教你如何在 Windows 11, Windows10 上备份 TPM 密钥

         TPM，即可信平台模块，是一种硬件安全芯片，可安装在台式电脑或笔记本电脑的主板上。它的主要功能是安全地存储机密信息，如身份验证凭据、数字证书和加密密钥。本文将介绍如何在Windows 11/10中备份TPM密钥。TPM设备还能够创建和加密密钥，特别是BitLocker密钥，这些密钥只能由TPM解密，操作系统可以在TPM中使用它们，但不能将它们加载到系统内存中，以防止恶意软件和其他网络攻击。总之，安装TPM后，Windows设备可提供显著改进的隐私和安全优势

         接下来讲正题! 使用 TPM 机制的基本要求之一是获得 TPM 的所有权，这需要生成自己的唯一密码（或钥匙）。这个密码称为 TPM 所有者密码，它独立于其他任何存储的密码。在 Windows 第一次启动时，通过与安装的 TPM 芯片建立所有权来设置这个密码。

        系统管理员可以把加入域的电脑的TPM所有者信息备份到Active Directory域服务(AD DS)。AD DS 是由Microsoft提供的一系列服务，用来管理网络域中的电脑和其他设备。TPM所有者信息由TPM所有者密码的加密哈希组成。备份可以在系统管理员需要重新使用旧电脑并将TPM重置为出厂默认设置时使用AD DS远程配置TPM。存储的信息还可用于所有者忘记TPM密码的恢复情况。

         接下来按照如下步骤将TPM所有者信息备份到AD DS：

按住Win+R键打开运行对话框。

在对话框中输入gpedit.msc并按回车键。

在“本地组策略编辑器”窗口中，导航到Computer Configuration > Administrative Templates > System > Trusted Platform Module Services

在右侧面板中，双击“TPM备份到Active Directory域服务”

在策略设置窗口中，选择“启用”，然后单击“应用”按钮。

点击“确定”按钮。

重新启动系统以应用更改。

注意：

         要启用上述组策略对象，您必须使用属于本地管理员组的域帐户登录加入域的电脑。可能需要先在域上设置适当的模式扩展，才能成功备份。

        启用该设置后，除非将电脑连接到网络域，否则无法设置或更改TPM所有者密码。

        但是如果我清除我的TMP钥匙会怎么办? 

        清除TPM会删除所有信息并将其重置为默认状态。这意味着，如果清除TPM密钥，您将失去所有由TPM创建的加密密钥以及对由这些密钥保护的数据（例如登录PIN、虚拟智能卡等）的访问权限。因此，在进行清除TPM操作之前，请确保您有适当的备份和恢复机制，以避免丢失由TPM保护或加密的数据。