變更 TPM 擁有者密碼

• 適用於:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

本文適用於 IT 專業人員，說明如何變更系統上已安裝之信賴平臺模組 (TPM) 擁有者的密碼或 PIN。

關於 TPM 擁有者密碼

從 Windows 10 版本 1607 開始，Windows 在布建 TPM 時不會保留 TPM 擁有者密碼。 密碼會設定為隨機的高爏值，然後捨棄。

重要

雖然從 Windows 10 版本 1607 開始不會保留 TPM 擁有者密碼，但您可以變更預設登錄機碼來保留它。 不過，我們強烈建議您不要進行這項變更。 若要保留 TPM 擁有者密碼，請在登入機碼 HKLM\Software\Policies\Microsoft\TPM下建立 REG_DWORD 的 OSManagedAuthLevel 值，並將它設定為 4。

對於比 Windows 10 1703 還新的 Windows 版本，此金鑰的預設值為 5。 值為 5 表示：

• TPM 2.0：保留鎖定授權。
• TPM 1.2：捨棄完整的 TPM 擁有者授權，只保留委派的授權。

除非在布建 TPM 之前，登錄機碼值從 5 變更為 4，否則不會儲存擁有者密碼。

每個 TPM 只有擁有者密碼存在。 TPM 擁有者密碼可讓您啟用、停用或清除 TPM，而不需要實體存取計算機，例如，從遠端使用命令行工具。 TPM 擁有者密碼也允許操作 TPM 字典攻擊邏輯。 Windows 會在每次開機的布建程式中取得 TPM 的擁有權。 當您共用密碼或清除您對 TPM 的擁有權時，擁有權可能會變更，讓其他人可以將它初始化。

如果沒有擁有者密碼，您仍然可以從 UEFI 以實體狀態確認來執行上述所有動作。

其他 TPM 管理選項

除了變更擁有者密碼，您也可以使用下列選項來管理 TPM：

• 清除 TPM - 如果您想要使自取得 TPM 擁有權以來所建立的所有現有密鑰失效，您可以清除它。 如需此程式的重要預防措施，以及完成此程式的指示，請參閱 從 TPM 清除所有密鑰。
• 關閉 TPM - 使用 TPM 1.2 和 Windows 10 版本 1507 和 1511，您可以關閉 TPM。 如果您想要讓所有現有的金鑰和數據保持不變，並停用 TPM 所提供的服務，請關閉 TPM。 如需詳細資訊，請 參閱關閉 TPM。

變更 TPM 擁有者密碼

使用 Windows 10 版本 1507 或 1511，如果您已明確選擇保留 TPM 擁有者密碼，您可以使用儲存的密碼來變更為新的密碼。

若要變更為新的 TPM 擁有者密碼，請在 中 TPM.msc選取 [變更擁有者密碼]，並遵循指示。 它會提示您提供擁有者密碼檔案或輸入密碼。 然後，您可以自動或手動建立新的密碼，並將密碼儲存在檔案或列印出來。

使用 TPM Cmdlet

您可以使用 Windows PowerShell 來管理 TPM。 如需詳細資訊，請參閱 Windows PowerShell 中的 TPM Cmdlet。