Inizializzare e configurare il proprietario del TPM

  • Articolo

Questo argomento, destinato ai i professionisti IT, descrive come inizializzare e impostare la proprietà del TPM (Trusted Platform), attivare e disattivare il TPM, nonché cancellare le chiavi TPM. Viene inoltre spiegato come risolvere i problemi che potrebbero verificarsi durante l'uso di queste procedure.

Informazioni sulla proprietà e sull'inizializzazione del TPM

Il TPM deve essere inizializzato e la proprietà deve essere acquisita prima che il TPM possa essere usato per proteggere il computer. Il proprietario del TPM è l'utente che possiede la password del proprietario ed è in grado di impostarla e modificarla. Esiste solo una password del proprietario per TPM. Il proprietario del TPM può usare tutte le funzionalità del TPM. L'acquisizione della proprietà del TPM può essere eseguita durante il processo di inizializzazione.

Quando avvii l'Inizializzazione guidata TPM, cui si accede tramite Microsoft Management Console (MMC) per TPM, puoi determinare se è stato inizializzato il TPM del computer. Puoi anche visualizzare le proprietà del TPM.

In questo argomento sono contenute le procedure per le attività seguenti:

  • Inizializzare il TPM e impostare la proprietà

  • Risolvere i problemi di inizializzazione del TPM

  • Attivare o disattivare il TPM

  • Cancellare tutte le chiavi dal TPM

  • Usare i cmdlet del TPM

Inizializzare il TPM e impostare la proprietà

Per eseguire questa procedura, è necessaria almeno l'appartenenza al gruppo Administrators locale o a un gruppo equivalente. Inoltre, il computer deve essere dotato di un BIOS compatibile con Trusted Computing Group.

Mt431880.wedge(it-it,VS.85).gifPer avviare l'Inizializzazione guidata TPM

  1. Apri la console di gestione TPM (tpm.msc). Se viene visualizzata la finestra di dialogo Controllo account utente, controlla che l'azione visualizzata sia quella desiderata e quindi fai clic su .

  2. Nel menu Azione fai clic su Inizializza TPM per avviare l'Inizializzazione guidata TPM.

  3. Se il TPM non è mai stato inizializzato oppure se è disattivato, l'Inizializzazione guidata TPM visualizza la finestra di dialogo Attivazione hardware di sicurezza TPM. Questa finestra di dialogo fornisce indicazioni per l'inizializzazione o l'attivazione del TPM. Segui le istruzioni della procedura guidata.

    Nota  

    Se il TPM è già attivato, l'Inizializzazione guidata TPM visualizza la finestra di dialogo Crea la password del proprietario del TPM. Ignora il resto di questa procedura e passa alla procedura Per impostare la proprietà del TPM.

     
    Nota  

    Se l'Inizializzazione guidata TPM rileva che il BIOS non è compatibile, non puoi continuare l'Inizializzazione guidata TPM. Viene invece visualizzato un messaggio che ti richiede di consultare la documentazione del produttore del computer per le istruzioni su come inizializzare il TPM.

     

  4. Fai clic su Riavvia.

  5. Segui le istruzioni visualizzate nella schermata del BIOS. Viene visualizzata una richiesta di accettazione per verificare che l'utente disponga dell'accesso fisico al computer e che nessun software dannoso stia tentando di attivare il TPM.

    Nota  

    I prompt della schermata del BIOS e le sequenze di tasti necessarie variano a seconda del produttore del computer.

     

  6. Dopo il riavvio, accedi al computer con le stesse credenziali amministrative usate per avviare questa procedura.

  7. Viene riavviata automaticamente l'Inizializzazione guidata TPM. Se viene visualizzata la finestra di dialogo Controllo account utente, controlla che l'azione visualizzata sia quella desiderata e quindi fai clic su .

  8. Passa alla procedura successiva per acquisire la proprietà del TPM.

Per completare l'inizializzazione del TPM, devi impostare un proprietario per il TPM. Il processo di acquisizione della proprietà include la creazione di una password del proprietario per il TPM.

Mt431880.wedge(it-it,VS.85).gifPer impostare la proprietà del TPM

  1. Se a questa procedura non arrivi dalla procedura precedente, avvia l'Inizializzazione guidata TPM. Per informazioni su come eseguire questa operazione, vedi la procedura precedente Per avviare l'Inizializzazione guidata TPM.

  2. Nella finestra di dialogo Crea la password del proprietario del TPM fai clic su Crea la password automaticamente (scelta consigliata).

  3. Nella finestra di dialogo Salvare la password del proprietario del TPM fai clic su Salva password.

  4. Nella finestra di dialogo Salva con nome seleziona la posizione in cui salvare la password e quindi fai clic su Salva. Il file della password viene salvato con il nome computer_name.tpm.

    Importante  

    Ti consigliamo di salvare la password del proprietario del TPM su un dispositivo di archiviazione rimovibile da riporre in un luogo sicuro.

     

  5. Fai clic su Stampa la password se vuoi stampare una copia della password.

    Importante  

    Ti consigliamo vivamente di stampare una copia della password del proprietario del TPM e riporla in un luogo sicuro.

     

  6. Fai clic su Inizializza.

    Nota  

    Il processo di inizializzazione del TPM potrebbe richiedere alcuni minuti.

     

  7. Fai clic su Chiudi.

    Attenzione  

    Non perdere la password. In tal caso, non sarai in grado di apportare modifiche amministrative a meno che tu non cancelli il TPM, nonostante questa operazione comporti la perdita dei dati.

     

Risolvere i problemi di inizializzazione del TPM

La gestione del TPM (Trusted Platform Module) è in genere una procedura molto semplice. Se non sei in grado di completare la procedura di inizializzazione, tieni presente le informazioni seguenti:

  • Se il TPM non viene rilevato da Windows, verifica che l'hardware del computer contenga un BIOS conforme a Trusted Computing Group. Assicurati che non sia stata usata alcuna impostazione del BIOS per nascondere il TPM al sistema operativo.

  • Se stai cercando di inizializzare il TPM durante la configurazione di BitLocker, controlla che il driver TPM sia installato nel computer. Ti consigliamo di usare sempre driver TPM forniti da Microsoft e protetti tramite BitLocker. Se è installato un driver TPM non Microsoft, ciò potrebbe impedire il caricamento del driver TPM predefinito e far sì che BitLocker segnali l'assenza di un TPM nel computer. Se hai installato un driver non Microsoft, rimuovilo e quindi prova a inizializzare il TPM. La tabella seguente elenca i tre driver TPM standard forniti da Microsoft.

    Nome driver Produttore

    Trusted Platform Module 1.2

    (Standard)

    Broadcom Trusted Platform Module (A1), v1.2

    Broadcom

    Broadcom Trusted Platform Module (A2), v1.2

    Broadcom

     

  • Se il TPM non è stato precedentemente inizializzato e se non disponi della password del proprietario, è possibile che tu debba cancellare o ripristinare il TPM sui valori predefiniti di fabbrica. Per altre informazioni, vedi Cancellare tutte le chiavi dal TPM.

    Attenzione  

    La cancellazione del TPM può comportare la perdita dei dati. Per evitare la perdita di dati, assicurati di disporre di un metodo di backup o ripristino per tutti i dati protetti o crittografati dal TPM.

     

Poiché l'hardware di sicurezza del TPM è una parte fisica del computer, consulta i manuali o le istruzioni in dotazione con il computer oppure cerca le informazioni corrispondenti nel sito Web del produttore.

Connessione di rete

Non puoi completare l'inizializzazione del TPM (Trusted Platform Module) quando il computer è disconnesso dalla rete dell'organizzazione in presenza di una delle condizioni seguenti:

  • Un amministratore ha configurato il computer in modo che le informazioni sul ripristino del TPM vengano salvati in Servizi di dominio Active Directory. Questo requisito può essere configurato tramite Criteri di gruppo.

  • Risulta impossibile raggiungere un controller di dominio. Questa situazione si può verificare in un computer attualmente disconnesso dalla rete, separato dal dominio tramite un firewall oppure in caso di guasto di un componente della rete, ad esempio un cavo non collegato o una scheda di rete difettosa.

In ogni caso, verrà visualizzato un messaggio di errore e riuscirai a completare il processo di inizializzazione. Per evitare questo problema, inizializza il TPM mentre sei connesso alla rete aziendale e quando sei in grado di raggiungere un controller di dominio.

Sistemi con più TPM

Alcuni sistemi possono avere più TPM e il TPM può essere attivato/disattivato nel BIOS. Windows 10 non supporta questo comportamento. Se passi tra vari TPM, le funzionalità che dipendono dal TPM non funzioneranno con il nuovo TPM a meno che questo non venga cancellato e sottoposto a provisioning. L'esecuzione di questa operazione potrebbe causare la perdita dei dati, in particolar modo delle chiavi e dei certificati associati al TPM precedente. Ad esempio, il passaggio a un altro TPM comporta il passaggio di BitLocker alla modalità di ripristino. In sistemi con due TPM ti consigliamo vivamente di selezionare per l'uso un TPM e di non modificare tale selezione.

Attivare o disattivare il TPM

In genere, il TPM viene attivato durante il processo di inizializzazione del TPM. In genere non devi attivare o disattivare il TPM. Tuttavia, se necessario puoi farlo usando la console MMC per TPM.

Attiva il TPM.

Se il TPM è stato inizializzato ma non è mai stato usato o se desideri usare il TPM dopo averlo disattivato, puoi usare la procedura seguente per attivare il TPM.

Mt431880.wedge(it-it,VS.85).gifPer attivare il TPM

  1. Apri la console MMC per TPM (tpm.msc).

  2. Nel riquadro Azione fai clic su Attiva TPM per visualizzare la pagina Attivazione hardware di sicurezza TPM. Leggi le istruzioni visualizzate in questa pagina.

  3. Fai clic su Arresta o su Riavvia e quindi attieniti ai prompt visualizzati nella schermata del BIOS.

    Dopo il riavvio del computer, ma prima di accedere a Windows, ti verrà richiesto di accettare la riconfigurazione del TPM. Questo garantisce che l'utente disponga dell'accesso fisico al computer e che software dannoso non tenti di apportare modifiche al TPM.

Disattivare il TPM

Se vuoi smettere di usare i servizi forniti dal TPM, puoi usare la console MMC per TPM per disattivare il TPM. Se disponi della password del proprietario del TPM, non è richiesto l'accesso fisico al computer per disattivare il TPM. Se non disponi della password del proprietario del TPM, devi accedere fisicamente al computer per disattivare il TPM.

Mt431880.wedge(it-it,VS.85).gifPer disattivare il TPM

  1. Apri la console MMC per TPM (tpm.msc).

  2. Nel riquadro Azione fai clic su Disattiva TPM per visualizzare la pagina Disattivazione hardware di sicurezza TPM.

  3. Nella finestra di dialogo Disattivazione hardware di sicurezza TPM seleziona un metodo per immettere la password del proprietario e disattivare il TPM:

    • Se hai salvato la password del proprietario del TPM su un dispositivo di archiviazione rimovibile, inseriscilo e quindi fai clic su File della password del proprietario disponibile. Nella finestra di dialogo Selezionare il file di backup con la password del proprietario del TPM fai clic su Sfoglia per individuare il file con estensione TPM salvato sul dispositivo di archiviazione rimovibile, fai clic su Apri e quindi su Disattiva TPM.

    • Se non disponi del dispositivo di archiviazione rimovibile con la password del proprietario del TPM salvata, fai clic su Password del proprietario da immettere. Nella finestra di dialogo Digitare la password del proprietario del TPM digita la password (inclusi i trattini) e quindi fai clic su Disattiva TPM.

    • Se non conosci la password del proprietario del TPM, fai clic su Nessuna password del proprietario del TPM e segui le istruzioni fornite nella finestra di dialogo e nelle successive schermate del BIOS per disattivare il TPM senza immettere la password.

Cancellare tutte le chiavi dal TPM

La cancellazione del TPM comporta il suo ripristino su uno stato senza proprietario. Dopo aver cancellato il TPM, devi completare il processo di inizializzazione del TPM prima di poter usare il software basato sul TPM, ad esempio Crittografia unità BitLocker. Per impostazione predefinita, il TPM viene inizializzato automaticamente.

Importante  

La cancellazione del TPM può comportare la perdita dei dati. Per evitare la perdita di dati, assicurati di disporre di un metodo di backup o ripristino per tutti i dati protetti o crittografati dal TPM.

 

Dopo la cancellazione il TPM viene anche disattivato.

Per sospendere temporaneamente le operazioni del TPM, disattiva il TPM anziché cancellarlo.

Per eseguire questa procedura, è necessaria almeno l'appartenenza al gruppo Administrators locale o a un gruppo equivalente.

Mt431880.wedge(it-it,VS.85).gifPer cancellare il TPM

  1. Apri la console MMC per TPM (tpm.msc).

  2. Se viene visualizzata la finestra di dialogo Controllo account utente, controlla che l'azione visualizzata sia quella desiderata e quindi fai clic su .

  3. Nel riquadro Azioni fai clic su Cancella TPM.

    Avviso  

    Se il TPM è disattivato, reinizializzalo prima di cancellarlo.

    La cancellazione del TPM comporta il suo ripristino sui valori predefiniti di fabbrica e la sua disattivazione. Perderai tutte le chiavi create e i dati protetti da tali chiavi.

     

  4. Nella finestra di dialogo Cancellazione hardware di protezione TPM seleziona uno dei metodi seguenti per immettere la password e cancellare il TPM:

    • Se disponi del dispositivo di archiviazione rimovibile in cui hai salvato la password del proprietario del TPM, inserisci il dispositivo e quindi fai clic su File della password del proprietario disponibile. Nella finestra di dialogo Selezionare il file di backup con la password del proprietario del TPM fai clic su Sfoglia per individuare il file con estensione TPM salvato sul dispositivo di archiviazione rimovibile. Fai clic su Apri e quindi su Cancella TPM.

    • Se non disponi del dispositivo di archiviazione rimovibile con la password salvata, fai clic su Password del proprietario da immettere. Nella finestra di dialogo Digitare la password del proprietario del TPM digita la password (inclusi i trattini) e quindi fai clic su Cancella TPM.

    • Se non conosci la password del proprietario del TPM, fai clic su Nessuna password del proprietario del TPM e segui le istruzioni visualizzate per cancellare il TPM senza immettere la password.

    Nota  

    Se disponi dell'accesso fisico al computer, puoi cancellare il TPM ed eseguire un numero limitato di attività di gestione senza immettere la password del proprietario del TPM.

     

    Lo stato del TPM viene visualizzato nel riquadro Stato nella console MMC per TPM.

Usare i cmdlet del TPM

Oltre che per gestire i computer, puoi usare Windows PowerShell anche per gestire il TPM. Per installare i cmdlet del TPM, digita il comando seguente:

dism /online /enable-feature /FeatureName:tpm-psh-cmdlets

Per informazioni dettagliate sui singoli cmdlet, vedi Cmdlet del TPM in Windows PowerShell.

Risorse aggiuntive

Per altre info sul TPM, vedi Panoramica della tecnologia Trusted Platform Module.