Диагностика и устранение распространенных проблем модуля TPM и BitLocker

Диагностика и устранение распространенных проблем модуля TPM и BitLocker


Содержание

  1. Что такое TPM?
  2. Что представляет собой технология Intel Platform Trust Technology (PTT)?
  3. На каких моделях компьютеров Dell имеется модуль TPM/Intel PTT?
  4. Как изменить режимы TPM
  5. Что такое BitLocker?
  6. Общие проблемы модуля TPM и BitLocker и способы их устранения:
  7. Точки отказа модуля TPM и способы их устранения:
  8. Точки отказа технологии BitLocker и способы их устранения:
  9. Дополнительные ресурсы

В этой статье приведены инструкции по выявлению и устранению распространенных проблем, которые могут возникнуть в модуле TPM или BitLocker.


Что такое TPM?

Модуль TPM — это микросхема, находящаяся внутри компьютера. На компьютерах Dell она припаивается к системной плате. Модуль TPM предназначен прежде всего для обеспечения средств безопасного создания ключей шифрования, но у него есть и другие функции. В каждой микросхеме TPM при производстве записан уникальный и секретный ключ RSA.

Если модуль TPM используется функцией безопасности (например, BitLocker или DDPE), эту функцию безопасности необходимо приостановить перед очисткой модуля TPM или заменой системной платы.

Существуют две версии спецификации TPM — 1.2 и 2.0. Модуль TPM 2.0 — это новый стандарт, который включает дополнительные функции (например, дополнительные алгоритмы), поддержку нескольких доверенных ключей и более широкую поддержку приложений. Для модуля TPM 2.0 необходимо в BIOS задать загрузку «UEFl», а не «Legacy» (Устаревшая). Также обязательно требуется 64-разрядная версия Windows. По состоянию на март 2017 г., все платформы Dell Skylake поддерживают режим TPM 2.0 и режим TPM 1.2 в Windows 7, 8 и 10 (для поддержки режима TPM 2.0 в Windows 7 требуется обновление Windows KB2920188). Для изменения версии модуля TPM требуется переустановка микропрограммы. Ссылки приведены на страницах драйверов для поддерживаемых моделей на сайте технической поддержки Dell.

Спецификации TPM управляются группой Trusted Computing Group. Подробную информацию и документацию можно найти по ссылке: https://trustedcomputinggroup.org/work-groups/trusted-platform-module/ Внешняя ссылка

Параметр безопасности TPM 2.0 в BIOS
Рис. 1. Параметр безопасности TPM 2.0 в BIOS

В начало


Что представляет собой технология Intel Platform Trust Technology (PTT)?

Некоторые ноутбуки Dell будут оборудоваться технологией Intel Platform Trust Technology (PTT). Эта технология является частью системы на кристалле (SoC) Intel и представляет собой модуль TPM версии 2.0 на базе микропрограммы, который может работать в том же качестве, что и дискретная микросхема TPM 1.2. Управление технологией PTT может осуществляться так же, как дискретный модуль TPM управляется Windows TPM.MSC.

В случае компьютеров, оборудованных технологией Intel PTT, в BIOS не отображается вариант для TPM, что может привести к затруднению относительно включения BitLocker на компьютере при отключенной технологии PTT. Вместо этого параметр для безопасности PTT отображается в меню «Параметры безопасности» в BIOS (рис. 2):

Параметр безопасности PTT в BIOS
Рис. 2. Настройка параметра безопасности PTT в BIOS

В начало


На каких моделях компьютеров Dell имеется модуль TPM/Intel PTT?

  • Latitude 13, все модели серии E, XT2, XT2 XFR, XT3, Latitude 13, Latitude 10
  • OptiPlex — все модели начиная с серии 60 и выше (560, 760, 960)
  • Precision Mobile — все модели начиная с серии X400 и выше (M2400, M4400, M6400)
  • Рабочие станции Precision — все модели начиная с серии X500 и выше (T3500, T5500, T7500)
  • XPS и Alienware — модели Ultrabook и модели, поставляемые в настоящее время
  • Vostro — все модели начиная с серии X20 и выше (1220, 1320, 1520, 1720)
  • Venue — все модели
  • Некоторые системы Latitude, XPS и Inspiron поставляются с технологией Intel PTT
Тип TPM Поддерживаемые режимы TPM Доступна новая микропрограмма Поддерживаемые платформы
Более старые TPM (разных производителей) 1.2 Нет Все системы до процессоров Skylake
Nuvoton 650 (также известный как 65x) 1.2, 2.0 Да (1.3.2.8 для режима 2.0 и 5.81.2.1 для режима 1.2) Latitude xx70/xx80, Precision xx10/xx20, Optiplex xx40/xx50, Precision Txx10/Txx20
Nuvoton 750 (также известный как 75x) 2.0 Да (7.2.0.2) Lat xx90, Precision xx30, Optiplex xx60, Precision Txx30
Технология Intel PTT (Platform Trust Technology) 2.0 Нет (часть BIOS) Модели потребительских систем Dell и некоторые планшеты Latitude/XPS
STMicro 2.0 Нет (текущая версия — 74.8.17568.5511) Latitude xx00 (10-е поколение)

Таблица 1. Поддержка TPM/Intel PTT на системах Dell

В начало


Как изменить режимы TPM

Режимы TPM 1.2 и 2.0 можно изменить только с помощью микропрограммы, загруженной с сайта технической поддержки Dell, и только в некоторых системах. Воспользуйтесь таблицей в приведенном выше разделе для определения того, поддерживает ли система эту функцию. Также вы можете посетить страницу «Драйверы и загружаемые материалы», чтобы убедиться, что микропрограмма доступна для переключения между этими режимами. Если микропрограмма отсутствует в списке, устройство не поддерживает эту функцию. Кроме того, для переустановки модуль TPM должен быть включен и разрешен.

Важное ПРИМЕЧАНИЕ. Никогда не выполняйте переустановку микропрограммы TPM системы с помощью микропрограммы из другой системы. Это приведет к повреждению модуля TPM.

Инструкции по переустановке модуля TPM с помощью микропрограммы версии 1.2 или 2.0

  • В Windows:
    1. Приостановите BitLocker или любое другое шифрование/функцию безопасности системы, используемую TPM.
    2. При необходимости отключите автоматическое выделение ресурсов Windows (Windows 8/10).
      • Введите следующую команду PowerShell: Disable-Tpm.AutoProvisioning.
    3. Перезагрузите систему и перейдите в BIOS.
  • В BIOS:
    1. Перейдите на страницу «Безопасность», а затем на страницу «TPM/Intel PTT».
    2. Выберите пункт «Очистить TPM» и нажмите кнопку «Применить» внизу страницы.
    3. Нажмите кнопку «Выход», чтобы перезагрузить Windows.
  • В Windows:
    1. Запустите обновление микропрограммы TPM.
      • Система автоматически перезагрузится и начнет переустановку.
      • НЕ выключайте систему во время обновления.
    2. Перезагрузите систему в Windows и включите автоматическое выделение ресурсов Windows, если его наличии.
    3. Введите следующую команду PowerShell: Enable-Tpm.AutoProvisioning.
    4. При работе в Windows 7 используйте TPM.msc для назначения владельца модуля TPM.
    5. Перезагрузите систему и включите шифрование с помощью модуля TPM.
ПРИМЕЧАНИЕ. Если вы хотите автоматизировать этот процесс, ознакомьтесь со следующей статьей базы знаний Dell: Использование сценариев или автоматизации для обновления микропрограммы TPM от Dell.

Версию микропрограммы TPM можно проверить с помощью команды TPM.msc или get-tpm в Windows PowerShell (только Windows 8 и 10). При использовании команды get-tpm в Windows 10 1607 и более ранних версиях будут отображаться только первые 3 символа микропрограммы (ManufacturerVersion) (рис. 3). В Windows 10 1703 и более поздних версиях отображается 20 символов (ManufacturerVersionFull20) (рис. 4).

Команда get-tpm в Windows 10 1607
Рис. 3. Команда get-tpm в Windows 10 версии 1607 и более ранних

Команда get-tpm в Windows 10 1703
Рис. 4. Команда get-tpm в Windows 10 версии 1703 и более поздних

В начало


Что такое BitLocker?

BitLocker — это функция полного шифрования диска, имеющаяся в большинстве версий операционных систем Windows 7, 8 и 10 (см. ниже полный список выпусков с поддержкой BitLocker):

  • Windows 7 Корпоративная
  • Windows 7 Максимальная
  • Windows 8 Pro
  • Windows 8 Корпоративная
  • Windows 10 Pro
  • Windows 10 Корпоративная
  • Windows 10 для образовательных учреждений

Инструкции по включению BitLocker/шифрования устройства можно найти в следующей статье службы поддержки Microsoft: Шифрование устройства в Windows 10Внешняя ссылка.

ПРИМЕЧАНИЕ. В ОС Windows 10 Домашняя вместо BitLocker имеется функция «Шифрование устройства». Эта функция работает так же, как BitLocker, но более ограничена в функционале и использует отдельный пользовательский интерфейс Windows.

В начало


Общие проблемы модуля TPM и BitLocker и способы их устранения:

ПРИМЕЧАНИЕ. Перед тем как начинать расширенный поиск и устранение неисправностей в соответствии с инструкциями в разделах ниже, рекомендуем прочитать информацию об этих распространенных проблемах TPM и BitLocker.

Модуль TPM отсутствует:

Отсутствие TPM может быть вызвано несколькими причинами. Просмотрите их и определите, к какому типу относится ваша проблема. Обратите внимание, что отсутствие TPM может быть вызвано общим сбоем TPM и требует замены системной платы. Такие неисправности случаются очень редко, и замена системной платы должна быть крайней мерой при поиске и устранении неисправностей, связанных с отсутствием TPM.

  1. На микросхеме Nuvoton 650 обнаружена исходная проблема отсутствия TPM
  2. После обновления микропрограммы 1.3.2.8 отсутствует микросхема Nuvoton 650
    • Только для Precision 5510/5520 и XPS 9550/9560
    • Проблема устранена с помощью обновлений BIOS для XPS и Precision от августа 2019 г.
    • Если вам нужна помощь в решении этой проблемы, обратитесь в службу технической поддержки Dell по следующей ссылке: Обратитесь в нашу службу технической поддержки.
  3. В BIOS отсутствует микросхема Nuvoton 750
  4. В системе не настроен модуль TPM
    • Системы могут поставляться с TPM на базе микропрограммы Intel PTT (Platform Trust Technology) вместо TPM.
    • Если вам нужна помощь в решении этой проблемы, обратитесь в службу технической поддержки Dell по следующей ссылке: Обратитесь в нашу службу технической поддержки.

Настройка TPM:

Проблемы с BIOS:

Проблемы с ключом восстановления:

Проблемы с Windows:

В начало


Точки отказа модуля TPM и способы их устранения:

TPM отображается в диспетчере устройств и на консоли управления TPM

Пункт Trusted Platform Module должен отображаться в разделе Устройства безопасности в Диспетчере устройств. Можно также проверить отображение на консоли управления TPM, выполнив следующие действия:

  1. Нажмите сочетание клавиш Windows + R на клавиатуре, чтобы открыть окно командной строки.
  2. Введите tpm.msc и нажмите клавишу ENTER на клавиатуре.
  3. Проверьте, что для модуля TPM на консоли управления отображается статус Готов.

Если модуль TPM не отображается в диспетчере устройств или не отображается со статусом «готов» на панели управления TPM, выполните следующие действия для устранения этой неполадки:

  1. Проверьте, что модуль TPM включен и активирован в BIOS, выполнив следующие действия и используя для справки снимок экрана настроек BIOS ниже (Рис. 2):
    • Перезагрузите компьютер и при появлении на экране логотипа Dell нажмите клавишу F2, чтобы войти в программу настройки системы.
    • Нажмите Безопасность в меню настроек.
    • Нажмите на пункт Безопасность для TPM 1.2 или Безопасность для TPM 2.0 в меню «Безопасность».
    • Убедитесь, что установлены флажки TPM включен и Активировать.
    • Также может потребоваться проверить, что для обеспечения полной функциональности TPM также установлены флажки Включить аттестацию и Включить хранилище ключей.
ПРИМЕЧАНИЕ. Если в BIOS нет раздела «TPM», проверьте свой заказ и убедитесь, что компьютер не был заказан с отключенным модулем TPM.

Пример параметров BIOS TPM
Рис. 2. Пример настроек BIOS для TPM

ПРИМЕЧАНИЕ. Указанные настройки могут отличаться в зависимости от модели компьютера, версии BIOS и версии модуля TPM.

Если модуль TPM по-прежнему не отображается в диспетчере устройств или не отображается со статусом «готов» на консоли управления TPM, очистите модуль TPM и обновите микропрограмму TPM до последней версии (если это возможно). Сначала может потребоваться отключить автоподготовку TPM (TPM Auto-Provisioning). Затем очистите модуль TPM, выполнив следующие действия:

  1. Нажмите клавишу Windows на клавиатуре и введите в поле поиска текст powershell.
  2. Нажмите правой кнопкой мыши на пункт PowerShell (x86) и выберите пункт Запуск от имени администратора.
  3. Введите следующую команду PowerShell: Disable-TpmAutoProvisioning и нажмите клавишу ENTER.
  4. Сравните результат Автоподготовка : отключено с Рис. 3:

    Отключенный параметр «Автоподготовка» для Powershell.
    Рис. 3. Отключенный параметр «Автоподготовка» для Powershell

  5. Откройте консоль управления TPM, нажав сочетание клавиш Windows + R на клавиатуре для вызова окна командной строки. Введите tpm.msc и нажмите клавишу ENTER.
  6. На правой панели «Действия» выберите пункт Очистить TPM...
  7. Перезагрузите компьютер и при появлении запроса нажмите клавишу F12 на клавиатуре, чтобы начать очистку TPM.

Затем установите последнее обновление микропрограммы для TPM, выполнив следующие действия:

  1. Перейдите на страницу веб-сайта службы поддержки Dell.
  2. Введите сервисный код или выполните поиск по своей модели компьютера, чтобы перейти на соответствующую страницу поддержки.
  3. На странице поддержки выберите в меню пункт Драйверы и загружаемые материалы.
  4. Выберите вкладку Найти самостоятельно и выберите используемую операционную систему (нажмите кнопку Изменить ОС для просмотра доступных операционных систем для вашего компьютера).
  5. Выберите категорию Безопасность в списке доступных драйверов.
  6. Найдите в меню пункт Утилита обновления микропрограммы Dell TPM 2.0 или Утилита обновления Dell TPM 1.2. Нажмите кнопку Просмотр сведений и просмотрите дополнительную информацию о файле и инструкции по установке для скачивания и установки обновления.

Если TPM по-прежнему не отображается в диспетчере устройств или не отображается с состоянием «готов» на консоли управления TPM, рекомендуется обратиться в службу технической поддержки Dell. Для устранения этой проблемы может потребоваться переустановка операционной системы.

Появляется сообщение «Модуль TPM включен, владелец не назначен».

Сообщение «Модуль TPM готов к использованию, но его функции ограничены» в TPM.msc

  • Чаще всего такая проблема возникает, если перед перезаписью образа не была выполнена очистка TPM.
  • Попробуйте для устранения этой проблемы очистить модуль TPM и установить последнюю версию микропрограммы TPM (выполнив действия, указанные в разделе выше).
  • Проверьте правильность настройки TPM в BIOS.
  • Если проблема не устраняется, необходимо очистить модуль TPM и перезагрузить Windows.

Убедитесь, что в TPM.msc отображается, что TPM включен и готов к использованию.

  • Модуль TPM работает нормально.
ПРИМЕЧАНИЕ. Dell не поддерживают программирование модуля TPM или изменение регистров для пользовательских конфигураций.

В начало


Точки отказа технологии BitLocker и способы их устранения:

Убедитесь, что операционная система поддерживает Bitlocker.

Используйте список операционных систем, которые поддерживают BitLocker, в разделе Что такое BitLocker? выше.

На консоли управления TPM (tpm.msc) проверьте, что доверенный платформенный модуль (TPM) включен и готов к использованию.

  • Если модуль TPM не готов к использованию, просмотрите раздел об устранении неисправностей TPM выше.

BitLocker запускается при включении компьютера

Если BitLocker запускается при включении компьютера, выполните следующие действия для устранения неисправности:

  • Запуск BitLocker при включении компьютера часто означает, что BitLocker работает нормально. Эта проблема может возникнуть вследствие одной из следующих причин:
    • Изменения в файлах ядра Windows
    • Изменения в BIOS
    • Изменения в модуле TPM
    • Изменения в шифрованном томе/загрузочной записи
    • Использование неправильных учетных данных
    • Изменения в аппаратной конфигурации

Перед внесением любых вышеуказанных изменений на компьютере рекомендуется приостановить работу BitLocker. Для приостановки работы BitLocker выполните следующие действия:

  1. Нажмите кнопку меню «Пуск» Windows, введите в поле поиска текст manage bitlocker и нажмите клавишу ENTER, чтобы открыть Консоль управления BitLocker.
  2. Нажмите «Приостановить защиту» для шифрованного жесткого диска (Рис. 4):

    Приостановка работы BitLocker
    Рис. 4. Приостановка работы BitLocker с консоли управления

  3. Когда появится окно запроса подтверждения приостановки BitLocker, нажмите кнопку Да (Рис. 5):

    Запрос приостановки работы Bitlocker
    Рис. 5. Запрос подтверждения приостановки BitLocker

  4. Внесите необходимые изменения на компьютере, затем вернитесь в консоль управления BitLocker и выберите Возобновить защиту, чтобы снова включить BitLocker (Рис. 6):

    Возобновление работы Bitlocker
    Рис. 6. Возобновление работы BitLocker с консоли управления

Чтобы предотвратить включение BitLocker при запуске после внесения изменений на компьютере, может потребоваться полностью отключить и затем снова включить шифрование Bitlocker. Чтобы отключить и включить шифрование BitLocker с консоли управления, выполните следующие действия:

  1. Нажмите кнопку меню «Пуск» Windows, введите в поле поиска текст manage bitlocker и нажмите клавишу ENTER, чтобы открыть Консоль управления BitLocker.
  2. Нажмите «Отключить BitLocker» (Рис. 7):

    Выключение BitLocker
    Рис. 7. Выключение BitLocker с консоли

  3. Нажмите кнопку «Отключить BitLocker» при появлении запроса подтверждения (Рис. 8):

    Подтверждение выключения BitLocker
    Рис. 8. Запрос подтверждения выключения BitLocker

  4. Разрешите компьютеру полностью дешифровать жесткий диск (Рис. 9):

    Экран статуса BitLocker
    Рис. 9. Экран статуса для шифрования BitLocker

  5. Когда дешифрование будет завершено, можно выбрать Включить BitLocker на консоли управления BitLocker, чтобы снова зашифровать диск.

BitLocker не возобновляет работу или не включается

Если BitLocker не возобновляет работу или не включается, выполните следующие действия для устранения этой проблемы:

  1. Проверьте, что на компьютере не выполнялось никаких изменений, перечисленных в списке выше. Выполните откат к состоянию до внесения изменений и проверьте, будет ли BitLocker включаться или возобновлять работу.
  2. Если проблема вызвана недавним изменением, приостановите работу BitLocker с консоли управления BitLocker и сделайте изменение еще раз.
  3. Если проблема не устраняется, проверьте, что установлены последние версии BIOS и микропрограммы TPM. Проверьте наличие последних версий на странице Драйверы и загружаемые материалы для вашего компьютера на веб-сайта службы поддержки Dell.
  4. Если BitLocker п-прежнему не возобновляет работу или не включается, переустановите операционную систему.

Потерян ключ восстановления BitLocker

Ключ восстановления BitLocker требуется для того, чтобы только авторизованный пользователь мог разблокировать ПК и восстановить доступ к зашифрованным данным. Если ключ восстановления потерян, Dell не может заменить его. Рекомендуется хранить ключ восстановления в безопасном местоположении с возможностью восстановления. Например, его можно хранить на флэш-накопителе, внешнем жестком диске, в сетевом местоположении (на сетевом диске, Active Directory/контроллере домена) или сохранить в учетной записи Microsoft.

Если вы никогда не шифровали систему, возможно, оно было выполнено с помощью автоматизированного процесса Windows, описанного в следующей статье базы знаний Dell: Автоматическое шифрование устройств Windows/BitLocker в системах Dell.

Технология BitLocker работает надлежащим образом

Если функция BitLocker включается и шифрует жесткий диск и не запускается при включении компьютера, то она работает надлежащим образом.

В начало


Дополнительные ресурсы

В начало








Article ID: HOW12395

Last Date Modified: 14/09/2019 00:48


Rate this article

Accurate
Useful
Easy to understand
Was this article helpful?
Yes No
Send us feedback
Comments cannot contain these special characters: <>()\
Sorry, our feedback system is currently down. Please try again later.

Thank you for your feedback.