Устранение неполадок доверенного платформенного модуля (TPM)

В этой статье содержатся сведения об устранении неполадок доверенного платформенного модуля (TPM):

Сведения о командлетах TPM см. в статье Командлеты доверенного платформенного модуля в Windows PowerShell.

Инициализация доверенного платформенного модуля и владение им

Windows автоматически инициализирует TPM и становится владельцем. Вам не нужно инициализировать TPM и создавать пароль владельца.

Инициализация доверенного платформенного модуля

Если вы обнаружите, что Windows не может инициализировать TPM автоматически, просмотрите следующие сведения:

  • Вы можете попробовать очистить TPM до заводских значений по умолчанию, что позволит Windows повторно инициализировать его. Важные меры предосторожности для этого процесса и инструкции по его выполнению см. в статье Очистка всех ключей из доверенного платформенного модуля.
  • Если TPM является TPM 2.0 и не обнаружен Windows, убедитесь, что оборудование компьютера содержит единый расширяемый интерфейс встроенного ПО (UEFI), совместимый с группой доверенных вычислений. Кроме того, убедитесь, что в параметрах UEFI доверенный платформенный модуль не был отключен или скрыт в операционной системе.
  • Если у вас есть TPM 1.2 с Windows 11, доверенный платформенный модуль может быть отключен и его необходимо снова включить, как описано в разделе Включение доверенного платформенного модуля. Когда он снова включен, Windows повторно инициализирует его.
  • Если вы пытаетесь настроить BitLocker с помощью доверенного платформенного модуля, проверьте, какой драйвер доверенного платформенного модуля установлен на компьютере. Рекомендуем всегда использовать драйверы TPM, предоставляемые корпорацией Майкрософт и защищенные с помощью BitLocker. Если установлен драйвер доверенного платформенного модуля, отличный от Майкрософт, это может помешать загрузке драйвера доверенного платформенного модуля по умолчанию и привести к тому, что BitLocker сообщит о том, что TPM отсутствует на компьютере. Если у вас установлен драйвер, отличный от Майкрософт, удалите его, а затем разрешите операционной системе инициализировать TPM.

Проблемы с сетевым подключением для присоединенных к домену устройств с Windows 11

Если у вас windows 11, инициализация доверенного платформенного модуля не может быть завершена, если на компьютере возникли проблемы с сетевым подключением и существуют оба следующих условия:

  • Администратор настроил ваш компьютер так, чтобы требовалось сохранять данные восстановления TPM в доменных службах Active Directory (AD DS). Это требование можно настроить с помощью групповой политики.
  • Невозможно связаться с контроллером домена. Этот сценарий может произойти на устройстве, которое в настоящее время отключено от внутренней сети, отделяется от домена брандмауэром или возникает сбой сетевого компонента (например, отключенный кабель или неисправный сетевой адаптер).

Если возникают эти проблемы, появится сообщение об ошибке, и вы не сможете завершить процесс инициализации. Чтобы избежать этой проблемы, разрешите Windows инициализировать TPM при подключении к корпоративной сети, и вы можете связаться с контроллером домена.

Системы с несколькими TPM

В некоторых системах может быть несколько модулей TPM, при этом активный доверенный платформенный модуль может переключаться в UEFI. Windows не поддерживает эту конфигурацию. Если вы переключаете модули TPM, система Windows может неправильно обнаружить модуль TPM или неправильно взаимодействовать с ним. Если вы планируете переключать TPM, необходимо переключиться на новый TPM, очистить его и переустановить Windows. Дополнительные сведения см. в разделе Удаление всех ключей из TPM.

Например, переключение TTPM приводит к переходу BitLocker в режим восстановления. Настоятельно рекомендуется, чтобы в системах с двумя TPM для использования выбран один доверенный платформенный модуль, а выбор не изменялся.

Очистка всех ключей из доверенного платформенного модуля

Можно использовать приложение "Центр безопасности Защитника Windows", чтобы очистить TPM для устранения неполадок или для подготовки перед чистой установкой новой операционной системы. Такой способ подготовки к чистой установке даст возможность операционной системе полностью развернуть любую функциональность на основе TPM, например, аттестацию. Однако даже если доверенный платформенный модуль не очищен до установки новой операционной системы, большинство функций доверенного платформенного модуля, вероятно, будут работать правильно.

При очистке доверенный платформенный модуль сбрасывается в состояние без владельца. После очистки доверенного платформенного модуля операционная система Windows автоматически повторно инициализирует его и снова станет владельцем.

Warning

Очистка доверенного платформенного модуля может привести к потере данных. Дополнительные сведения см. в следующем разделе "Меры предосторожности, которые необходимо принять перед очисткой доверенного платформенного модуля".

Меры предосторожности перед очисткой TPM

Очистка доверенного платформенного модуля может привести к потере данных. Чтобы предотвратить потерю данных, соблюдайте следующие меры предосторожности.

  • Очистка доверенного платформенного модуля приводит к потере всех созданных ключей, связанных с TPM, и данных, защищенных этими ключами, таких как виртуальная смарт-карта или ПИН-код для входа. Убедитесь в наличии метода резервного копирования и восстановления для всех данных, которые защищены или зашифрованы с помощью TPM.
  • Не очищайте доверенный платформенный модуль на устройстве, которое у вас нет, например на рабочем или учебном компьютере, без указания ит-администратора.
  • Если вы хотите временно приостановить операции доверенного платформенного модуля в Windows 11, можно отключить TPM. Дополнительные сведения см. в разделе Отключение доверенного платформенного платформенного модуля.
  • Всегда используйте функциональные возможности операционной системы (например, TPM.msc) для очистки доверенного платформенного модуля. Не очищайте TPM непосредственно из UEFI.
  • Оборудование безопасности TPM является физическим компонентом компьютера, поэтому перед очисткой TPM целесообразно ознакомиться с инструкциями, которые поставлялись вместе с компьютером, или выполнить поиск нужных данных на веб-сайте изготовителя компьютера.

Чтобы выполнить эту процедуру, необходимо быть членом локальной группы Администраторы или аналогичной группы.

Очистка доверенного платформенного модуля

  1. Откройте приложение "Центр безопасности Защитника Windows".
  2. Выберите Безопасность устройства.
  3. Выберите Сведения об обработчике безопасности.
  4. Выберите Устранение неполадок обработчика безопасности.
  5. Выберите Очистить доверенный платформенный модуль.
    • Вам будет предложено перезагрузить компьютер. Во время перезапуска может появиться запрос на нажатие кнопки, чтобы подтвердить, что вы хотите очистить TPM.
    • После перезапуска устройства TPM будет автоматически подготовлен к использованию Windows.

Включать и отключать TPM

Обычно TPM включается в процессе инициализации TPM. Обычно включать или выключать TPM не требуется. Тем не менее, при необходимости можно это сделать, используя консоль управления TPM.

Включение TPM

Если вы хотите использовать TPM после его выключения, можно включить TPM с помощью следующей процедуры.

  1. Откройте консоль управления доверенного платформенного модуля (tpm.msc).
  2. В области Действие выберитеВключить TPM, чтобы отобразить страницу Включение оборудования безопасности TPM. Прочтите инструкции на этой странице.
  3. Выберите Завершение работы (или Перезапуск), затем следуйте подсказкам на экране UEFI.

После перезапуска устройства, но перед вхощением в Windows вам будет предложено принять перенастройку доверенного платформенного модуля. Принятие гарантирует, что пользователь имеет физический доступ к компьютеру и что вредоносное программное обеспечение не пытается внести изменения в TPM.

Отключение доверенного платформенного модуля

Если нужно прекратить использование служб, предоставляемых доверенным платформенным модулем, можно отключить его, используя консоль управления TPM.

  1. Откройте MMC доверенного платформенного модуля (tpm.msc).
  2. В области Действие выберитеОтключить TPM, чтобы отобразить страницу Отключение оборудования безопасности TPM.
  3. В диалоговом окне Отключение оборудования безопасности TPM выберите метод ввода пароля владельца и отключения TPM:
    • Если вы сохранили пароль владельца TPM на съемном запоминающем устройстве, вставьте его, затем выберите У меня есть файл пароля владельца. В диалоговом окне Выбор файла резервной копии с паролем владельца доверенного платформенного модуля нажмите кнопку Обзор , чтобы найти .tpm файл, сохраненный на съемном запоминаемом устройстве, нажмите кнопку Открыть, а затем выберите Отключить доверенный платформенный модуль.
    • Если у вас нет съемных запоминающих устройств с сохраненным паролем владельца доверенного платформенного модуля, выберите Я хочу ввести пароль. В диалоговом окне Введите пароль владельца TPM введите пароль (включая дефисы), затем выберите Отключить TPM.
    • Если вы не сохранили пароль владельца доверенного платформенного модуля или больше не знаете его, выберите У меня нет пароля владельца доверенного платформенного модуля и следуйте инструкциям, приведенным в диалоговом окне и последующих экранах UEFI, чтобы отключить TPM без ввода пароля.

Использование командлетов TPM

Можно управлять доверенным платформенным модулем с помощью Windows PowerShell. Дополнительные сведения см. в статье Командлеты доверенного платформенного модуля в Windows PowerShell.