Resetting TPM 1.2 with Windows Powershell

Mit Hilfe des TPM kann auf moderner Hardware auf sichere Art und Weise Verschlüsselungmaterial abgelegt werden oder die idendität des Gerätes nachgewiesen zu werden. Windows ab Vista und 2008 Server unterstützt dies auch für Bitlocker Festplattenverschlüsselung. Aber das TPM kann auch für andere Anwendungen genutzt werden. Verwaltet wird es mit dem Management Consolen Plugin "tpm.msc". Die meisten Funktionen wie das übernehmen des Besitzes oder das Erzeugen von Keys kann aber über die Windows Management Instrumentation (WMI) auch gespcriptet werden. Dabei bietet sich insbesondere die Powershell an:

PS> $tpm = Get-WMIObject -Class Win32_Tpm -Namespace "root/CMIv2/Security/MicrosoftTPM" PS> $tpm IsActivated_InitialValue : False IsEnabled_InitialValue : False IsOwned_InitialValue : False ManufacturerId : 1112687437 ManufacturerVersion : 7.11 ManufacturerVersionInfo : Not Supported PhysicalPresenceVersionInfo : 1.0 SpecVersion : 1.2, 2, 1
Wenn man das Owner Passwort hat, so kann man das TPM auch mit der Powershell zurücksetzen:

PS> $tpm.Clear($tpm.ConvertToOwnerAuth('PASSWORT'.OwnerValue)) ReturnValue : 0
Wenn das TPM dies nicht zulässt, oder das Owner Passwort nicht bekannt ist, so ist es auch möglich über den Nachweis einer physischen Präsenz das TPM zu initialisieren oder zurückzusetzen.

Die Methode SetPhysicalPresenceRequest kann dazu mit dem Wert 5 (zurücksetzen) aufgerufen werden. Und GetPhysicalPresenceTransition liefert dann die Aktion die der Benutzer durchführen muss. Im Fall des Wertes 2 wäre dies ein Soft-Reboot und eine Bestätigung der Aktion im BIOS.

PS> $tpm.SetPhysicalPresenceRequest(5) ReturnValue : 0 PS> $tpm.GetPhysicalPresenceTransition() ReturnValue : 0 Transition : 2
Und wie erwarten funktioniert dies auch (ohne das Owner Passwort abzufragen). Getestet habe ich dies unter Windows 7 auf einem Dell Latitude E6510 mit einem TPM von Broadcomm.