Indholdsfortegnelse
- Hvad er et Trusted Platform Module (TPM)?
- Hvad er Intel Platform Trust Technology (PTT)?
- Hvilke Dell-computere har TPM eller Intel PTT?
- Sådan nulstiller du TPM uden at miste data?
- Sådan flasher du TPM-firmwaren og skifter TPM-tilstande.
- Hvad er BitLocker?
- Almindelige TPM- og BitLocker-problemer og -løsning
- TPM-fejlkilder og fejlfinding
- BitLocker-fejlkilder og fejlfinding
- Yderligere oplysninger
Hvad er et Trusted Platform Module (TPM)
Et Trusted Platform Module (TPM) er en chip, der sidder i en computer og er loddet på systemkortet på Dell-computere. En TPM's primære funktion er at generere kryptografiske nøgler sikkert, men den har også andre funktioner. Hver TPM-chip har en unik og hemmelig RSA-nøgle, som er integreret i den under produktionen.
Hvis en TPM bruges til sikkerhedsfunktioner som f.eks. BitLocker eller Dell Data Security (DDS), skal denne sikkerhedslås åbnes, før TPM'en fjernes, eller systemkortet udskiftes.
TPM'er har to tilstande, 1.2 og 2.0. TPM 2.0 er en ny standard, der har ekstra funktioner såsom yderligere algoritmer, understøttelse af flere betroede nøgler og bredere understøttelse af programmer. TPM 2.0 kræver, at du indstiller BIOS til UEFI-tilstand i stedet for ældre tilstand. Det kræver også en 64-bit version af Windows. Fra og med marts 2017 understøtter alle Dell Skylake-platforme TPM 2.0- og TPM 1.2-tilstand i Windows 7, 8 og 10. Windows 7 kræver, at Windows Update KB2920188 for at kunne understøtte TPM 2.0-tilstand. Før du kan skifte mellem tilstandene på en TPM, skal du flashe firmwaren for TPM. Downloadlinks kan findes på siden med understøttede computeres drivere på Dells websted Drivere og downloads .
Trusted Computing Group administrerer specifikationerne på TPM. Du kan finde flere oplysninger og dokumentation i https://trustedcomputinggroup.org/work-groups/trusted-platform-module/.
Figur 1: TPM 2.0-sikkerhedsindstilling i BIOS
Nogle af Dells bærbare pc'er er udstyret med Intel Platform Trust Technology (PTT). Denne teknologi er en del af Intel System on Chip (SoC). Det er en firmwarebaseret TPM-version 2.0, der kan fungere på samme måde som den diskrete TPM 1.2-chip. Windows TPM.msc kan administrere Intel PTT på samme måde som den diskrete TPM.
På computere udstyret med Intel PTT er TPM-menuindstillingen ikke tilgængelig i BIOS. I stedet vises valgmuligheden PTT-sikkerhed nu under menuen Sikkerhedsindstillinger i BIOS (Figur 2). Dette kan skabe forvirring, når du forsøger at aktivere BitLocker på en computer, hvor Intel PTT er deaktiveret.
Figur 2: PTT-sikkerhedsindstilling i BIOS
BEMÆRK: Nogle Latitude-, XPS- og Inspiron-computere leveres med Intel PTT.
- Latitude – Latitude 13, hele E-serien, XT2, XT2 XFR, XT3, Latitude 13, Latitude 10
- OptiPlex – Alle stationære OptiPlex-pc'er fra 60-serien (560, 760, 960) og nyere modeller
- Precision Mobile – alle mobile Precision-arbejdsstationer fra x400-serien (M2400, M4400, M6400) og nyere modeller
- Precision WorkStation – Alle Precision-arbejdsstationer fra x500-serien (T3500, T5500, T7500) og nyere modeller
- XPS og Alienware – Ultrabooks og forsendelsescomputere
- Vostro - Alle Vostro-computere fra x20-serien (1220, 1320, 1520, 1720) og nyere modeller
- Venue – Alle venue-tablets
TPM-type |
Understøttede TPM-tilstande |
Ny firmware tilgængelig |
Understøttede platforme |
ÆLDRE TPM'er (flere leverandører) |
1.2 |
Nej |
Alle computere frem til Skylake-processorgenerationen |
Nuvoton 650 (også kaldet 65x) |
1.2, 2.0 |
Ja (1.3.2.8 for 2.0-tilstand og 5.81.2.1 for 1.2-tilstand) |
Latitude xx70/xx80, Precision xx10/xx20, OptiPlex xx40/xx50, Precision Txx10/Txx20 |
Nuvoton 750 (også kaldet 75x) |
2.0 |
Ja (7.2.0.2) |
Latitude xx90, Precision xx30, OptiPlex xx60, Precision Txx30 |
Intel PTT |
2.0 |
Nej (del af BIOS) |
Dell-forbrugercomputermodeller og visse Latitude- og XPS-tablets |
STMicro |
2.0 |
Nej (Aktuel er 74.8.17568.5511) |
Latitude xx00 (generation 10) |
Tabel 1: TPM- eller Intel PTT-understøttelse på Dell-computere
En fælles løsning til et TPM, der ikke vises korrekt i BIOS eller operativsystemet, er at nulstille TPM.
Nulstilling af TPM er ikke det samme som rydning af TPM. Under en TPM-nulstilling forsøger computeren at genfinde TPM'en og bevare de data, der findes i den. Her er trinene til at udføre en TPM-nulstilling på din Dell-computer:
For bærbare pc'er
- Fjern vekselstrømsadapteren, sluk for computeren, og frakobl alle USB-enheder.
- Tænd for computeren, og tryk på F2-tasten for at åbne BIOS eller Systemopsætning.
- Er TPM tilgængelig under sikkerhed? Hvis ja, er der ikke behov for yderligere trin.
- Hvis TPM ikke er til stede, skal du slukke computeren og frakoble batteriet (hvis batteriet er udtageligt).
- Aflad statisk strøm ved at holde tænd/sluk-knappen nede i mere end 60 sekunder.
- Tilslut batteriet (hvis batteriet er udtageligt), AC-adapteren, og tænd computeren.
Til stationære pc'er og All-In-One-pc'er
- Sluk for computeren, og tag strømkablet ud bag på computeren.
- Aflad statisk strøm ved at holde tænd/sluk-knappen nede i mere end 60 sekunder.
- Tilslut strømkablet til bagsiden af computeren, og tænd for computeren.
TPM 1.2- og 2.0-tilstande kan kun ændres ved hjælp af firmware, der er downloadet fra Dells websted Drivere og downloads . Udvalgte Dell-computere understøtter denne funktion. Du kan bruge tabellen i afsnittet ovenfor til at afgøre, om en computer understøtter denne funktion. Du kan også gå til Dells websted Drivere og downloads for at kontrollere, om firmwaren er tilgængelig til at skifte mellem de to tilstande. Hvis firmwaren ikke er på listen, understøtter en computer ikke denne funktion. Derudover skal TPM være tændt og aktiveret for at kunne flashe firmwaren.
BEMÆRK: Flash aldrig computerens TPM med firmwaren fra en anden computer. Dette kan resultere i beskadigelse af TPM’en.
Følg disse trin for at flashe TPM med firmwareversion 1.2 eller 2.0:
- I Windows:
- Suspender BitLocker eller et andet krypterings- eller sikkerhedsprogram, der er afhængig af TPM'en.
- Deaktivere Windows Auto Provisioning, hvis det er nødvendigt (Windows 8 eller 10).
- PowerShell-kommando:
Disable-TpmAutoProvisioning
- Genstart computeren, og gå ind i BIOS.
- På BIOS-skærmen:
- Gå til Sikkerhed , og klik derefter på siden TPM/Intel PTT .
- Marker afkrydsningsfeltet Ryd TPM , og vælg derefter knappen Anvend nederst.
- Vælg knappen Afslut for at genstarte i Windows.
- I Windows:
- Kør TPM-firmwareopdateringen.
- Computeren genstarter automatisk og begynder at flashe firmwaren.
- Sluk IKKE for computeren under denne opdatering.
- Genstart computeren i Windows, og aktiver Windows Auto Provisioning, hvis det er relevant.
- PowerShell-kommando:
Enable-TpmAutoProvisioning
- Hvis du kører Windows 7, skal du bruge
TPM.msc
for at overtage ejerskabet af TPM'en.
- Genstart computeren igen, og aktiver al kryptering, der bruger TPM.
TPM-firmwareversionen kan kontrolleres ved hjælp af TPM.msc
eller get-tpm
kommando i Windows PowerShell (understøttes kun i Windows 8 og 10). Bruge get-tpm
på Windows 10 1607 og tidligere viser kun de første tre tegn i firmwaren (angivet som ManufacturerVersion) (Figur 3). Windows 10 1703 og nyere vil vise 20 tegn (angivet som ManufacturerVersionFull20) (Figur 4).
Figur 3: get-tpm
kommando i Windows 10, version 1607 og tidligere
Figur 4: get-tpm
kommando i Windows 10, version 1703 og nyere
BitLocker er en fuld diskkrypteringsfunktion, der er tilgængelig i de fleste versioner af Windows 7, 8 og 10 (se listen nedenfor for versioner, der understøtter BitLocker).
- Windows 7 Enterprise
- Windows 7 Ultimate
- Windows 8 Pro
- Windows 8 Enterprise
- Windows 10 Pro
- Windows 10 Enterprise
- Windows 10 Education
Du kan se trin til aktivering af BitLocker eller Enhedskryptering i Microsoft Support-artiklen Enhedskryptering i Windows 10.
BEMÆRK: Windows 10 Home har en funktion, der kaldes "Enhedskryptering" i stedet for BitLocker. Denne funktion fungerer på samme som BitLocker med begrænsede funktioner og bruger en separat Windows-brugergrænseflade.
BEMÆRK: Det anbefales, at du gennemgår disse almindelige TPM- og BitLocker-problemer, før du følger de avancerede fejlfindingstrin i afsnittene nedenfor.
TPM mangler
Problemet med manglende TPM har flere årsager. Gennemse oplysningerne nedenfor, og bekræft, hvilken type problem du har. En manglende TPM kan også skyldes en generel TPM-fejl og kræver en udskiftning af systemkortet. Disse typer fejl er sjældne, og udskiftning af systemkort bør være en sidste udvej i fejlfinding af en manglende TPM.
- Oprindeligt problem med manglende TPM fundet på Nuvoton 650-chip
- Nuvoton 650-chip mangler, efter at firmware 1.3.2.8 er opdateret
- Kun set på Precision 5510, Precision 5520, XPS 9550 og XPS 9560
- Løst med BIOS-opdateringer fra august 2019 til både XPS- og Precision-computere
- Hvis du har brug for yderligere hjælp i forbindelse med dette problem, skal du kontakte Dells tekniske support.
- Nuvoton 750-chip mangler i BIOS
- Løst med firmwareopdatering 7.2.0.2
- Hvis du har brug for yderligere hjælp i forbindelse med dette problem, skal du kontakte Dells tekniske support.
- System ikke konfigureret med TPM
- Systemer kan leveres uden en TPM og leveres i stedet med Intel PTT-firmwarebaserede TPM'er.
- Hvis du har brug for yderligere hjælp i forbindelse med dette problem, skal du kontakte Dells tekniske support.
TPM-opsætning
BIOS-problemer
Problemer med gendannelsesnøgle
Windows-problemer
TPM er synlig i Enhedshåndtering og TPM-administrationskonsol
Trusted Platform Module skal stå under Sikkerhedsenheder i Enhedshåndtering. Du kan også tjekke TPM-administrationskonsollen ved at følge nedenstående trin:
- Tryk på tasterne Windows + R på tastaturet for at åbne kommandoprompten.
- Skriv
tpm.msc
og trykke på Enter på tastaturet.
- Kontroller, at status for TPM i administrationskonsollen vises som klar.
Hvis TPM ikke er synlig i Enhedshåndtering, eller hvis den vises som klar i TPM-administrationskonsollen, skal du følge nedenstående trin for at foretage fejlfinding af problemet:
- Kontroller, at TPM er aktiveret i BIOS, ved hjælp af nedenstående trin og eksempelbilledet af BIOS-indstillingerne i Figur 5:
- Genstart computeren, og tryk på F2-tasten på skærmen med Dell-logoet for at åbne BIOS eller Systemopsætning.
- Klik på Sikkerhed i menuen Indstillinger.
- Klik på indstillingen TPM 1.2-sikkerhed eller TPM 2.0-sikkerhed i menuen Sikkerhed.
- Sørg for, at TPM Til og Aktivér er markeret.
- Du skal muligvis også sikre, at Attestation Enable og Key Storage Enable også er markeret for korrekt TPM-funktionalitet.
BEMÆRK: Hvis TPM-afsnittet mangler i BIOS, skal du kontrollere din ordre for at sikre, at computeren ikke blev bestilt med TPM deaktiveret.
Figur 5: Eksempel på TPM BIOS-indstillinger
BEMÆRK: De viste indstillinger kan variere afhængigt af computermodel, BIOS-version og TPM-tilstand.
Hvis TPM stadig vises ikke i Enhedshåndtering eller vises med Klar status i TPM-administrationskonsollen, skal du fjerne TPM og opdatere til den nyeste TPM-firmware, hvis det er muligt. Du skal muligvis først deaktivere TPM Auto-Provisioning og derefter fjerne TPM ved hjælp af nedenstående trin:
- Tryk på Windows-tasten på tastaturet, og skriv
powershell
i søgefeltet.
- Højreklik på PowerShell (x86), og vælg Kør som administrator.
- Skriv følgende Kommando i PowerShell:
Disable-TpmAutoProvisioning
og trykke på Enter.
- Bekræft resultatet af AutoProvisioning: Deaktiveret (Figur 6).
Figur 6: AutoProvisioning: Deaktiveret PowerShell-indstilling
- Åbn TPM-administrationskonsollen ved at trykke på Windows + R-tasterne på tastaturet for at åbne en kommandoprompt. Skriv
tpm.msc
og trykke på Enter.
- I ruden Handlinger til højre skal du vælge Ryd TPM.
- Genstart computeren, og tryk på F12 på tastaturet, når du bliver bedt om det, for at fortsætte med at rydde TPM.
Installer derefter den nyeste TPM-firmwareopdatering ved at følge nedenstående trin:
- Gå til Dells websted Drivere og downloads .
- Indtast servicekoden , eller søg efter din computermodel for at komme til den korrekte supportside.
- Klik på fanen Drivere og downloads, og vælg det korrekte operativsystem (klik på rullemenuen Operativsystem for at få vist de tilgængelige operativsystemer for din computer).
- Vælg kategorien Security (Sikkerhed) i menuen med tilgængelige drivere.
- Find Dell TPM 2.0 Firmware Update Utility eller Dell TPM 1.2 Update Utility i menuen. Klik på linket Vis detaljer for at få vist yderligere oplysninger om filen og installationsvejledningen til download og installation af opdateringen.
Hvis TPM stadig ikke er synlig i Enhedshåndtering eller vises som Klar i TPM-administrationskonsollen, skal du kontakte Dells tekniske support. Det kan være nødvendigt at geninstallere operativsystemet for at løse problemet.
Modtager følgende meddelelse: "TPM er slået til, og ejerskabet er ikke overtaget".
Meddelelsen "TPM er klar til brug med reduceret funktionalitet" i TPM.msc.
- Problemet opstår, hvis en computer er genafbildet uden at fjerne TPM.
- Forsøg at løse problemet ved at fjerne TPM og installere den nyeste TPM-firmware (efter trinene i afsnittet ovenfor).
- Kontroller BIOS for at sikre, at TPM-indstillingerne er korrekte.
- Hvis problemet fortsætter, skal du rydde TPM'en og indlæse Windows igen.
Verificer, at TPM.msc viser, at TPM er slået til og klar til brug.
BEMÆRK: Dell understøtter ikke programmering af en TPM eller ændring af registre for brugerdefinerede konfigurationer.
Kontroller, at dit operativsystem understøtter BitLocker.
Se listen over operativsystemer, der understøtter BitLocker, i afsnittet Hvad er BitLocker ovenfor.
Kontroller, at TPM er aktiveret og klar til brug i TPM-administrationskonsollen (tpm.msc).
- Hvis TPM ikke er klar til brug, skal du se TPM-fejlfinding og gennemgå ovenstående TPM-fejlfindingsafsnit.
BitLocker udløses ved opstart.
Hvis BitLocker udløses ved opstart, skal du følge den anbefalede fejlfindingsvejledning nedenfor:
- Udløsere af BitLocker, når computeren starter, betyder ofte, at BitLocker virker efter hensigten. Problemet kan være isoleret til en af følgende årsager:
- Ændringer af Windows-kernefiler
- Ændringer af BIOS
- Ændringer af TPM
- Ændringer af krypteret diskenhed eller boot record
- Bruger ikke korrekte legitimationsoplysninger
- Ændringer af hardwarekonfigurationen
Det anbefales, at du stopper BitLocker midlertidigt, før du foretager nogen af ovenstående ændringer på din computer. Følg trinnene nedenfor for at stoppe BitLocker midlertidigt:
- Klik på Start, skriv
manage bitlocker
i søgefeltet, og tryk på Enter for at åbne Administrer BitLocker-konsollen.
- Klik på Stop beskyttelse midlertidigt for den krypterede harddisk (Figur 7):
Figur 7: Afbryd BitLocker fra administrationskonsollen
- Klik på Ja i den meddelelse, der vises, for at stoppe BitLocker midlertidigt (Figur 8):
Figur 8: Meddelelsesprompt for at stoppe BitLocker midlertidigt
- Når der er foretaget ændringer af computeren, skal du gå tilbage til Administrer BitLocker-konsollen og vælge Genoptag beskyttelse for at aktivere BitLocker (Figur 9):
Figur 9: Genoptag BitLocker fra administrationskonsollen
For at forhindre BitLocker i at blive udløst ved opstart, efter du har foretaget ændringer på computeren, skal du muligvis deaktivere BitLocker-kryptering helt, før du aktiverer den igen. Du kan deaktivere og aktivere BitLocker-kryptering fra administrationskonsollen som beskrevet nedenfor:
- Klik på Start, og skriv
manage bitlocker
i søgefeltet, og tryk derefter på Enter for at åbne Administrer BitLocker-konsollen.
- Klik på Slå BitLocker fra (Figur 10).
Figur 10: Slå BitLocker fra konsollen
- Klik på Slå BitLocker fra , når du bliver bedt om at bekræfte det (Figur 11).
Figur 11: Prompt til bekræftelse af Slå BitLocker fra
- Tillad computeren at dekryptere harddisken helt (Figur 12).
Figur 12: Statusskærmbillede for BitLocker-kryptering
- Når dekryptering er færdig, kan du vælge at Slå BitLocker til fra Administrer BitLocker-konsollen for at kryptere harddisken igen.
BitLocker kan ikke fortsætte eller aktiveres.
Hvis BitLocker ikke kan fortsætte eller aktiveres, skal du følge tipsene til fejlfinding nedenfor:
- Bekræft, at du ikke har foretaget nogen ændringer på computeren fra listen ovenfor. Hvis du har foretaget ændringer, skal du rulle computeren tilbage til en tilstand, før ændringen fandt sted, og se, om BitLocker aktiveres eller genoptager.
- Hvis den seneste ændring er problemet, skal du stoppe BitLocker midlertidigt fra Administrer BitLocker-konsollen og foretage ændringen igen.
- Hvis problemet fortsætter, skal du kontrollere , at BIOS og TPM-firmware er de nyeste versioner. Søg efter de nyeste versioner på Dells websted Drivere og downloads.
- Hvis BitLocker stadig ikke kan fortsætte eller aktiveres, skal du geninstallere operativsystemet.
Mistet BitLocker-genoprettelsesnøgle
BitLocker-genoprettelsesnøglen er nødvendig for at sikre, at kun en autoriseret person kan låse din personlige computer op og gendanne adgang til dine krypterede data. Hvis genoprettelsesnøglen mistes, kan Dell ikke gendanne eller udskifte den. Du anbefales at opbevare genoprettelsesnøglen et sikkert, men tilgængeligt sted. Eksempler på steder, hvor genoprettelsesnøglen kan gemmes, omfatter:
- Et USB-flashdrev
- En ekstern harddisk
- En netværksplacering (tilknyttede drev, en Active Directory-controller eller domænecontroller osv.)
- Gemt i din Microsoft-konto
Hvis du aldrig har krypteret din computer, er det muligt, at krypteringen blev udført via den automatiske Windows-proces. Dette er forklaret i Dell Knowledge Base-artiklen Automatic Windows Device Encryption eller BitLocker på Dell-computere.
BitLocker virker efter hensigten
Hvis BitLocker aktiverer og krypterer harddisken og ikke aktiveres, når computeren startes, fungerer den efter hensigten.