Infineon TPM Security Update installieren

In dieser Kurzmitteilung möchte ich demonstrieren, wie wir mit einer ConfigMgr-Task Sequence Infineon TPM Security Updates für HP-Geräte installieren. Eine Übersicht der Updates gibt es hier: HPSBHF03568 rev. 11 – Infineon TPM Security Update.

Vorbereitung

  1. Die Update-Dateien von HP herunterladen und entpacken
  2. Einfache Packages ohne Programm erstellen

Die einzelnen Schritte

  1. BitLocker anhalten
    1. manage-bde -protectors c: -disable -rebootcount 0
  2. BIOS-Passwort temp. leeren
    1. BiosConfigUtility64.exe /nspwdfile:““ /cspwdfile:“password.bin“ /log
  3. OSManagedAuthLevel > 4
    1. reg add HKLM\SOFTWARE\Policies\Microsoft\TPM /f /v OSManagedAuthLevel /t REG_DWORD /d 4
  4. TPM Chip löschen
    1. powershell.exe -command “ & {(Get-WmiObject -Namespace root\CIMV2\Security\MicrosoftTpm -Class Win32_TPM).SetPhysicalPresenceRequest(14)}“
  5. Computer neu starten
    1. shutdown -r -t 0
  6. Update installieren
    1. SLB 9656 (TPM 1.2) > SP82407
      1. IFXTPMUpdate_TPM12_v0434.com /update /logfile:C:\Temp\TPMUpdate.log
    2. SLB 9660 (TPM 1.2) > SP82133
      1. IFXTPMUpdate_TPM12_v0443.com /update /logfile:C:\Temp\TPMUpdate.log
    3. SLB 9670 (TPM 1.2) > SP87753
      1. TPMConfig64.exe -s -a1.2 -xVTx
    4. SLB 9665 (TPM 2.0), SLB 9670 (TPM 2.0) > SP87753
      1. TPMConfig64.exe -s -a2.0 -xVTx
  7. Computer neu starten
    1. shutdown -r -t 0
  8. OSManagedAuthLevel > 2
    1. reg add HKLM\SOFTWARE\Policies\Microsoft\TPM /f /v OSManagedAuthLevel /t REG_DWORD /d 2
  9. TPM Chip löschen
    1. powershell.exe -command “ & {(Get-WmiObject -Namespace root\CIMV2\Security\MicrosoftTpm -Class Win32_TPM).SetPhysicalPresenceRequest(14)}“
  10. Computer neu starten
    1. shutdown -r -t 0
  11. TPM Chip initialisieren
    1. powershell.exe -command „& {Initialize-Tpm}“
  12. BIOS-Passwort setzen
    1. BiosConfigUtility64.exe /nspwdfile:“password.bin“ /cspwdfile:““ /log
  13. BitLocker aktivieren
    1. manage-bde -protectors c: -enable

Weiterlesen

Microsoft MDT Build 6.3.8443.1000 steht ab sofort zur Verfügung

Ab sofort steht das Microsoft MDT Build 6.3.8443.1000 zur Verfügung. Das Tool kann auf der Seite Microsoft Deployment Toolkit (MDT) für x86 und x64 heruntergeladen werden. Das sind die Verbesserungen lt. Aaron Czechowski [Microsoft]:

  • Supported configuration updates
    • Windows ADK for Windows 10, version 1607
    • Windows 10, version 1607
    • Windows Server 2016
    • Configuration Manager, version 1606
  • Quality updates
    • Deployment Wizard scaling on high DPI devices
    • Johan’s „uber bug“ for computer replace scenario
    • Multiple fixes for the Windows 10 in-place upgrade scenario
    • Several fixes to Configure ADDS step
    • Removed imagex/ocsetup dependencies, rely solely on DISM
    • Includes the latest Configuration Manager task sequence binaries (version 1606)

Der Download-Link ist auch auf meiner Microsoft Download-Seite zu finden.

mdt8443

Windows ADK 1511 Hotfix

Microsoft hat letzte Woche einen Windows ADK 1511 Hotfix veröffentlicht, der das Problem mit dem Neustart in Windows PE in Configuration Manager behebt. Allerdings ist die Installation nicht ganz einfach. Der Knowledge Base-Artikel und Download des Hotfixes sind hier zu finden: Windows PE-Startabbilder in System Center Configuration Manager nicht initialisiert werden

Folgende Schritte sind auf dem Rechner auszuführen, auf dem das ADK 1511 installiert wurde, am ConfigMgr Site-Server.

Windows ADK 1511 Hotfix installieren

  1. Windows ADK 1511 herunterladen und installieren
  2. Den Hotfix 490643_ENU_x64_zip.exe herunterladen und nach C:\Sourcen entpacken
  3. Die Datei C:\Sourcen\Win10ADK-Hotfix-KB3143760.exe doppelklicken und nach C:\Sourcen\Hotfix_ADK1511 entpacken
  4. Die Datei install_hotfix.bat in C:\Sourcen\Hotfix_ADK1511 erstellen
    @echo Off
    IF /i "%1"=="" goto ende
    
    rem %OSArch% = x86 oder amd64
    set OSArch=%1
    
    IF %OSArch%==x86 (set Schema=schema-x86.dat) else (set Schema=schema-x64.dat)
    
    set Kits=C:\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit\Windows Preinstallation Environment
    set WimFile=C:\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit\Windows Preinstallation Environment\%OSArch%\en-us\winpe.wim
    set MountDir=C:\Mount
    set TMPDir=C:\Temp
    set Hotfix=C:\Sourcen\Hotfix_ADK1511\%Schema%
    
    echo %OSArch%
    echo %Kits%
    echo %WimFile%
    echo %MountDir%
    echo %Hotfix%
    
    IF NOT EXIST %MountDir% (
        MKDIR %MountDir%
    )
    
    IF NOT EXIST %TMPDir% (
        MKDIR %TMPDir%
    )
    
    rem Sicherung erstellen
    xcopy "%WimFile%" %TMPDir%\winpe_%OSArch%\ /Y
    
    Dism /Mount-Wim /WimFile:"%WimFile%" /index:1 /MountDir:%MountDir%
    
    rem Backup der Berechtigungen
    icacls %MountDir%\Windows\System32\schema.dat /save %TMPDir%\AclFile
    
    rem Besitz für die Gruppe der Administratoren übernehmen
    takeown /F %MountDir%\Windows\System32\schema.dat /A
    
    rem Berechtigungen setzen
    icacls %MountDir%\Windows\System32\schema.dat /grant BUILTIN\Administrators:(F)
    
    rem Neue schema.dat kopieren
    xcopy %Hotfix% %MountDir%\Windows\System32\schema.dat /Y
    
    rem Berechtigungen zurücksetzen
    icacls %MountDir%\Windows\System32\schema.dat /setowner "NT SERVICE\TrustedInstaller"
    icacls %MountDir%\Windows\System32\ /restore %TMPDir%\AclFile
    
    rem Änderungen übernehmen
    dism /unmount-wim /mountdir:"%MountDir%" /Commit
    
    RMDIR "%MountDir%" /S /Q
    del %TMPDir%\AclFile /Q
    
    :ende
    
  5. Optional: Auf einem deutschen System muss folgende Zeile
    icacls %MountDir%\Windows\System32\schema.dat /grant BUILTIN\Administrators:(F)

    nach

    icacls %MountDir%\Windows\System32\schema.dat /grant VORDEFINIERT\Administratoren:(F)

    geändert werden

  6. Der Ordner C:\Sourcen\Hotfix_ADK1511
    ADK1511_Hotfix-003
  7. Deployment and Imaging Tools Environment als Administrator starten
  8. Folgende Befehlszeile für 32-bit ausführen
    C:\Sourcen\Hotfix_ADK1511.bat x86

    ADK1511_Hotfix-001

  9. Der Hotfix wird installiert
    ADK1511_Hotfix-002
  10. Den gleichen Befehl mit dem Parameter amd64 für 64-bit ausführen
  11. Alle Fenster schließen

Der Batchfile erledigt folgende Schritte:

  • Setzen der Pfade in Variablen
  • Eine Sicherungskopie von winpe.wim in C:\Temp\winpe_%osarch%
  • winpe.wim mounten
  • Besitz der Datei schema.dat übernehmen
  • Berechtigungen in der Datei AclFile sichern
  • Berechtigungen ändern
  • Datei schema.dat kopieren
  • Besitz dem Trusted Installer geben
  • Berechtigungen wiederherstellen
  • winpe.wim speichern und unmounten
  • C:\Temp\AclFile löschen

Für bestehende winpe.wim-Dateien den Pfad im Batchfile set WimFile=C:\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit\Windows Preinstallation Environment\%OSArch%\en-us\winpe.wim entsprechend anpassen.

Warum Microsoft das Windows ADK 1511 nicht einfach re-released hat, bleibt mir ein Rätsel. War es doch mit MDT 2013 Update 1 schon genau das Gleiche – viele Bugs.