BitLocker ne parvient pas à chiffrer un lecteur : problèmes connus liés au TPM
Cet article décrit les problèmes courants qui affectent le module de plateforme sécurisée (TPM) susceptible d’empêcher BitLocker de chiffrer un lecteur. Cet article fournit également des conseils pour résoudre ces problèmes.
Note
S’il a été déterminé que le problème BitLocker n’implique pas le TPM, voir BitLocker ne peut pas chiffrer un lecteur : problèmes connus.
Le module TPM est verrouillé et l’erreur The TPM is defending against dictionary attacks and is in a time-out period s’affiche
Il a tenté d’activer le chiffrement de lecteur BitLocker sur un appareil, mais il échoue avec un message d’erreur similaire au message d’erreur suivant :
Le module de plateforme sécurisée défend les attaques par dictionnaire et se trouve dans un délai d’attente.
Cause du verrouillage du module TPM
Le module TPM est verrouillé.
Résolution du module de plateforme sécurisée verrouillée
Pour résoudre ce problème, le module TPM doit être réinitialisé et effacé. Le module de plateforme sécurisée peut être réinitialisé et effacé en procédant comme suit :
Ouvrez une fenêtre PowerShell avec élévation de privilèges et exécutez le script suivant :
$Tpm = Get-WmiObject -class Win32_Tpm -namespace "root\CIMv2\Security\MicrosoftTpm" $ConfirmationStatus = $Tpm.GetPhysicalPresenceConfirmationStatus(22).ConfirmationStatus if($ConfirmationStatus -ne 4) {$Tpm.SetPhysicalPresenceRequest(22)}Redémarrez l'ordinateur. Si une invite s’affiche confirmant l’effacement du module TPM, acceptez d’effacer le module de plateforme sécurisée.
Connectez-vous à Windows et réessayez de démarrer le chiffrement du lecteur BitLocker.
Avertissement
La réinitialisation et l’effacement du module de plateforme sécurisée peuvent entraîner une perte de données.
Le module TPM ne parvient pas à se préparer avec l’erreur The TPM is defending against dictionary attacks and is in a time-out period
Il a tenté d’activer le chiffrement de lecteur BitLocker sur un appareil, mais il échoue. Lors de la résolution des problèmes, le module de plateforme sécurisée console de gestion (tpm.msc) est utilisé pour tenter de préparer le module de plateforme sécurisée sur l’appareil. L’opération échoue avec un message d’erreur similaire au message d’erreur suivant :
Le module de plateforme sécurisée défend les attaques par dictionnaire et se trouve dans un délai d’attente.
Cause de l’échec de la préparation du module TPM
Le module TPM est verrouillé.
La résolution du module de plateforme sécurisée ne parvient pas à se préparer
Pour résoudre ce problème, désactivez et réactivez le module TPM en procédant comme suit :
Entrez les écrans de configuration UEFI/BIOS de l’appareil en redémarrant l’appareil et en appuyant sur la combinaison de touches appropriée au démarrage de l’appareil. Consultez le fabricant de l’appareil pour connaître la combinaison de touches appropriée pour entrer dans les écrans de configuration UEFI/BIOS.
Une fois dans les écrans de configuration UEFI/BIOS, désactivez le module TPM. Consultez le fabricant de l’appareil pour obtenir des instructions sur la désactivation du module TPM dans les écrans de configuration UEFI/BIOS.
Enregistrez la configuration UEFI/BIOS avec le module TPM désactivé et redémarrez l’appareil pour démarrer dans Windows.
Une fois connecté à Windows, revenez au module de plateforme sécurisée console de gestion. Un message d’erreur similaire au message d’erreur suivant s’affiche :
Impossible de trouver le module TPM compatible
Le module TPM (Compatible Trusted Platform Module) est introuvable sur cet ordinateur. Vérifiez que cet ordinateur dispose de 1.2 TPM et qu’il est activé dans le BIOS.
Ce message est attendu, car le module TPM est actuellement désactivé dans le microprogramme UEFI/BIOS de l’appareil.
Redémarrez l’appareil et entrez à nouveau les écrans de configuration UEFI/BIOS.
Réenable le module de plateforme sécurisée dans les écrans de configuration UEFI/BIOS.
Enregistrez la configuration UEFI/BIOS avec le module TPM activé et redémarrez l’appareil pour démarrer dans Windows.
Une fois connecté à Windows, revenez au module de plateforme sécurisée console de gestion.
Si le module de plateforme sécurisée ne peut toujours pas être préparé, effacez les clés TPM existantes en suivant les instructions de l’article Résoudre les problèmes du module de plateforme sécurisée : effacez toutes les clés du module de plateforme sécurisée.
Avertissement
L’effacement du module de plateforme sécurisée peut entraîner une perte de données.
BitLocker ne parvient pas à s’activer avec l’erreur Access Denied: Failed to backup TPM Owner Authorization information to Active Directory Domain Services. Errorcode: 0x80070005 ou Insufficient Rights
Ne pas activer BitLocker tant que les informations de récupération ne sont pas stockées dans la stratégie AD DS n’est pas appliquée dans l’environnement. Il a tenté d’activer le chiffrement de lecteur BitLocker sur un appareil, mais il échoue avec le message d’erreur de Access Denied: Failed to backup TPM Owner Authorization information to Active Directory Domain Services. Errorcode: 0x80070005 ou Insufficient Rights.
Cause ou Access DeniedInsufficient Rights
Le module de plateforme sécurisée n’a pas suffisamment d’autorisations sur le conteneur d’appareils TPM dans services de domaine Active Directory (AD DS). Par conséquent, les informations de récupération BitLocker n’ont pas pu être sauvegardées sur AD DS et le chiffrement de lecteur BitLocker n’a pas pu être activé.
Ce problème semble être limité aux ordinateurs qui exécutent des versions de Windows antérieures à Windows 10.
Résolution pour Access Denied ou Insufficient Rights
Pour vérifier que ce problème se produit, utilisez l’une des deux méthodes suivantes :
Désactivez la stratégie ou supprimez l’ordinateur du domaine suivi d’une tentative d’activation du chiffrement de lecteur BitLocker. Si l’opération réussit, le problème a été provoqué par la stratégie.
Utilisez les outils de suivi LDAP et réseau pour examiner les échanges LDAP entre le client et le contrôleur de domaine AD DS pour identifier la cause de l’erreur Accès refusé ou Droits insuffisants. Dans ce cas, une erreur doit s’afficher lorsque le client tente d’accéder à son objet dans le
CN=TPM Devices,DC=<domain>,DC=comconteneur.
Pour passer en revue les informations du module de plateforme sécurisée pour l’ordinateur concerné, ouvrez une fenêtre Windows PowerShell avec élévation de privilèges et exécutez la commande suivante :
Get-ADComputer -Filter {Name -like "ComputerName"} -Property * | Format-Table name,msTPM-TPMInformationForComputerDans cette commande, ComputerName est le nom de l’ordinateur concerné.
Pour résoudre le problème, utilisez un outil tel que dsacls.exe pour vous assurer que la liste de contrôle d’accès de msTPM-TPMInformationForComputer accorde des autorisations de lecture et d’écriture à NTAUTHORITY/SELF.
Le module TPM ne peut pas être préparé avec l’erreur 0x80072030: There is no such object on the server
Les contrôleurs de domaine ont été mis à niveau de Windows Server 2008 R2 vers Windows Server 2012 R2. Un objet de stratégie de groupe (GPO) existe qui applique l’option Ne pas activer BitLocker tant que les informations de récupération ne sont pas stockées dans la stratégie AD DS .
Il a tenté d’activer le chiffrement de lecteur BitLocker sur un appareil, mais il échoue. Lors de la résolution des problèmes, le module de plateforme sécurisée console de gestion (tpm.msc) est utilisé pour tenter de préparer le module de plateforme sécurisée sur l’appareil. L’opération échoue avec un message d’erreur similaire au message d’erreur suivant :
0x80072030 Il n’existe aucun objet de ce type sur le serveur lorsqu’une stratégie de sauvegarde des informations de module de plateforme sécurisée dans Active Directory est activée
Il a été confirmé que les attributs ms-TPM-OwnerInformation et msTPM-TpmInformationForComputer sont présents.
Cause de 0x80072030 : il n’existe aucun objet de ce type sur le serveur
Le niveau fonctionnel de domaine et de forêt de l’environnement peut toujours être défini sur Windows 2008 R2. En outre, les autorisations dans AD DS peuvent ne pas être correctement définies.
Résolution de 0x80072030 : il n’existe aucun objet de ce type sur le serveur
Le problème peut être résolu en procédant comme suit :
Mettez à niveau le niveau fonctionnel du domaine et de la forêt vers Windows Server 2012 R2.
Téléchargez Add-TPMSelfWriteACE.vbs.
Dans le script, modifiez la valeur de strPathToDomain en nom de domaine de l’organisation.
Ouvrez une fenêtre PowerShell avec élévation de privilèges et exécutez la commande suivante :
cscript.exe <Path>\Add-TPMSelfWriteACE.vbsDans cette commande, <Path> est le chemin d’accès au fichier de script.
Pour plus d’informations, consultez les articles suivants :