O BitLocker não pode criptografar uma unidade: problemas conhecidos do TPM
Este artigo descreve problemas comuns que afetam o TPM (Trusted Platform Module) que podem impedir que o BitLocker criptografe uma unidade. Este artigo também fornece diretrizes para resolver esses problemas.
Observação
Se tiver sido determinado que o problema do BitLocker não envolve o TPM, consulte O BitLocker não pode criptografar uma unidade: problemas conhecidos.
O TPM está bloqueado e o erro The TPM is defending against dictionary attacks and is in a time-out period é exibido
Ele tentou ativar a criptografia de unidade do BitLocker em um dispositivo, mas falha com uma mensagem de erro semelhante à seguinte mensagem de erro:
O TPM está se defendendo contra ataques de dicionário e está em um período de tempo limite.
Causa do bloqueio do TPM
O TPM está bloqueado.
Resolução para o TPM que está sendo bloqueado
Para resolver esse problema, o TPM precisa ser redefinido e limpo. O TPM pode ser redefinido e limpo com as seguintes etapas:
Abra uma janela do PowerShell com privilégios elevados e execute o seguinte script:
$Tpm = Get-WmiObject -class Win32_Tpm -namespace "root\CIMv2\Security\MicrosoftTpm" $ConfirmationStatus = $Tpm.GetPhysicalPresenceConfirmationStatus(22).ConfirmationStatus if($ConfirmationStatus -ne 4) {$Tpm.SetPhysicalPresenceRequest(22)}Reinicie o computador. Se um prompt for exibido confirmando a limpeza do TPM, concorde em limpar o TPM.
Entre no Windows e tente iniciar novamente a criptografia de unidade de disco BitLocker.
Aviso
Redefinir e limpar o TPM pode causar perda de dados.
O TPM falha ao se preparar com o erro The TPM is defending against dictionary attacks and is in a time-out period
Ele tentou ativar a criptografia de unidade do BitLocker em um dispositivo, mas falhou. Durante a solução de problemas, o console de gerenciamento do TPM (tpm.msc) é usado para tentar preparar o TPM no dispositivo. A operação falha com uma mensagem de erro semelhante à seguinte mensagem de erro:
O TPM está se defendendo contra ataques de dicionário e está em um período de tempo limite.
Causa da falha no TPM ao preparar
O TPM está bloqueado.
Resolução para TPM que não prepara
Para resolver esse problema, desabilite e reabilite o TPM com as seguintes etapas:
Entre nas telas de configuração UEFI/BIOS do dispositivo reiniciando o dispositivo e pressionando a combinação de teclas apropriada enquanto o dispositivo inicializa. Consulte o fabricante do dispositivo para obter a combinação de teclas apropriada para entrar nas telas de configuração UEFI/BIOS.
Uma vez nas telas de configuração UEFI/BIOS, desative o TPM. Consulte o fabricante do dispositivo para obter instruções sobre como desabilitar o TPM nas telas de configuração UEFI/BIOS.
Salve a configuração UEFI/BIOS com o TPM desabilitado e reinicie o dispositivo para inicializar no Windows.
Depois de entrar no Windows, retorne ao console de gerenciamento do TPM. Uma mensagem de erro semelhante à seguinte mensagem de erro é exibida:
O TPM compatível não pode ser encontrado
O TPM (Trusted Platform Module) compatível não pode ser encontrado neste computador. Verifique se este computador tem 1.2 TPM e se está ligado no BIOS.
Essa mensagem é esperada, pois o TPM está desabilitado no firmware UEFI/BIOS do dispositivo.
Reinicie o dispositivo e entre nas telas de configuração UEFI/BIOS novamente.
Reative o TPM nas telas de configuração UEFI/BIOS.
Salve a configuração UEFI/BIOS com o TPM habilitado e reinicie o dispositivo para inicializar no Windows.
Depois de entrar no Windows, retorne ao console de gerenciamento do TPM.
Se o TPM ainda não puder ser preparado, limpe as chaves TPM existentes seguindo as instruções no artigo Solucionar problemas do TPM: limpe todas as chaves do TPM.
Aviso
Limpar o TPM pode causar perda de dados.
O BitLocker falha ao habilitar com o erro Access Denied: Failed to backup TPM Owner Authorization information to Active Directory Domain Services. Errorcode: 0x80070005 ou Insufficient Rights
A política Não habilitar o BitLocker até que as informações de recuperação sejam armazenadas no AD DS é imposta no ambiente. Ele tentou ativar a criptografia de unidade do BitLocker em um dispositivo, mas falha com a mensagem de erro de Access Denied: Failed to backup TPM Owner Authorization information to Active Directory Domain Services. Errorcode: 0x80070005 ou Insufficient Rights.
Causa de Access Denied ou Insufficient Rights
O TPM não tinha permissões suficientes no contêiner de dispositivos TPM nos Serviços de Domínio Active Directory (AD DS). Portanto, não foi possível fazer backup das informações de recuperação do BitLocker no AD DS e a criptografia de unidade do BitLocker não pôde ser ativada.
Esse problema parece estar limitado a computadores que executam versões do Windows anteriores ao Windows 10.
Resolução para Access Denied ou Insufficient Rights
Para verificar se esse problema está ocorrendo, use um dos dois métodos a seguir:
Desabilite a política ou remova o computador do domínio e, em seguida, tente ativar a criptografia de unidade de disco BitLocker novamente. Se a operação for bem-sucedida, o problema foi causado pela política.
Use o LDAP e as ferramentas de rastreamento de rede para examinar as trocas LDAP entre o cliente e o controlador de domínio do AD DS para identificar a causa do erro Acesso Negado ou Direitos Insuficientes. Nesse caso, um erro deve ser exibido quando o cliente tentar acessar seu objeto no
CN=TPM Devices,DC=<domain>,DC=comcontêiner.
Para examinar as informações do TPM para o computador afetado, abra uma janela do Windows PowerShell com privilégios elevados e execute o seguinte comando:
Get-ADComputer -Filter {Name -like "ComputerName"} -Property * | Format-Table name,msTPM-TPMInformationForComputerNeste comando, NomedoComputador é o nome do computador afetado.
Para resolver o problema, use uma ferramenta como dsacls.exe para garantir que a lista de controle de acesso de msTPM-TPMInformationForComputer conceda permissões de Leitura e Gravação a NTAUTHORITY/SELF.
O TPM não está preparado com o erro 0x80072030: There is no such object on the server
Os controladores de domínio foram atualizados do Windows Server 2008 R2 para o Windows Server 2012 R2. Existe um GPO (objeto de política de grupo) que impõe o Não habilitar o BitLocker até que as informações de recuperação sejam armazenadas na política do AD DS .
Ele tentou ativar a criptografia de unidade do BitLocker em um dispositivo, mas falhou. Durante a solução de problemas, o console de gerenciamento do TPM (tpm.msc) é usado para tentar preparar o TPM no dispositivo. A operação falha com uma mensagem de erro semelhante à seguinte mensagem de erro:
0x80072030 Não existe esse objeto no servidor quando uma política para fazer backup de informações do TPM no Active Directory está habilitada
Foi confirmado que os atributos ms-TPM-OwnerInformation e msTPM-TpmInformationForComputer estão presentes.
Causa do 0x80072030: Não existe tal objeto no servidor
O nível funcional de domínio e floresta do ambiente ainda pode ser definido como Windows 2008 R2. Além disso, as permissões no AD DS podem não estar definidas corretamente.
Resolução para 0x80072030: não existe esse objeto no servidor
O problema pode ser resolvido com as seguintes etapas:
Atualize o nível funcional do domínio e da floresta para o Windows Server 2012 R2.
Baixe Add-TPMSelfWriteACE.vbs.
No script, modifique o valor de strPathToDomain para o nome de domínio da organização.
Abra uma janela do PowerShell com privilégios elevados e execute o seguinte comando:
cscript.exe <Path>\Add-TPMSelfWriteACE.vbsNeste comando, <Caminho> é o caminho para o arquivo de script.
Para obter mais informações, consulte os seguintes artigos: