Artikelnummer: 000103639
可信平台模块 (TPM) 是驻留在计算机内部的芯片,已焊接在戴尔计算机的系统主板上。TPM 的主要功能是安全地生成加密密钥,但还有其它功能。每块 TPM 芯片在生产时都在其中嵌入了唯一且机密的 RSA 密钥。
如果 BitLocker 或 Dell Data Security (DDS) 等安全功能使用 TPM,则在清除 TPM 或更换系统主板之前必须暂挂该安全功能。
TPM 有两种模式:1.2 和 2.0。TPM 2.0是一个新标准,它包括附加功能,例如附加的算法、支持多个受信任密钥和对应用程序的更广泛支持。使用 TPM 2.0 时,需要将 BIOS 设置为 UEFI 模式,而非 legacy。同时还需要 64 位版本的 Windows 操作系统。从 2017 年 3 月开始,所有戴尔 Skylake 平台都在 Windows 7、8 和 10 中支持 TPM 2.0 和 TPM 1.2 模式。Windows 7 需要 Windows 更新 KB2920188 才能支持 TPM 2.0 模式。要交换 TPM 上的模式,您必须刷新 TPM 的固件。下载链接可在戴尔驱动程序和下载网站的支持的计算机驱动程序页面下找到。
TPM 的规格由可信计算组进行管理。有关更多详细信息和文档,请参阅 https://trustedcomputinggroup.org/work-groups/trusted-platform-module/。
图 1:BIOS 中的 TPM 2.0 安全设置
有些戴尔笔记本电脑会配备 Intel 平台信任技术 (PTT)。此技术属于英特尔片上系统 (SoC) 的一部分。它是基于固件的 TPM 版本 2.0,其工作容量与独立 TPM 1.2 芯片相同。Windows TPM.msc 可以管理与独立 TPM 容量相同的 Intel PTT。
对于配备英特尔 PTT 的计算机,BIOS 中不提供 TPM 菜单选项。而 BIOS 的“Security”设置菜单下将显示“PTT Security”选项(图 2)。在禁用 Intel PTT 的计算机上尝试启用 BitLocker 时,可能会导致混淆。
图 2:BIOS 中的 PTT 安全性设置
根据英特尔,所有配备第 8 代或更高版本处理器的计算机都有英特尔 PTT。有关英特尔 PTT 的更多信息,请参阅可信平台模块 (TPM) 概览中的如何知道我的电脑是否已具有 TPM 2.0。要确定正在使用的 TPM 是独立 TPM 还是英特尔 PTT,请使用 TPM.msc 或 get-tpm
检查 TPM 制造商。有关更多信息,请参阅 如何确定 TPM 是独立 TPM 还是英特尔 PTT。
出于安全原因,您可能想知道 TPM 在计算机上的物理位置。TPM 可以是独立的,即主板上的物理芯片,也可以是固件,即处理器的一部分。由于英特尔第 8 代及更高版本的处理器包含英特尔平台可信技术(英特尔 PTT),因此它是位于固件中的集成 TPM。如需了解更多信息,请参阅可信平台模块 (TPM) 概览中的如何知道我的电脑是否已具有 TPM 2.0。
在计算机同时具有独立 TPM 和固件 TPM 的情况下,计算机仅使用独立 TPM。
您可以通过两种方法了解计算机正在使用哪个 TPM。无论使用哪种方法,都会显示 TPM 制造商。
tpm.msc
。
图 3:本地计算机上的 TPM 管理中的制造商名称
PowerShell
,右键单击,然后选择以管理员身份运行。get-tpm
然后按 Enter。ManufacturerIdTxt
显示 TPM 制造商。
图 4:ManufacturerIdTxt 字段 get-tpm
command
TPM 在 BIOS 中未正确显示或操作系统中重置 TPM 的常见解决方案。
重置 TPM 与清除 TPM 不同。在 TPM 重置期间,计算机将尝试重新检测 TPM 并保留存储在其中的数据。以下是在戴尔计算机上执行 TPM 重置的步骤:
只有使用从戴尔驱动程序和下载网站下载的固件,才能更改 TPM 1.2 和 2.0 模式。选择支持此功能的戴尔计算机。您可以使用如何确定 TPM 是独立 TPM 还是英特尔 PTT 中所述的方法确定计算机是否支持此功能。您还可以查看戴尔驱动程序和下载网站,以验证固件是否可用于在两种模式之间切换。如果未列出固件,则计算机不支持此功能。此外,TPM 必须处于 On and Enabled 状态才能刷新固件。
请按照以下步骤使用版本 1.2 或 2.0 固件刷新 TPM:
Disable-TpmAutoProvisioning
Enable-TpmAutoProvisioning
TPM.msc
接管 TPM。可以使用 TPM.msc
或 get-tpm
Windows PowerShell 中的命令(仅在 Windows 8 和 10 中受支持)检查 TPM 固件版本。使用 get-tpm
在 Windows 10 1607 和更低版本上仅显示固件的前 3 个字符(列为 ManufacturerVersion)(图 5)。Windows 10 1703 和更高版本将显示 20 个字符(列为 ManufacturerVersionFull20)(图 6)。
图 5: get-tpm
Windows 10 版本 1607 及更早版本中的命令
图 6: get-tpm
Windows 10 版本 1703 及更高版本中的命令
BitLocker 是一种完整的磁盘加密功能,在大多数 Windows 7、8、10 和 11 版本上可用(请参阅下面的列表,了解支持 BitLocker 的版本)。
有关启用 BitLocker 或设备加密的步骤,请参阅 Microsoft 支持文章 Windows 中的设备加密。
有几个原因会导致“TPM 缺失”问题。查看以下信息并验证您遇到的问题类型。此外,TPM 缺失可能是由一般 TPM 故障引起的,需要更换系统主板。这些类型的故障罕见,更换系统主板应该是对 TPM 缺失问题进行故障处理的最后一个方法。
受信任的平台模块应显示在设备管理器中的安全设备下。您也可以执行以下步骤来检查TPM管理控制台:
tpm.msc
然后按键盘上的 Enter。如果在“设备管理器”中看不到 TPM 或者其状态在“TPM Management Console”中未显示为 Ready,请按照以下步骤操作对问题进行故障处理:
图 7:TPM BIOS 设置示例
如果 TPM 仍未显示在“设备管理器”中或者仍未在“TPM 管理控制台”中显示为“就绪”状态,请清除 TPM 并更新到最新的 TPM 固件(如果可能)。您可能需要先禁用 TPM 自动配置,然后再按照以下步骤操作清除 TPM:
powershell
搜索框中键入。Disable-TpmAutoProvisioning
然后按 Enter。
图 8:自动配置:已禁用 PowerShell 设置
tpm.msc
然后按 Enter。接下来,执行以下步骤安装最新的 TPM 固件更新:
如果 TPM 仍未显示在“设备管理器”中或者仍未在“TPM 管理控制台”中显示为“就绪”状态,建议您联系戴尔技术支持。可能需要重新安装操作系统才能解决该问题。
参考上文什么是 BitLocker 部分中支持 BitLocker 的操作系统列表。
如果在启动时触发BitLocker,请按照下面建议的故障处理指导操作:
建议您先暂挂 BitLocker 再对计算机进行上述任何更改。要暂挂BitLocker,请执行以下步骤:
manage bitlocker
在搜索框中按 Enter 键以打开管理 BitLocker 控制台。
图 9:从管理控制台暂挂 BitLocker
图 10:暂挂 BitLocker 的消息提示
图 11:从管理控制台恢复 BitLocker
对计算机进行更改后,要防止在启动时触发 BitLocker,可能需要完全禁用 BitLocker 加密,然后再重新启用。要从管理控制台中禁用和启用BitLocker加密,请执行以下步骤:
manage bitlocker
在搜索框中键入,然后按 Enter 键以打开管理 BitLocker 控制台。
图 12:从控制台关闭 BitLocker
图 13:关闭 BitLocker 确认提示
图 14:BitLocker 加密的状态屏幕
如果 BitLocker 无法恢复或参与,请按照以下故障处理提示操作:
BitLocker 恢复密钥非常重要,用于确保只有授权的人员可以解锁您的个人计算机并恢复对加密数据的访问。如果恢复密钥丢失或忘记了它的存放位置,戴尔无法恢复或替换它。建议您将恢复密钥存放在安全且可恢复的位置。存放回复密钥的示例位置包括:
如果从未对计算机进行过加密,则系统可能会通过 Windows 自动流程执行加密。戴尔知识库文章戴尔计算机上的自动 Windows 设备加密或 BitLocker 对此进行了说明。
如果 BitLocker 参与并加密硬盘,并且在启动计算机时它未启用,则它工作正常。
以下是一些推荐的文章。
持续时间:02:57
隐藏式字幕:仅英文
持续时间:00:30
隐藏式字幕:仅英文
14 März 2024
18
How To