教你如何在 Windows 11, Windows10 上备份 TPM 密钥
TPM,即可信平台模块,是一种硬件安全芯片,可安装在台式电脑或笔记本电脑的主板上。它的主要功能是安全地存储机密信息,如身份验证凭据、数字证书和加密密钥。本文将介绍如何在Windows 11/10中备份TPM密钥。TPM设备还能够创建和加密密钥,特别是BitLocker密钥,这些密钥只能由TPM解密,操作系统可以在TPM中使用它们,但不能将它们加载到系统内存中,以防止恶意软件和其他网络攻击。总之,安装TPM后,Windows设备可提供显著改进的隐私和安全优势
接下来讲正题! 使用 TPM 机制的基本要求之一是获得 TPM 的所有权,这需要生成自己的唯一密码(或钥匙)。这个密码称为 TPM 所有者密码,它独立于其他任何存储的密码。在 Windows 第一次启动时,通过与安装的 TPM 芯片建立所有权来设置这个密码。
系统管理员可以把加入域的电脑的TPM所有者信息备份到Active Directory域服务(AD DS)。AD DS 是由Microsoft提供的一系列服务,用来管理网络域中的电脑和其他设备。TPM所有者信息由TPM所有者密码的加密哈希组成。备份可以在系统管理员需要重新使用旧电脑并将TPM重置为出厂默认设置时使用AD DS远程配置TPM。存储的信息还可用于所有者忘记TPM密码的恢复情况。
接下来按照如下步骤将TPM所有者信息备份到AD DS:
按住Win+R键打开运行对话框。
在对话框中输入gpedit.msc并按回车键。
在“本地组策略编辑器”窗口中,导航到Computer Configuration > Administrative Templates > System > Trusted Platform Module Services
在右侧面板中,双击“TPM备份到Active Directory域服务”
在策略设置窗口中,选择“启用”,然后单击“应用”按钮。
点击“确定”按钮。
重新启动系统以应用更改。
注意:
要启用上述组策略对象,您必须使用属于本地管理员组的域帐户登录加入域的电脑。可能需要先在域上设置适当的模式扩展,才能成功备份。
启用该设置后,除非将电脑连接到网络域,否则无法设置或更改TPM所有者密码。
但是如果我清除我的TMP钥匙会怎么办?
清除TPM会删除所有信息并将其重置为默认状态。这意味着,如果清除TPM密钥,您将失去所有由TPM创建的加密密钥以及对由这些密钥保护的数据(例如登录PIN、虚拟智能卡等)的访问权限。因此,在进行清除TPM操作之前,请确保您有适当的备份和恢复机制,以避免丢失由TPM保护或加密的数据。