Initialisieren und Konfigurieren des TPM-Besitzes

In diesem Thema, das sich an IT-Experten richtet, wird beschrieben, wie der Trusted Platform Module-Besitz initialisiert und festgelegt wird, wie das TPM aktiviert und deaktiviert wird und wie TPM-Schlüssel gelöscht werden. Darin wird außerdem erläutert, wie Probleme behandelt werden, die möglicherweise infolge dieser Prozeduren entstehen.

Informationen über die TPM-Initialisierung und den -Besitz

Das TPM muss initialisiert werden, und der Besitz muss übernommen werden, bevor es verwendet werden kann, um Ihren Computer zu schützen. Der Besitzer des TPM ist der Benutzer, der das Besitzerkennwort besitzt und in der Lage ist, es festzulegen und zu ändern. Pro TPM gibt es nur ein Besitzerkennwort. Der Besitzer des TPM kann die TPM-Funktionen in vollem Umfang nutzen. Die Übernahme des Besitzes des TPMs kann im Rahmen des Initialisierungsprozesses erfolgen.

Wenn Sie den TPM-Initialisierungs-Assistenten starten, auf den über die TPM-MMC zugegriffen wird, können Sie bestimmen, ob das TPM des Computers initialisiert wurde. Sie können auch die TPM-Eigenschaften anzeigen.

Dieses Thema enthält Verfahren für die folgenden Aufgaben:

• Initialisieren des TPMs und Festlegen des Besitzes

• Problembehandlung bei der TPM-Initialisierung

• Aktivieren oder Deaktivieren des TPMs

• Löschen aller Schlüssel aus dem TPM

• Verwenden von TPM-Cmdlets

Initialisieren des TPMs und Festlegen des Besitzes

Grundvoraussetzung zur Ausführung dieses Vorgangs ist die Mitgliedschaft in der lokalen Gruppe Administratoren oder eine gleichwertige Mitgliedschaft. Zusätzlich muss der Computer mit einem Trusted Computing Group-konformen BIOS ausgestattet sein.

So starten Sie den TPM-Initialisierungs-Assistenten

1. Öffnen Sie die TPM-MMC („tpm.msc“). Wenn das Dialogfeld Benutzerkontensteuerung angezeigt wird, bestätigen Sie die gewünschte Aktion durch Klicken auf Ja.

2. Klicken Sie im Menü Aktion auf TPM initialisieren, um den TPM-Initialisierungs-Assistenten zu starten.

3. Wenn das TPM noch nicht initialisiert wurde oder deaktiviert ist, zeigt der TPM-Initialisierungs-Assistent das Dialogfeld TPM-Sicherheitshardware aktivieren an. Dieses Dialogfeld umfasst eine Anleitung für das Initialisieren oder Aktivieren des TPMs. Befolgen Sie die Anweisungen des Assistenten.

   Hinweis  

   Wenn das TPM bereits aktiviert ist, zeigt der TPM-Initialisierungs-Assistent das Dialogfeld Das TPM-Besitzerkennwort erstellen an. Überspringen Sie den Rest dieses Verfahrens, und fahren Sie mit dem Verfahren So legen Sie den Besitz des TPMs fest fort.

    

   Hinweis  

   Wenn der TPM-Initialisierungs-Assistent ermittelt, dass Sie über kein kompatibles BIOS verfügen, kann der TPM-Initialisierungs-Assistent nicht fortgesetzt werden, und Sie werden gewarnt, die Dokumentation des Computerherstellers hinsichtlich Anweisungen zum Initialisieren des TPMs zu lesen.

    

4. Klicken Sie auf Neu starten.

5. Befolgen Sie die Anweisungen auf dem BIOS-Bildschirm. Es wird eine Eingabeaufforderung zur Annahme angezeigt, um sicherzustellen, dass ein Benutzer über physischen Zugriff auf den Computer verfügt und kein Schadsoftware versucht, das TPM zu aktivieren.

   Hinweis  

   Die BIOS-Bildschirmeingabeaufforderungen und erforderlichen Tastatureingaben variieren je nach Computerhersteller.

    

6. Melden Sie sich nach dem Neustart des Computers mit denselben Administratoranmeldeinformationen am Computer an, die Sie verwendet haben, um diese Prozedur zu starten.

7. Der TPM-Initialisierungs-Assistent wird automatisch neu gestartet. Wenn das Dialogfeld Benutzerkontensteuerung angezeigt wird, bestätigen Sie die gewünschte Aktion durch Klicken auf Ja.

8. Fahren Sie mit der nächsten Prozedur fort, um den Besitz des TPMs zu übernehmen.

Um die Initialisierung des TPMs für die Verwendung abzuschließen, müssen Sie einen Besitzer für das TPM festlegen. Der Prozess der Besitzübernahme umfasst das Erstellen eines Besitzerkennworts für das TMP.

So legen Sie den Besitz des TPMs fest

1. Wenn Sie den Vorgang nicht direkt von der letzten Prozedur fortsetzen, starten Sie den TPM-Initialisierungs-Assistenten. Wenn Sie dafür die Schritte überprüfen müssen, lesen Sie die vorherige Prozedur So starten Sie den TPM-Initialisierungs-Assistenten.

2. Klicken Sie im Dialogfeld Das TPM-Besitzerkennwort erstellen auf Das Kennwort automatisch erstellen (empfohlen).

3. Klicken Sie im Dialogfeld Sichern Sie das TPM-Besitzerkennwort auf Kennwort speichern.

4. Wählen Sie im Dialogfeld Speichern unter einen Speicherort zum Speichern des Kennworts aus, und klicken Sie dann auf Speichern. Die Kennwortdatei wird als computer_name.tpm gespeichert.

   Wichtig  

   Es wird dringend empfohlen, das TPM-Besitzerkennwort auf einem Wechselmedium zu speichern und dieses an einem sicheren Ort aufzubewahren.

    

5. Klicken Sie auf Kennwort drucken, wenn Sie eine Kopie Ihres Kennworts drucken möchten.

   Wichtig  

   Es wird dringend empfohlen, eine Kopie Ihres TPM-Besitzerkennworts zu drucken und sie an einem sicheren Ort aufzubewahren.

    

6. Klicken Sie auf initialisieren.

   Hinweis  

   Der Abschluss des Initialisierungsprozesses des TPMs nimmt möglicherweise einige Minuten in Anspruch.

    

7. Klicken Sie auf Schließen.

   Achtung  

   Verlieren Sie Ihr Kennwort nicht. Wenn dies der Fall ist, können Sie keine Verwaltungsänderungen mehr vornehmen, es sei denn, Sie löschen das TPM, was wiederum zu Datenverlusten führen kann.

    

Problembehandlung bei der TPM-Initialisierung

Das Verwalten des TPMs ist für gewöhnlich eine einfache Prozedur. Wenn Sie nicht in der Lage sind, die Initialisierungsprozedur abzuschließen, lesen Sie die folgenden Informationen:

• Wenn das TPM durch Windows nicht erkannt wird, müssen Sie sicherstellen, dass Ihre Hardware über ein Trusted Computing Group-konformes BIOS verfügt. Stellen Sie sicher, dass keine BIO-Einstellungen verwendet wurden, um das TPM vom Betriebssystem auszublenden.

• Wenn Sie versuchen, das TPM als Bestandteil der BitLocker-Einrichtung zu initialisieren, müssen Sie überprüfen, welcher TPM-Treiber auf dem Computer installiert ist. Sie sollten immer einen der TPM-Treiber verwenden, der durch Microsoft bereitgestellt wird und mit BitLocker geschützt ist. Wenn ein Nicht-Microsoft-TPM-Treiber installiert ist, verhindert dies möglicherweise, dass der TPM-Standardtreiber geladen wird, was dazu führt, dass BitLocker meldet, dass auf dem Computer kein TPM vorhanden sei. Wenn ein Nicht-Microsoft-Treiber installiert ist, entfernen Sie ihn, und versuchen Sie dann, das TPM zu initialisieren. In der folgenden Tabelle werden die drei TPM-Standardtreiber aufgeführt, die von Microsoft bereitgestellt werden.

  Treibername	Hersteller
  Trusted Platform Module 1.2	(Standard)
  Broadcom Trusted Platform Module (A1), v1.2	Broadcom
  Broadcom Trusted Platform Module (A2), v1.2	Broadcom

   

• Wenn das TPM zuvor initialisiert wurde und Sie nicht über das Besitzerkennwort verfügen, müssen Sie das TPM möglicherweise löschen oder auf die Werkseinstellungen zurücksetzen. Weitere Informationen finden Sie unter Löschen aller Schlüssel aus dem TPM.

  Achtung  

  Das Löschen des TPMs kann zu Datenverlusten führen. Um Datenverluste zu vermeiden, stellen Sie sicher, dass Sie über eine Sicherungs- und Wiederherstellungsmethode für alle Daten verfügen, die vom TPM geschützt oder verschlüsselt werden.

   

Da es sich bei Ihrer TPM-Sicherheitshardware um einen physischen Bestandteil Ihres Computers handelt, können Sie die Handbücher oder Anweisungen lesen, die mit Ihrem Computer versendet wurde. Alternativ können Sie die Website des Herstellers durchsuchen.

Netzwerkverbindung

Sie können die Initialisierung des TPMs nicht abschließen, wenn Ihr Computer nicht mit dem Netzwerk Ihrer Organisation verbunden ist, wenn eine der folgenden Bedingungen vorliegt:

• Ein Administrator hat Ihren Computer so konfiguriert, dass die TPM-Wiederherstellungsinformationen in den Active Directory-Domänendiensten (AD DS) gespeichert werden müssen. Diese Anforderung kann über „Gruppenrichtlinie“ konfiguriert werden.

• Ein Domänencontroller kann nicht erreicht werden. Dies kann auf einem Computer auftreten, der aktuell nicht mit dem Netzwerk verbunden ist, durch eine Firewall von der Domäne getrennt ist oder über einen Netzwerkkomponentenausfall (z. B. ein nicht verbundenes Kabel oder ein fehlerhafter Netzwerkadapter) verfügt.

In beiden Fällen wird eine Fehlermeldung angezeigt, und Sie können den Initialisierungsprozess nicht abschließen. Initialisieren Sie zum Vermeiden dieses Problems das TPM, während die Verbindung zum Unternehmensnetzwerk hergestellt wird und Sie die Verbindung mit einem Domänencontroller herstellen können.

Systeme mit mehreren TPMs

Einige Systeme weisen mehrere TPMs auf, und das aktive TPM kann im BIOS umgeschaltet werden. Dieses Verhalten wird durch Windows 10 nicht unterstützt. Wenn Sie TPMs wechseln funktionieren die vom TPM abhängigen Funktionen nicht mit dem neuen TPM, es sei denn, es wurde während der Bereitstellung gelöscht und eingesetzt. Das Ausführen dieser Löschung führt möglicherweise zu Datenverlusten, insbesondere für Schlüssel und Zertifikate, die mit dem vorherigen TPM verknüpft sind. Beispielsweise führt das Umschalten von TPMs dazu, dass BitLocker in den Wiederherstellungsmodus wechselt. Es wird dringend empfohlen, dass auf Systemen mit zwei TPMs ein TPM für die Verwendung ausgewählt und die Auswahl nicht geändert wird.

Aktivieren oder Deaktivieren des TPMs

Für gewöhnlich wird das TPM als Bestandteil des TPM-Initialisierungsprozesses aktiviert. Sie müssen das TPM für gewöhnlich weder aktivieren noch deaktivieren. Wenn dies jedoch der Fall ist, können Sie dies über die TPM-MMC vornehmen.

Aktivieren des TPMs

Wenn das TPM initialisiert, aber niemals zuvor verwendet wurde oder Sie das TPM verwenden möchten, nachdem Sie es deaktiviert haben, können Sie die folgende Prozedur verwenden, um das TPM zu aktivieren.

So aktivieren Sie das TPM

1. Öffnen Sie die TPM-MMC („tpm.msc“).

2. Klicken Sie im Bereich Aktion auf TPM einschalten, um die Seite TPM-Sicherheitshardware aktivieren anzuzeigen. Lesen Sie die Anweisungen auf dieser Seite.

3. Klicken Sie auf Herunterfahren (oder Neu starten), und befolgen Sie dann die BIOS-Bildschirmanweisungen.

   Nachdem der Computer neu gestartet wurde, aber bevor Sie sich bei Windows anmelden, werden Sie aufgefordert, die TPM-Neukonfiguration zu akzeptieren. Dadurch wird sichergestellt, dass der Benutzer über einen physischen Zugriff auf den Computer verfügt und keine Schadsoftware versucht, Änderungen am TPM vorzunehmen.

Deaktivieren des TPMs

Wenn Sie das Verwenden der Dienste beenden möchten, die durch das TPM bereitgestellt werden, können Sie die TPM-MMC verwenden, um das TPM zu deaktivieren. Wenn Sie über das TPM-Besitzerkennwort verfügen, ist der physische Zugriff auf den Computer nicht erforderlich, um das TPM zu deaktivieren. Wenn Sie nicht über das TPM-Besitzerkennwort verfügen, müssen Sie über physischen Zugriff auf den Computer verfügen, um das TPM zu deaktivieren.

So deaktivieren Sie das TPM

1. Öffnen Sie die TPM-MMC („tpm.msc“).

2. Klicken Sie im Bereich Aktion auf TPM ausschalten, um die Seite TPM-Sicherheitshardware deaktivieren anzuzeigen.

3. Wählen Sie im Dialogfeld TPM-Sicherheitshardware deaktivieren eine Methode zum Eingeben Ihres Benutzerkennworts und Deaktivieren des TPMs aus:

   • Wenn Sie das TPM-Besitzerkennwort auf einem Wechselspeichergerät gespeichert haben, schließen Sie es an, und klicken Sie dann auf Besitzerkennwortdatei verfügbar. Klicken Sie im Dialogfeld Die Sicherungsdatei mit dem TPM-Besitzerkennwort auswählen auf Durchsuchen, um die TPM-Datei zu suchen, die auf Ihrem Wechselmedium gespeichert ist. Klicken Sie auf Öffnen und dann auf TPM ausschalten.

   • Wenn Sie nicht über das Wechselmedium mit Ihrem gespeicherten TPM-Besitzerkennwort verfügen, klicken Sie auf die Option zum Eingeben des Kennworts. Geben Sie im Dialogfeld Geben Sie Ihr TPM-Besitzerkennwort ein Ihr Kennwort (einschließlich Bindestrichen) ein, und klicken Sie dann auf TPM ausschalten.

   • Wenn Sie Ihr TPM-Besitzerkennwort nicht kennen, klicken Sie auf Sicherungsdatei mit TPM-Besitzerkennwort ist nicht verfügbar, und befolgen Sie die Anweisungen im Dialogfeld und den nachfolgenden BIOS-Bildschirmen, um das TPM ohne Kennworteingabe zu deaktivieren.

Löschen aller Schlüssel aus dem TPM

Durch das Löschen des TPMs wird es auf einen besitzlosen Zustand zurückgesetzt. Nachdem Sie das TPM gelöscht haben, müssen Sie den TPM-Initialisierungsprozess abschließen, bevor Sie die Software wie die BitLocker-Laufwerksverschlüsselung verwenden, die auf TPM basiert. Standardmäßig wird das TPM automatisch initialisiert.

Wichtig  

Das Löschen des TPMs kann zu Datenverlusten führen. Um Datenverluste zu vermeiden, stellen Sie sicher, dass Sie über eine Sicherungs- und Wiederherstellungsmethode für alle Daten verfügen, die vom TPM geschützt oder verschlüsselt werden.

Nachdem das TPM gelöscht wurde, wird es auch deaktiviert.

Um TPM-Vorgänge temporär anzuhalten, deaktivieren Sie das TPM, anstelle es zu löschen.

Grundvoraussetzung zur Ausführung dieses Vorgangs ist die Mitgliedschaft in der lokalen Gruppe Administratoren oder eine gleichwertige Mitgliedschaft.

So löschen Sie das TPM

1. Öffnen Sie die TPM-MMC („tpm.msc“).

2. Wenn das Dialogfeld Benutzerkontensteuerung angezeigt wird, bestätigen Sie die gewünschte Aktion durch Klicken auf Ja.

3. Klicken Sie unter Aktionen auf TPM löschen.

   Warnung  

   Wenn das TPM deaktiviert ist, müssen Sie es erneut initialisieren, bevor Sie es löschen können.

   Durch das Löschen des TPMs wird es auf seine Werkseinstellungen zurückgesetzt und deaktiviert. Sie verlieren alle erstellten Schlüssel sowie die durch diese Schlüssel geschützten Daten.

    

4. Wählen Sie im Dialogfeld Die TPM-Sicherheitshardware löschen eine der folgenden Methoden zum Eingeben des Kennworts und Löschen des TPMs aus.

   • Wenn Sie über das Wechselmedium mit dem gespeicherten TPM-Besitzerkennwort verfügen, schließen Sie es an, und klicken Sie dann auf Besitzerkennwortdatei verfügbar. Verwenden Sie im Dialogfeld Die Sicherungsdatei mit dem TPM-Besitzerkennwort auswählen die Schaltfläche Durchsuchen, um zu der TPM-Datei zu navigieren, die auf Ihrem Wechselspeichergerät gespeichert ist. Klicken Sie auf Öffnen und dann auf TPM löschen.

   • Wenn Sie nicht über das Wechselspeichergerät mit Ihrem gespeicherten Kennwort verfügen, klicken Sie auf Besitzerkennwort eingeben. Geben Sie im Dialogfeld Geben Sie Ihr TPM-Besitzerkennwort ein Ihr Kennwort (einschließlich Bindestriche) ein, und klicken Sie auf TPM löschen.

   • Wenn Sie Ihr TPM-Besitzerkennwort nicht kennen, klicken Sie auf Sicherungsdatei mit TPM-Besitzerkennwort ist nicht verfügbar, und befolgen Sie die angegebenen Anweisungen, um das TPM ohne Kennworteingabe zu löschen.

   Hinweis  

   Wenn Sie über physischen Zugriff auf den Computer verfügen, können Sie das TPM löschen und eine begrenzte Anzahl an Verwaltungsaufgaben ausführen, ohne das TPM-Besitzerkennwort eingeben zu müssen.

    

   Der Status Ihres TPMs wird unter Status in der TPM-MMC angezeigt.

Verwenden von TPM-Cmdlets

Wenn Sie die Windows PowerShell verwenden, um Ihre Computer zu verwalten, können Sie auch das TPM mithilfe der Windows PowerShell verwalten. Geben Sie zum Installieren der TPM-Cmdlets den folgenden Befehl ein:

dism /online /enable-feature /FeatureName:tpm-psh-cmdlets

Weitere Informationen zu den einzelnen Cmdlets finden Sie unter TPM-Cmdlets in Windows PowerShell.

Weitere Ressourcen

Weitere Informationen über das TPM finden Sie unter Trusted Platform Module – Technologieübersicht.