334 aufsetzen
  15. Als Administrator an Client003 anmelden
    TPM-004
  16. Die Verschlüsselung funktioniert auch unter Windows 7 🙂
  17. Client003 herunterfahren

TPM-OwnerInformation in Active Directory für Windows 8 finden

Für diesen Artikel habe ich ein HP EliteBook 840 mit Windows 8.1 als Client004 aufgesetzt. Mein HP EliteBook 8560p ist Client003 mit Windows 7 (siehe oben).

  1. Als Administrator an SERVER02 anmelden
  2. Server Manager > Local Server > Tools > Active Directory Users and Computers
  3. haimann.local rechts anklicken und im Kontextmenü View > Advanced Features aktivieren
    TPM-005
  4. haimann.local > Arbeitsstationen > Linz anklicken
  5. Client004 rechts anklicken und im Kontextmenü Properties anklicken
    TPM-006
  6. Auf den Reiter Attribute Editor wechseln
  7. Das Attribut msTPM-TpmInformationForComputer suchen und doppelklicken
    TPM-007
  8. CN=xxx bis zum Komma markieren und kopieren
  9. Fenster mit Cancel schließen
  10. Den Ordner Saved Queries rechts anklicken und im Kontextmenü New > Query anklicken
    TPM-008
  11. New Query
    1. Name: TPM-OwnerInformation
    2. Define Query…
      1. Find: Custom Search
      2. Auf den Reiter Advanced wechseln
      3. Enter LDAP query: den Wert vom vorherigen Schritt einfügen > OK
        TPM-009
    3. OK
      TPM-010
  12. Das gefundene TPM-InformationObject rechts anklicken und im Kontextmenü Properties anklicken
    TPM-011
  13. Auf den Reiter Attribute Editor wechseln
  14. Das Attribut msTPM-OwnerInformation suchen und doppelklicken
    TPM-012
  15. Alle Fenster mit Cancel schließen

TPM-OwnerInformation in Active Directory für Windows 7 finden

  1. Als Administrator an SERVER02 anmelden
  2. Server Manager > Local Server > Tools > Active Directory Users and Computers
  3. haimann.local rechts anklicken und im Kontextmenü View > Advanced Features aktivieren
  4. haimann.local > Arbeitsstationen > Linz anklicken
  5. Client003 rechts anklicken und im Kontextmenü Properties anklicken
    TPM-013
  6. Auf den Reiter Attribute Editor wechseln
  7. Das Attribut msTPM-OwnerInformation suchen und doppelklicken
    TPM-014
  8. Value markieren und kopieren
  9. Alle Fenster mit Cancel schließen

tpm_owner.tpm-Datei erstellen

  1. Notepad starten
  2. Folgende Datei erstellen 
    <?xml version="1.0" encoding="UTF-8"?>
<ownerAuth>y6TlRbfskYEpclFUsp8FXkzVrqg=</ownerAuth>
  3. Zwischen <ownerAuth> und </ownerAuth> den kopierten Wert von vorhin einfügen
  4. File > Save As > D:\Sourcen\TPM\tpm_owner.tpm > Encoding: UTF-8
    TPM-015

TPM-Sperre zurücksetzen

  1. Client003 starten
  2. Die BitLocker-PIN sooft falsch eingeben, bis die Meldung TPM-Sperre für die Windows BitLocker-Laufwerksverschlüsselung angezeigt wird
  3. ESC drücken
  4. BitLocker-Wiederherstellung durchführen
    TPM-016
  5. Als Administrator an Client003 anmelden
  6. Die Datei \\SERVER02\d$\Sourcen\TPM\tpm_owner.tpm nach c:\Temp kopieren
  7. Eingabeaufforderung (Admin) starten
  8. Mit folgendem Befehl die TPM-Konsole starten 
    tpm.msc
  9. Das TPM ist gesperrt
    TPM-017
  10. Auf der rechten Seite TPM-Sperre zurücksetzen… anklicken
  11. Auf Besitzerkennwortdatei verfügbar klicken
    TPM-018
  12. C:\Temp\tpm_owner.tpm > TPM-Sperre zurücksetzen
    TPM-019
  13. Die Sperre wurde erfolgreich zurückgesetzt > Schließen
    TPM-020
  14. TPM-Konsole
    TPM-021
  15. Alle Fenster schließen
  16. Client003 neu starten
  17. BitLocker-PIN eingeben > funktioniert wieder 🙂

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert