Inicializar e configurar a propriedade do TPM
Este tópico para o profissional de TI descreve como inicializar e definir a propriedade do Trusted Platform Module (TPM), ativar e desativar o TPM e limpar chaves do TPM. Ele também explica como solucionar problemas que você pode encontrar decorrentes do uso desses procedimentos.
Sobre inicialização e propriedade do TPM
O TPM deve ser inicializado e a propriedade deve ser tomada antes que ele possa ser usado para ajudar a proteger o computador. O proprietário do TPM é o usuário que possui a senha do proprietário e é capaz de definir e alterá-la. Existe apenas uma senha de proprietário por TPM. O proprietário do TPM pode fazer uso completo de recursos do TPM. Assumir a propriedade do TPM pode ser algo feito como parte do processo de inicialização.
Ao iniciar o Assistente de Inicialização de TPM, acessado por meio do Console de Gerenciamento Microsoft (MMC) do TPM, você pode determinar se o TPM do computador foi inicializado. Você também pode exibir as propriedades do TPM.
Este tópico contém procedimentos para as seguintes tarefas:
Inicializar o TPM e definir a propriedade
Solucionar problemas de inicialização do TPM
Ativar ou desativar o TPM
Limpar todas as chaves do TPM
Usar os cmdlets do TPM
Inicializar o TPM e definir a propriedade
A associação ao grupo Administradores local, ou equivalente, é o requisito mínimo para concluir este procedimento. Além disso, o computador deve estar equipado com um BIOS compatível com Trusted Computing Group.
.gif "Mt431880.wedge(pt-br,VS.85).gif")
Para iniciar o Assistente de Inicialização de TPM
Abra o Console de Gerenciamento do TPM (tpm.msc). Caso a caixa de diálogo Controle de Conta de Usuário seja exibida, confirme se a ação exibida é a desejada e clique em Sim.
No menu Ação, clique em Inicializar o TPM para iniciar o Assistente de Inicialização de TPM.
Caso o TPM jamais tenha sido inicializado ou esteja desativado, o Assistente de Inicialização de TPM exibe a caixa de diálogo Ligar o hardware de segurança do TPM. Essa caixa de diálogo dá orientações sobre como inicializar ou ativar o TPM. Siga as instruções no assistente.
Observação
Caso o TPM já esteja ativado, o Assistente de Inicialização de TPM exibe a caixa de diálogo Criar a senha de proprietário do TPM. Ignore o restante deste procedimento e passe ao procedimento Para definir a propriedade do TPM.
Observação
Caso o Assistente de Inicialização de TPM detecte que você não tem um BIOS compatível, você não pode continuar usando o Assistente de Inicialização de TPM e é alertado a consultar a documentação do fabricante do computador para obter instruções sobre como inicializar o TPM.
Clique em Reiniciar.
Siga os prompts na tela do BIOS. Um prompt de aceitação é exibido para garantir que um usuário tenha acesso físico ao computador e que nenhum software mal-intencionado esteja tentando ativar o TPM.
Observação
Os prompts na tela do BIOS e os pressionamentos de tecla necessários variam de acordo com o fabricante do computador.
Depois que o computador for reiniciado, entre no computador usando as mesmas credenciais administrativas que você usou para iniciar esse procedimento.
O Assistente de Inicialização de TPM é reiniciado automaticamente. Caso a caixa de diálogo Controle de Conta de Usuário seja exibida, confirme se a ação exibida é a desejada e clique em Sim.
Passe ao próximo procedimento para tomar propriedade do TPM.
Para concluir a inicialização do TPM para uso, você deve definir um proprietário para o TPM. O processo de assumir propriedade inclui criar uma senha de proprietário para o TPM.
Para definir a propriedade do TPM
Caso você não esteja saindo imediatamente do último procedimento, inicie o Assistente de Inicialização de TPM. Caso você precise examinar as etapas para fazer isso, consulte o procedimento anterior Para iniciar o Assistente de Inicialização de TPM.
Na caixa de diálogo Criar a senha de proprietário do TPM, clique em Criar automaticamente a senha (recomendado).
Na caixa de diálogo Salvar sua senha de proprietário do TPM, clique em Save the password.
Na caixa de diálogo Salvar Como, selecione um local para salvar a senha e clique em Salvar. O arquivo de senha é salvo como computer_name.tpm.
Importante
É altamente recomendável salvar a senha de proprietário do TPM em um dispositivo de armazenamento removível e armazená-lo em um local seguro.
Clique em Imprimir a senha caso você queira imprimir uma cópia da senha.
Importante
É altamente recomendável imprimir uma cópia da senha de proprietário do TPM e armazená-la em um local seguro.
Clique em Inicializar.
Observação
O processo de inicialização do TPM pode demorar alguns minutos para ser concluído.
Clique em Fechar.
Cuidado
Não perca a senha. Se fizer isso, você não poderá fazer alterações administrativas, a menos que limpe o TPM, o que pode resultar em perda de dados.
Solucionar problemas de inicialização do TPM
Gerenciar o Trusted Platform Module (TPM) costuma ser um procedimento simples. Caso não consiga concluir o procedimento de inicialização, examine as seguintes informações:
Caso o TPM não seja detectado pelo Windows, verifique se o hardware do computador contém um BIOS compatível com Trusted Computing Group. Certifique-se de que nenhuma configuração do BIOS tenha sido usada para ocultar o TPM do sistema operacional.
Caso você esteja tentando inicializar o TPM como parte da instalação do BitLocker, verifique qual é o driver do TPM instalado no computador. Recomendamos usar sempre um dos drivers do TPM fornecidos pela Microsoft e protegidos com o BitLocker. Caso um driver do TPM que não seja da Microsoft seja instalado, ele pode evitar que o driver do TPM padrão seja carregado e fazer o BitLocker relatar que um TPM não está presente no computador. Caso você tenha um driver que não seja da Microsoft instalado, remova-o e tente inicializar o TPM. A tabela a seguir lista os três drivers do TPM padrão fornecidos pela Microsoft.
Nome do driver Fabricante Trusted Platform Module 1.2
(Padrão)
Broadcom Trusted Platform Module (A1), v1.2
Broadcom
Broadcom Trusted Platform Module (A2), v1.2
Broadcom
Caso o TPM já tenha sido inicializado e você não tenha a senha de proprietário, talvez seja necessário limpar ou redefinir o TPM usando os valores padrão de fábrica. Para obter mais informações, consulte Limpar todas as chaves do TPM.
Cuidado
Limpar o TPM pode resultar em perda de dados. Para evitar perda de dados, certifique-se de que você tenha um método de backup ou recuperação para todos os dados protegidos ou criptografados pelo TPM.
Como o hardware de segurança do TPM é uma parte física do computador, você pode ler os manuais ou as instruções que acompanham o computador ou pesquisar o site do fabricante.
Conexão de rede
Você não pode concluir a inicialização do Trusted Platform Module (TPM) quando o computador é desconectado da rede da organização caso haja qualquer uma das seguintes condições:
Um administrador configurou o computador para exigir que as informações de recuperação do TPM fossem salvas nos Serviços de Domínio do Active Directory (AD DS). Esse requisito pode ser configurado por meio de Política de Grupo.
Um controlador de domínio não pode ser acessado. Isso pode ocorrer em um computador que esteja desconectado da rede no momento, separado do domínio por um firewall, ou que esteja enfrentando uma falha de componente de rede (como um cabo desconectado ou um adaptador de rede com defeito).
Em ambos os casos, uma mensagem de erro é exibida, e você não pode concluir o processo de inicialização. Para evitar esse problema, inicialize o TPM enquanto você estiver conectado à rede corporativa, e você poderá entrar em contato com um controlador de domínio.
Sistemas com vários TPMs
Alguns sistemas podem ter vários TPMs, e o TPM ativo pode ser alternado no BIOS. O Windows 10 não dá suporte a esse comportamento. Se você alternar TPMs, a funcionalidade que depende do TPM não funcionará com o novo TPM, a menos que ele seja limpo e passe pelo provisionamento. Isso pode causar perda de dados, especialmente de chaves e certificados associados ao TPM anterior. Por exemplo, alternar TPMs fará o BitLocker entrar no modo de recuperação. É altamente recomendável que, em sistemas com dois TPMs, um TPM esteja selecionado para ser usado e a seleção não seja alterada.
Ativar ou desativar o TPM
Normalmente, o TPM é ativado como parte do processo de inicialização do TPM. Normalmente, você não precisa ativar ou desativar o TPM. No entanto, se necessário, você poderá fazer isso usando o MMC do TPM.
Ligar o TPM
Caso o TPM tenha sido inicializado, mas jamais tenha sido usado, ou caso queira usar o TPM depois de tê-lo desativado, você pode usar o procedimento a seguir para ativar o TPM.
Para ativar o TPM
Abra o MMC do TPM (tpm.msc).
No painel Ação, clique em Ativar TPM para exibir a página Ligar o hardware de segurança do TPM. Leia as instruções nesta página.
Clique em Desligamento (ou em Reiniciar) e siga os prompts na tela do BIOS.
Depois que o computador for reiniciado, mas antes de você entrar no Windows, será preciso aceitar a reconfiguração do TPM. Isso garante que o usuário tenha acesso físico ao computador e que um software mal-intencionado não esteja tentando fazer alterações no TPM.
Desativar o TPM
Caso queira parar de usar os serviços fornecidos pelo TPM, você pode usar o MMC do TPM para desativar o TPM. Caso você tenha a senha de proprietário do TPM, o acesso físico ao computador não é necessário para desativar o TPM. Caso não tenha a senha de proprietário do TPM, você deve ter acesso físico ao computador para desativar o TPM.
Para desativar o TPM
Abra o MMC do TPM (tpm.msc).
No painel Ação, clique em Desativar TPM para exibir a página Desligar o hardware de segurança do TPM.
Na caixa de diálogo Desligar o hardware de segurança do TPM, selecione um método para inserir a senha de proprietário e desativar o TPM:
Caso você tenha salvado a senha de proprietário do TPM em um dispositivo de armazenamento removível, insira-o e clique em Tenho o arquivo de senha de proprietário. Na caixa de diálogo Selecione o arquivo de backup com a senha de proprietário do TPM, clique em Procurar para localizar o arquivo .tpm salvo no dispositivo de armazenamento removível, clique em Abrir e em Desativar TPM.
Caso você não tenha o dispositivo de armazenamento removível com a senha de proprietário do TPM salva, clique em I want to enter the password. Na caixa de diálogo Digite sua senha de proprietário do TPM, digite a senha (inclusive hifens) e clique em Desativar TPM.
Caso você não saiba a senha de proprietário do TPM, clique em Não tenho a senha de proprietário do TPM e siga as instruções fornecidas na caixa de diálogo caixa e as telas do BIOS subsequentes para desativar o TPM sem inserir a senha.
Limpar todas as chaves do TPM
Limpar o TPM restaura um estado sem proprietário. Depois de limpar o TPM, você precisa concluir o processo de inicialização do TPM antes de usar o software que depende do TPM, como Criptografia de Unidade de Disco BitLocker. Por padrão, o TPM é inicializado automaticamente.
Importante
Limpar o TPM pode resultar em perda de dados. Para evitar perda de dados, certifique-se de que você tenha um método de backup ou recuperação para todos os dados protegidos ou criptografados pelo TPM.
Depois que o TPM for limpo, ele também será desativado.
Para suspender temporariamente as operações do TPM, desative o TPM, em vez de limpá-lo.
A associação ao grupo local Administradores, ou equivalente, é o requisito mínimo para concluir este procedimento.
Para limpar o TPM
Abra o MMC do TPM (tpm.msc).
Caso a caixa de diálogo Controle de Conta de Usuário seja exibida, confirme se a ação exibida é a desejada e clique em Sim.
Em Ações, clique em Limpar TPM.
Aviso
Caso o TPM esteja desativado, reinicialize-o antes de limpá-lo.
Limpar o TPM restaura os padrões de fábrica e o desativa. Você perderá todas as chaves criadas e os dados protegidos por essas chaves.
Na caixa de diálogo Limpar o hardware de segurança do TPM, selecione um dos seguintes métodos para inserir a senha e limpar o TPM:
Caso você tenha o dispositivo de armazenamento removível com a senha de proprietário do TPM salva, insira-o e clique em Tenho o arquivo de senha de proprietário. Na caixa de diálogo Selecione o arquivo de backup com a senha de proprietário do TPM, use Procurar para navegar até o arquivo .tpm salvo no dispositivo de armazenamento removível. Clique em Abrir e em Limpar TPM.
Caso você não tenha o dispositivo de armazenamento removível com a senha de proprietário do TPM salva, clique em Desejo digitar a senha de proprietário. Na caixa de diálogo Digite sua senha de proprietário do TPM, digite a senha (inclusive hifens) e clique em Limpar TPM.
Caso você não saiba a senha de proprietário do TPM, clique em I don't have the TPM owner password e siga as instruções fornecidas para limpar o TPM sem inserir a senha.
Observação
Caso tenha acesso físico ao computador, você pode limpar o TPM e executar um número limitado de tarefas de gerenciamento sem inserir a senha de proprietário do TPM.
O status do TPM é exibido em Status no MMC do TPM.
Usar os cmdlets do TPM
Caso esteja usando o Windows PowerShell para gerenciar os computadores, você também pode gerenciar o TPM usando o Windows PowerShell. Para instalar os cmdlets do TPM, digite o seguinte comando:
dism /online /enable-feature /FeatureName:tpm-psh-cmdlets
Para saber mais detalhes sobre cmdlets individuais, consulte Cmdlets do TPM no Windows PowerShell.
Recursos adicionais
Para obter mais informações sobre o TPM, consulte Visão geral da tecnologia Trusted Platform Module.