Инициализация и настройка владельца TPM

  • Статья

Этот раздел предназначен для ИТ-специалистов и описывает инициализацию и настройку владельца доверенного платформенного модуля (TPM), включение и отключение TPM, а также удаление ключей TPM. В нем также описывается, как устранить проблемы, которые могут возникнуть в результате выполнения этих процедур.

Об инициализации TPM и владельце

Прежде чем использовать TPM для обеспечения безопасности компьютера, его необходимо инициализировать и настроить владельца. Владельцем TPM является пользователь, который обладает паролем владельца, а также может устанавливать и изменять его. Для одного TPM существует только один пароль владельца. Владелец TPM может в полной мере использовать его возможности. Стать владельцем TPM можно в рамках процесса инициализации.

После запуска мастера инициализации TPM, доступ к которому происходит через консоль управления TPM (MMC), можно определить, был ли инициализирован TPM компьютера. Можно также просмотреть свойства TPM.

В этом разделе также описываются процедуры для перечисленных ниже задач.

  • Инициализация TPM и настройка его владельца

  • Устранение проблем инициализации TPM

  • Включение и выключение TPM

  • Удаление всех ключей из TPM

  • Использование командлетов TPM

Инициализация TPM и настройка его владельца

Чтобы выполнить эту процедуру, необходимо быть участником локальной группы Администраторы или аналогичной группы. Кроме того, на компьютере должен быть установлен BIOS, совместимый с TCG.

Mt431880.wedge(ru-ru,VS.85).gifЗапуск мастера инициализации TPM

  1. Откройте консоль управления TPM (tpm.msc). Если откроется диалоговое окно Контроль учетных записей, убедитесь, что в нем указано требуемое действие, а затем нажмите кнопку Да.

  2. Чтобы запустить мастер инициализации TPM, в меню Действие нажмите Инициализировать TPM.

  3. Если TPM никогда не инициализировался или выключен, мастер инициализации TPM откроет диалоговое окно Включить оборудование безопасности TPM. Это диалоговое окно отображает инструкции по инициализации и включению TPM. Следуйте инструкциям мастера.

    Примечание  

    Если TPM уже включен, то мастер инициализации TPM отобразит диалоговое окно Создать пароль владельца TPM. Пропустите оставшуюся часть данной процедуры и продолжите выполнять процедуру Настройка владельца TPM.

     

    Примечание  

    Если мастер инициализации TPM обнаружит, что на компьютере не установлен совместимый BIOS, пользователь не сможет продолжить работу с мастером инициализации TPM. Он оповестит пользователя о необходимости ознакомиться с документацией изготовителя компьютера касательно инструкций по инициализации TPM.

     

  4. Нажмите кнопку Перезагрузка.

  5. Следуйте инструкциям BIOS на экране. На экране отобразится приглашение к принятию, чтобы удостовериться, что пользователь имеет физический доступ к компьютеру и никакое вредоносное ПО не пытается включить TPM.

    Примечание  

    Экранные подсказки BIOS и необходимые сочетания клавиш отличаются в зависимости от изготовителя компьютера.

     

  6. После перезагрузки компьютера войдите в него под той же учетной записью администратора, которая использовалась для запуска этой процедуры.

  7. Мастер инициализации TPM перезапустится автоматически. Если откроется диалоговое окно Контроль учетных записей, убедитесь, что в нем указано требуемое действие, а затем нажмите кнопку Да.

  8. Перейдите к следующей процедуре, чтобы задать владельца TPM.

Чтобы завершить инициализацию TPM для использования, необходимо настроить владельца TPM. Процесс установки владельца включает в себя создание пароля владельца TPM.

Mt431880.wedge(ru-ru,VS.85).gifНастройка владельца TPM

  1. Если вы продолжаете не сразу после последней процедуры, запустите мастер инициализации TPM. Если необходимо просмотреть требуемые для этого действия, см. предыдущую процедуру Запуск мастера инициализации TPM.

  2. В диалоговом окне Создать пароль владельца TPM нажмите Создать пароль автоматически (рекомендуется).

  3. В диалоговом окне Сохранить пароль владельца TPM нажмите Сохранить пароль.

  4. В диалоговом окне Сохранить как выберите местоположение для сохранения пароля, а затем нажмите Сохранить. Файл паролей будет сохранен в computer_name.tpm.

    Важно  

    Настоятельно рекомендуется сохранить пароль владельца TPM на съемное запоминающее устройство и хранить его в надежном месте.

     

  5. Нажмите Напечатать пароль, если необходимо напечатать копию пароля.

    Важно  

    Настоятельно рекомендуется распечатать копию пароля владельца TPM и хранить ее в надежном месте.

     

  6. Нажмите Инициализировать.

    Примечание  

    Процесс инициализации TPM может занять несколько минут.

     

  7. Нажмите Закрыть.

    Внимание  

    Не потеряйте пароль. В противном случае вы не сможете выполнять административные изменения пока не очистите TPM, что может привести к потере данных.

     

Устранение проблем инициализации TPM

Управление доверенным платформенным модулем (TPM) обычно представляет собой простую процедуру. Если не удается завершить процедуру инициализации, ознакомьтесь с информацией ниже.

  • Если Windows не обнаружила TPM, убедитесь, что в оборудование компьютера входит BIOS, совместимый с TCG. Убедитесь, что параметры BIOS не используются, чтобы скрыть TPM от операционной системы.

  • При попытке инициализировать TPM в рамках установки BitLocker, проверьте, какой именно драйвер TPM установлен на компьютер. Рекомендуется всегда использовать один из драйверов TPM, предоставляемых корпорацией Майкрософт и защищенных с помощью BitLocker. Если установлен драйвер TPM стороннего разработчика, он может помешать загрузке драйвера TPM по умолчанию и привести к тому, что BitLocker сообщит о том, что TPM на данном компьютере отсутствует. Если на компьютере установлен драйвер стороннего разработчика, удалите его, а затем попытайтесь инициализировать TPM. В таблице ниже перечислены 3 стандартных драйвера TPM, которые предоставляются корпорацией Майкрософт.

    Имя драйвера Производитель

    Доверенный платформенный модуль 1.2

    (Стандартный)

    Доверенный платформенный модуль Broadcom (A1), версия 1.2

    Broadcom

    Доверенный платформенный модуль Broadcom (A2), версия 1.2

    Broadcom

     

  • Если TPM ранее был инициализирован, но пароля владельца у вас нет, возможно, понадобится очистить или сбросить TPM к значениям по умолчанию. Дополнительную информацию см. в разделе Удаление всех ключей из TPM.

    Внимание  

    Очистка TPM может привести к потере данных. Во избежание потери данных убедитесь, что у вас есть резервная копия или метод восстановления любых данных, защищенных или зашифрованных TPM.

     

Так как оборудование безопасности TPM является физической частью компьютера, возможно, потребуется прочитать руководства и инструкции, которые поставлялись в комплекте с компьютером, или найти их на веб-сайте изготовителя.

Сетевое подключение

Невозможно завершить инициализацию доверенного платформенного модуля (TPM), если компьютер отключен от сети организации при наличии какого-либо из нижеперечисленных условий.

  • Администратор настроил компьютер таким образом, чтобы ему требовалось сохранять сведения о восстановлении TPM в доменных службах Active Directory (AD DS). Это требование можно настроить с помощью групповой политики.

  • Невозможно связаться с контроллером домена. Это может произойти на компьютере, который сейчас отключен от сети, отделен от домена брандмауэром или имеет неполадки элементов сети (например, отключенный кабель или неисправный сетевой адаптер).

В любом случае выводится сообщение об ошибке, и завершить процесс инициализации невозможно. Чтобы избежать этой проблемы, инициализируйте TPM с подключенным к сети организации компьютером и возможностью связаться с контроллером домена.

Системы с несколькими TPM

Некоторые системы могут содержать несколько TPM, а их активный TPM включается в BIOS. Windows 10 не поддерживает такое поведение. При переключении TPM, функции, которые зависят от него, не будут работать с новым TPM пока он не будет очищен и не будет выполнена подготовка. Выполнение этой очистки может привести к потере данных, в частности ключей и сертификатов, сопоставленных с предыдущим TPM. Например, переключение TPM приведет к тому, что Bitlocker перейдет в режим восстановления. Настоятельно рекомендуется, чтобы в системах с двумя TPM один модуль был выделен для использования и этот выбор не менялся.

Включение и выключение TPM

Обычно TPM включается в рамках процесса инициализации модуля. Обычно не требуется включать или отключать TPM. Однако при необходимости это можно делать с помощью консоли управления TPM.

Включите TPM

Если TPM был инициализирован, но не использовался, или если необходимо воспользоваться им после того, как его отключали, для включения TPM можно использовать описанную ниже процедуру.

Mt431880.wedge(ru-ru,VS.85).gifВключение TPM

  1. Откройте консоль управления TPM (tpm.msc).

  2. На панели Действие нажмите Включить TPM, чтобы отобразить страницу Включение оборудования безопасности TPM. Прочитайте инструкции на этой странице.

  3. Нажмите Завершение работы (или Перезагрузка), а затем следуйте инструкциям BIOS на экране.

    После перезагрузки компьютера, но перед тем, как войти в Windows, отобразится предложение принять повторную настройку TPM. Это гарантирует, что пользователь имеет физический доступ к компьютеру и то, что вредоносные программы не пытаются внести изменения в TPM.

Выключение TPM

Если необходимо прекратить использование служб, предоставляемых TPM, для его отключения можно использовать консоль управления TPM. При наличии пароля владельца TPM, физический доступ к компьютеру не является обязательным для его выключения. Если пароля владельца TPM в наличии нет, необходимо иметь физический доступ к компьютеру, чтобы отключить его.

Mt431880.wedge(ru-ru,VS.85).gifВыключение TPM

  1. Откройте консоль управления TPM (tpm.msc).

  2. На панели Действие нажмите Выключить TPM, чтобы отобразить страницу Выключение оборудования безопасности TPM.

  3. В диалоговом окне Выключение оборудования безопасности TPM выберите метод для ввода пароля владельца и выключения TPM.

    • Если вы сохранили пароль владельца TPM на съемном носителе, вставьте его и выберите У меня есть файл с паролем владельца. В диалоговом окне Выбор файла резервной копии с паролем владельца TPM выберите Обзор, чтобы найти файл .tpm, сохранённый на съемном носителе, нажмите Открыть, а затем выберите Выключить TPM.

    • Если у вас нет съемного носителя с сохраненным паролем владельца TPM, выберите Я хочу ввести пароль. В диалоговом окне Ввести пароль владельца TPM введите пароль (включая дефисы), а затем нажмите Выключить TPM.

    • Если вы не знаете пароль владельца TPM, нажмите У меня нет пароля владельца TPM и следуйте инструкциям, которые даются в диалоговом окне и последующих экранах BIOS, чтобы выключить TPM без ввода пароля.

Удаление всех ключей из TPM

Очистка TPM возвращает его в состояние без владельца. После очистки TPM необходимо завершить процесс инициализации TPM перед использованием программного обеспечения, которое использует этот TPM, например, шифрование диска BitLocker. По умолчанию TPM инициализируется автоматически.

Важно  

Очистка TPM может привести к потере данных. Во избежание потери данных убедитесь, что у вас есть резервная копия или метод восстановления любых данных, защищенных или зашифрованных TPM.

 

После очистки TPM он также выключается.

Чтобы временно приостановить операции TPM, выключите TPM вместо того, чтобы очистить его.

Чтобы выполнить эту процедуру, необходимо быть участником локальной группы Администраторы или аналогичной группы.

Mt431880.wedge(ru-ru,VS.85).gifОчистка TPM

  1. Откройте консоль управления TPM (tpm.msc).

  2. Если откроется диалоговое окно Контроль учетных записей, убедитесь, что в нем указано требуемое действие, а затем нажмите кнопку Да.

  3. В разделе Действия выберите Очистить TPM.

    Предупреждение  

    Если TPM выключен, перед очисткой инициализируйте его снова.

    Очистка TPM сбрасывает его к параметрам по умолчанию и выключает. Все созданные ключи и данные, которые защищены этими ключами, будут утеряны.

     

  4. В диалоговом окне Очистить оборудование безопасности TPM выберите один из описанных ниже методов для ввода пароля и очистки TPM.

    • Если у вас на съемном носителе есть пароль владельца TPM, вставьте его и выберите У меня есть файл с паролем владельца. В диалоговом окне Выберите файл резервной копии с паролем владельца доверенного платформенного модуля, нажмите кнопку Обзор, чтобы выбрать файл .tpm, сохраненный на съемном носителе. Нажмите Открыть, а затем нажмите Очистить TPM.

    • Если у вас нет съемного носителя с сохраненным паролем, выберите Я хочу ввести пароль владельца. В диалоговом окне Ввести пароль владельца TPM введите пароль (включая дефисы), а затем нажмите Очистить TPM.

    • Если вы не знаете пароль владельца TPM, выберите У меня нет пароля владельца TPM и следуйте инструкциям, которые описывают очистку TPM без ввода пароля.

    Примечание  

    При наличии физического доступа к компьютеру можно очистить TPM и запустить ограниченное количество задач управления без ввода пароля владельца TPM.

     

    Состояние вашего TPM отображается в консоли управления TPM в разделе Состояние.

Использование командлетов TPM

Если вы используете Windows PowerShell для управления компьютерами, вы также можете управлять доверенными платформенными модулями с помощью Windows PowerShell. Для установки командлетов TPM введите следующую команду:

dism /online /enable-feature /FeatureName:tpm-psh-cmdlets

Подробные сведения об отдельных командлетах см. в разделе Командлеты TPM в Windows PowerShell.

Дополнительные ресурсы

Дополнительные сведения о доверенном платформенном модуле см. в разделе Обзор технологии доверенных платформенных модулей.