Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.

使用脚本或自动化执行来自戴尔的 TPM 固件更新

Summary: 有关自动化或使用脚本安装或管理 Dell TPM 固件更新的指南。

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content


Symptoms


如果您需要从戴尔获得有关 TPM 设备更新和管理的脚本或其他自动化功能,请参考本文中提供的信息和步骤。


TPM 自动化功能的常见问题

戴尔能否提供自动脚本来更新 TPM 固件或激活 TPM?

否。戴尔可提供更新 TPM 固件所需的步骤和实用程序,但无法提供脚本。由于每个环境都不同,所以客户需要自行编写脚本。

客户能否通过脚本完全自动完成 TPM 固件更新?

Latitude/Precision/OptiPlex 系统通过 PowerShell 和 Dell Command Configure (DCC) 的组合支持自动化功能。这是因为在这些型号上有一个名为“PPI 绕过清除”的附加功能。

我们建议编写 TPM 固件更新脚本的人员通过查看以下链接中的信息来熟悉 Win32_Tpm WMI 类:Win32_Tpm 类SLN309515_en_US__1iC_External_Link_BD_v1

哪些操作可以自动完成?

SLN309515_en_US__2icon 提醒:其中一些功能可能需要 BIOS 更新、Dell Command Configure 4.0 或更高版本以及设置 BIOS 管理员密码。
  • 启用 TPM:通过使用 Dell Command Configure“PPI Bypass Enable”选项,可实现自动化。
  • 禁用 TPM:通过使用 Dell Command Configure“PPI Bypass Disable”选项,可实现自动化。
  • 清除 TPM:通过使用 Dell Command Configure“PPI Bypass Clear”选项和 PowerShell 请求清除,可实现自动化。
    • Dell Command Configure 有一个清晰的列表,但这仅反映了 BIOS 中的选项,并且不会对系统进行清除
  • 更改哈希算法:通过 Dell Command Configure 可实现自动化。

是否有适用于 TPM 固件的无提示安装程序选项?

是的。在戴尔支持网站上发布的当前 TPM 固件版本支持使用 /s 开关,这将允许无提示安装。

如何查找 TPM 固件版本?

运行安装程序时可以看到 TPM 固件版本。通过它,您可以了解当前版本和您即将安装的版本。您也可以通过从以管理员身份运行的 Powershell 窗口中运行 get-tpm 命令来获取固件版本。

虽然 Windows 7 和更高版本可以使用 PowerShell 读取 TPM 固件版本,但它不会显示完整版本号。仅在 Windows 10 版本 1703 (RS2) 和更高版本中,您才能看到完整版本,并且仅适用于 2.0 模式的 TPM(图 1)。

SLN309515_en_US__3Windows 10 1703 TPM version
图 1:Windows 10 1703 显示 TPM 完整版本号


自动获取 TPM 所有权

默认情况下,戴尔在随附 Windows 10 的任何系统上启用 TPM。尚未启用 TPM 的系统可以通过在 Skylake 和 Kaby Lake 系统上编写脚本进行远程启用,方法是通过 Dell Command Configure 并将 BIOS 选项用于 PPI 绕过启用。

SLN309515_en_US__2icon 提醒:戴尔建议在使用 TPM 之前,更新 2017 年 11 月 13 日之前发货的任何 Skylake 或 Kaby Lake 系统上的 TPM 固件。

如果拥有 TPM,但禁用 Dell Command Configure 将无法启用 TPM。这是正常现象,并且是一项安全措施。在 2.0 模式下,此配置没有启用 TPM 的支持方法。在 1.2 模式下,必须使用 PowerShell 发送命令来启用和激活 TPM。示例:

(get-wmiObject -class Win32_Tpm -namespace root\cimv2\security\microsofttpm)。SetPhysicalPresenceRequest (22)


自动执行 TPM 固件更新

这些步骤可以通过编写脚本完成或通过 Dell Command Configure 和 PowerShell 的组合手动完成:

  1. 查看 TPM 固件版本,了解是否需要更新
    • PowerShell get-tpm 命令可用于验证当前版本。它可被发送到文件并进行解析,以验证是否有必要进行更新。
  2. 使用 TPM 暂停任何安全保护 — 示例暂停/解密 Bitlocker
    • 自动化方法因程序而异
  3. 根据需要禁用 Windows 自动配置(Windows 8/10)
    • PowerShell 命令:Disable-TpmAutoProvisioning
  4. 更新 BIOS — 确保添加了 PPI 绕过选项
  5. 使用 Dell Command Configure 设置 BIOS 密码
    • CCTK --SetupPwd=<BIOS Password>
  6. 使用 Dell Command Configure 启用 PPI 绕过清除
    • CCTK --TpmPpiClearOverride=Enabled --ValSetupPwd=<BIOS Password>
  7. 清除 TPM
    • 需要 PowerShell 命令,且无法通过 Dell Command Configure 完成
  8. 运行 TPM 固件更新
    • Dell TPM 固件更新可以使用“/s”开关以无提示方式运行
  9. 使用 Dell Command Configure 禁用 PPI 绕过清除
    • CCTK --TpmPpiClearOverride=Disabled --ValSetupPwd=<BIOS Password>
  10. 启用 Windows 自动配置,并在需要时重新启动或获得 TPM 的所有权
    • PowerShell 命令:Enable-TpmAutoProvisioning
  11. 启用任何基于 TPM 的安全保护,例如 Bitlocker

如何知道系统是否可以刷新到新的 TPM 固件?

戴尔为多种系统提供了不同的 TPM 解决方案。您可以通过访问戴尔支持站点并在“Drivers & Downloads”部分中查找型号,以验证系统是否支持 TPM 固件更新。在“Security”类别下将会列出 TPM 固件更新。

SLN309515_en_US__2icon 提醒:仅有限范围的 Skylake 和 Kaby Lake 系统同时支持 TPM 1.2 和 TPM 2.0 模式。要切换模式,您必须将固件刷新到正确的模式。任何未在“Drivers and Downloads”部分中列出的系统都不支持切换模式。

Article Properties


Affected Product

Security, Software

Last Published Date

21 Feb 2021

Version

3

Article Type

Solution