如果您需要从戴尔获得有关 TPM 设备更新和管理的脚本或其他自动化功能,请参考本文中提供的信息和步骤。
有关 TPM 自动化的常见问题解答
戴尔能否提供自动脚本来更新 TPM 固件或激活 TPM?
否。戴尔可提供更新 TPM 固件所需的步骤和实用程序,但无法提供脚本。由于每个环境都不同,所以客户需要自行编写脚本。
客户能否通过脚本完全自动完成 TPM 固件更新?
Latitude、Precision 和 OptiPlex 系统通过 PowerShell 和 Dell Command Configure (DCC) 的组合支持自动化。这是因为在这些型号上有一个名为“PPI 绕过清除”的附加功能。
我们建议编写 TPM 固件更新脚本的人员通过查看以下链接中的信息来熟悉 Win32_Tpm WMI 类:Win32_Tpm类。
哪些操作可以自动完成?
提醒:其中一些功能可能需要 BIOS 更新、Dell Command Configure 4.0 或更高版本以及设置 BIOS 管理员密码。
- 启用 TPM:通过使用 Dell Command Configure“PPI Bypass Enable”选项,可实现自动化。
- 禁用 TPM:通过使用 Dell Command Configure“PPI Bypass Disable”选项,可实现自动化。
- 清除 TPM:通过使用 Dell Command Configure“PPI Bypass Clear”选项和 PowerShell 请求清除,可实现自动化。
- Dell Command Configure 有一个清晰的列表,但这仅反映了 BIOS 中的选项,并且不会对系统进行清除
- 更改哈希算法:通过 Dell Command Configure 可实现自动化。
是否有适用于 TPM 固件的无提示安装程序选项?
是的。戴尔支持网站上发布的当前版本的 TPM 固件支持使用 /s 交换机,从而允许静默安装。
如何查找 TPM 固件版本?
运行安装程序时可以看到 TPM 固件版本。通过它,您可以了解当前版本和您即将安装的版本。您也可以通过从以管理员身份运行的 Powershell 窗口中运行 get-tpm 命令来获取固件版本。
虽然 Windows 7 和更高版本可以使用 PowerShell 读取 TPM 固件版本,但它不会显示完整版本号。仅在 Windows 10 版本 1703 (RS2) 和更高版本中,您才能看到完整版本,并且仅适用于 2.0 模式的 TPM(图 1)。
图 1:Windows 10 1703 显示 TPM 完整版本号
自动获取 TPM 所有权
默认情况下,戴尔在随附 Windows 10 的任何系统上启用 TPM。尚未启用 TPM 的系统可以通过在 Skylake 和 Kaby Lake 系统上编写脚本进行远程启用,方法是通过 Dell Command Configure 并将 BIOS 选项用于 PPI 绕过启用。
提醒:戴尔建议在使用 TPM 之前,更新 2017 年 11 月 13 日之前发货的任何 Skylake 或 Kaby Lake 系统上的 TPM 固件。
如果拥有 TPM,但禁用 Dell Command Configure 将无法启用 TPM。这是正常现象,并且是一项安全措施。在 2.0 模式下,此配置没有启用 TPM 的支持方法。在 1.2 模式下,必须使用 PowerShell 发送命令来启用和激活 TPM。
示例(get-wmiObject -class Win32_Tpm -namespace root\cimv2\security\microsofttpm)。SetPhysicalPresenceRequest (22)
自动执行 TPM 固件更新
这些步骤可以通过编写脚本完成或通过 Dell Command Configure 和 PowerShell 的组合手动完成:
- 查看 TPM 固件版本,了解是否需要更新
- PowerShell get-tpm 命令可用于验证当前版本。它可被发送到文件并进行解析,以验证是否有必要进行更新。
- 使用 TPM 暂停任何安全保护 — 示例暂停/解密 Bitlocker
- 根据需要禁用 Windows 自动配置(Windows 8/10)
- PowerShell 命令:Disable-TpmAutoProvisioning
- 更新 BIOS — 确保添加了 PPI 绕过选项
- 使用 Dell Command Configure 设置 BIOS 密码
- 使用 Dell Command Configure 启用 PPI 绕过清除
- CCTK --TpmPpiClearOverride=Enabled --ValSetupPwd=
- 清除 TPM
- 需要 PowerShell 命令,且无法通过 Dell Command Configure 完成
- 运行 TPM 固件更新
- Dell TPM 固件更新可以使用“/s”开关以无提示方式运行
- 使用 Dell Command Configure 禁用 PPI 绕过清除
- CCTK --TpmPpiClearOverride=Disabled --ValSetupPwd=
- 启用 Windows 自动配置,并在需要时重新启动或获得 TPM 的所有权
- PowerShell 命令:Enable-TpmAutoProvisioning
- 启用任何基于 TPM 的安全保护,例如 Bitlocker
如何知道系统是否可以刷新到新的 TPM 固件?
戴尔为多种系统提供了不同的 TPM 解决方案。您可以通过访问戴尔支持站点并在“Drivers & Downloads”部分中查找型号,以验证系统是否支持 TPM 固件更新。在“Security”类别下将会列出 TPM 固件更新。
提醒:仅有限范围的 Skylake 和 Kaby Lake 系统同时支持 TPM 1.2 和 TPM 2.0 模式。要切换模式,您必须将固件刷新到正确的模式。任何未在“Drivers and Downloads”部分中列出的系统都不支持切换模式。