如何解决可信平台模块 (TPM) 和 BitLocker 的常见问题

 admin   2023-05-25 16:56   193 人阅读  0 条评论

目录

 

  1. 什么是可信平台模块 (TPM)?

  2. 什么是Intel平台信任技术(PTT)?

  3. 哪些戴尔计算机具有 TPM 或 Intel PTT?

  4. 如何在不丢失数据的情况下重置 TPM?

  5. 如何刷新 TPM 固件并更改 TPM 模式?

  6. 什么是BitLocker?

  7. TPM 和 Bitlocker 常见问题及解决办法

  8. TPM故障点和故障排除方法

  9. BitLocker故障点和故障排除方法

  10. 其他资源

什么是可信平台模块 (TPM)

可信平台模块 (TPM) 是驻留在计算机内部的芯片,已焊接在戴尔计算机的系统主板上。TPM 的主要功能是安全地生成加密密钥,但还有其它功能。每块 TPM 芯片在生产时都在其中嵌入了唯一且机密的 RSA 密钥。

如果 BitLocker 或 DDPE 等安全功能使用 TPM,则在清除 TPM 或更换系统主板之前必须暂挂该安全功能。

TPM 有两种模式:1.2 和 2.0。TPM 2.0是一个新标准,它包括附加功能,例如附加的算法、支持多个受信任密钥和对应用程序的更广泛支持。使用 TPM 2.0 时,需要将 BIOS 设置为 UEFI 模式,而非 legacy。同时还需要 64 位版本的 Windows 操作系统。从 2017 年 3 月开始,所有戴尔 Skylake 平台都在 Windows 7、8 和 10 中支持 TPM 2.0 和 TPM 1.2 模式。Windows 7 需要 Windows 更新 KB2920188 才能支持 TPM 2.0 模式。要交换 TPM 上的模式,您必须刷新 TPM 的固件。下载链接可在戴尔驱动程序和下载网站的支持的计算机驱动程序页面下找到。

TPM 的规格由可信计算组进行管理。有关更多详细信息和文档,请浏览至 https://trustedcomputinggroup.org/work-groups/trusted-platform-module/


图 1:BIOS 中的 TPM 2.0 安全设置。

返回页首

什么是Intel平台信任技术(PTT)?

有些戴尔笔记本电脑会配备 Intel 平台信任技术 (PTT)。此技术属于 Intel 片上系统 (SoC) 的一部分。它是基于固件的 TPM 版本 2.0,其工作容量与独立 TPM 1.2 芯片相同。Windows TPM.msc 可以管理与独立 TPM 容量相同的 Intel PTT。

对于配备 Intel PTT 的计算机,BIOS 中不提供 TPM 菜单选项。而 BIOS 的“Security”设置菜单下将显示“PTT Security”选项(图 2)。在禁用 Intel PTT 的计算机上尝试启用 BitLocker 时,可能会导致混淆。


图 2:BIOS 中的 PTT 安全设置。

返回页首

哪些戴尔计算机具有 TPM 或 Intel PTT?

  • Latitude — Latitude 13、所有 E 系列、XT2、XT2 XFR、XT3、Latitude 13、Latitude 10。

  • OptiPlex — 60 系列(560、760、960)和更高型号的所有 OptiPlex 台式机。

  • Precision Mobile — x400 系列(M2400、M4400、M6400)和更高型号的所有 Precision 移动工作站。

  • Precision WorkStation — x500 系列(T3500、T5500、T7500)和更高型号的所有 Precision 工作站。

  • XPS 和 Alienware — 超极本和当前发运计算机。

  • Vostro 成就 — x20 系列(1220、1320、1520、1720)和更高型号的所有 Vostro 成就计算机。

  • Venue — 所有 venue 平板电脑。

  • 提醒:部分 Latitude、XPS 和 Inspiron 计算机附带 Intel PTT。

 

TPM 类型支持的 TPM 模式可用新固件支持的平台
旧版 TPM(多供应商)1.2采用 Skylake 及之前世代处理器的所有计算机
Nuvoton 650(亦称 65x)1.2,2.0是(1.3.2.8 适用于 2.0 模式,5.81.2.1 适用于 1.2 模式)Latitude xx70/xx80、Precision xx10/xx20、Optiplex xx40/xx50、Precision Txx10/Txx20
Nuvoton 750(亦称 75x)2.0是 (7.2.0.2)Lat xx90、Precision xx30、Optiplex xx60、Precision Txx30
Intel PTT2.0否(BIOS 中的一部分)戴尔消费级计算机型号和部分 Latitude/XPS 平板电脑
STMicro2.0否(当前为 74.8.17568.5511)Latitude xx00(第 10 代)


表 1:戴尔计算机上的 TPM 或 Intel PTT 支持。

返回页首

如何在不丢失数据的情况下重置 TPM

TPM 在 BIOS 中未正确显示或操作系统中重置 TPM 的常见解决方案。

重置 TPM 与清除 TPM 不同。在 TPM 重置期间,计算机将尝试重新检测 TPM 并保留存储在其中的数据。以下是在戴尔计算机上执行 TPM 重置的步骤:

笔记本电脑

  • 取下交流适配器、关闭计算机,然后断开任何 USB 设备的连接。

  • 打开计算机并按F2键进入 BIOS 或 System Setup。

    • TPM 是否在 Security 下显示?如果是,则无需执行其它步骤。

  • 如果不存在 TPM,请关闭计算机并断开电池的连接(如果电池可拆卸)。

  • 按住电源按钮 60 秒以上以释放静电。

  • 连接电池(如果电池可拆卸)、交流适配器并打开计算机。

台式机和一体机

  • 关闭计算机,然后从计算机背面拔下电源线。

  • 按住电源按钮 60 秒以上以释放静电。

  • 将电源线重新连接到计算机背面,然后开启计算机。

返回页首

如何刷新 TPM 固件和更改 TPM 模式

只有使用从戴尔驱动程序和下载网站下载的固件,才能更改 TPM 1.2 和 2.0 模式。此功能受部分戴尔计算机支持。您可以使用上一节中的来确定系统是否支持此功能。您还可以查看戴尔驱动程序和下载网站,以验证固件是否可用于在两种模式之间切换。如果未列出固件,则计算机不支持此功能。此外,TPM 必须处于 On and Enabled 状态才能刷新固件。

  提醒:切勿使用来自其他计算机的固件刷新计算机的 TPM。这可能导致 TPM 损坏。  

请按照以下步骤使用版本 1.2 或 2.0 固件刷新 TPM:

  1. 在 Windows 中

    1. PowerShell 命令:Disable-TpmAutoProvisioning

    2. 暂挂 Bitlocker 或依赖于 TPM 的任何加密或安全程序。

    3. 根据需要禁用 Windows Auto Provisioning(Windows 8 或 10)。

    4. 重新引导系统并进入 BIOS。

    1. 在 BIOS 屏幕中

      1. 导航至“Security”,然后导航至“TPM/Intel PTT”页面。

      2. 选中“Clear TPM”框,然后按底部的“Apply”按钮。

      3. 按“Exit”按钮重新引导至 Windows。

    2. 在 Windows 中

      1. 计算机将自动重新启动并开始固件刷新。

      2. 请勿在此更新过程中关闭计算机。

      3. 运行 TPM 固件更新。

      4. 将计算机重新引导至 Windows,并启用 Windows Auto Provisioning(如果适用)。

      5. PowerShell 命令:Enable-TpmAutoProvisioning

      6. 如果运行的是 Windows 7,则使用 TPM.msc 来获取 TPM 的所有权。

      7. 重新引导计算机,并启用使用 TPM 的任何加密。

      提醒:要自动执行此过程,请参阅戴尔知识库文章 Using scripting or automation for TPM firmware updates from Dell(使用脚本或自动化执行来自戴尔的 TPM 固件更新)。  

    可在 Windows PowerShell(仅限 Windows 8 和 10)中使用 TPM.mscget-tpm 命令检查 TPM 固件版本。在 Windows 10 1607 和更低版本上使用 get-tpm 将仅显示固件的前 3 个字符(列为 ManufacturerVersion)(图 3)。Windows 10 1703 和更高版本将显示 20 个字符(列为 ManufacturerVersionFull20)(图 4)。


    图 3:Windows 10 版本 1607 及更早版本中的 get-tpm 命令。


    图 4:Windows 10 版本 1703 及更高版本中的 get-tpm 命令。

    返回页首

    什么是BitLocker?

    BitLocker 是一种完整的磁盘加密功能,在大多数 Windows 7、8 和 10 版本上可用(请参阅下面的列表,了解支持 BitLocker 的版本)。

    • Windows 7企业版

    • Windows 7旗舰版

    • Windows 8 Pro

    • Windows 8企业版

    • Windows 10 Pro

    • Windows 10 Enterprise

    • Windows 10教育版

    有关启用 BitLocker 或设备加密的步骤,请参阅 Microsoft 支持文章 Device encryption in Windows 10(Windows 10 中的设备加密)

      提醒:Windows 10 Home 具有名为“设备加密”的功能,而不是 BitLocker。此功能与 BitLocker 相同,功能有限,并且使用单独的 Windows 用户界面。  

    返回页首

    TPM和Bitlocker的常见问题及解决办法:

      提醒:建议您先查看这些 TPM 和 BitLocker 常见问题,再按照下面各节中的高级故障处理步骤操作。  

    TPM 缺失

    有几个已知原因会导致“TPM 缺失”问题。查看以下信息并验证您遇到的问题类型。此外,TPM 缺失可能是由一般 TPM 故障引起的,需要更换系统主板。这些类型的故障罕见,更换系统主板应该是对 TPM 缺失问题进行故障处理的最后一个方法。

    1. 在 Nuvoton 650 芯片上发现原始 TPM 缺失问题

    2. 更新固件 1.3.2.8 后 Nuvoton 650 芯片丢失

      • 仅在 Precision 5510、Precision 5520、XPS 9550 和 XPS 9560 上出现。

      • 已通过适用于 XPS 和 Precision 计算机的 2019 年 8 月 BIOS 更新解决此问题。

      • 如果您需要有关此问题的进一步帮助,请联系戴尔技术支持

    3. BIOS 中缺少 Nuvoton 750 芯片

      • 已通过固件更新 7.2.0.2 解决此问题

      • 如果您需要有关此问题的进一步帮助,请联系戴尔技术支持

    4. 系统未配置 TPM

      • 系统在出厂时可能未附带 TPM,而是附带基于 Intel PTT 固件的 TPM。

      • 如果您需要有关此问题的进一步帮助,请联系戴尔技术支持

    TPM 设置

    BIOS问题

    恢复闪存盘问题

    Windows问题

    返回页首

    TPM故障点和故障排除方法

    TPM在“设备管理器”和TPM管理控制台中可见

    受信任的平台模块应显示在设备管理器中的安全设备下。您也可以执行以下步骤来检查TPM管理控制台

    1. 按键盘上的Windows+R键以打开命令提示符。

    2. 键入 tpm.msc,然后按键盘上的Enter

    3. 在管理控制台中检查 TPM 的状态是否显示为 Ready

    如果在“设备管理器”中看不到 TPM 或者其状态在“TPM Management Console”中未显示为 Ready,请按照以下步骤操作对问题进行故障处理:

    1. 使用以下步骤操作和图 2 中的 BIOS 设置示例图像,验证是否已在 BIOS 中启用并激活 TPM:

      1. 重新启动计算机,在出现戴尔徽标屏幕时按F2键进入 BIOS 或“System Setup”。

      2. 在设置菜单中单击安全

      3. 单击安全菜单中的 TPM 1.2 安全PM 2.0 安全

      4. 确保已选中 TPM OnActivate

      5. 您可能还需要确保选中 Attestation EnableKey Storage Enable 以获得正确的 TPM 功能。

      提醒:如果 BIOS 中缺少 TPM 部分,请检查您的订单,确保订购计算机时未禁用 TPM。  


    图 2:TPM BIOS 设置示例

      提醒:列出设置可能因计算机型号、BIOS 版本和 TPM 模式的不同而有所不同。  

    如果 TPM 仍未显示在“设备管理器”中或者仍未在“TPM 管理控制台”中显示为“就绪”状态,请清除 TPM 并更新到最新的 TPM 固件(如果可能)。您可能需要先禁用 TPM 自动配置,然后再按照以下步骤操作清除 TPM:

    1. 按键盘上的Windows键,然后在搜索框中键入 powershell

    2. 右键单击 PowerShell (x86) 并选择 Run as administrator

    3. 键入以下 PowerShell 命令:Disable-TpmAutoProvisioning,然后按下Enter

    4. 确认结果 AutoProvisioning : Disabled图 3)。


      图 3:自动配置:已禁用 PowerShell 设置

    5. 打开“TPM 管理控制台”:按键盘上的Windows+R键打开命令提示符。键入 tpm.msc,然后按Enter键。

    6. 在右侧的 Actions 窗格中,选择 Clear TPM

    7. 重新启动计算机,然后在提示时按键盘上的F12键,以继续清除TPM。

    接下来,执行以下步骤安装最新的 TPM 固件更新:

    1. 浏览至戴尔Drivers & Downloads(驱动程序和下载)网站。

    2. 输入服务编号或搜索您的计算机型号以进入正确的支持页面。

    3. 单击Find it myself(我自己查找)选项卡并选择正确的操作系统(单击Change OS[更改操作系统]以查看适用于您的计算机的可用操作系统)。

    4. 从可用驱动程序菜单中选择Security(安全)类别。

    5. 在菜单中查找Dell TPM 2.0 Firmware Update Utility(Dell TPM 2.0固件更新实用程序)或Dell TPM 1.2 Update Utility(Dell TPM 1.2固件更新实用程序)。单击 View Details 链接以查看此文件的更多信息,并单击 Installation instructions,下载并安装更新。

    如果 TPM 仍未显示在“设备管理器”中或者仍未在“TPM 管理控制台”中显示为“Ready”状态,建议您联系戴尔技术支持。可能需要重新安装操作系统才能解决该问题。

    接收以下消息:“The TPM is on and ownership has not been taken”。

    TPM.msc 中存在“TPM is ready for use, with reduced functionality”消息。

    • 如果在未清除 TPM 的情况下重建了系统映像,通常就会发生该问题。

    • 尝试解决该问题:清除 TPM,然后安装最新的 TPM 固件(按照上一节中概括的步骤操作)。

    • 检查 BIOS 以确保 TPM 设置正确。

    • 如果问题仍然存在,请清除 TPM 并重新加载 Windows。

    验证 TPM.msc 显示 TPM 已启用并可以使用。

    • TPM 工作正常。

      提醒:戴尔不支持对 TPM 进行编程或更改自定义配置的寄存器。  

    返回页首

    BitLocker的故障点及各故障点的故障排除方法:

    验证您的操作系统是否支持 BitLocker。

    参考上文什么是 BitLocker 部分中支持 BitLocker 的操作系统列表。

    在“TPM 管理控制台”(tpm.msc) 中验证 TPM 是否已启用并可以使用。

    • 如果TPM未准备就绪,请查看TPM故障排除,查看上面的TPM故障排除部分。

    在启动时触发 BitLocker。

    如果在启动时触发BitLocker,请按照下面建议的故障排除指导操作:

    • 在启动计算机时触发Bitlocker通常意味着BitLocker正常工作。此问题可能需要归咎为以下其中一个原因:

      • 对Windows核心文件的更改

      • 对BIOS的更改

      • 对TPM的更改

      • 对加密卷/引导记录的更改

      • 未使用正确的凭据

      • 硬件配置中的更改

    建议您先暂挂 BitLocker 再对计算机进行上述任何更改。要暂挂BitLocker,请执行以下步骤:

    1. 单击开始,在搜索框中键入 manage bitlocker,然后按Enter键以打开 Manage BitLocker Console

    2. 对加密的硬盘驱动器单击Suspend protection(暂挂保护)(图4):


      图 4:从管理控制台暂挂 BitLocker。

    3. 在随后出现的消息提示上单击Yes(是)以暂挂BitLocker(图5):


      图 5:暂挂 BitLocker 的消息提示。

    4. 对计算机进行更改后,返回到 Manage BitLocker Console 并选择 Resume protection 以重新启用 BitLocker(图 6):


      图 6:从管理控制台恢复 BitLocker。

    对计算机进行更改后,要防止在启动时触发 BitLocker,可能需要完全禁用 BitLocker 加密,然后再重新启用。要从管理控制台中禁用和启用BitLocker加密,请执行以下步骤:

    1. 单击开始,在搜索框中键入 manage bitlocker,然后按Enter键以打开 Manage BitLocker Console

    2. 单击关闭 BitLocker(图 7)。


      图 7:从控制台关闭 BitLocker。

    3. 在提示确认时,单击关闭 BitLocker(图 8)。


      图 8:关闭 BitLocker 确认提示。

    4. 让计算机完全解密硬盘驱动器(图 9)。


      图 9:BitLocker 加密的状态屏幕

    5. 解密完成后,您可以从Manage BitLocker Console(管理BitLocker控制台)中选择Turn on BitLocker(打开BitLocker)再次加密硬盘驱动器。

    BitLocker 无法恢复或参与。

    如果 BitLocker 无法恢复或参与,请按照以下故障排除提示操作:

    1. 确认最近未对计算机进行上述列表中提到的任何更改。如果已做出更改,则回滚到进行更改之前的状态,然后查看 BitLocker 是否已参与或恢复。

    2. 如果是最近的更改导致问题,请从Manage BitLocker Console(管理BitLocker控制台)中暂挂BitLocker,然后再次进行更改。

    3. 如果问题仍然存在,请验证 BIOS 和 TPM 固件是否为最新版本。在戴尔驱动程序和下载网站上检查是否有最新版本。

    4. 如果BitLocker仍然不能恢复或参与,请重新安装操作系统。

    BitLocker恢复密钥丢失

    BitLocker 恢复密钥非常重要,用于确保只有授权的人员可以解锁您的个人计算机并恢复对加密数据的访问。如果恢复密钥丢失或忘记了它的存放位置,戴尔无法恢复或替换它。建议您将恢复密钥存放在安全且可恢复的位置。存放密钥的示例位置包括:

    • 插入 USB 闪存盘。

    • 外部硬盘。

    • 网络位置(映射的驱动器、Active Directory 控制器/域控制器等)。

    • 已保存到您的 Microsoft 帐户。

    如果从未对计算机进行过加密,则系统可能会通过 Windows 自动流程执行加密。戴尔知识库文章 Automatic Windows Device Encryption/BitLocker on Dell Systems(戴尔系统上的自动 Windows 设备加密/BitLocker)对此进行了说明。

    BitLocker正常工作

    如果 BitLocker 参与并加密硬盘,并且在启动计算机时它未启用,则它工作正常。

    返回页首

    其他信息

    推荐的文章

    以下是一些推荐的文章。

     

    使用 BitLocker 加密驱动器

    持续时间:2:57
    隐藏式字幕:仅限英文


    本文地址:https://liuchunjie.top/?id=595
    版权声明:本文为原创文章,版权归 admin 所有,欢迎分享本文,转载请保留出处!

     发表评论


    表情

    还没有留言,还不快点抢沙发?