BitLocker non può crittografare un'unità: problemi noti di TPM
Questo articolo descrive i problemi comuni che influiscono sul modulo TPM (Trusted Platform Module) che potrebbero impedire a BitLocker di crittografare un'unità. Questo articolo fornisce anche indicazioni per risolvere questi problemi.
Nota
Se è stato determinato che il problema di BitLocker non riguarda il TPM, vedere BitLocker non può crittografare un'unità: problemi noti.
Il TPM è bloccato e viene visualizzato l'errore The TPM is defending against dictionary attacks and is in a time-out period
Si è tentato di attivare la crittografia dell'unità BitLocker in un dispositivo, ma ha esito negativo con un messaggio di errore simile al messaggio di errore seguente:
Il TPM si difende dagli attacchi con dizionario ed è in un periodo di timeout.
Causa del blocco del TPM
Il TPM è bloccato.
Risoluzione per il TPM bloccato
Per risolvere questo problema, è necessario reimpostare e cancellare il TPM. È possibile reimpostare e cancellare il TPM seguendo questa procedura:
Aprire una finestra di PowerShell con privilegi elevati ed eseguire lo script seguente:
$Tpm = Get-WmiObject -class Win32_Tpm -namespace "root\CIMv2\Security\MicrosoftTpm" $ConfirmationStatus = $Tpm.GetPhysicalPresenceConfirmationStatus(22).ConfirmationStatus if($ConfirmationStatus -ne 4) {$Tpm.SetPhysicalPresenceRequest(22)}Riavviare il computer. Se viene visualizzato un prompt che conferma la cancellazione del TPM, accettare di cancellare il TPM.
Accedere a Windows e riprovare ad avviare la crittografia dell'unità BitLocker.
Avviso
La reimpostazione e la cancellazione del TPM possono causare la perdita di dati.
Il TPM non riesce a prepararsi con l'errore The TPM is defending against dictionary attacks and is in a time-out period
Si è tentato di attivare la crittografia dell'unità BitLocker in un dispositivo, ma ha esito negativo. Durante la risoluzione dei problemi, viene usata la console di gestione TPM (tpm.msc) per tentare di preparare il TPM nel dispositivo. L'operazione ha esito negativo con un messaggio di errore simile al seguente:
Il TPM si difende dagli attacchi con dizionario ed è in un periodo di timeout.
Causa della mancata preparazione del TPM
Il TPM è bloccato.
La risoluzione per il TPM non riesce a prepararsi
Per risolvere questo problema, disabilitare e riabilitare il TPM seguendo questa procedura:
Immettere le schermate di configurazione UEFI/BIOS del dispositivo riavviando il dispositivo e premendo la combinazione di tasti appropriata all'avvio del dispositivo. Consultare il produttore del dispositivo per la combinazione di tasti appropriata per l'immissione nelle schermate di configurazione UEFI/BIOS.
Una volta nelle schermate di configurazione UEFI/BIOS, disabilitare il TPM. Per istruzioni su come disabilitare il TPM nelle schermate di configurazione UEFI/BIOS, consultare il produttore del dispositivo.
Salvare la configurazione UEFI/BIOS con il TPM disabilitato e riavviare il dispositivo per l'avvio in Windows.
Dopo aver eseguito l'accesso a Windows, tornare alla console di gestione TPM. Viene visualizzato un messaggio di errore simile al seguente:
Impossibile trovare TPM compatibile
Non è possibile trovare il modulo TPM (Compatible Trusted Platform Module) nel computer. Verificare che il computer abbia 1,2 TPM e che sia attivato nel BIOS.
Questo messaggio è previsto perché il TPM è attualmente disabilitato nel firmware/BIOS UEFI del dispositivo.
Riavviare il dispositivo e immettere di nuovo le schermate di configurazione UEFI/BIOS.
Riabilitare il TPM nelle schermate di configurazione UEFI/BIOS.
Salvare la configurazione UEFI/BIOS con il TPM abilitato e riavviare il dispositivo per l'avvio in Windows.
Dopo aver eseguito l'accesso a Windows, tornare alla console di gestione TPM.
Se il TPM non può ancora essere preparato, deselezionare le chiavi TPM esistenti seguendo le istruzioni riportate nell'articolo Risolvere i problemi del TPM: Cancellare tutte le chiavi dal TPM.
Avviso
La cancellazione del TPM può causare la perdita di dati.
BitLocker non riesce ad abilitare con l'errore Access Denied: Failed to backup TPM Owner Authorization information to Active Directory Domain Services. Errorcode: 0x80070005 o Insufficient Rights
Non abilitare BitLocker finché le informazioni di ripristino non vengono archiviate nei criteri di Active Directory Domain Services non vengono applicate nell'ambiente. Si è tentato di attivare la crittografia dell'unità BitLocker in un dispositivo, ma ha esito negativo con il messaggio di errore di Access Denied: Failed to backup TPM Owner Authorization information to Active Directory Domain Services. Errorcode: 0x80070005 o Insufficient Rights.
Causa di Access Denied o Insufficient Rights
Il TPM non disponeva di autorizzazioni sufficienti per il contenitore di dispositivi TPM in Active Directory Domain Services (AD DS). Di conseguenza, non è stato possibile eseguire il backup delle informazioni di ripristino di BitLocker in Servizi di dominio Active Directory e la crittografia dell'unità BitLocker non è stata attivata.
Questo problema sembra essere limitato ai computer che eseguono versioni di Windows precedenti a Windows 10.
Risoluzione per Access Denied o Insufficient Rights
Per verificare che il problema si verifichi, usare uno dei due metodi seguenti:
Disabilitare i criteri o rimuovere il computer dal dominio seguito dal tentativo di riattivare la crittografia dell'unità BitLocker. Se l'operazione ha esito positivo, il problema è stato causato dai criteri.
Usare LDAP e gli strumenti di traccia di rete per esaminare gli scambi LDAP tra il client e il controller di dominio di Active Directory Domain Services per identificare la causa dell'errore Accesso negato o Diritti insufficienti . In questo caso, deve essere visualizzato un errore quando il client tenta di accedere al relativo oggetto nel
CN=TPM Devices,DC=<domain>,DC=comcontenitore.
Per esaminare le informazioni TPM per il computer interessato, aprire una finestra di Windows PowerShell con privilegi elevati ed eseguire il comando seguente:
Get-ADComputer -Filter {Name -like "ComputerName"} -Property * | Format-Table name,msTPM-TPMInformationForComputerIn questo comando ComputerName è il nome del computer interessato.
Per risolvere il problema, usare uno strumento come dsacls.exe per assicurarsi che l'elenco di controllo di accesso di msTPM-TPMInformationForComputer conceda autorizzazioni di lettura e scrittura a NTAUTHORITY/SELF.
Il TPM non può essere preparato con l'errore 0x80072030: There is no such object on the server
I controller di dominio sono stati aggiornati da Windows Server 2008 R2 a Windows Server 2012 R2. Esiste un oggetto Criteri di gruppo che applica il criterio Non abilitare BitLocker fino a quando le informazioni di ripristino non vengono archiviate nei criteri di Active Directory Domain Services .
Si è tentato di attivare la crittografia dell'unità BitLocker in un dispositivo, ma ha esito negativo. Durante la risoluzione dei problemi, viene usata la console di gestione TPM (tpm.msc) per tentare di preparare il TPM nel dispositivo. L'operazione ha esito negativo con un messaggio di errore simile al seguente:
0x80072030 Non esiste alcun oggetto di questo tipo nel server quando è abilitato un criterio per il backup delle informazioni TPM in Active Directory
È stato confermato che sono presenti gli attributi ms-TPM-OwnerInformation e msTPM-TpmInformationForComputer .
Causa della 0x80072030: nel server non è presente alcun oggetto di questo tipo
Il livello di funzionalità del dominio e della foresta dell'ambiente può essere ancora impostato su Windows 2008 R2. Inoltre, le autorizzazioni in Servizi di dominio Active Directory potrebbero non essere impostate correttamente.
Risoluzione per 0x80072030: non esiste alcun oggetto di questo tipo nel server
Il problema può essere risolto seguendo questa procedura:
Aggiornare il livello funzionale del dominio e della foresta a Windows Server 2012 R2.
Scaricare Add-TPMSelfWriteACE.vbs.
Nello script modificare il valore di strPathToDomain nel nome di dominio dell'organizzazione.
Aprire una finestra di PowerShell con privilegi elevati ed eseguire il comando seguente:
cscript.exe <Path>\Add-TPMSelfWriteACE.vbsIn questo comando Path>< è il percorso del file di script.
Per altre informazioni, vedere gli articoli seguenti: