排除 TPM 故障

本文介绍如何对受信任的平台模块 (TPM) 进行故障排除:

有关 TPM cmdlet 的信息,请参阅 Windows PowerShell 中的 TPM Cmdlet

关于 TPM 初始化和所有权

Windows 会自动初始化并获取 TPM 的所有权。 无需初始化 TPM 并创建所有者密码。

TPM 初始化

如果发现 Windows 无法自动初始化 TPM,请查看以下信息:

  • 可以尝试将 TPM 清除为工厂默认值,从而允许 Windows 重新初始化它。 有关此过程的重要预防措施和完成过程的说明,请参阅 从 TPM 清除所有密钥
  • 如果 TPM 是 TPM 2.0 且 Windows 未检测到,请验证计算机硬件是否包含符合受信任计算组的统一可扩展固件接口 (UEFI) 。 此外,请确保在 UEFI 设置中,TPM 未被禁用或隐藏在操作系统中。
  • 如果具有 Windows 11 的 TPM 1.2,则 TPM 可能已关闭,并且需要重新打开,如 打开 TPM 中所述。 重新打开后,Windows 会重新初始化它。
  • 如果尝试使用 TPM 设置 BitLocker,请检查计算机上安装了哪个 TPM 驱动程序。 建议始终使用 Microsoft 提供的受 BitLocker 保护的 TPM 驱动程序之一。 如果安装了非Microsoft TPM 驱动程序,它可能会阻止默认 TPM 驱动程序加载,并导致 BitLocker 报告计算机上不存在 TPM。 如果已安装非Microsoft驱动程序,请将其删除,然后允许操作系统初始化 TPM。

已加入域的 Windows 11 设备的网络连接问题

如果你有 Windows 11,则在计算机出现网络连接问题并且存在以下两种情况时,无法完成 TPM 的初始化:

  • 管理员已将计算机配置为要求将 TPM 恢复信息保存在 Active Directory 域服务 (AD DS) 中。 可以通过组策略配置此要求。
  • 无法访问域控制器。 这种情况可能发生在当前与内部网络断开连接、防火墙与域隔离的设备,或者遇到网络组件故障 (,例如拔下电缆或故障的网络适配器) 。

如果出现这些问题,将显示一条错误消息,并且无法完成初始化过程。 若要避免此问题,请允许 Windows 在连接到公司网络时初始化 TPM,并且你可以联系域控制器。

具有多个 TPM 的系统

某些系统可能有多个 TPM,并且活动 TPM 可能会在 UEFI 中切换。 Windows 不支持此配置。 如果切换 TPM,Windows 可能无法正确检测新 TPM 或无法与新 TPM 交互。 如果计划切换 TPM,则应切换到新的 TPM,清除它,然后重新安装 Windows。 有关详细信息,请参阅 从 TPM 中清除所有密钥

例如,切换 TPM 会导致 BitLocker 进入恢复模式。 我们强烈建议在具有两个 TPM 的系统上,选择一个 TPM 以供使用,并且不更改所选内容。

清除 TPM 中的所有密钥

可以使用 Windows Defender 安全中心应用清除 TPM 作为故障排除步骤,或者在全新安装新操作系统之前进行最后准备。 以这种方式准备干净安装有助于确保新操作系统可以完全部署它包含的任何基于 TPM 的功能,例如证明。 但是,即使未在安装新操作系统之前清除 TPM,大多数 TPM 功能也可能正常工作。

清除 TPM 会将其重置为未拥有状态。 清除 TPM 后,Windows 操作系统将自动重新初始化它并再次获取所有权。

警告

清除 TPM 可能会导致数据丢失。 有关详细信息,请参阅下一部分“清除 TPM 之前要采取的预防措施”。

清除 TPM 之前要采取的预防措施

清除 TPM 可能会导致数据丢失。 若要防止此类损失,请查看以下预防措施:

  • 清除 TPM 会导致丢失与 TPM 关联的所有已创建密钥以及受这些密钥保护的数据,例如虚拟智能卡或登录 PIN。 对于受 TPM 保护或加密的任何数据,请确保具有备份和恢复方法。
  • 请勿在未拥有的设备(如工作或学校电脑)上清除 TPM,而 IT 管理员未指示这样做。
  • 如果要在 Windows 11 上暂时挂起 TPM 操作,可以关闭 TPM。 有关详细信息,请参阅 关闭 TPM
  • 始终使用操作系统 ((如 TPM.msc) )中的功能来清除 TPM。 不要直接从 UEFI 中清除 TPM。
  • 由于 TPM 安全硬件是计算机的物理部分,因此在清除 TPM 之前,可能需要阅读计算机随附的手册或说明,或搜索制造商的网站。

本地管理员组中的成员身份或等效成员身份是完成此过程所需的最低要求。

清除 TPM

  1. 打开 Windows Defender 安全中心应用。
  2. 选择“ 设备安全性”。
  3. 选择“ 安全处理器详细信息”。
  4. 选择“ 安全处理器故障排除”。
  5. 选择“ 清除 TPM”。
    • 系统将提示你重新启动计算机。 在重启期间,系统可能会提示你按按钮以确认是否要清除 TPM。
    • 设备重启后,TPM 将自动准备好供 Windows 使用。

打开或关闭 TPM

通常,TPM 在 TPM 初始化过程中处于打开状态。 通常不需要打开或关闭 TPM。 但是,如有必要,可以使用 TPM MMC 执行此操作。

打开 TPM

如果要在关闭 TPM 后使用 TPM,可以使用以下过程来打开 TPM。

  1. 打开 TPM MMC (tpm.msc) 。
  2. “操作 ”窗格中,选择“ 打开 TPM ”以显示“ 打开 TPM 安全硬件 ”页。 阅读此页上的说明。
  3. 选择“ 关闭 (”或 “重启) ”,然后按照 UEFI 屏幕提示进行操作。

设备重启后,但在登录到 Windows 之前,系统会提示你接受 TPM 的重新配置。 接受可确保用户对计算机具有物理访问权限,并且恶意软件不会尝试对 TPM 进行更改。

关闭 TPM

如果要停止使用 TPM 提供的服务,可以使用 TPM MMC 关闭 TPM。

  1. 打开 TPM MMC (tpm.msc) 。
  2. “操作 ”窗格中,选择“ 关闭 TPM ”以显示 “关闭 TPM 安全硬件 ”页。
  3. “关闭 TPM 安全硬件 ”对话框中,选择一种方法以输入所有者密码并关闭 TPM:
    • 如果将 TPM 所有者密码保存在可移动存储设备上,请插入它,然后选择“ 我具有所有者密码文件”。 在 “使用 TPM 所有者密码选择备份文件 ”对话框中,选择“ 浏览 ”以找到 .tpm 保存在可移动存储设备上的文件,选择“ 打开”,然后选择“ 关闭 TPM”。
    • 如果没有具有已保存 TPM 所有者密码的可移动存储设备,请选择“ 我想输入密码”。 在 “键入 TPM 所有者密码 ”对话框中,键入密码 (包括连字符) ,然后选择“ 关闭 TPM”。
    • 如果未保存 TPM 所有者密码或不再知道密码,请选择“ 我没有 TPM 所有者密码”,并按照对话框和后续 UEFI 屏幕中提供的说明关闭 TPM,而无需输入密码。

使用 TPM cmdlet

可以使用 Windows PowerShell 管理 TPM。 有关详细信息,请参阅 Windows PowerShell 中的 TPM Cmdlet