Condividi tramite


BitLocker non è in grado di crittografare un'unità: problemi TPM noti

Questo articolo descrive i problemi comuni che influiscono sul TPM (Trusted Platform Module) che potrebbero impedire a BitLocker di crittografare un'unità. Questo articolo fornisce anche indicazioni per risolvere questi problemi.

Note

Se è stato determinato che il problema di BitLocker non riguarda il TPM, vedere BitLocker non è in grado di crittografare un'unità: problemi noti.

Il TPM è bloccato e viene visualizzato l'errore The TPM is defending against dictionary attacks and is in a time-out period

Si è tentato di attivare la crittografia dell'unità BitLocker in un dispositivo, ma ha esito negativo con un messaggio di errore simile al messaggio di errore seguente:

Il TPM sta difendendo dagli attacchi di dizionario ed è in un periodo di timeout.

Causa del blocco TPM

Il TPM è bloccato.

Risoluzione per il TPM bloccato

Per risolvere questo problema, il TPM deve essere reimpostato e cancellato. Il TPM può essere reimpostato e cancellato seguendo questa procedura:

  1. Aprire una finestra di PowerShell con privilegi elevati ed eseguire lo script seguente:

    $Tpm = Get-WmiObject -class Win32_Tpm -namespace "root\CIMv2\Security\MicrosoftTpm"
    $ConfirmationStatus = $Tpm.GetPhysicalPresenceConfirmationStatus(22).ConfirmationStatus
    if($ConfirmationStatus -ne 4) {$Tpm.SetPhysicalPresenceRequest(22)}
    
  2. Riavviare il computer. Se viene visualizzata una richiesta che conferma la cancellazione del TPM, accettare di cancellare il TPM.

  3. Accedere a Windows e riprovare ad avviare la crittografia dell'unità BitLocker.

Avviso

La reimpostazione e la cancellazione del TPM possono causare la perdita di dati.

Il TPM non riesce a prepararsi con l'errore The TPM is defending against dictionary attacks and is in a time-out period

Si è tentato di attivare la crittografia dell'unità BitLocker in un dispositivo, ma ha esito negativo. Durante la risoluzione dei problemi, la console di gestione TPM (tpm.msc) viene usata per tentare di preparare il TPM nel dispositivo. L'operazione non riesce con un messaggio di errore simile al seguente:

Il TPM sta difendendo dagli attacchi di dizionario ed è in un periodo di timeout.

Causa della mancata preparazione del TPM

Il TPM è bloccato.

Risoluzione per il mancato preparazione del TPM

Per risolvere questo problema, disabilitare e riabilitare il TPM con la procedura seguente:

  1. Immettere le schermate di configurazione UEFI/BIOS del dispositivo riavviando il dispositivo e premendo la combinazione di tasti appropriata durante l'avvio del dispositivo. Rivolgersi al produttore del dispositivo per la combinazione di tasti appropriata per l'immissione nelle schermate di configurazione UEFI/BIOS.

  2. Una volta nelle schermate di configurazione UEFI/BIOS, disabilitare il TPM. Consultare il produttore del dispositivo per istruzioni su come disabilitare il TPM nelle schermate di configurazione UEFI/BIOS.

  3. Salvare la configurazione UEFI/BIOS con il TPM disabilitato e riavviare il dispositivo per l'avvio in Windows.

  4. Dopo aver eseguito l'accesso a Windows, tornare alla console di gestione di TPM. Viene visualizzato un messaggio di errore simile al seguente:

    Impossibile trovare TPM compatibile

    Impossibile trovare il modulo TPM (Trusted Platform Module) compatibile in questo computer. Verificare che il computer disponga di 1.2 TPM e che sia attivato nel BIOS.

    Questo messaggio è previsto perché il TPM è attualmente disabilitato nel firmware UEFI/BIOS del dispositivo.

  5. Riavviare il dispositivo e immettere di nuovo le schermate di configurazione UEFI/BIOS.

  6. Riabilitare il TPM nelle schermate di configurazione UEFI/BIOS.

  7. Salvare la configurazione UEFI/BIOS con il TPM abilitato e riavviare il dispositivo per l'avvio in Windows.

  8. Dopo aver eseguito l'accesso a Windows, tornare alla console di gestione di TPM.

Se non è ancora possibile preparare il TPM, cancellare le chiavi TPM esistenti seguendo le istruzioni riportate nell'articolo Risolvere i problemi relativi al TPM: Cancellare tutte le chiavi dal TPM.

Avviso

La cancellazione del TPM può causare la perdita di dati.

BitLocker non riesce ad abilitare con l'errore Access Denied: Failed to backup TPM Owner Authorization information to Active Directory Domain Services. Errorcode: 0x80070005 o Insufficient Rights

Non abilitare BitLocker finché le informazioni di ripristino non vengono archiviate nei criteri di Active Directory Domain Services nell'ambiente. Si è tentato di attivare la crittografia dell'unità BitLocker in un dispositivo, ma ha esito negativo con il messaggio di errore di Access Denied: Failed to backup TPM Owner Authorization information to Active Directory Domain Services. Errorcode: 0x80070005 o Insufficient Rights.

Causa di Access Denied o Insufficient Rights

Il TPM non dispone di autorizzazioni sufficienti per il contenitore dei dispositivi TPM in Dominio di Active Directory Services (AD DS). Di conseguenza, non è stato possibile eseguire il backup delle informazioni di ripristino di BitLocker in Servizi di dominio Active Directory e non è stato possibile attivare la crittografia dell'unità BitLocker.

Questo problema sembra essere limitato ai computer che eseguono versioni di Windows precedenti a Windows 10.

Risoluzione per Access Denied o Insufficient Rights

Per verificare che si verifichi questo problema, usare uno dei due metodi seguenti:

  • Disabilitare il criterio o rimuovere il computer dal dominio seguito dal tentativo di attivare nuovamente la crittografia dell'unità BitLocker. Se l'operazione ha esito positivo, il problema è stato causato dal criterio.

  • Usare gli strumenti di traccia di rete e LDAP per esaminare gli scambi LDAP tra il client e il controller di dominio di Active Directory Domain Services per identificare la causa dell'errore Accesso negato o Diritti insufficienti. In questo caso, deve essere visualizzato un errore quando il client tenta di accedere al relativo oggetto nel CN=TPM Devices,DC=<domain>,DC=com contenitore.

  1. Per esaminare le informazioni TPM per il computer interessato, aprire una finestra di Windows PowerShell con privilegi elevati ed eseguire il comando seguente:

    Get-ADComputer -Filter {Name -like "ComputerName"} -Property * | Format-Table name,msTPM-TPMInformationForComputer
    

    In questo comando ComputerName è il nome del computer interessato.

  2. Per risolvere il problema, usare uno strumento come dsacls.exe per assicurarsi che l'elenco di controllo di accesso di msTPM-TPMInformationForComputer conceda le autorizzazioni di lettura e scrittura a NTAUTHORITY/SELF.

Impossibile preparare il TPM con l'errore 0x80072030: There is no such object on the server

I controller di dominio sono stati aggiornati da Windows Server 2008 R2 a Windows Server 2012 R2. Esiste un oggetto Criteri di gruppo che applica l'opzione Non abilitare BitLocker fino a quando le informazioni di ripristino non vengono archiviate nei criteri di Active Directory Domain Services .

Si è tentato di attivare la crittografia dell'unità BitLocker in un dispositivo, ma ha esito negativo. Durante la risoluzione dei problemi, la console di gestione TPM (tpm.msc) viene usata per tentare di preparare il TPM nel dispositivo. L'operazione non riesce con un messaggio di errore simile al seguente:

0x80072030 Non è presente alcun oggetto nel server quando un criterio per eseguire il backup delle informazioni TPM in Active Directory è abilitato

È stato confermato che sono presenti gli attributi ms-TPM-OwnerInformation e msTPM-TpmInformationForComputer .

Causa di 0x80072030: nel server non è presente alcun oggetto di questo tipo

Il livello di funzionalità del dominio e della foresta dell'ambiente può essere ancora impostato su Windows 2008 R2. Inoltre, le autorizzazioni in Servizi di dominio Active Directory potrebbero non essere impostate correttamente.

Risoluzione per 0x80072030: nel server non è presente alcun oggetto di questo tipo

Il problema può essere risolto con la procedura seguente:

  1. Aggiornare il livello funzionale del dominio e della foresta a Windows Server 2012 R2.

  2. Scaricare Add-TPMSelfWriteACE.vbs.

  3. Nello script modificare il valore di strPathToDomain nel nome di dominio dell'organizzazione.

  4. Aprire una finestra di PowerShell con privilegi elevati ed eseguire il comando seguente:

    cscript.exe <Path>\Add-TPMSelfWriteACE.vbs
    

    In questo comando, <Path> è il percorso del file di script.

Per altre informazioni, vedere gli articoli seguenti: