1. 未持有TPM所有者密码时，能否创建持久密钥？ #

当Windows自动完成TPM初始化并取得所有权后，确实会默认丢弃生成的所有者密码。但这完全不影响创建持久密钥——因为Windows通过系统级的TPM管理接口来操作，不需要手动输入所有者密码。只要你拥有系统管理员权限，就能通过tpm.msc图形界面，或者PowerShell命令（比如New-TpmHsmKey）来创建持久密钥，整个过程由系统自动完成授权校验，不需要你提供所有者密码。

2. Windows创建的Storage Root Key（SRK）是否通过PIN码保护加密操作？ #

默认情况下，Windows生成的SRK不需要PIN码就能执行加密操作。SRK的授权是由Windows系统上下文自动处理的：当你成功登录系统后，Windows会自动向TPM提供SRK的授权凭证，全程不需要用户手动输入PIN。不过如果你手动通过tpm.msc修改了TPM配置，是可以给SRK添加PIN保护的，但这属于自定义操作，并非Windows的默认设置。

3. 若SRK设置了PIN，该密码在Windows中的存储位置是哪里？ #

如果给SRK配置了PIN，这个PIN不会以明文形式存储在系统中。Windows会将PIN的哈希值（或者关联的加密授权Blob）存储在本地安全账户管理器（SAM）数据库内，或者通过系统的凭据管理器（Credential Manager）来保存。这些存储的内容本身都是经过加密处理的，只有当前登录的用户账户或者有权限的系统进程才能访问，不会轻易被获取到。

内容的提问来源于stack exchange，提问作者b3nj1