Odstraňování a řešení běžných problémů s čipem TPM (Trusted Platform Module) a nástrojem BitLocker

Obsah

1. Co je čip TPM (Trusted Platform Module)
2. Co je technologie Intel Platform Trust Technology (PTT)
3. Které počítače Dell mají čip TPM nebo technologii Intel PTT
4. Jak zjistit, zda se jedná o samostatný čip TPM, nebo technologii Intel PTT
5. Jak resetovat čip TPM bez ztráty dat
6. Jak aktualizovat firmware čipu TPM a měnit režimy čipu TPM
7. Co je nástroj BitLocker
8. Běžné problémy s čipem TPM a nástrojem BitLocker a jejich řešení
9. Chyby čipu TPM a jejich řešení
10. Chyby nástroje BitLocker a jejich řešení
11. Doplňující informace

Co je čip TPM (Trusted Platform Module)

Trusted Platform Module (TPM) je čip, který je připájen k základní desce počítačů Dell. Hlavním účelem čipu TPM je bezpečné generování šifrovacích klíčů, má však také další funkce. Do každého čipu TPM je při výrobě integrován jedinečný tajný klíč RSA.

Pokud čip TPM využívají bezpečnostní funkce jako BitLocker nebo Dell Data Security (DDS), před vymazáním čipu TPM nebo výměnou základní desky je nutné zabezpečení deaktivovat.

Čipy TPM mají dva režimy – 1.2 a 2.0. TPM 2.0 je nový standard, který zahrnuje doplňkové funkce, jako jsou například nové algoritmy, podpora více důvěryhodných klíčů a rozšířená podpora aplikací. Čip TPM 2.0 vyžaduje nastavení systému BIOS na režim UEFI namísto režimu Legacy. Vyžaduje také 64bitovou verzi systému Windows. Od března 2017 podporují všechny platformy Dell Skylake v systémech Windows 7, 8 a 10 režimy TPM 2.0 a TPM 1.2. Systém Windows 7 vyžaduje pro podporu režimu TPM 2.0 aktualizaci systému Windows KB2920188. K přepnutí režimu čipu TPM je nutné aktualizovat firmware čipu TPM. Odkazy ke stažení naleznete na stránce s ovladači podporovaných počítačů na webové stránce Ovladače a soubory ke stažení společnosti Dell .

Skupina Trusted Computing Group spravuje specifikace čipu TPM. Další podrobnosti a dokumentaci naleznete na adrese https://trustedcomputinggroup.org/work-groups/trusted-platform-module/ .

Co je technologie Intel Platform Trust Technology (PTT)

Některé notebooky Dell jsou vybaveny technologií Intel Platform Trust (PTT). Tato technologie je součástí systému na čipu (SoC) Intel. Jedná se o technologii TPM verze 2.0 založenou na firmwaru, která může fungovat stejně jako samostatný čip TPM 1.2. Windows TPM.msc dokáže spravovat Intel PTT ve stejné funkci jako samostatný modul TPM.

U počítačů vybavených technologií Intel PTT není možnost nabídky TPM v systému BIOS k dispozici. Místo toho se v nabídce Security settings v systému BIOS zobrazí možnost PTT Security. To může být matoucí při pokusu o povolení nástroje BitLocker v počítači, kde je technologie Intel PTT zakázána.

Které počítače Dell mají čip TPM nebo technologii Intel PTT

Podle společnosti Intel mají všechny počítače s procesorem Intel PTT osmé generace nebo novějším. (Další informace o technologii Intel PTT naleznete v části Jak poznám, zda můj počítač již má modul TPM 2.0 v přehledu čipu TPM (Trusted Platform Module) . Chcete-li zjistit, zda se jedná o samostatný modul TPM nebo Intel PTT, použijte jednu z následujících možností: TPM.msc nebo get-tpm ke kontrole výrobce čipu TPM. Další informace naleznete v části Jak zjistit, zda se jedná o samostatný čip TPM, nebo technologii Intel PTT.

Jak zjistit, zda se jedná o samostatný čip TPM, nebo technologii Intel PTT

Z bezpečnostních důvodů může být důležité znát fyzické umístění čipu TPM v počítači. Čip TPM může být buď samostatný v podobě fyzického čipu na základní desce, nebo může být firmwarový jako součást procesoru. Vzhledem k tomu, že procesory Intel osmé generace a vyšší obsahují technologii Intel PTT (Intel Platform Trusted Technology), což je integrovaný modul TPM obsažený ve firmwaru. Další informace naleznete v části Jak poznám, zda můj počítač již má modul TPM 2.0 v přehledu čipu TPM (Trusted Platform Module) .

V případech, kdy má počítač samostatný i firmwarový čip TPM, bude používat pouze samostatný čip TPM.

Existují dva způsoby, jak zjistit, který čip TPM počítač používá. Bez ohledu na použitou metodu se zobrazí výrobce čipu TPM.

• Pokud je v poli Výrobce čipu TPM uvedeno STM nebo NTC, počítač používá samostatný čip TPM od společnosti STMicro, resp. Nuvoton.
• Pokud je v poli Výrobce čipu TPM uvedeno INTC, počítač používá firmwarový čip TPM.

1. způsob – tpm.msc

1. Otevřete nabídku Start.
2. Vyhledejte a otevřete tpm.msc.
3. V okně Správa čipu TPM v místním počítači, které se otevře, vyhledejte název výrobce čipu TPM.

2. metoda – Příkaz v prostředí PowerShell se zvýšenými oprávněními

1. Vyhledejte PowerShell, pravým tlačítkem klikněte na výsledek a vyberte možnost Spustit jako správce.
2. Zadáním get-tpm a poté stiskněte Enter.
3. Skript ManufacturerIdTxt zobrazuje výrobce čipu TPM.

Jak resetovat čip TPM bez ztráty dat

Běžným řešením problému, kdy čip TPM není rozpoznán v systému BIOS nebo operačním systému, je resetování čipu TPM.

Resetování čipu TPM není stejné jako vymazání čipu TPM. Během resetování čipu TPM se počítač pokusí znovu zjistit čip TPM a uchovat data, která jsou v jeho paměti uložena. Zde je postup resetování čipu TPM v počítači Dell:

Pro notebooky

1. Odpojte napájecí adaptér, vypněte počítač a odpojte všechna zařízení USB.
2. Zapněte počítač a stisknutím klávesy F2 přejděte do systému BIOS nebo nastavení systému.
   • Je v části Security dostupná položka TPM? Pokud ano, nejsou třeba žádné další kroky.
   • Pokud položka TPM není v části Security k dispozici, postupujte následovně.
3. Pokud položka TPM není k dispozici, vypněte počítač a odpojte baterii (pokud je baterie vyjímatelná).
4. Odstraňte zbytkový náboj stisknutím a podržením tlačítka napájení po dobu více než 60 sekund.
5. Připojte baterii (pokud je baterie vyjímatelná), napájecí adaptér a zapněte počítač.

Pro stolní počítače a počítače All-in-One

1. Vypněte počítač a odpojte napájecí kabel ze zadní strany počítače.
2. Odstraňte zbytkový náboj stisknutím a podržením tlačítka napájení po dobu více než 60 sekund.
3. Připojte napájecí kabel k zadní straně počítače a zapněte počítač.

Jak aktualizovat firmware čipu TPM a měnit režimy čipu TPM

Režimy TPM 1.2 a 2.0 je možné měnit pouze pomocí firmwaru staženého z webových stránek Ovladače a soubory Dell ke stažení. Vybrané počítače Dell tuto funkci podporují. Pomocí metod uvedených v části Jak zjistit, zda se jedná o samostatný čip TPM, nebo technologii Intel PTT zjistíte, zda počítač tuto funkci podporuje. Na webu Ovladače a soubory Dell ke stažení můžete také ověřit, zda je k dispozici firmware pro přepínání mezi oběma režimy. Pokud firmware na stránce není uvedený, pak počítač tuto funkci nepodporuje. Aby navíc bylo možné firmware aktualizovat, je nutné, aby byl čip TPM zapnutý a povolený.

Při aktualizaci čipu TPM na firmware verze 1.2 nebo 2.0 postupujte následovně:

1. V systému Windows:
   1. Pozastavte nástroj BitLocker nebo jiný šifrovací či bezpečnostní program využívající čip TPM.
   2. V případě nutnosti vypněte automatické zřizování systému Windows (Windows 8 nebo 10).
      1. Příkaz PowerShell: Disable-TpmAutoProvisioning
   3. Restartujte počítač a přejděte do systému BIOS.
2. Na obrazovce systému BIOS:
   1. Přejděte do části Security a poté na stránku TPM/Intel PTT.
   2. Zaškrtněte pole Clear TPM a klikněte na tlačítko Apply ve spodní části obrazovky.
   3. Pomocí tlačítka Exit restartujte počítač do systému Windows.
3. V systému Windows:
   1. Spusťte aktualizaci firmwaru TPM.
      1. Počítač se automaticky restartuje a zahájí aktualizaci firmwaru.
      2. Během aktualizace počítač NEVYPÍNEJTE.
   2. Restartujte počítač do systému Windows a povolte automatické zřizování systému Windows, je-li k dispozici.
   3. Příkaz PowerShell: Enable-TpmAutoProvisioning
   4. Pokud používáte systém Windows 7, použijte TPM.msc k převzetí vlastnictví čipu TPM.
   5. Znovu restartujte počítač a povolte šifrování, které používá čip TPM.

Verzi firmwaru čipu TPM lze zkontrolovat pomocí TPM.msc nebo příkazu get-tpm v prostředí Windows PowerShell (podporováno pouze v systémech Windows 8 a 10). Použití get-tpm v systému Windows 10 1607 a starších zobrazuje pouze první tři znaky firmwaru (uvedené jako ManufacturerVersion).

Windows 10 1703 a novější zobrazuje 20 znaků (uvedených jako ManufacturerVersionFull20).

Co je nástroj BitLocker

BitLocker je funkce pro šifrování celého disku, která je k dispozici pro většinu verzí systémů Windows 7, 8, 10 a 11 (níže naleznete úplný seznam vydání systému, která podporují nástroj BitLocker).

• Windows 7 Enterprise
• Windows 7 Ultimate
• Windows 8 Pro
• Windows 8 Enterprise
• Windows 10 Pro
• Windows 10 Enterprise
• Windows 10 Education
• Windows 11 Pro
• Windows 11 Enterprise
• Windows 11 Education

Postup povolení nástroje BitLocker nebo funkce Šifrování zařízení naleznete v článku podpory společnosti Microsoft Šifrování zařízení ve Windows .

Běžné problémy s čipem TPM a nástrojem BitLocker a jejich řešení

Chybějící čip TPM

Chyba s chybějícím čipem TPM má několik příčin. Níže jsou uvedeny některé možné problémy. Pokud tyto možnosti nelze použít a čip TPM chybí, pokračujte níže uvedeným postupem odstraňování problémů s čipem TPM.

Běžné příčiny

1. Původní problém s chybějícím čipem TPM zjištěný u čipu Nuvoton 650
   • Vyřešeno ve verzi firmwaru 1.3.2.8 pro režim 2.0, respektive 5.81.2.1 pro režim 1.2
2. Čip Nuvoton 650 chybí po aktualizaci firmwaru 1.3.2.8
   • Vyskytuje se pouze u počítačů Precision 5510, Precision 5520, XPS 9550 a XPS 9560.
   • Vyřešeno v srpnu 2019 pomocí aktualizace systému BIOS pro počítače XPS a Precision.
   • Pokud potřebujete další pomoc s tímto problémem, kontaktujte technickou podporu společnosti Dell.
3. Chybějící čip Nuvoton 750 v systému BIOS
   • Vyřešeno aktualizací firmwaru 7.2.0.2
   • Pokud potřebujete další pomoc s tímto problémem, kontaktujte technickou podporu společnosti Dell.
4. Na systému není nakonfigurován čip TPM
   • Systémy se mohou namísto s čipem TPM dodávat s technologií Intel PTT využívající čipy TPM na bázi firmwaru.
   • Pokud potřebujete další pomoc s tímto problémem, kontaktujte technickou podporu společnosti Dell.

Postup odstraňování problémů s modulem TPM

1. Aktualizujte systém BIOS na nejnovější verzi dostupnou na webu Ovladače a soubory Dell ke stažení.
2. Vypněte počítač, poté odpojte napájecí kabel a ponechte počítač odpojený po dobu asi 30 sekund.
3. Znovu k počítači připojte napájecí adaptér a pomocí jednorázové spouštěcí nabídky F12 spusťte nastavení systému BIOS.
   Poznámka: Chcete-li se ujistit, že je čip TPM zapnutý, musíte přejít do nastavení systému stisknutím klávesy F2. Poté přejděte do části Security (Zabezpečení ) a zkontrolujte, jestli je položka TPM v nastaveních zabezpečení TPM nastavena na možnost On (Zapnuto ).
4. Pokud je čip TPM obnoven, pokračujte normálním provozem.
5. Jestliže čip TPM v nastavení systému BIOS stále chybí, požádejte o další pomoc technickou podporu Dell .

Nastavení čipu TPM

• Používání skriptování nebo automatizace k aktualizaci firmwaru čipu TPM od společnosti Dell
• Video YouTube – Dell Client Configuration Toolkit (CCTK) – Aktivace čipu TPM
• Jak úspěšně aktualizovat firmware čipu TPM v počítači Dell

Problémy se systémem BIOS

• Aktualizace systému BIOS v systémech Dell s aktivovaným nástrojem BitLocker

Problémy s obnovovacím klíčem

• Automatické šifrování zařízení Windows nebo nástroj BitLocker v počítačích Dell
• Nástroj BitLocker vyžaduje obnovovací klíč, který se nedaří najít
• Nástroj BitLocker žádá o obnovovací klíč při každém spuštění na počítačích vybavených porty USB-C nebo rozhraním Thunderbolt, ať je systém umístěn v dokovací stanici nebo není
• Jak odblokovat nástroj BitLocker, když přestane přijímat obnovovací klíče

Problémy se systémem Windows

• Provedení upgradu/downgradu čipu Trusted Platform Module (TPM) v operačním systému Windows 10

Chyby čipu TPM a jejich řešení

Zobrazení čipu TPM ve Správci zařízení a Konzole pro správu čipu TPM

Čip Trusted Platform Module je ve Správci zařízení uveden v části Zabezpečovací zařízení. Stav Konzoly pro správu čipu TPM můžete zkontrolovat také následujícím způsobem:

1. Spusťte příkazový řádek stisknutím kombinace kláves Windows + R.
2. Zadáním tpm.msc a stiskněte Enter.
3. Zkontrolujte, zda je v Konzoli pro správu TPM u čipu TPM uveden stav Připraveno.

Pokud se čip TPM nezobrazuje ve Správci zařízení nebo je v Konzoli pro správu čipu TPM uveden jako „Připraveno“, vyřešte problém následujícím způsobem:

1. Ověřte, zda je čip TPM povolen a aktivován v systému BIOS, pomocí níže uvedených kroků a ukázkového obrázku nastavení systému BIOS:
   1. Restartujte počítač a jakmile se zobrazí obrazovka s logem Dell, stisknutím klávesy F2 přejděte do systému BIOS nebo nastavení systému.
   2. V nabídce Settings klikněte na možnost Security.
   3. V nabídce Security klikněte na možnost TPM 1.2 Security nebo TPM 2.0 Security.
   4. Zkontrolujte, že jsou zaškrtnuty možnosti TPM On a Activate.
   5. Zkontrolujte, zda správně TPM funguje u možností Attestation Enable a Key Storage Enable.

Pokud se čip TPM ve Správci zařízení stále nezobrazuje nebo je v Konzoli pro správu čipu TPM označen jako „Připraveno“, vymažte čip TPM a pokud je to možné, aktualizujte firmware čipu TPM na nejnovější verzi. Nejprve může být nutné zakázat funkci TPM Auto-Provisioning a poté pomocí následujícího postupu vymazat čip TPM:

1. Stiskněte klávesu Windows a do pole pro vyhledávání zadejte powershell .
2. Klikněte pravým tlačítkem na položku PowerShell (x86) a vyberte možnost Spustit jako správce.
3. Zadejte následující příkaz PowerShell: Disable-TpmAutoProvisioning a stiskněte Enter.
4. Ověřte, že je možnost AutoProvisioning nastavena na hodnotu Disabled.

   

5. Spusťte Konzoli pro správu čipu TPM: stisknutím kláves Windows + R spusťte příkazový řádek. Zadáním tpm.msc a stiskněte Enter.
6. V části Akce na pravé straně vyberte možnost Vymazat TPM.
7. Restartujte počítač a po zobrazení výzvy k vymazání čipu TPM stiskněte klávesu F12.

Poté podle následujícího postupu aktualizujte firmware čipu TPM na nejnovější verzi:

1. Přejděte na webovou stránku Ovladače a soubory ke stažení společnosti Dell.
2. Zadejte výrobní číslo nebo vyhledejte model svého počítače a přejděte na příslušnou stránku podpory.
3. Klikněte na kartu Ovladače a soubory ke stažení a vyberte správný operační systém (pro zobrazení dostupných operačních systémů pro váš počítač klikněte na možnost Operační systém).
4. V dostupné nabídce ovladače vyberte kategorii Zabezpečení.
5. Vyhledejte v nabídce položku Nástroj pro update firmwaru Dell TPM 2.0 nebo Nástroj pro aktualizaci Dell TPM 1.2. Kliknutím na odkaz Zobrazit podrobnosti zobrazíte další informace o souboru. Pomocí odkazu Pokyny k instalaci budete moci stáhnout a nainstalovat aktualizaci.

Pokud se ve Správci zařízení stále nezobrazuje čip TPM nebo je v Konzoli pro správu čipu TPM uveden jako „Připraveno“, kontaktujte technickou podporu společnosti Dell. Pro vyřešení problému může být nutné přeinstalovat operační systém.

Zobrazí se následující zpráva: „Čip TPM je zapnutý a vlastnictví nebylo převzato“

• U systému Windows 7: Inicializujte čip TPM .
• U systému Windows 10: Enable-TpmAutoProvisioning .

Zpráva "TPM is ready for use, with reduced functionality" v TPM.msc.

• K tomuto problému dochází, pokud v počítači obnovíte bitovou kopii, aniž byste vymazali čip TPM.
• Pokuste se problém vyřešit vymazáním čipu TPM a instalací nejnovějšího firmwaru čipu TPM (podle kroků uvedených výše).
• Zkontrolujte systém BIOS a ověřte, že nastavení čipu TPM jsou správná.
• Pokud problém přetrvává, vymažte čip TPM a znovu načtěte systém Windows.

Ujistěte se, že se čip TPM zobrazuje v konzoli TPM.msc jako „Zapnuto“ a „Připraven k použití“

• Čip TPM funguje.

Chyby nástroje BitLocker a jejich řešení

Ověřte, zda váš operační systém podporuje nástroj BitLocker

Ve výše uvedené části Co je nástroj BitLocker? naleznete seznam operačních systémů, které podporují nástroj BitLocker.

Ověřte, zda je čip TPM povolen a připraven k použití v konzoli pro správu čipu TPM (tpm.msc).

• Pokud čip TPM není připraven k použití, přečtěte si výše uvedenou část týkající se odstraňování problémů s čipem TPM.

Nástroj BitLocker zobrazuje výzvu při spuštění.

Pokud nástroj BitLocker při spuštění vyzývá k jeho spuštění, postupujte podle níže uvedených doporučených pokynů k odstraňování problémů:

• Výzvy k zadání nástroje BitLocker při spuštění počítače často znamenají, že nástroj BitLocker funguje tak, jak byl navržen. Příčinu problému můžete zařadit do jedné z následujících kategorií:
  • Změny základních souborů systému Windows
  • Změny systému BIOS
  • Změny čipu TPM
  • Změny šifrovaného svazku nebo spouštěcího záznamu
  • Použití nesprávných přihlašovacích údajů
  • Změny konfigurace hardwaru

Před prováděním výše uvedených změn doporučujeme nástroj BitLocker pozastavit. Pro pozastavení nástroje BitLocker pokračujte podle následujícího postupu:

1. Klikněte na tlačítko Start, do vyhledávacího pole zadejte výraz manage bitlocker a stisknutím klávesy Enter otevřete konzoli pro správu nástroje BitLocker.
2. Klikněte na možnost Pozastavit ochranu šifrovaného pevného disku:
   
3. Ve zobrazené zprávě klikněte na tlačítko Ano a nástroj BitLocker pozastavíte:
   
4. Po provedení změn v počítači se vraťte do správy nástroje BitLocker a výběrem možnosti Pokračovat v ochraně nástroj BitLocker povolte:
   

Chcete-li zabránit spuštění nástroje BitLocker při spuštění po změně nastavení počítače, před opětovným povolením šifrování BitLocker zcela zakažte. Chcete-li zakázat a povolit šifrování BitLocker z konzole pro správu, postupujte podle následujících kroků:

1. Klikněte na tlačítko Start a do pole pro vyhledávání zadejte výraz manage bitlocker , poté stisknutím klávesy Enter otevřete konzoli pro správu nástroje BitLocker.
2. Klikněte na možnost Vypnout nástroj BitLocker.
   
3. Po zobrazení výzvy klikněte na možnost Vypnout nástroj BitLocker .
   
4. Povolte počítači úplné dešifrování pevného disku.
   
5. Po dokončení dešifrování můžete v okně pro správu nástroje BitLocker zvolit možnost Zapnout nástroj BitLocker a pevný disk znovu zašifrovat.

Nástroj BitLocker nemůže pokračovat nebo se aktivovat

Pokud nástroj BitLocker nemůže obnovit své funkce nebo se neaktivuje, postupujte podle níže uvedených tipů k odstraňování problémů:

1. Ověřte, zda jste v poslední době neprovedli v počítači žádné změny ze seznamu výše. Pokud jste nějaké změny provedli, vraťte počítač zpět do stavu před provedením dané změny a zkontrolujte, zda se nástroj BitLocker spustí nebo obnoví.
2. Pokud problém způsobují nedávné změny, pozastavte nástroj BitLocker z okna pro správu a proveďte změny znovu.
3. Pokud problém přetrvává, ověřte, zda je nainstalována nejnovější verze systému BIOS a firmwaru čipu TPM. Nejnovější verze naleznete na webu Ovladače a soubory Dell ke stažení.
4. Pokud nástroj BitLocker stále není schopen obnovit své funkce nebo se aktivovat, přeinstalujte operační systém.

Ztracený obnovovací klíč nástroje BitLocker

Obnovovací klíč nástroje BitLocker zajišťuje, že odemknout počítač a obnovit přístup k šifrovaným datům může pouze pověřená osoba. Pokud obnovovací klíč ztratíte nebo zapomenete, společnost Dell vám jej nemůže obnovit ani znovu poskytnout. Doporučujeme obnovovací klíč uložit na bezpečné místo, kde jej v případě potřeby budete moci znovu získat. Příklady míst pro uložení obnovovacího klíče:

• USB flash disk,
• externí pevný disk,
• Síťové umístění (mapované jednotky, řadič služby Active Directory, řadič domény atd.)
• uložení na váš účet Microsoft.

Pokud jste počítač nikdy nešifrovali, je možné, že šifrování bylo provedeno prostřednictvím automatizovaného procesu systému Windows. To je vysvětleno v článku znalostní databáze Dell Automatické šifrování zařízení Windows / nástroj BitLocker v počítačích Dell.

Správné fungování nástroj BitLocker

Pokud se nástroj BitLocker správně spouští a šifruje pevný disk a přitom se neaktivuje při spouštění počítače, funguje správně.