Устранение неполадок доверенного платформенного модуля (TPM)

В этой статье содержатся сведения об устранении неполадок доверенного платформенного модуля (TPM):

• Устранение неполадок при инициализации доверенного платформенного модуля
• Очистка всех ключей из доверенного платформенного модуля

С TPM 1.2 и Windows 11 вы также можете выполнить следующие действия:

Инициализация доверенного платформенного модуля и владение им

Windows автоматически инициализирует TPM и становится владельцем. Это изменение по сравнению с предыдущими операционными системами, где необходимо было инициализировать TPM и создать пароль владельца.

Инициализация доверенного платформенного модуля

Если вы обнаружите, что Windows не может инициализировать TPM автоматически, просмотрите следующие сведения:

• Вы можете попробовать очистить TPM до заводских значений по умолчанию, что позволит Windows повторно инициализировать его. Важные меры предосторожности для этого процесса и инструкции по его выполнению см. в статье Очистка всех ключей из доверенного платформенного модуля
• Если TPM является TPM 2.0 и не обнаружен Windows, убедитесь, что оборудование компьютера содержит единый расширяемый интерфейс встроенного ПО (UEFI), совместимый с группой доверенных вычислений. Кроме того, убедитесь, что в параметрах UEFI доверенный платформенный модуль не был отключен или скрыт в операционной системе.
• Если у вас есть TPM 1.2 с Windows 11, TPM может быть отключен и его необходимо снова включить, как описано в разделе Включение доверенного платформенного модуля. Когда он снова включен, Windows повторно инициализирует его
• Если вы пытаетесь настроить BitLocker с помощью доверенного платформенного модуля, проверка, какой драйвер доверенного платформенного модуля установлен на компьютере. Рекомендуем всегда использовать драйверы TPM, предоставляемые корпорацией Майкрософт и защищенные с помощью BitLocker. Если установлен драйвер доверенного платформенного модуля, отличный от Майкрософт, это может помешать загрузке драйвера доверенного платформенного модуля по умолчанию и привести к тому, что BitLocker сообщит о том, что TPM отсутствует на компьютере. Если у вас установлен драйвер, отличный от Майкрософт, удалите его, а затем разрешите операционной системе инициализировать TPM.

Проблемы с сетевым подключением для присоединенных к домену устройств Windows 11

Если у вас есть Windows 11, инициализация доверенного платформенного модуля не может быть завершена, если на компьютере возникли проблемы с сетевым подключением и существуют оба следующих условия:

• Администратор настроил ваш компьютер так, чтобы требовалось сохранять данные восстановления TPM в доменных службах Active Directory (AD DS). Это требование можно настроить с помощью групповой политики
• Невозможно связаться с контроллером домена. Этот сценарий может произойти на устройстве, которое в настоящее время отключено от внутренней сети, отделяется от домена брандмауэром или возникает сбой сетевого компонента (например, отключенный кабель или неисправный сетевой адаптер).

Если возникают эти проблемы, появится сообщение об ошибке, и вы не сможете завершить процесс инициализации. Чтобы избежать этой проблемы, разрешите Windows инициализировать TPM при подключении к корпоративной сети, и вы можете связаться с контроллером домена.

Системы с несколькими TPM

В некоторых системах может быть несколько модулей TPM, при этом активный доверенный платформенный модуль может переключаться в UEFI. Windows не поддерживает эту конфигурацию. Если вы переключаете модули TPM, система Windows может неправильно обнаружить модуль TPM или неправильно взаимодействовать с ним. Если вы планируете переключать TPM, необходимо переключиться на новый TPM, очистить его и переустановить Windows. Дополнительные сведения см. в разделе Удаление всех ключей из TPM.

Например, при переключении доверенных платформенных модулей BitLocker перейдет в режим восстановления. Мы настоятельно рекомендуем, чтобы в системах с двумя TPM для использования выбран один доверенный платформенный модуль, а выбор не изменялся.

Очистка всех ключей из доверенного платформенного модуля

Можно использовать приложение «Центр безопасности Защитника Windows», чтобы очистить TPM для устранения неполадок или для подготовки перед чистой установкой новой операционной системы. Такой способ подготовки к чистой установке даст возможность операционной системе полностью развернуть любую функциональность на основе TPM, например, аттестацию. Однако даже если доверенный платформенный модуль не очищен до установки новой операционной системы, большинство функций доверенного платформенного модуля, вероятно, будут работать правильно.

При очистке доверенный платформенный модуль сбрасывается в состояние без владельца. После очистки доверенного платформенного модуля операционная система Windows автоматически повторно инициализирует его и снова станет владельцем.

Очистка доверенного платформенного модуля может привести к потере данных. Дополнительные сведения см. в следующем разделе «Меры предосторожности, которые необходимо принять перед очисткой доверенного платформенного модуля».

Меры предосторожности перед очисткой TPM

Очистка доверенного платформенного модуля может привести к потере данных. Чтобы предотвратить потерю данных, соблюдайте следующие меры предосторожности.

• Очистка доверенного платформенного модуля приводит к потере всех созданных ключей, связанных с TPM, и данных, защищенных этими ключами, таких как виртуальный интеллектуальный карта или ПИН-код входа. Убедитесь, что у вас есть метод резервного копирования и восстановления для всех данных, защищенных или зашифрованных доверенным платформенный платформой.
• Не очищайте доверенный платформенный модуль на устройстве, которое у вас нет, например на рабочем или учебном компьютере, не получив инструкции от ИТ-администратора.
• Если вы хотите временно приостановить операции доверенного платформенного модуля на Windows 11, можно отключить TPM. Дополнительные сведения см. в разделе Отключение доверенного платформенного платформенного модуля.
• Для очистки TPM всегда используйте функциональность операционной системы (например, TPM.msc). Не очищайте TPM непосредственно из UEFI
• Так как оборудование безопасности доверенного платформенного модуля является физической частью компьютера, перед очисткой доверенного платформенного модуля вам может потребоваться прочитать руководства или инструкции, поставляемые с компьютером, или выполнить поиск на веб-сайте производителя.

Чтобы выполнить эту процедуру, необходимо быть членом локальной группы Администраторы или аналогичной группы.

Очистка доверенного платформенного модуля

1. Откройте приложение «Центр безопасности Защитника Windows».
2. Выберите Безопасность устройства.
3. Выберите Сведения об обработчике безопасности.
4. Выберите Устранение неполадок обработчика безопасности.
5. Выберите Очистить доверенный платформенный модуль.
   • Вам будет предложено перезагрузить компьютер. Во время перезапуска UEFI может предложить вам нажать кнопку, чтобы подтвердить, что вы хотите очистить TPM.
   • После перезапуска устройства TPM будет автоматически подготовлен к использованию Windows.

Включать и отключать TPM

Обычно TPM включается в процессе инициализации TPM. Обычно включать или выключать TPM не требуется. Тем не менее, при необходимости можно это сделать, используя консоль управления TPM.

Включение TPM

Если вы хотите использовать TPM после его выключения, можно включить TPM с помощью следующей процедуры.

1. Откройте консоль управления доверенного платформенного модуля (tpm.msc).
2. В области Действие выберитеВключить TPM, чтобы отобразить страницу Включение оборудования безопасности TPM. Прочтите инструкции на этой странице.
3. Выберите Завершение работы (или Перезапуск), затем следуйте подсказкам на экране UEFI.

После перезапуска устройства, но перед вхощением в Windows вам будет предложено принять перенастройку доверенного платформенного модуля. Принятие гарантирует, что пользователь имеет физический доступ к компьютеру и что вредоносное программное обеспечение не пытается внести изменения в TPM.

Отключение доверенного платформенного модуля

Если нужно прекратить использование служб, предоставляемых доверенным платформенным модулем, можно отключить его, используя консоль управления TPM.

1. Откройте MMC доверенного платформенного модуля ( tpm.msc ).
2. В области Действие выберитеОтключить TPM, чтобы отобразить страницу Отключение оборудования безопасности TPM.
3. В диалоговом окне Отключение оборудования безопасности TPM выберите метод ввода пароля владельца и отключения TPM:
   • Если вы сохранили пароль владельца TPM на съемном запоминающем устройстве, вставьте его, затем выберите У меня есть файл пароля владельца. В диалоговом окне Выбор файла резервной копии с паролем владельца доверенного платформенного модуля выберите Обзор , чтобы найти TPM-файл , сохраненный на съемном запоминаемом устройстве, нажмите кнопку Открыть, а затем — Отключить TPM.
   • Если у вас нет съемных запоминающих устройств с сохраненным паролем владельца доверенного платформенного модуля, выберите Я хочу ввести пароль. В диалоговом окне Введите пароль владельца TPM введите пароль (включая дефисы), затем выберите Отключить TPM.
   • Если вы не сохранили пароль владельца доверенного платформенного модуля или больше не знаете его, выберите У меня нет пароля владельца доверенного платформенного модуля и следуйте инструкциям, приведенным в диалоговом окне и последующих экранах UEFI, чтобы отключить TPM без ввода пароля.

Использование командлетов TPM

Можно управлять доверенным платформенным модулем с помощью Windows PowerShell. Дополнительные сведения см. в статье Командлеты доверенного платформенного модуля в Windows PowerShell.

Источник

Enable TPM 2.0 on your PC

This article is intended for users who are not able to upgrade to Windows 11 because their PC is not currently enabled with TPM 2.0 or their PC is capable of running TPM 2.0 but is not set up to do so. If you are unfamiliar with this level of technical detail, we recommend that you consult your PC manufacturer’s support information for more instructions specific to your device.

Most PCs that have shipped in the last 5 years are capable of running Trusted Platform Module version 2.0 (TPM 2.0). TPM 2.0 is required to run Windows 11, as an important building block for security-related features. TPM 2.0 is used in Windows 11 for a number of features, including Windows Hello for identity protection and BitLocker for data protection.

In some cases, PCs that are capable of running TPM 2.0 are not set up to do so. If you are considering upgrading to Windows 11, check to ensure TPM 2.0 is enabled on your device. Most retail PC motherboards used by people building their own PC, for example, ship with TPM turned off by default even though it is almost always available to be enabled.

Option 1: Use the Windows Security app

1. Run Settings >Update & Security >Windows Security >Device Security
   1. If you do not see a Security processor section on this screen your PC may have a TPM that is disabled. see How to enable TPM for more information or check your PC manufacturer’s support information for instructions. to enable the TPM. If you are able to enable a TPM, complete the next step to verify that it is a TPM 2.0.
   2. If you see an option for Security processor details under Security processor, select that and verify that your Specification version is 2.0. If it is less than 2.0, your device does not meet the Windows 11 requirements.

   Option 2: Use the Microsoft Management Console

   1. Press [Windows Key] + R or select Start >Run.
   2. Type “tpm.msc” (do not use quotation marks) and choose OK.
      1. If you see a message saying a “Compatible TPM cannot be found,” your PC may have a TPM that is disabled. See How to enable TPM for more information or check your PC manufacturer’s support information for instructions to enable the TPM. If you are able to enable the TPM, complete the next step to verify that it is a TPM 2.0.
      2. If you see a message confirming TPM is ready to use, check Specification Version under TPM Manufacturer Information to verify it is 2.0. If it is less than 2.0 your device does not meet the Windows 11 requirement.

      How to enable TPM

      If you need to enable TPM, these settings are managed via the UEFI BIOS (PC firmware) and vary based on your device. You can access these settings by choosing: Settings > Update & Security > Recovery > Restart now.

      From the next screen, choose Troubleshoot > Advanced options > UEFI Firmware Settings > Restart to make the changes. These settings are sometimes contained in a sub-menu in the UEFI BIOS labeled Advanced, Security, or Trusted Computing. The option to enable the TPM may be labeled Security Device, Security Device Support, TPM State, AMD fTPM switch, AMD PSP fTPM, Intel PTT, or Intel Platform Trust Technology.

      If you are unsure how to make any needed changes to the TPM settings, we recommend that you check your PC manufacturer’s support information or contact their support organization. Below are links to information from some PC manufacturers to help you get started:

      Источник

      Включение TPM 2.0 на компьютере

      Эта статья предназначена для пользователей, которые не могут выполнить обновление до Windows 11, так как их компьютер в настоящее время не включен с TPM 2.0 или его компьютер поддерживает работу доверенного платформенного модуля 2.0, но не настроен для этого. Если вы не знакомы с этим уровнем технических сведений, рекомендуем обратиться к сведениям о поддержке производителя компьютера для получения дополнительных инструкций, относящихся к вашему устройству.

      Большинство компьютеров, отгруженных за последние 5 лет, могут работать с доверенным платформенным модулем версии 2.0 (TPM 2.0). TPM 2.0 требуется для запуска Windows 11 в качестве важного стандартного блока для функций, связанных с безопасностью. TPM 2.0 используется в Windows 11 для ряда функций, включая Windows Hello для защиты идентификации и BitLocker для защиты данных.

      В некоторых случаях компьютеры с поддержкой TPM 2.0 не настроены для этого. Если вы планируете выполнить обновление до Windows 11, проверка убедиться, что TPM 2.0 включен на вашем устройстве. Большинство розничных системных плат, используемых пользователями, создающие собственный компьютер, например, поставляются с доверенным платформенный платформенный модуль, отключенный по умолчанию, несмотря на то, что он почти всегда доступен для включения.

      Вариант 1. Использование приложения Безопасность Windows

      1. Запуск параметров >обновление & безопасности> Безопасность Windows безопасности >устройств
         1. Если на этом экране не отображается раздел «Процессор безопасности«, на компьютере может быть отключен доверенный платформенный модуль. Дополнительные сведения см. в разделе Включение доверенного платформенного платформенного модуля или проверка сведения о поддержке изготовителя компьютера для получения инструкций. , чтобы включить TPM. Если вы можете включить TPM, выполните следующий шаг, чтобы убедиться, что это TPM 2.0.
         2. Если в разделе Обработчик безопасности отображается параметр Сведения о обработчике безопасности, выберите его и убедитесь, что версия спецификации — 2.0. Если значение меньше 2.0, устройство не соответствует требованиям Windows 11.

         Вариант 2. Использование консоли управления (Майкрософт)

         1. Нажмите [Клавиша Windows] + R или выберите Запустить >Выполнить.
         2. Введите «tpm.msc» (не используйте кавычки) и нажмите кнопку ОК.
            1. Если отображается сообщение «Не удается найти совместимый доверенный платформенный модуль», возможно, на вашем компьютере отключен доверенный платформенный модуль. Дополнительные сведения см. в статье Включение доверенного платформенного платформенного модуля или проверка сведения о поддержке изготовителя компьютера для получения инструкций по включению доверенного платформенного модуля. Если вы можете включить TPM, выполните следующий шаг, чтобы убедиться, что он является TPM 2.0.
            2. Если появится сообщение о том, что TPM готов к использованию, проверка версию спецификации в разделе Сведения об изготовителе доверенного платформенного модуля, чтобы убедиться, что версия версии 2.0. Если значение меньше 2,0, ваше устройство не соответствует требованию Windows 11.

            Включение доверенного платформенного платформенного модуля

            Если необходимо включить TPM, эти параметры управляются с помощью UEFI BIOS (встроенное ПО компьютера) и зависят от устройства. Чтобы получить доступ к этим параметрам, выберите Параметры > Обновить & безопасность > Восстановление > Перезапустить сейчас.

            На следующем экране выберите Устранение неполадок > Дополнительные параметры > параметры встроенного ПО UEFI > Перезапустить , чтобы внести изменения. Иногда эти параметры содержатся в подменю в UEFI BIOS с метками Advanced, Security или Trusted Computing. Параметр для включения доверенного платформенного модуля может быть помечен как Устройство безопасности, Поддержка устройств безопасности, Состояние доверенного платформенного модуля, коммутатор AMD fTPM, AMD PSP fTPM, Intel PTT или Технология intel Platform Trust Technology.

            Если вы не знаете, как внести необходимые изменения в параметры доверенного платформенного модуля, рекомендуется проверка сведения о поддержке изготовителя компьютера или обратиться в службу поддержки. Ниже приведены ссылки на сведения от некоторых производителей компьютеров, которые помогут вам приступить к работе:

            Источник