Windows 11 und Umgang mit dem TPM 2.0

Probleme mit der Installation von Windows 11?
Antworten
Guenther
Insider
Insider
Beiträge: 142
Registriert: 02.11.2018, 11:50
Hat sich bedankt: 6 Mal
Gender:

Windows 11 und Umgang mit dem TPM 2.0

Beitrag von Guenther » 18.10.2021, 10:28

Hallo,
Ich habe Windows 11 am Laufen und bin aber, was das TPM angeht, vor allem bei Änderung der Hardware noch sehr "unwissend!" :-)

Nicht die Frage, wie man TPM aktiviert (ein oder ausschalten) oder was TPM ist, ist mein Problem, sondern was passiert oder wie gehe ich mit einem aktivierten TPM um, wenn z.B. der Prozessor gewechselt / aufgerüstet werden muss? Wie ist dann das konkrete Vorgehen, step by step, um eine Blockade des BIOS bzw. Bootprozesses zu vermeiden?

Ich habe schon erfolglos versucht, Info-Texte im Web zu finden. Könnt ihr mir Fundstellen nennen?

Ich habe da schon im BIOS rumgefummelt und dabei bei mir die Blockade , blue screen, ausgelöst. Nur mit dem Restore eines aktuellen Imagebackups brachte ich meine Kiste wieder zum Laufen. Damit steht fest, dass "Halbwissen" sehr gefährlich ist! (auch für meine Gesundheit, da mein Blutdruck in dem Moment für mehrere Personen ausgereicht hätte :-) )

Danke im Voraus
Günther

Tante Google

Windows 11 und Umgang mit dem TPM 2.0

Beitrag von Tante Google » 18.10.2021, 10:28


Benutzeravatar
N3o
Grünschnabel
Grünschnabel
Beiträge: 48
Registriert: 08.10.2021, 22:54
Hat sich bedankt: 1 Mal
Danke erhalten: 2 Mal
Gender:

Re: Windows 11 und Umgang mit dem TPM 2.0

Beitrag von N3o » 18.10.2021, 15:09

Guenther hat geschrieben: 18.10.2021, 10:28 sondern was passiert oder wie gehe ich mit einem aktivierten TPM um, wenn z.B. der Prozessor gewechselt / aufgerüstet werden muss? Wie ist dann das konkrete Vorgehen, step by step, um eine Blockade des BIOS bzw. Bootprozesses zu vermeiden?

Juten Tag ,

Bei neuen Prozessor wechseln solltest achten dass TPM 2.0 enthalten ist, wird benötigt bei Windoof 11. (siehe INTEL und AMD)

- INTEL https://docs.microsoft.com/en-us/window ... processors
- AMD https://docs.microsoft.com/en-us/window ... processors

Ältere CPU haben kein TPM 2.0 aber können momentan auch genutzt werden..

beim Wechseln des CPU wieder ins BIOS gehen und TPM secure aktivieren. Fertig it that

Benutzeravatar
Purgatory
★ Team Blog ★
Beiträge: 623
Registriert: 27.09.2018, 18:52
Hat sich bedankt: 9 Mal
Danke erhalten: 73 Mal
Gender:

Re: Windows 11 und Umgang mit dem TPM 2.0

Beitrag von Purgatory » 18.10.2021, 18:19

N3o hat geschrieben: 18.10.2021, 15:09 Bei neuen Prozessor wechseln solltest achten dass TPM 2.0 enthalten ist, wird benötigt bei Windoof 11. (siehe INTEL und AMD)

- INTEL https://docs.microsoft.com/en-us/window ... processors
- AMD https://docs.microsoft.com/en-us/window ... processors
Das weiß der TE ganz genau und das war auch nicht die Frage.
N3o hat geschrieben: 18.10.2021, 15:09 beim Wechseln des CPU wieder ins BIOS gehen und TPM secure aktivieren. Fertig it that
Jain. Das große Problem an der Sache ist Bitlocker oder jedes andere Programm welches Daten verschlüsseln kann und mit dem TPM Modul zusammenarbeitet. Wird die Festplatte vor dem CPU Wechsel nicht entschlüsselt ist sie auf der neuen CPU, trotz aktiviertem TPM, nicht entschlüsselbar. Für dieses Szenario gibt es Keys die generiert werden mit denen man eine verschlüsselte Festplatte, bei Wechsel von TPM, also hier der CPU, wieder zugreifbar machen kann. Der Teufel steckt hier aber im Detail. Bei Bitlocker z.B. ist es so, dass der Schlüssel in Windows eingegeben werden muss. Sprich ich kann auf eine nicht systemrelevante Festplatte so locker wieder zugreifen.
Ist aber die Systemplatte verschlüsselt, sprich da wo sich das BS befindet, bekomme ich ein größeres Problem. Aber auch nur(!) wenn die Verschlüsselung mit einem aktiven TPM Modul durchgeführt wurde. Wurde die Verschlüsselung ohne TPM Modul gemacht ist es Bitlocker völlig egal welches TPM Modul verbaut wurde oder ist.

Mit aktiviertem TPM und anschließender Verschlüsselung hinterlegt Bitlocker (oder das Programm der Wahl) nämlich einen Hashwert im TPM Modul, und stimmt der nicht verweigert Bitlocker den Dienst, sprich die Platte ist nicht bootbar außer man formatiert sie.
Hier kommt dann der Schlüssel ins Spiel. Die Theorie ist: Schlüssel eingeben, das neue TPM gleicht ab, speichert das, alles prima.
Praxis: 50/50. Kann funktionieren, muss aber nicht. Stand heute.
Verlegt man dann noch den Schlüssel ist Hopfen und Malz verloren. Daher tendiere ich eher dazu ein seperates TPM Modul zu verbauen, auch wenn die CPU TPM kann. Dumm daran ist nur, dass jeder Mainboardhersteller seinen eigenen Krams macht. Geht also angenommen das Gigabyte Mainboard ins Hardwarenirvana, und ich kaufe danach eins von Asus, ist mit großer Wahrscheinlichkeit das TPM Modul komplett obsolet da nicht kompatibel. Das kann nebenbei auch beim Wechsel auf den gleichen Hersteller passieren...

Der Zwang zum TPM betrifft eigentlich nur Firmen denen natürlich daran gelegen ist die Daten so gut es geht zu schützen. Allerdings legen die auch unverschlüsselte Sicherungen an und zwar in einem für sich eigens geschütztem System.

Step by step wenn die CPU nicht unverhofft abraucht:
Windows starten
Verschlüsselung aufheben
Neu starten und danach Herunterfahren
PC vom Strom trennen
CPU wechseln
Im UEFI kontrollieren ob TPM noch aktiviert ist
Laufwerk wieder verschlüsseln (und ganz wichtig den generierten Key aufschreiben und behalten)

Step by step wenn die CPU unverhofft abraucht:
PC vom Strom trennen
CPU wechseln
Im UEFI kontrollieren ob TPM noch aktiviert ist
Generierten Schlüssel bereithalten
Windows DVD einwerfen
Update auswählen und die Festplatte markieren
50/50 Das Setup fragt nach dem Schlüssel, falls nicht, mehrmals probieren^^
Geht das auch nicht, Datenverlust.

TPM und das Passwort

Man soll es nicht glauben, ist aber so. Selbst wenn man ein schnödes Passwort in Windows (also für das einloggen) vergibt wird auch hier das TPM Modul aktiv. Sprich es werden Hashes geschrieben und stimmen die nicht überein wird Windows nicht gestartet.
Hier ist explizit zwischen dem lokalen Konto als auch dem online Konto zu unterscheiden. Bei einem lokalem Konto braucht man überhaupt kein Passwort zu hinterlegen, sprich auch keine PIN oder sonst irgendwas. Windows hinterlegt das so, aber nicht im TPM.
Online verhält sich das etwas anders. Hier gibt es mehrere Wege. Das reine Passwort + der PIN oder das reine Passwort + Windows Hello.
Im Setup aber ist weder die PIN gefragt noch ist Windows Hello verfügbar. Es muss also, zumindest bis hier, online das Setup gestartet werden. Hintergrund ist hier der Abgleich auf den MS Servern. Ist das Passwort (nicht die PIN) korrekt wird es abgeglichen und ein neuer Eintrag im TPM hinterlegt. Dummerweise, hat man irgendeinen Lan Adapter den Windows nicht kennt wird das auch nichts mit der Abfrage.

Step by step wenn die CPU nicht unverhofft abraucht:
Windows starten
Von dem online Konto auf ein lokales wechseln und KEIN Passwort vergeben
Neu starten und danach Herunterfahren
PC vom Strom trennen
CPU wechseln
Im UEFI kontrollieren ob TPM noch aktiviert ist
Windows installieren und dann wieder auf das Onlinekonto wechseln

Step by step wenn die CPU unverhofft abraucht:
PC vom Strom trennen
CPU wechseln
Im UEFI kontrollieren ob TPM noch aktiviert ist
Und ab hier wird es schwierig.
Hat man sein Passwort noch drauf ist der Abgleich auf den MS Servern relativ simpel insofern der Netzwerktreiber erkannt wurde.
Hat man es aber vergessen oder der Netzwerkadapter wurde nicht erkannt steht man hier vor einem größeren Problem.

TPM ist so eine Sache, ich finde sie auch nicht toll, auf der anderen Seite ist sie sinnvoll, irgendwie...
Aber genau das Szenario, wie der TE es hier beschreibt, kann echt ein massives Problem werden.
Wenn ich 64 Bit intus habe, kann ich auch alles :anstossen:

Hardware:
CPU: Ryzen 9 5900x MB: GA-X570 Aorus Master RAM: GSkill Trident Z Neo 2x16GB @3800 CL14 GPU: Asus TUF Gaming 6800 OC/UV SSD/HDD: Samsung 980 Pro 1TB, Kingston KC3000 2TB, WD Black SN850X 4TB, Samsung 870 Evo 4TB, Seagate ST4000DX001 PSU: BeQuiet! Straight Power Platinum 1000W Sound: Soundblaster Z Kühlung: Corsair iCUE H150i RGB PRO XT Case: Lian-Li O11 Dynamic

Guenther
Insider
Insider
Beiträge: 142
Registriert: 02.11.2018, 11:50
Hat sich bedankt: 6 Mal
Gender:

Re: Windows 11 und Umgang mit dem TPM 2.0

Beitrag von Guenther » 19.10.2021, 17:40

Servus Purgatory,
Chapeau und herzlichen Dank!
Du hast Dir wirklich große Mühe gemacht, den Text zu verfassen. Dass die Sache TPM für den normalen User zum Glatteis wird, hast Du mir jetzt bestätigt. Jede Wette, dass sich dieser Themenkreis hier in kurzer Zeit massiv häufen wird, sofern die Anwender neugierig sind und im Bereich der Verschlüsselung nicht aufpassen.

Ich bitte Dich noch einmal um Hilfe, um zu prüfen, ob ich Dich richtig verstanden habe!

1. Windows 11 läuft nicht mit einem im UEFI-BIOS deaktiviertem TPM?
2. die Verschlüsselung betrifft immer Partitionen und nicht gleich die gesamte HDD?
3. Wenn die Partition C nicht verschlüsselt wird (Bitlocker), kann bei CPU-Wechsel über die lauffähige C ein neuer Schlüssel für die anderen (verschlüsselten) Partitionen erstellt oder ersetzt werden? Das wäre dann für den Normal-User wohl die sichere Standardalternative.

4. Tool TPM - Manager: Verfügbare Option: TPM löschen, um den Besitz zu entfernen und das TPM auf Werkseinstellung zurückzusetzen:
4.1 Werkseinstellung? Was ist das?
4.2 Besitz?`was ist das? Wirkung?
4.3 löschen? welche Konsequenz?
4.4 Hat das Löschen Einfluss auf die Optionen im BIOS oder stehen die dortigen Parameter parallel, gibt es ggf. Überschneidungen und dann den Crash? Ich werde jetzt im Anschluss ins BIOS reingehen und mir die Formulierungen genauer ansehen und dann hier Ergänzungen machen

Irgendwie bekomme ich da eine Gänsehaut :-)
war jetzt im BIOS:
Board ASUS Prime X570-P
TPM - dort löschen: Gleiche Wirkung wie im Windows - Tool?
fTPM löschen: NV zum Zurücksetzen die Werkseinstellung löschen? Was ist das
Ich muss jetzt den Text im BIOS zitieren, der mir den "Angstschweiß" auf die Stirn treibt:
Wenn eine neue CPU installiert ist, wählen sie "aktiviert", um fTPM zurückzusetzen. 'Wenn Sie über BitLocker oder ein System mit Verschlüssel..... verfügen, wird das System ohne Wiederherstellungsschlüssel nicht gestartet. Wählen Sie "Deaktiviert", um den vorherigen fTPM-Datensatz beizubehalten und den Systemstart fortzusetzen. fTPM wird NICHT mit einer neuen CPU aktiviert, es sei denn, fTPM wird zurückgesetzt (neu installiert). Sie können zur alten CPU zurückkehren, um TPM-bezogenen Schlüssel und Daten wieder herzustellen."
Wenn man fTPM aktiviert hatte und die CPU wechselt oder wechseln muss und man die C Verschlüsselt hat, wird durch BitLocker die C blockiert. Man muss dann hier wohl "deaktivert" setzen"? Für mich ein Wiederspruch, da die neue CPU nicht zum vorherigen fTPM-Datensatz passt!? oder?

Und Rückkehr zur alten CPU, um TPM-bezogene Schlüssel und Daten wieder herzustellen, geht ja nicht, wenn die CPU abgeraucht ist.

Ich bin mir bewusst, dass mir mir hier in diesem Bereich Basiswissen fehlt. Daher bräuchte ich Hintergrundtexte...
Ich repariere, baue und stelle PCs im Bekanntenkreis zusammen und muss hier Sicherheit gewinnen..... kommt jetzt einer mit PC butt und Windows 11 mit Bitlocker, bin ich draußen .. :oops: :kopfkratz:

Lieber Purgatory, wenn ich da ein Fass ohne Boden aufgemacht habe, macht eine Art Schulung hier keinen _Sinn. Der Verweis auf Quell- und Info-Texte ist voll ok!!

Benutzeravatar
N3o
Grünschnabel
Grünschnabel
Beiträge: 48
Registriert: 08.10.2021, 22:54
Hat sich bedankt: 1 Mal
Danke erhalten: 2 Mal
Gender:

Re: Windows 11 und Umgang mit dem TPM 2.0

Beitrag von N3o » 19.10.2021, 19:00

ich melde mich kurz zu wort , bringt dir nicht viel :lol:

zur frage 1 : Windows 11 läuft nicht mit einem im UEFI-BIOS deaktiviertem TPM?

Die frage lautet , wenn man DAVOR schon z.b Bitlocker/Verschlüsslung gemacht hat, solltest vor wechseln öffnen/key rausnehmen.

oder meinst du ob man deaktivierten TPM windows 11 starten/installieren kann?

Wenn ja, es klappt (Ich selber ist mein TPM aus und bleibt auch aus solange Mircosoft zulässt)

Mircosoft hat selbst den TPM 2.0 Bypass freigeben

Microsoft rät davon ab, Windows 11 auf einem Gerät zu installieren, das die Mindestsystemanforderungen für Windows 11 nicht erfüllt. Wenn Sie sich für die Installation von Windows 11 auf einem Gerät entscheiden, das diese Anforderungen nicht erfüllt, und Ihnen die damit verbundenen Risiken bewusst sind und sie in Kauf nehmen, können Sie die folgenden Registrierungsschlüsselwerte erstellen und die Überprüfung auf TPM 2.0 (es ist mindestens TPM 1.2 erforderlich) sowie CPU-Familie und Modell umgehen.

Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SYSTEM\Setup\MoSetup

Name: AllowUpgradesWithUnsupportedTPMOrCPU

Typ: REG_DWORD

Wert: 1

Hinweis: Es können schwerwiegende Probleme auftreten, wenn Sie die Registrierung mithilfe des Registrierungseditors oder einer anderen Methode falsch ändern. U. U. ist in einem solchen Fall sogar die Neuinstallation des Betriebssystems erforderlich. Microsoft garantiert nicht, dass diese Probleme behoben werden können. Das Ändern der Registrierung erfolgt auf eigenes Risiko.
Quelle: https://support.microsoft.com/de-de/win ... e77ac7c70e

Benutzeravatar
Purgatory
★ Team Blog ★
Beiträge: 623
Registriert: 27.09.2018, 18:52
Hat sich bedankt: 9 Mal
Danke erhalten: 73 Mal
Gender:

Re: Windows 11 und Umgang mit dem TPM 2.0

Beitrag von Purgatory » 19.10.2021, 19:08

Guenther hat geschrieben: 19.10.2021, 17:40 1. Windows 11 läuft nicht mit einem im UEFI-BIOS deaktiviertem TPM?
Korrekt, außer man findet einen Bypass wie hier z.B. viewtopic.php?t=26028
Guenther hat geschrieben: 19.10.2021, 17:40 2. die Verschlüsselung betrifft immer Partitionen und nicht gleich die gesamte HDD?
Korrekt
Guenther hat geschrieben: 19.10.2021, 17:40 3. Wenn die Partition C nicht verschlüsselt wird (Bitlocker), kann bei CPU-Wechsel über die lauffähige C ein neuer Schlüssel für die anderen (verschlüsselten) Partitionen erstellt oder ersetzt werden? Das wäre dann für den Normal-User wohl die sichere Standardalternative.
Korrekt
Guenther hat geschrieben: 19.10.2021, 17:40 4. Tool TPM - Manager: Verfügbare Option: TPM löschen, um den Besitz zu entfernen und das TPM auf Werkseinstellung zurückzusetzen:
4.1 Werkseinstellung? Was ist das?
Alle Windows Einträge werden gelöscht, die einprogrammierten Treiber vom OEM bleiben aber erhalten.
Guenther hat geschrieben: 19.10.2021, 17:40 4.2 Besitz?`was ist das? Wirkung?
Du übernimmst mit Windows sozusagen den Besitz vom TPM, sprich Du programmierst es. Jeder Treiber, jedes Passwort (für Windows), wird im TPM hinterlegt. Die Zeiten des BIOS sind vorbei. Sobald Du den Rechner startest kommunizieren Windows und UEFI miteinander. Für jede Treiberinstallation, Passwortwechsel, Verschlüsselung, wird ein eigener Hashwert angelegt. Das ist der Besitz. Sprich das Benutzerkonto unter Windows welches den Besitz für sich beansprucht. Da kommt dann auch noch, in neueren UEFI's, Secure Boot mit ins Spiel.
Guenther hat geschrieben: 19.10.2021, 17:40 4.3 löschen? welche Konsequenz?
Löschen ist quasi ein komplett Reset. Sowohl die hinterlegten Daten von Windows werden gelöscht als auch alle hinterlegten OEM Treiber. Der BIOS Chip überträgt beim nächsten Neustart die validen Keys in das TPM Modul die dann auch übernommen werden. Betrifft das Mainboard. Ist z.B. das GOP einer Graka eher schlecht programmiert können hier schon Fehler auftreten.
Guenther hat geschrieben: 19.10.2021, 17:40 4.4 Hat das Löschen Einfluss auf die Optionen im BIOS oder stehen die dortigen Parameter parallel, gibt es ggf. Überschneidungen und dann den Crash? Ich werde jetzt im Anschluss ins BIOS reingehen und mir die Formulierungen genauer ansehen und dann hier Ergänzungen machen
Jain. Wie gesagt, im Chip vom BIOS sind die gesamten Hashes der Hardware die das Mainboard mit sich bringt fest einprogrammiert und werden natürlich auch von einem neuen TPM Modul übernommen. Die gesamte eingebaute Peripherie kann da aber anders funktionieren. Manche Bios'se erlauben einen Internet Zugriff, so können die erforderlichen Hashes dann online gezogen werden. Ist das nicht der Fall, könnte es schwierig werden. Wohlgemerkt könnte. Jede halbwegs aktuelle Hardware ist UEFI fähig, sprich sie haben einen festen Code intus der dem TPM Chip meldet "alles ist ok". Aus dem Grunde würde ich einen TPM Chip niemals komplett löschen sondern einfach einen "Werksreset" anstoßen.
Guenther hat geschrieben: 19.10.2021, 17:40 Irgendwie bekomme ich da eine Gänsehaut :-)
war jetzt im BIOS:
Board ASUS Prime X570-P
TPM - dort löschen: Gleiche Wirkung wie im Windows - Tool?
fTPM löschen: NV zum Zurücksetzen die Werkseinstellung löschen? Was ist das
Ich muss jetzt den Text im BIOS zitieren, der mir den "Angstschweiß" auf die Stirn treibt:
Wenn eine neue CPU installiert ist, wählen sie "aktiviert", um fTPM zurückzusetzen. 'Wenn Sie über BitLocker oder ein System mit Verschlüssel..... verfügen, wird das System ohne Wiederherstellungsschlüssel nicht gestartet. Wählen Sie "Deaktiviert", um den vorherigen fTPM-Datensatz beizubehalten und den Systemstart fortzusetzen. fTPM wird NICHT mit einer neuen CPU aktiviert, es sei denn, fTPM wird zurückgesetzt (neu installiert). Sie können zur alten CPU zurückkehren, um TPM-bezogenen Schlüssel und Daten wieder herzustellen."
Jain. Die neueren BIOS'se werden inzwischen, via Update, darauf getrimmt fTPM standardmäßig anzuschalten. Halt für Windows 11 tauglich zu machen. Was der Text quasi aussagt ist das was ich vorher schon sagte in dem vorigen Post von mir.
Guenther hat geschrieben: 19.10.2021, 17:40 Wenn man fTPM aktiviert hatte und die CPU wechselt oder wechseln muss und man die C Verschlüsselt hat, wird durch BitLocker die C blockiert. Man muss dann hier wohl "deaktivert" setzen"? Für mich ein Wiederspruch, da die neue CPU nicht zum vorherigen fTPM-Datensatz passt!? oder?
Der Widerspruch ist logisch, kann ich komplett nachvollziehen. Das Credo gerade, ohne explizit eigenes gestecktes TPM Modul, lautet gerade das BS nicht zu verschlüsseln. An sich sollte das funktionieren, normal sollte das BS bei Installation den Key abfragen. Ich habe es selbst echt mal ausprobiert, sprich eine Sicherung angelegt und TPM als auch das Setup von Windows echt herausgefordert. (Bringe eine Festplatte in ein völlig anderes System 5900x --> 10900k) und siehe da, es klappt. Mal, oder mal weniger. Mal kommt die Abfrage, mal auch nicht. Für den Normaluser absolut nicht hinnehmbar!
Guenther hat geschrieben: 19.10.2021, 17:40 Und Rückkehr zur alten CPU, um TPM-bezogene Schlüssel und Daten wieder herzustellen, geht ja nicht, wenn die CPU abgeraucht ist.
Korrekt
Guenther hat geschrieben: 19.10.2021, 17:40 Ich bin mir bewusst, dass mir mir hier in diesem Bereich Basiswissen fehlt. Daher bräuchte ich Hintergrundtexte...
Ich repariere, baue und stelle PCs im Bekanntenkreis zusammen und muss hier Sicherheit gewinnen..... kommt jetzt einer mit PC butt und Windows 11 mit Bitlocker, bin ich draußen .. :oops: :kopfkratz:
Kann ich Dir nicht liefern. Alles was ich hier schreibe sind Erfahrungswerte. Ich war es leid nichts zu finden und habe es dann selbst ausprobiert. Du hast keine Ahnung wie oft ich mein BIOS resetten musste, aber ich bin halt so einer der ausprobiert.
Guenther hat geschrieben: 19.10.2021, 17:40 Lieber Purgatory, wenn ich da ein Fass ohne Boden aufgemacht habe, macht eine Art Schulung hier keinen _Sinn. Der Verweis auf Quell- und Info-Texte ist voll ok!!
S.o.
Wenn ich 64 Bit intus habe, kann ich auch alles :anstossen:

Hardware:
CPU: Ryzen 9 5900x MB: GA-X570 Aorus Master RAM: GSkill Trident Z Neo 2x16GB @3800 CL14 GPU: Asus TUF Gaming 6800 OC/UV SSD/HDD: Samsung 980 Pro 1TB, Kingston KC3000 2TB, WD Black SN850X 4TB, Samsung 870 Evo 4TB, Seagate ST4000DX001 PSU: BeQuiet! Straight Power Platinum 1000W Sound: Soundblaster Z Kühlung: Corsair iCUE H150i RGB PRO XT Case: Lian-Li O11 Dynamic

Guenther
Insider
Insider
Beiträge: 142
Registriert: 02.11.2018, 11:50
Hat sich bedankt: 6 Mal
Gender:

Re: Windows 11 und Umgang mit dem TPM 2.0

Beitrag von Guenther » 19.10.2021, 19:56

Hi,
bin jetzt ein gewaltiges Stück schlauer :-)
Unter BIOS meinte ich immer UEFI.
Meine letzte (sicherheits-)Frage: Bios Update sind weiter möglich?

Benutzeravatar
Purgatory
★ Team Blog ★
Beiträge: 623
Registriert: 27.09.2018, 18:52
Hat sich bedankt: 9 Mal
Danke erhalten: 73 Mal
Gender:

Re: Windows 11 und Umgang mit dem TPM 2.0

Beitrag von Purgatory » 19.10.2021, 19:58

Natürlich, sie betreffen das TPM nicht.
Wenn ich 64 Bit intus habe, kann ich auch alles :anstossen:

Hardware:
CPU: Ryzen 9 5900x MB: GA-X570 Aorus Master RAM: GSkill Trident Z Neo 2x16GB @3800 CL14 GPU: Asus TUF Gaming 6800 OC/UV SSD/HDD: Samsung 980 Pro 1TB, Kingston KC3000 2TB, WD Black SN850X 4TB, Samsung 870 Evo 4TB, Seagate ST4000DX001 PSU: BeQuiet! Straight Power Platinum 1000W Sound: Soundblaster Z Kühlung: Corsair iCUE H150i RGB PRO XT Case: Lian-Li O11 Dynamic

Benutzeravatar
DK2000
Legende
Legende
Beiträge: 9121
Registriert: 03.04.2018, 00:07
Hat sich bedankt: 149 Mal
Danke erhalten: 463 Mal
Gender:

Re: Windows 11 und Umgang mit dem TPM 2.0

Beitrag von DK2000 » 19.10.2021, 21:04

Und wie bekommt man die "SCEP-Zertifikatregistrierung für Lokales System"? Versucht Windows von Microsoft zu beziehen, aber gibt es keinen für mein System.

Und ein Windows AIK Cert gibt es wohl auch nicht, jedenfalls noch keines gefunden.

Irgendwie steige ich da durch das TPM 2.0 noch nicht so ganz durch. Schön ist aber noch, das Windows 11 auch ohne läuft.

Benutzeravatar
Ben
★ Team Blog ★
Beiträge: 1004
Registriert: 28.12.2017, 15:19
Hat sich bedankt: 42 Mal
Danke erhalten: 73 Mal
Gender:

Re: Windows 11 und Umgang mit dem TPM 2.0

Beitrag von Ben » 19.10.2021, 21:14

Meinst du mit SCEP-Zertifikatregistrierung das da. Das bekomm ich seit dem Umstieg am 7.9.2021 von Intel auf AMD jedes mal beim Hochfahren in der Ereignisanzeige. War nur ein Hardwaretausch ohne Neuinstallation. Bekomm ich sogar auch noch für lokales System seit Upgrade auf Win 11. :(

Code: Alles auswählen

Fehler bei der Initialisierung der SCEP-Zertifikatregistrierung für WORKGROUP\DESKTOP-XXXXXX$ über https://AMD-KeyId-XXXXXXXXXXXXXXXXXXXX.microsoftaik.azure.net/templates/Aik/scep:

GetCACaps
GetCACaps: Not Found
{"Message":"The authority \"amd-keyid-XXXXXXXXXXXXXXXXXXXX.microsoftaik.azure.net\" does not exist."}
HTTP/1.1 404 Not Found
Date: Tue, 19 Oct 2021 18:23:08 GMT
Content-Length: 121
Content-Type: application/json; charset=utf-8
X-Content-Type-Options: nosniff
Strict-Transport-Security: max-age=31536000;includeSubDomains
x-ms-request-id: XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX

Methode: GET(203ms)
Phase: GetCACaps
Nicht gefunden (404). 0x80190194 (-2145844844 HTTP_E_STATUS_NOT_FOUND)

Benutzeravatar
DK2000
Legende
Legende
Beiträge: 9121
Registriert: 03.04.2018, 00:07
Hat sich bedankt: 149 Mal
Danke erhalten: 463 Mal
Gender:

Re: Windows 11 und Umgang mit dem TPM 2.0

Beitrag von DK2000 » 19.10.2021, 21:21

Ja, das meine ich. Gut, man kann in der Aufgabenplanung den Task für die Aufgabe deaktivieren, dann ist Ruhe. Würde mich aber dennoch interessieren, ob da mal was kommt oder auch nicht.

Code: Alles auswählen

\Microsoft\Windows\CertificateServicesClient -> AikCertEnrollTask
Und eine fertige Version vom "PCPTool" bekomme ich da auch nicht und aus dem Quellcode heraus gehts auch nicht.

https://www.microsoft.com/en-us/downloa ... x?id=52487

Ist wohl schon zu alt. Hätte mir da gerne mal die Measured Boot Logs angeschaut. Oder gibt es da eine andere Möglichkeit außer der TBSLogGenerator.exe?

Benutzeravatar
N3o
Grünschnabel
Grünschnabel
Beiträge: 48
Registriert: 08.10.2021, 22:54
Hat sich bedankt: 1 Mal
Danke erhalten: 2 Mal
Gender:

Re: Windows 11 und Umgang mit dem TPM 2.0

Beitrag von N3o » 19.10.2021, 23:56

Ne andere Frage , woher holen Mircosoft ihre Daten ab?

dass man ein System ohne TPM 2.0 benutzt , evtl Regedit ?!
- Wenn ja kann man doch sicher befehl umändern?!

Ich weiß dass bei "Systeminformationen" es enthalten ist , aber wo ist der Pfad an der Quelle dass system TPM an oder aus hat
E.T nach hause telefonieren?

Antworten