Inhaltsverzeichnis
- Was ist Trusted Platform Module (TPM)
- Was ist Intel Platform Trust Technology (PTT)?
- Welche Dell Computer haben ein TPM oder Intel PTT?
- Feststellen, ob das TPM ein separates TPM oder Intel PTT ist
- Zurücksetzen des TPM ohne Datenverlust
- Aktualisieren der TPM-Firmware und Ändern der TPM-Modi
- Was ist BitLocker
- Häufige TPM- und BitLocker-Probleme und deren Lösung
- Fehlerquellen von TPM und Fehlerbehebung
- Fehlerquellen von BitLocker und Fehlerbehebung
- Ergänzende Informationen
Trusted Platform Module (TPM) ist ein Chip, der sich in einem Computer befindet und mit der Systemplatine auf Dell Computern verlötet ist. Die primäre Funktion eines TPM ist die Erzeugung sicherer kryptografischer Schlüssel, es hat aber auch andere Funktionen. In jeden TPM-Chip wird bei der Herstellung ein eindeutiger separater RSA-Schlüssel integriert.
Wenn ein TPM von Sicherheitsprodukten wie beispielsweise BitLocker oder Dell Data Security (DDS) genutzt wird, muss der entsprechende Schutz vor dem Löschen des TPM oder dem Austauschen der Hauptplatine ausgesetzt werden.
TPM verfügen über zwei Modi, 1.2 und 2.0. TPM 2.0 ist ein neuer Standard mit zusätzlichen Funktionen, z. B. weitere Algorithmen, Unterstützung für mehrere vertrauenswürdige Schlüssel und breitere Unterstützung für Anwendungen. Für TPM 2.0 müssen Sie das BIOS auf UEFI anstatt auf Legacy einstellen. Es ist außerdem eine 64-Bit-Version von Windows erforderlich. Seit März 2017 unterstützen alle Dell Skylake-Plattformen den TPM 2.0-Modus und den TPM 1.2-Modus unter Windows 7, 8 und 10. Windows 7 benötigt das Windows-Update KB2920188, um den TPM 2.0-Modus zu unterstützen. Um die Modi auf einem TPM zu tauschen, müssen Sie die Firmware des TPMs aktualisieren. Download-Links finden Sie auf der Treiberseite für unterstützte Computer auf der Dell Treiber und Downloads-Website.
Die Trusted Computing Group verwaltet die Spezifikationen für TPM. Weitere Informationen, Dokumentation und Referenzen finden Sie unter https://trustedcomputinggroup.org/work-groups/trusted-platform-module/.
Einige Dell Laptops werden mit der Intel Platform Trust Technology (PTT) ausgestattet. Diese Technologie ist Teil von Intel System on Chip (SoC). Es handelt sich um ein Firmware-basiertes TPM der Version 2.0, das in der gleichen Kapazität wie der diskrete TPM 1.2-Chip funktionieren kann. Windows TPM.msc
kann Intel PTT in der gleichen Kapazität wie das separate TPM verwalten.
Bei Computern, die mit Intel PTT ausgestattet sind, ist die TPM-Menüoption im BIOS nicht verfügbar. Stattdessen wird eine Option für PTT-Sicherheit im Menü "Sicherheitseinstellungen" im BIOS angezeigt. Dies kann zu Verwirrung führen, wenn Sie versuchen, BitLocker auf einem Computer zu aktivieren, auf dem PTT deaktiviert ist.
Laut Intel verfügen alle Computer mit einem Prozessor der achten Generation oder höher über Intel PTT. (Weitere Informationen zu Intel PTT finden Sie unter Woher weiß ich, ob mein PC bereits über TPM 2.0 verfügt? unter Trusted Platform Module (TPM) – Übersicht. Um herauszufinden, ob das verwendete TPM ein separates TPM oder ein Intel PTT ist, verwenden Sie eine der folgenden Optionen: TPM.msc
oder get-tpm
, um den TPM-Hersteller zu überprüfen. Weitere Informationen finden Sie unter Feststellen, ob das TPM ein separates TPM oder ein Intel PTT ist.
Aus Sicherheitsgründen möchten Sie möglicherweise die physische Position des TPM auf dem Computer kennen. Das TPM kann entweder separat sein, wenn es sich um einen physischen Chip auf der Hauptplatine handelt, oder es kann Firmware und Teil des Prozessors sein. Denn Intel Prozessoren der achten Generation und höher enthalten Intel Platform Trusted Technology (Intel PTT), ein integriertes TPM in der Firmware. Weitere Informationen finden Sie unter Woher weiß ich, ob mein PC bereits über TPM 2.0 verfügt? unter Trusted Platform Module (TPM) – Übersicht.
Wenn der Computer sowohl über ein separates TPM als auch über ein Firmware-TPM verfügt, verwendet der Computer nur das separate TPM.
Es gibt zwei Methoden, um festzustellen, welches TPM der Computer verwendet. Unabhängig davon, welche Methode verwendet wird, wird der TPM-Hersteller angezeigt.
- Wenn im Feld TPM-Hersteller STM oder NTC angezeigt wird, verwendet der Computer ein separates TPM von STMicro und Nuvoton.
- Wenn im Feld TPM-Hersteller INTC angezeigt wird, verwendet der Computer ein Firmware-TPM.
Methode 1: tpm.msc
- Öffnen Sie das Startmenü.
- Suchen Sie nach und öffnen Sie sie dann
tpm.msc
.
- Suchen Sie im daraufhin geöffneten Fenster TPM-Management auf dem lokalen Computer nach dem TPM-Herstellernamen.
Methode 2: PowerShell-Eingabeaufforderung mit erhöhten Rechten
- Suchen nach
PowerShell
, klicken Sie mit der rechten Maustaste darauf und wählen Sie Als Administrator ausführen aus.
- Typ
get-tpm
ein, und drücken Sie anschließend die Eingabetaste.
- Der Befehl
ManufacturerIdTxt
zeigt den TPM-Hersteller an.
Eine gängige Lösung für ein TPM, das im BIOS oder im Betriebssystem nicht erkannt wird, ist das Zurücksetzen des TPMs.
Das Zurücksetzen des TPMs ist nicht dasselbe wie das Löschen des TPMs. Bei einem TPM-Reset versucht der Computer, das TPM neu zu erkennen und die darin gespeicherten Daten zu erhalten. Hier sind die Schritte, um ein TPM-Reset auf Ihrem Dell Computer durchzuführen:
Für Laptops
- Entfernen Sie den Netzadapter, schalten Sie den Computer aus und trennen Sie alle USB-Geräte.
- Schalten Sie den Computer ein und drücken Sie die Taste F2, um das BIOS oder das System-Setup aufzurufen.
- Ist das TPM unter Sicherheit verfügbar? Falls ja, sind keine weiteren Schritte erforderlich.
- Wenn das TPM unter Sicherheit nicht verfügbar ist, führen Sie die folgenden Schritte aus.
- Wenn kein TPM vorhanden ist, schalten Sie den Computer aus und nehmen Sie den Akku heraus (wenn der Akku herausnehmbar ist).
- Entladen Sie die statische Elektrizität, indem Sie den Betriebsschalter länger als 60 Sekunden gedrückt halten.
- Schließen Sie den Akku (wenn der Akku herausnehmbar ist) und den Netzadapter an und schalten Sie den Computer ein.
Für Desktops und All-in-One-Geräte
- Schalten Sie den Computer aus, und ziehen Sie das Netzkabel an der Rückseite ab.
- Entladen Sie die statische Elektrizität, indem Sie den Betriebsschalter länger als 60 Sekunden gedrückt halten.
- Schließen Sie das Stromkabel an den Computer an und schalten Sie ihn ein.
Die TPM-Modi 1.2 und 2.0 können nur mit Hilfe einer Firmware geändert werden, die von der Dell Website Treiber und Downloads heruntergeladen werden kann. Ausgewählte Dell Computer unterstützen diese Funktion. Sie können die Methoden verwenden, die unter Feststellen, ob das TPM ein separates TPM oder Intel PTT ist beschrieben sind, um herauszufinden, ob ein Computer diese Funktion unterstützt. Sie können auch auf der Dell Treiber und Downloads-Website überprüfen, ob die Firmware für den Switch zwischen den beiden Modi verfügbar ist. Wenn die Firmware nicht aufgelistet ist, wird diese Funktion nicht vom Computer unterstützt. Außerdem muss das TPM eingeschaltet und aktiviert sein, damit die Firmware aufgespielt werden kann.
Achtung: Aktualisieren Sie das TPM des Computers niemals mit der Firmware eines anderen Computers. Dies kann zu einer Beschädigung des TPM führen.
Führen Sie die folgenden Schritte aus, um das TPM mit der Firmware Version 1.2 oder 2.0 zu aktualisieren:
- In Windows:
- Halten Sie BitLocker an oder deaktivieren Sie die Systemverschlüsselung oder -Sicherheitsvorkehrung, die auf dem TPM basiert.
- Deaktivieren Sie Windows Auto-Provisioning (Windows 8 oder 10).
- PowerShell-Befehl:
Disable-TpmAutoProvisioning
- Führen Sie einen Neustart des Computers durch und wechseln Sie zum BIOS.
- Im BIOS-Bildschirm:
- Navigieren Sie zu Security und dann zur Seite TPM/Intel PTT.
- Aktivieren Sie das Kontrollkästchen TPM löschen und klicken Sie unten auf die Schaltfläche Anwenden.
- Drücken Sie die Schaltfläche Beenden, um einen Neustart in Windows durchzuführen.
- In Windows:
- Führen Sie nun das TPM-Firmwareupdate aus.
- Das Computer wird automatisch neu gestartet und das Update der Firmware startet.
- Schalten Sie den Computer während der Aktualisierung nicht aus.
- Starten Sie Windows auf dem Computer neu und aktivieren Sie Windows Auto-Provisioning, falls zutreffend.
- PowerShell-Befehl:
Enable-TpmAutoProvisioning
- Wenn Sie Windows 7 ausführen, verwenden Sie
TPM.msc
, um die Verantwortung für das TPM zu übernehmen.
- Starten Sie den Computer erneut und aktivieren Sie die Verschlüsselung, die das TPM verwendet.
Die TPM-Firmwareversion kann mithilfe von TPM.msc
oder dem get-tpm
in Windows PowerShell (nur unter Windows 8 und 10 unterstützt) geprüft werden. Bei Verwendung von get-tpm
unter Windows 10 1607 und früher werden nur die ersten drei Zeichen der Firmware angezeigt (aufgeführt als Herstellerversion).
Windows 10 1703 und höher zeigt 20 Zeichen an (aufgeführt als ManufacturerVersionFull20).
BitLocker ist eine Funktion zur vollständigen Datenträgerverschlüsselung, die in den meisten Versionen von Windows 7, 8, 10 und 11 verfügbar ist (eine vollständige Liste der Editionen mit Unterstützung für BitLocker finden Sie unten).
- Windows 7 Enterprise
- Windows 7 Ultimate
- Windows 8 Pro
- Windows 8 Enterprise
- Windows 10 Pro
- Windows 10 Enterprise
- Windows 10 Education
- Windows 11 Pro
- Windows 11 Enterprise
- Windows 11 Education
Schritte zur Aktivierung von BitLocker oder Device Encryption finden Sie im Microsoft Support-Artikel Geräteverschlüsselung in Windows.
Hinweis: Windows 10 Home verfügt anstelle von BitLocker über eine Funktion mit der Bezeichnung „Geräteverschlüsselung“. Diese Funktion funktioniert genauso wie BitLocker, mit eingeschränkten Funktionen, und sie verwendet eine separate Windows-Benutzeroberfläche.
Hinweis: Es empfiehlt sich, diese häufig auftretenden TPM-/BitLocker-Probleme zu überprüfen, bevor Sie die erweiterte Fehlerbehebung in den folgenden Abschnitten durchführen.
TPM fehlt
Das Problem „TPM Missing“ hat mehrere Ursachen. Lesen Sie die nachfolgenden Informationen und überprüfen Sie welche Art Ihr Problem ist. Außerdem kann ein fehlendes TPM durch einen allgemeinen TPM-Fehler verursacht werden und erfordert einen Austausch der Systemplatine. Diese Fehler sind äußerst selten und der Austausch der Hauptplatine sollte ein letzter Ausweg beim Troubleshooting eines fehlenden TPM sein.
- Ursprüngliches TPM fehlt auf dem Nuvoton 650 Chip
- Nuvoton 650 Chip fehlt nach Aktualisierung der Firmware 1.3.2.8
- Wird nur bei Precision 5510, Precision 5520, XPS 9550 und XPS 9560 gesehen.
- Behoben mit BIOS-Aktualisierungen für XPS und Precision Systeme von August 2019
- Wenn Sie weitere Unterstützung bei diesem Problem benötigen, wenden Sie sich an den technischen Support von Dell.
- Nuvoton 750 Chip fehlt im BIOS
- Behoben mit Firmware-Aktualisierung 7.2.0.2
- Wenn Sie weitere Unterstützung bei diesem Problem benötigen, wenden Sie sich an den technischen Support von Dell.
- Das System ist nicht mit TPM konfiguriert
- Systeme werden ggf. ohne TPM und stattdessen mit TPM auf Basis der Intel PTT-Firmware ausgeliefert.
- Wenn Sie weitere Unterstützung bei diesem Problem benötigen, wenden Sie sich an den technischen Support von Dell.
TPM-Einrichtung
Probleme mit dem BIOS
Probleme mit dem Wiederherstellungsschlüssel
Probleme mit Windows
TPM wird im Geräte-Manager und in der TPM-Managementkonsole angezeigt
Das Trusted Platform Module sollte unter Sicherheitsgeräte im Geräte-Manager angezeigt werden. Sie können außerdem mit den folgenden Schritten in der TPM-Verwaltungskonsole nachsehen:
- Drücken Sie die Tasten Windows + R auf der Tastatur, um die Eingabeaufforderung zu öffnen.
- Typ
tpm.msc
ein und drücken Sie die Eingabetaste auf der Tastatur.
- Überprüfen Sie, ob der Status für das TPM in der Verwaltungskonsole als Bereit angezeigt wird.
Wenn das TPM im Geräte-Manager nicht angezeigt wird oder wenn es in der TPM-Verwaltungskonsole als „bereit“ angezeigt wird, gehen Sie wie folgt vor, um das Problem zu beheben:
- Stellen Sie sicher, dass TPM im BIOS aktiviert ist, indem Sie die folgenden Schritte ausführen und sich in der Beispielabbildung der BIOS-Einstellungen ansehen:
- Starten Sie den Computer neu und drücken Sie die Taste F2, wenn der Bildschirm mit dem Dell Logo angezeigt wird, um das BIOS oder das System-Setup aufzurufen.
- Klicken Sie im Einstellungen-Menü auf Security.
- Klicken Sie auf die Option TPM 1.2 Security oder TPM 2.0 Security im Menü „Security“.
- Stellen Sie sicher, dass TPM Ein und Aktivieren markiert sind.
- Zudem müssen Sie sicherstellen, dass Attestation Enable und Key Storage Enable ausgewählt sind, damit TPM ordnungsgemäß funktioniert.
Hinweis: Wenn der Bereich „TPM“ im BIOS fehlt, überprüfen Sie Ihre Bestellung, um sicherzustellen, dass der Computer nicht mit deaktiviertem TPM bestellt wurde.
Hinweis: Die aufgeführten Einstellungen können sich je nach Systemmodell, BIOS-Version und TPM-Modus unterscheiden.
Wenn das TPM weiterhin nicht im Geräte-Manager angezeigt wird oder wenn es in der TPM-Verwaltungskonsole den Status „bereit“ hat, löschen Sie das TPM und aktualisieren Sie es auf die neueste TPM-Firmware, sofern möglich. Sie müssen möglicherweise zunächst TPM-Auto-Provisioning deaktivieren und dann TPM mithilfe der folgenden Schritte löschen:
- Drücken Sie die Windows-Taste auf der Tastatur und geben Sie
powershell
in das Suchfeld ein.
- Klicken Sie mit der rechten Maustaste auf PowerShell (x86) und wählen Sie Als Administrator ausführen.
- Geben Sie folgenden Powershell-Befehl ein:
Disable-TpmAutoProvisioning
ein und drücken Sie die Eingabetaste.
- Bestätigen Sie das Ergebnis AutoProvisioning: Deaktiviert.
- Öffnen Sie die TPM-Verwaltungskonsole. Drücken Sie dazu die Tasten Windows + R auf der Tastatur, um die Eingabeaufforderung zu öffnen. Typ
tpm.msc
ein und drücken Sie die Eingabetaste.
- Klicken Sie rechts im Bereich Aktionen auf TPM löschen.
- Starten Sie den Computer neu und drücken Sie auf der Tastatur F12, wenn Sie dazu aufgefordert werden, um das TPM zu löschen.
Installieren Sie die neueste TPM-Firmware anhand der folgenden Schritte:
- Rufen Sie die Dell Website Treiber und Downloads auf.
- Geben Sie das Service-Tag ein oder suchen Sie nach dem Modell Ihres Computers, um die richtige Support-Seite aufzurufen.
- Klicken Sie auf die Registerkarte Treiber und Downloads und wählen Sie das richtige Betriebssystem aus (klicken Sie auf Betriebssystem, um die verfügbaren Betriebssysteme für Ihren Computer anzuzeigen).
- Wählen Sie die Kategorie Sicherheit aus dem Menü verfügbarer Treiber aus.
- Suchen Sie im Menü Dell TPM 2.0 Firmware Update Utility oder Dell TPM 1.2 Update Utility aus. Klicken Sie auf den Link View Details, um weitere Informationen zur Datei zu erhalten. Außerdem finden Sie dort Installationsanweisungen zum Herunterladen und Installieren des Updates.
Wenn das TPM weiterhin im Geräte-Manager angezeigt wird oder in der TPM-Verwaltungskonsole als „Bereit“ angezeigt wird, wenden Sie sich an den technischen Support von Dell. Es kann notwendig sein, das Betriebssystem neu zu installieren, um das Problem zu beheben.
Folgende Meldung wird angezeigt: „Das TPM ist eingeschaltet und Ownership wurde nicht übernommen.“
Meldung in "TPM ist bereit für Verwendung, mit reduzierter Funktionalität" in TPM.msc
.
- Dieses Problem tritt in den meisten Fällen auf, wenn ein Computer ohne Löschen des TPM aus einem Image wiederhergestellt wird.
- Versuchen Sie, das Problem zu beheben, indem Sie das TPM löschen und die neueste TPM-Firmware installieren (anhand der im Abschnitt oben beschriebenen Schritte).
- Prüfen Sie das BIOS, um sicherzustellen, dass die TPM-Einstellungen korrekt sind.
- Wenn das Problem weiterhin besteht, löschen Sie das TPM und laden Sie Windows erneut.
Überprüfen Sie, ob das TPM in TPM.msc als aktiviert und bereit angezeigt wird.
- Das TPM funktioniert ordnungsgemäß.
Hinweis: Dell bietet keine Unterstützung für die Programmierung eines TPM oder Registeränderung für benutzerdefinierte Konfigurationen.
Überprüfen Sie, ob Ihr Betriebssystem BitLocker unterstützt.
Sie finden eine Liste der Betriebssysteme, die BitLocker unterstützen, im Abschnitt Was ist BitLocker oben.
Überprüfen Sie, ob TPM aktiviert und in der TPM-Verwaltungskonsole einsatzbereit ist (tpm.msc
).
- Wenn TPM nicht bereit ist, führen Sie die oben im Abschnitt zur TPM-Fehlerbehebung aufgelisteten Schritte aus.
BitLocker fordert beim Start auf.
Wenn BitLocker beim Start eine Aufforderung ausgibt, befolgen Sie die unten vorgeschlagenen Schritte zur Fehlerbehebung:
- Eingabeaufforderungen für BitLocker beim Starten des Computers bedeuten häufig, dass BitLocker wie vorgesehen funktioniert. Das Problem kann möglicherweise auf eine der folgenden Ursachen eingeschränkt werden:
- Änderungen an den Windows-Kerndateien
- Änderungen am BIOS
- Änderungen am TPM
- Änderungen am verschlüsselten Volume/Boot Record
- Verwenden der falschen Anmeldeinformationen
- Änderungen an der Hardwarekonfiguration
Es wird empfohlen, Bitlocker anzuhalten, bevor Sie eine der oben genannten Änderungen an Ihrem Computer durchführen. Gehen Sie wie folgt vor, um Bitlocker anzuhalten:
- Klicken Sie auf Start, geben Sie
manage bitlocker
in das Suchfeld ein und drücken Sie die Eingabetaste, um die BitLocker-Verwaltungskonsole zu öffnen.
- Klicken Sie auf Schutz für die verschlüsselte Festplatte anhalten:
- Klicken Sie in der angezeigten Eingabeaufforderung zum Anhalten von BitLocker auf Ja :
- Nachdem die Änderungen an Ihrem Computer vorgenommen wurden, kehren Sie zur BitLocker-Verwaltungskonsole zurück und wählen Sie Schutz fortsetzen aus, um BitLocker zu aktivieren:
Um zu verhindern, dass BitLocker beim Start ausgelöst wird, nachdem Sie Änderungen an Ihrem Computer vorgenommen haben, müssen Sie möglicherweise die BitLocker-Verschlüsselung vollständig deaktivieren, bevor Sie sie erneut aktivieren. Deaktivieren und aktivieren Sie die BitLocker-Verschlüsselung in der Verwaltungskonsole mit den folgenden Schritten:
- Klicken Sie auf Start und geben Sie
manage bitlocker
in das Suchfeld ein und drücken Sie die Eingabetaste, um die BitLocker-Verwaltungskonsole zu öffnen.
- Klicken Sie auf BitLocker deaktivieren.
- Klicken Sie auf BitLocker deaktivieren , wenn Sie zur Bestätigung aufgefordert werden.
- Warten Sie, bis der Computer die Festplatte vollständig entschlüsselt hat.
- Nachdem Abschluss der Entschlüsselung können Sie bei Bedarf in der BitLocker-VerwaltungskonsoleBitLocker aktivieren, um die Festplatte erneut zu verschlüsseln.
BitLocker kann nicht fortgesetzt oder aktiviert werden
Wenn BitLocker nicht fortgesetzt oder gestartet werden kann, befolgen Sie die unten vorgeschlagenen Schritte zum Troubleshooting:
- Überprüfen Sie, ob Sie vor kurzem Änderungen aus der obigen Liste am Computer vorgenommen haben. Wenn Sie Änderungen vorgenommen haben, setzen Sie den Computer auf einen Zustand zurück, bevor die Änderung vorgenommen wurde, und prüfen Sie, ob BitLocker aktiviert oder fortgesetzt wird.
- Wenn die kürzlich erfolgte Änderung das Problem verursacht, halten Sie Bitlocker in der BitLocker-Verwaltungskonsole an und nehmen Sie die Änderung dann erneut vor.
- Wenn das Problem weiterhin besteht, stellen Sie sicher, dass das BIOS und die TPM-Firmware aktuell sind. Suchen Sie auf der Webseite von Dell Treiber und Downloads nach den neuesten Versionen.
- Wenn BitLocker noch immer nicht startet oder fortgesetzt wird, installieren Sie das Betriebssystem neu.
BitLocker-Wiederherstellungsschlüssel verloren
Der BitLocker-Wiederherstellungsschlüssel ist notwendig, um sicherzustellen, dass nur eine autorisierte Person Ihren persönlichen Computer entsperren und den Zugriff auf Ihre verschlüsselten Daten wiederherstellen kann. Wenn der Wiederherstellungsschlüssel verloren geht oder verlegt wird, kann Dell ihn nicht wiederherstellen oder ersetzen. Es wird empfohlen, dass Sie den Wiederherstellungsschlüssel an einem sicheren und zugänglichen Ort aufbewahren. Beispiele für Orte zum Speichern des Recovery-Schlüssels sind:
- Ein USB-Flash-Laufwerk
- Eine externe Festplatte
- Ein Netzwerkstandort (zugeordnete Laufwerke, ein Active Directory Controller/Domain Controller usw.)
- In Ihrem Microsoft-Konto gespeichert
Wenn Sie Ihr Computer nie verschlüsselt haben, ist es möglich, dass die Verschlüsselung über den automatisierten Windows Prozess durchgeführt wurde. Dies wird im Dell Wissensdatenbank-Artikel Automatische Windows-Geräteverschlüsselung/BitLocker auf Dell Systemen erläutert.
BitLocker funktioniert wie vorgesehen
Wenn BitLocker das Laufwerk aktiviert und verschlüsselt und beim Starten des Computers nicht aktiviert wird, dann funktioniert es wie entwickelt.