目录
- 什么是可信平台模块 (TPM)
- 什么是英特尔平台信任技术 (PTT)
- 哪些戴尔计算机具有 TPM 或英特尔 PTT
- 如何确定 TPM 是独立 TPM 还是英特尔 PTT
- 如何在不丢失数据的情况下重置 TPM
- 如何刷新 TPM 固件并更改 TPM 模式
- 什么是 BitLocker
- TPM 和 Bitlocker 常见问题及解决办法
- TPM 故障点和故障处理方法
- BitLocker 故障点和故障处理方法
- 其它信息
可信平台模块 (TPM) 是驻留在计算机内部的芯片,已焊接在戴尔计算机的系统主板上。TPM 的主要功能是安全地生成加密密钥,但还有其它功能。每块 TPM 芯片在生产时都在其中嵌入了唯一且机密的 RSA 密钥。
如果 BitLocker 或 Dell Data Security (DDS) 等安全功能使用 TPM,则在清除 TPM 或更换系统主板之前必须暂挂该安全功能。
TPM 有两种模式:1.2 和 2.0。TPM 2.0是一个新标准,它包括附加功能,例如附加的算法、支持多个受信任密钥和对应用程序的更广泛支持。使用 TPM 2.0 时,需要将 BIOS 设置为 UEFI 模式,而非 legacy。同时还需要 64 位版本的 Windows 操作系统。从 2017 年 3 月开始,所有戴尔 Skylake 平台都在 Windows 7、8 和 10 中支持 TPM 2.0 和 TPM 1.2 模式。Windows 7 需要 Windows 更新 KB2920188 才能支持 TPM 2.0 模式。要交换 TPM 上的模式,您必须刷新 TPM 的固件。下载链接可在戴尔驱动程序和下载网站的支持的计算机驱动程序页面下找到。
TPM 的规格由可信计算组进行管理。有关更多详细信息和文档,请参阅 https://trustedcomputinggroup.org/work-groups/trusted-platform-module/。
有些戴尔笔记本电脑会配备 Intel 平台信任技术 (PTT)。此技术属于英特尔片上系统 (SoC) 的一部分。它是基于固件的 TPM 版本 2.0,其工作容量与独立 TPM 1.2 芯片相同。Windows TPM.msc
能够以与独立 TPM 相同的容量管理 Intel PTT。
对于配备英特尔 PTT 的计算机,BIOS 中不提供 TPM 菜单选项。相反,PTT 安全选项将显示在 BIOS 中的安全设置菜单下。在禁用 Intel PTT 的计算机上尝试启用 BitLocker 时,可能会导致混淆。
根据英特尔,所有配备第八代处理器或更高版本的计算机都有英特尔 PTT。有关英特尔 PTT 的更多信息,请参阅可信平台模块 (TPM) 概览中的如何知道我的电脑是否已具有 TPM 2.0。要确定正在使用的 TPM 是独立 TPM 还是 Intel PTT,请使用 TPM.msc
或 get-tpm
检查 TPM 制造商。有关更多信息,请参阅 如何确定 TPM 是独立 TPM 还是英特尔 PTT。
出于安全原因,您可能想知道 TPM 在计算机上的物理位置。TPM 可以是独立的,即主板上的物理芯片,也可以是固件,即处理器的一部分。由于英特尔第八代及更高版本处理器包含英特尔平台可信技术(英特尔 PTT),它是驻留在固件中的集成 TPM。如需了解更多信息,请参阅可信平台模块 (TPM) 概览中的如何知道我的电脑是否已具有 TPM 2.0。
在计算机同时具有独立 TPM 和固件 TPM 的情况下,计算机仅使用独立 TPM。
您可以通过两种方法了解计算机正在使用哪个 TPM。无论使用哪种方法,都会显示 TPM 制造商。
- 如果 TPM Manufacturer 字段显示 STM 或 NTC,则计算机使用的是 STMicro 和 Nuvoton 的独立 TPM。
- 如果 TPM Manufacturer 字段显示 INTC,则计算机使用的是固件 TPM。
方法 1 - tpm.msc
- 打开开始菜单。
- 搜索然后打开
tpm.msc
。
- 从打开的 TPM Management and Local Computer 窗口中,找到 TPM Manufacturer 名称。
方法 2 - 提权的 PowerShell 提示符
- 搜索
PowerShell
,右键单击,然后选择以管理员身份运行。
- 键入
get-tpm
分析文件,然后按 Enter 键。
- 该
ManufacturerIdTxt
显示 TPM 制造商。
在 BIOS 或操作系统中未检测到 TPM 的常见解决方案是重置 TPM。
重置 TPM 与清除 TPM 不同。在 TPM 重置期间,计算机将尝试重新检测 TPM 并保留存储在其中的数据。以下是在戴尔计算机上执行 TPM 重置的步骤:
笔记本电脑
- 取下交流适配器、关闭计算机,然后断开任何 USB 设备的连接。
- 打开计算机并按 F2 键进入 BIOS 或 System Setup。
- Security 下是否有 TPM?如果是,则无需执行其它步骤。
- 如果 Security 下没有 TPM,请执行以下步骤。
- 如果不存在 TPM,请关闭计算机并断开电池的连接(如果电池可拆卸)。
- 按住电源按钮 60 秒以上以释放静电。
- 连接电池(如果电池可拆卸)、交流适配器并打开计算机。
台式机和一体机
- 关闭计算机,然后从计算机背面拔下电源线。
- 按住电源按钮 60 秒以上以释放静电。
- 将电源线重新连接到计算机背面,然后开启计算机。
只有使用从戴尔驱动程序和下载网站下载的固件,才能更改 TPM 1.2 和 2.0 模式。选择支持此功能的戴尔计算机。您可以使用如何确定 TPM 是独立 TPM 还是英特尔 PTT 中所述的方法确定计算机是否支持此功能。您还可以查看戴尔驱动程序和下载网站,以验证固件是否可用于在两种模式之间切换。如果未列出固件,则计算机不支持此功能。此外,TPM 必须处于 On and Enabled 状态才能刷新固件。
注意:切勿使用来自其他计算机的固件刷新计算机的 TPM。这可能导致 TPM 损坏。
请按照以下步骤使用版本 1.2 或 2.0 固件刷新 TPM:
- 在 Windows 中:
- 暂挂 Bitlocker 或依赖于 TPM 的任何加密或安全程序。
- 根据需要禁用 Windows Auto Provisioning(Windows 8 或 10)。
- PowerShell 命令:
Disable-TpmAutoProvisioning
- 重新启动计算机并进入 BIOS。
- 在 BIOS 屏幕中:
- 转至安全性,然后转至 TPM/英特尔 PTT页面。
- 选中清除 TPM框,然后选择底部的应用按钮。
- 选择退出按钮重新启动至 Windows。
- 在 Windows 中:
- 运行 TPM 固件更新。
- 计算机将自动重新启动并开始固件刷新。
- 请勿在此更新过程中关闭计算机。
- 将计算机重新启动至 Windows,并启用 Windows 自动资源调配(如果适用)。
- PowerShell 命令:
Enable-TpmAutoProvisioning
- 如果运行 Windows 7,请使用
TPM.msc
接管 TPM。
- 再次重新启动计算机,并启用使用 TPM 的任何加密。
可以使用 TPM.msc
或 get-tpm
Windows PowerShell 中的命令(仅在 Windows 8 和 10 中受支持)检查 TPM 固件版本。使用 get-tpm
在 Windows 10 1607 及更早版本上,仅显示固件的前三个字符(列为 ManufacturerVersion)。
Windows 10 1703 及更高版本显示 20 个字符(列为 ManufacturerVersionFull20)。
BitLocker 是一种完整的磁盘加密功能,在大多数 Windows 7、8、10 和 11 版本上可用(请参阅下面的列表,了解支持 BitLocker 的版本)。
- Windows 7 企业版
- Windows 7 旗舰版
- Windows 8 专业版
- Windows 8 企业版
- Windows 10 专业版
- Windows 10 企业版
- Windows 10 教育版
- Windows 11 专业版
- Windows 11 企业版
- Windows 11 教育版
有关启用 BitLocker 或设备加密的步骤,请参阅 Microsoft 支持文章 Windows 中的设备加密。
提醒:Windows 10 Home 具有名为“设备加密”的功能,而不是 BitLocker。此功能与 BitLocker 相同,功能有限,并且使用单独的 Windows 用户界面。
提醒:建议您先查看这些 TPM 和 BitLocker 常见问题,再按照下面各节中的高级故障处理步骤操作。
TPM 缺失
有几个原因会导致“TPM 缺失”问题。查看以下信息并验证您遇到的问题类型。此外,TPM 缺失可能是由一般 TPM 故障引起的,需要更换系统主板。这些类型的故障罕见,更换系统主板应该是对 TPM 缺失问题进行故障处理的最后一个方法。
- 在 Nuvoton 650 芯片上发现原始 TPM 缺失问题
- 更新固件 1.3.2.8 后 Nuvoton 650 芯片丢失
- 仅在 Precision 5510、Precision 5520、XPS 9550 和 XPS 9560 上出现。
- 已通过适用于 XPS 和 Precision 计算机的 2019 年 8 月 BIOS 更新解决此问题
- 如果您需要有关此问题的进一步帮助,请联系戴尔技术支持。
- BIOS 中缺少 Nuvoton 750 芯片
- 已通过固件更新 7.2.0.2 解决此问题
- 如果您需要有关此问题的进一步帮助,请联系戴尔技术支持。
- 系统未配置 TPM
- 系统在出厂时可能未附带 TPM,而是附带基于 Intel PTT 固件的 TPM。
- 如果您需要有关此问题的进一步帮助,请联系戴尔技术支持。
TPM 设置
BIOS问题
恢复闪存盘问题
Windows 问题
TPM 在设备管理器和 TPM 管理控制台中可见
受信任的平台模块应显示在设备管理器中的安全设备下。您也可以执行以下步骤来检查TPM管理控制台:
- 按键盘上的 Windows + R 键以打开命令提示符。
- 键入
tpm.msc
然后按键盘上的 Enter。
- 在管理控制台中检查 TPM 的状态是否显示为 Ready。
如果在“设备管理器”中看不到 TPM 或者其状态在“TPM Management Console”中未显示为 Ready,请按照以下步骤操作对问题进行故障处理:
- 使用以下步骤和 BIOS 设置的示例图像验证 TPM 是否已在 BIOS 中启用和激活:
- 重新启动计算机,在出现戴尔徽标屏幕时按 F2 键进入 BIOS 或“System Setup”。
- 在设置菜单中单击安全。
- 单击安全菜单中的 TPM 1.2 安全或 TPM 2.0 安全。
- 确保已选中 TPM On 和 Activate。
- 您可能还需要确保选中 Attestation Enable 和 Key Storage Enable 以获得正确的 TPM 功能。
提醒:如果 BIOS 中缺少 TPM 部分,请检查您的订单,确保订购计算机时未禁用 TPM。
提醒:列出设置可能因计算机型号、BIOS 版本和 TPM 模式的不同而有所不同。
如果 TPM 仍未显示在“设备管理器”中或者仍未在“TPM 管理控制台”中显示为“就绪”状态,请清除 TPM 并更新到最新的 TPM 固件(如果可能)。您可能需要先禁用 TPM 自动配置,然后再按照以下步骤操作清除 TPM:
- 按键盘上的 Windows 键,然后
powershell
搜索框中键入。
- 右键单击 PowerShell (x86) 并选择 Run as administrator。
- 键入以下 PowerShell 命令:
Disable-TpmAutoProvisioning
然后按 Enter。
- 确认结果 AutoProvisioning: 已禁用。
- 打开“TPM 管理控制台”:按键盘上的 Windows + R 键打开命令提示符。键入
tpm.msc
然后按 Enter。
- 在右侧的 Actions 窗格中,选择 Clear TPM。
- 重新启动计算机,然后在提示时按键盘上的 F12 键,以继续清除 TPM。
接下来,执行以下步骤安装最新的 TPM 固件更新:
- 浏览至戴尔驱动程序和下载网站。
- 输入服务编号或搜索您的计算机型号以进入正确的支持页面。
- 单击驱动程序和下载选项卡并选择正确的操作系统(单击更改操作系统下拉菜单以查看适用于您计算机的可用操作系统)。
- 从可用驱动程序菜单中选择Security(安全)类别。
- 在菜单中查找Dell TPM 2.0 固件更新实用程序()或Dell TPM 1.2 固件更新实用程序)。单击 View Details 链接以查看此文件的更多信息,并单击 Installation instructions,下载并安装更新。
如果 TPM 仍未显示在“设备管理器”中或者仍未在“TPM 管理控制台”中显示为“就绪”状态,建议您联系戴尔技术支持。可能需要重新安装操作系统才能解决该问题。
接收以下消息:“The TPM is on and ownership has not been taken”。
“TPM 已准备就绪,但功能有所减少”消息 TPM.msc
。
- 如果在未清除 TPM 的情况下重建了系统映像,通常就会发生该问题。
- 尝试解决该问题:清除 TPM,然后安装最新的 TPM 固件(按照上一节中概括的步骤操作)。
- 检查 BIOS 以确保 TPM 设置正确。
- 如果问题仍然存在,请清除 TPM 并重新加载 Windows。
验证 TPM.msc 显示 TPM 已启用并可以使用。
提醒:戴尔不支持对 TPM 进行编程或更改自定义配置的寄存器。
验证您的操作系统是否支持 BitLocker。
参考上文什么是 BitLocker 部分中支持 BitLocker 的操作系统列表。
在 TPM 管理控制台中验证 TPM 是否已启用并可以使用 (tpm.msc
)时,此方法起作用。
- 如果TPM未准备就绪,请查看TPM故障处理,查看上面的TPM故障处理部分。
BitLocker 在启动时出现提示。
如果 BitLocker 在启动时出现提示,请按照下面建议的故障处理指导进行操作:
- 启动计算机时提示输入 BitLocker 通常意味着 BitLocker 正常工作。此问题可能归咎为以下其中一个原因:
- 对Windows核心文件的更改
- 对BIOS的更改
- 对TPM的更改
- 对加密卷或启动记录的更改
- 未使用正确的凭据
- 硬件配置中的更改
建议您先暂挂 BitLocker 再对计算机进行上述任何更改。要暂挂BitLocker,请执行以下步骤:
- 单击开始,键入
manage bitlocker
在搜索框中按 Enter 键以打开管理 BitLocker 控制台。
- 单击暂停加密硬盘 驱动器的保护 :
- 在出现暂停 BitLocker 的消息提示上单击 Yes :
- 对计算机进行更改后,返回到 Manage BitLocker Console,然后选择 Resume protection以启用 BitLocker:
对计算机进行更改后,要防止在启动时触发 BitLocker,可能需要完全禁用 BitLocker 加密,然后再重新启用。要从管理控制台中禁用和启用BitLocker加密,请执行以下步骤:
- 单击开始,然后
manage bitlocker
在搜索框中键入,然后按 Enter 键以打开管理 BitLocker 控制台。
- 单击 关闭 BitLocker。
- 当系统提示您确认时,单击 关闭 BitLocker 。
- 允许计算机对硬盘驱动器进行完全解密。
- 解密完成后,您可以从Manage BitLocker Console(管理BitLocker控制台)中选择Turn on BitLocker(打开BitLocker)再次加密硬盘驱动器。
BitLocker 无法恢复或参与
如果 BitLocker 无法恢复或参与,请按照以下故障处理提示操作:
- 确认最近未对计算机进行上述列表中提到的任何更改。如果已做出更改,则回滚计算机到进行更改之前的状态,然后查看 BitLocker 是否已参与或恢复。
- 如果是最近的更改导致问题,请从“管理 BitLocker 控制台”中暂挂 BitLocker,然后再次进行更改。
- 如果问题仍然存在,请验证 BIOS 和 TPM 固件是否为最新版本。在戴尔驱动程序和下载网站上检查是否有最新版本。
- 如果 BitLocker 仍然不能恢复或参与,请重新安装操作系统。
BitLocker恢复密钥丢失
BitLocker 恢复密钥非常重要,用于确保只有授权的人员可以解锁您的个人计算机并恢复对加密数据的访问。如果恢复密钥丢失或忘记了它的存放位置,戴尔无法恢复或替换它。建议您将恢复密钥存放在安全且可恢复的位置。存放回复密钥的示例位置包括:
- USB 闪存盘
- 外部硬盘
- 网络位置(映射的驱动器、Active Directory 控制器或域控制器等)。
- 已保存到您的 Microsoft 账户
如果从未对计算机进行过加密,则系统可能会通过 Windows 自动流程执行加密。戴尔知识库文章戴尔计算机上的自动 Windows 设备加密或 BitLocker 对此进行了说明。
BitLocker正常工作
如果 BitLocker 参与并加密硬盘,并且在启动计算机时它未启用,则它工作正常。