locked
W7 TPM Ownerinfo RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo zusammen,

    in einer W7 Ent. und W2008R2 Umgebung ist seit einigen Jahren erfolgreich BitLocker im Einsatz. Dabei wird neben dem BitLocker Key auch das TPM Besitzerkennwort in das entsprechende Attribut geschrieben. Mit einer neuen Generation an Laptops gibt es hier Probleme.

    Das Dell E5570 als Bespiel bringt mir den Fehlercode 0x80072030 bzw. entsprechende Event-Logs mit dem Hinweis, dass das TPM Besitzerkennwort nicht in die AD gesichert werden kann. (Event ID 514). Nimmt man den Client vom Backup der Ownerinfo aus, funktioniert alles.

    Ob die Vererbung funktioniert, habe ich über die effektiven Berechtigungen geprüft. Das Computerobjekt selbst verfügt über Schreibrechte auf MsTPM-OwnerInformation". Auch alle andere Serien funktionieren einwandfrei, weshalb das Problem nicht die Konfiguration sein wird.

    Dell hatte Bios-seitig Probleme u.a. mit dem Gerät, weshalb es einige Artikel zu TPM Problemen gibt, welche sich aber anders geäußert haben und mittlerweile über ein Bios Update angeblich behoben sind.

    Hat jemand ein ähnliches Problem und hat ggf. einen Workaround? Für den müsste ich nämlich wissen warum er es nicht macht.

    Danke euch!

    Mittwoch, 24. August 2016 13:23

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden

    Hallo,

    check mal, wie das TPM von euren Zulieferern ankommt. Ist es dann bereits aktiviert und in Besitz genommen, kann Windows in der Regel nicht mehr drauf zugreifen. Der Upload schlägt dann fehl.
    Wir setzen ebenfalls BitLocker ein und hatten anfangs diverse ähnliche Probleme. Ich habe unserem Zulieferer dann Bescheid gesagt, das TPM doch bitte Aktiviert, aber nicht in Besitz genommen zu liefern. Somit kann an jedem PC die Initialisierung über Windows durchgeführt werden, wodurch Windows auch quasi Besitzer wird.

    Als ich den Fehler hatte, habe ich bei betroffenen Clients folgendes durchgeführt:

    Auf dem Client mit powershell as admin:
    $tpm = Get-WMIObject -Class Win32_Tpm -Namespace "root/CIMv2/Security/MicrosoftTPM"
    $tpm.SetPhysicalPresenceRequest(5) # reset and disable
    Danach neu starten (Es wird eine Interaktion erforderlich sein (BIOS-Meldung mit "Ja/Yes" bestätigen))

    Startest du danach eine BitLockerverschlüsselung, sagt dir BitLocker, dass du noch das TPM aktivieren musst. Du musst dann nochmal neustarten und Windows initialisiert das TPM selber. Ist die zugehörige Computerrichtlinie gesetzt, wird das TPM-OwnerInformation Objekt automatisch in der AD gespeichert. Vorher würde ich aber immer noch ein BIOS Update machen.

    Setzt ihr eine Verwaltungssoftware für BitLocker ein?

    Was genau meinst du mit "Nimmt man den Client vom Backup der Ownerinfo aus, funktioniert alles. "

    Mittwoch, 24. August 2016 14:08
  • Question
    Anmelden
    0
    Anmelden

    Hallo Jannik,

    danke fürs Feedback! Der TPM wurde bereits x mal gelöscht, deaktiviert und wieder aktiviert, keine Änderung! Die komplette TPM und Bitlocker Aktivierung erfolgt über ein PowerShell Skript. Aber per Hand ging es auch nicht! Die Konfiguration rollen wir über GPOs aus.

    Es gibt eine GPO, die dafür zuständig ist, dass der Client das Besitzerkennwort in das Attribut "MsTPM-OwnerInformation" des Computerkontos schreibt (bei Win7!). Ab Win8 braucht man eine Erweiterung des Schemas, weil die Ownerinfo vom Computerkonto entkoppelt wurde. In dieser Umgebung haben wir aber ausschließlich Win7. Solange ich nun die GPO zum speichern des Besitzerkennwortes aktiviert habe, bekomme ich oben genannten Fehler bei den neuen Geräten und der Besitz wird nicht übernommen. Schalte ich für den Client die GPO zum sichern der Besitzerinformation ab, funktioniert alles einwandfrei. D.h. er hat ein Problem das Besitzerkennwort in die AD zu schreiben. Den BitLocker Key schreibt er hingegen einwandfrei.

    Danke! Michael

    Donnerstag, 25. August 2016 09:06
  • Question
    Anmelden
    1
    Anmelden

    Hallo Michael,

    das hört sich echt spannend an..
    Kannst du evtl. einen Bericht der Einstellungen dieses GPOs posten?

    Was mir dazu noch einfällt:
    Die Computerobjekte haben ja wahrscheinlich nicht Rechte zum Schreiben jedes Objekts, sondern explizit das Recht zum Schreiben der TPM-OwnerInformation oder? 
    Des Weiteren gibt es da aber noch folgende:
    

    Lustigerweise hatten wir das Phänomen, dass ein Computer, trotz dass er Windows 7 Client ist, sein TPM-Kennwort in dem Objekt msTPM-TPMInformationForComputer schreibt. Vor allem aufgefallen ist mir das, wenn du das Speichern dieses Objektes erzwingst. 

    Folgend siehst du zwei W7 Entp. Clients mit jeweils unterschiedlichem TPM Objekt:

    Gebe für die Computer testweise mal dieses Objekt zum Schreiben frei. Evtl. funktioniert es dann :)

    Lieben Gruß, Jannik D.

    Freitag, 26. August 2016 09:55
  • Question
    Anmelden
    0
    Anmelden
    Hallo Jannik,

    das hört sich ja sehr abenteuerlich an, aber könnte natürlich das Verhalten erklären. Ich muss aber hierfür erst das Schema erweitern um es überhaupt testen zu können.

    Viele Grüße Michael
    Mittwoch, 7. September 2016 11:22
  • Question
    Anmelden
    0
    Anmelden

    Hallo Michael,

    mich würde es sehr interessieren, ob Dein Problem durch die Schema-Erweiterung und Berechtigungserteilung auf die jeweiligen ms-TPM-TPMInformationForComputer Objekte behoben werden konnte.

    MfG, Jannik D.

    Montag, 26. September 2016 06:40
  • Question
    Anmelden
    0
    Anmelden
    Hallo Jannik,

    sobald wir das gemacht haben, werde ich ausführlich berichten.

    Viele Grüße Michael
    Montag, 26. September 2016 17:26