Infineon TPM Security Update installieren

In dieser Kurzmitteilung möchte ich demonstrieren, wie wir mit einer ConfigMgr-Task Sequence Infineon TPM Security Updates für HP-Geräte installieren. Eine Übersicht der Updates gibt es hier: HPSBHF03568 rev. 11 – Infineon TPM Security Update.

Vorbereitung

  1. Die Update-Dateien von HP herunterladen und entpacken
  2. Einfache Packages ohne Programm erstellen

Die einzelnen Schritte

  1. BitLocker anhalten
    1. manage-bde -protectors c: -disable -rebootcount 0
  2. BIOS-Passwort temp. leeren
    1. BiosConfigUtility64.exe /nspwdfile:““ /cspwdfile:“password.bin“ /log
  3. OSManagedAuthLevel > 4
    1. reg add HKLM\SOFTWARE\Policies\Microsoft\TPM /f /v OSManagedAuthLevel /t REG_DWORD /d 4
  4. TPM Chip löschen
    1. powershell.exe -command “ & {(Get-WmiObject -Namespace root\CIMV2\Security\MicrosoftTpm -Class Win32_TPM).SetPhysicalPresenceRequest(14)}“
  5. Computer neu starten
    1. shutdown -r -t 0
  6. Update installieren
    1. SLB 9656 (TPM 1.2) > SP82407
      1. IFXTPMUpdate_TPM12_v0434.com /update /logfile:C:\Temp\TPMUpdate.log
    2. SLB 9660 (TPM 1.2) > SP82133
      1. IFXTPMUpdate_TPM12_v0443.com /update /logfile:C:\Temp\TPMUpdate.log
    3. SLB 9670 (TPM 1.2) > SP87753
      1. TPMConfig64.exe -s -a1.2 -xVTx
    4. SLB 9665 (TPM 2.0), SLB 9670 (TPM 2.0) > SP87753
      1. TPMConfig64.exe -s -a2.0 -xVTx
  7. Computer neu starten
    1. shutdown -r -t 0
  8. OSManagedAuthLevel > 2
    1. reg add HKLM\SOFTWARE\Policies\Microsoft\TPM /f /v OSManagedAuthLevel /t REG_DWORD /d 2
  9. TPM Chip löschen
    1. powershell.exe -command “ & {(Get-WmiObject -Namespace root\CIMV2\Security\MicrosoftTpm -Class Win32_TPM).SetPhysicalPresenceRequest(14)}“
  10. Computer neu starten
    1. shutdown -r -t 0
  11. TPM Chip initialisieren
    1. powershell.exe -command „& {Initialize-Tpm}“
  12. BIOS-Passwort setzen
    1. BiosConfigUtility64.exe /nspwdfile:“password.bin“ /cspwdfile:““ /log
  13. BitLocker aktivieren
    1. manage-bde -protectors c: -enable

Weiterlesen

Always On VPN – Device Tunnel konfigurieren

In Teil 1 dieser Serie habe ich die Infrastruktur für mein Always On VPN-Lab vorgestellt. Anschließend habe ich in Teil 2 die automatische Registrierung der Computer- und VPN Benutzerzertifikate mittels Gruppenrichtlinien konfiguriert, die empfohlenen AD-Gruppen und Zertifikatsvorlagen erstellt. Das Zertifikat für NPS Serverauthentifizierung, das IKEv2-Zertifikat und das SSL-Zertifikat für SSTP am VPN Server habe ich in Teil 3  installiert. In Teil 4 habe ich den Remote Access Server für Always on VPN installiert und konfiguriert. Die Konfiguration des NPS Servers kann man in Teil 5 nachlesen. In Teil 6 habe ich auf CLIENT01 eine VPN-Verbindung mit dem Namen Template erstellt. Augrund dieser Vorlage habe ich in Teil 7 das Always On VPN – VPN-Profil erstellt. Zum Abschluss werde ich noch den Always On VPN – Device Tunnel konfigurieren.

Mit Windows 10 1709 hat Microsoft den Device Tunnel für Always On VPN eingeführt. Damit bietet diese Lösung die gleichen Features wie DirectAccess. Der Geräte- oder Device Tunnel stellt eine Verbindung zur Domäne her, bevor sich ein Benutzer anmeldet. Das hat den Vorteil, dass keine gespeicherten Anmeldeinformationen vorhanden sein müssen. Mehr Infos zum Device Tunnel gibt es bei hier.

Voraussetzung für den Gerätetunnel ist ein Computerzertifikat mit der erweiterten Schlüsselverwendung Clientauthentifizierung (1.3.6.1.5.5.7.3.2).

Die passende Zertifikatsvorlage und die automatische Verteilung der Zertifikate habe ich in Teil 2 beschrieben. Weiterlesen

Always On VPN – VPN-Profil erstellen

In Teil 1 dieser Serie habe ich die Infrastruktur für mein Always On VPN-Lab vorgestellt. Anschließend habe ich in Teil 2 die automatische Registrierung der Computer- und VPN Benutzerzertifikate mittels Gruppenrichtlinien konfiguriert, die empfohlenen AD-Gruppen und Zertifikatsvorlagen erstellt. Das Zertifikat für NPS Serverauthentifizierung, das IKEv2-Zertifikat und das SSL-Zertifikat für SSTP am VPN Server habe ich in Teil 3  installiert. In Teil 4 habe ich den Remote Access Server für Always on VPN installiert und konfiguriert. Die Konfiguration des NPS Servers kann man in Teil 5 nachlesen. In Teil 6 habe ich auf CLIENT01 eine VPN-Verbindung mit dem Namen Template erstellt. Aufgrund dieser Vorlage werde ich jetzt das Always On VPN – VPN-Profil erstellen.

VPN_Profile.xml  und VPN_Profile.ps1 erstellen

Hinweis: Wie in der Microsoft Dokumentation geschrieben steht, muss die Verbindung mindestens einmal hergestellt worden sein, damit alle Werte verfügbar sind. Weiterlesen