Как включить шифрование BitLocker на Windows без модуля (TPM)

Для включения шифрования диска с помощью BitLocker обычно требуется компьютер с доверенным платформенным модуле (TPM). Попытка включить BitLocker на компьютере без доверенного платформенного модуля приведёт к появлению сообщения о необходимости изменения параметров системной политики.

Почему BitLocker требует TPM

Обычно для BitLocker требуется доверенный платформенный модуль или доверенный платформенный модуль на материнской плате компьютера. Этот чип генерирует и хранит фактические ключи шифрования. Он может автоматически разблокировать диск вашего компьютера, когда он загружается, так что вы можете войти в систему, просто введя свой пароль для входа в Windows. Это просто, но TPM выполняет тяжелую работу под капотом.

Если кто-то вмешается в работу ПК или удалит диск с компьютера и попытается его расшифровать, доступ к нему будет невозможен без ключа, хранящегося на доверенном платформенном модуле. TPM не будет работать, если он перемещен на материнскую плату другого компьютера.

Вы можете купить и добавить чип TPM в некоторые материнские платы, но если ваша материнская плата (или ноутбук) не поддерживает это, вы можете использовать BitLocker без TPM. Это менее безопасно, но лучше, чем ничего.

Как использовать BitLocker без модуля TPM

Вы можете обойти это ограничение с помощью групповой политики. Если ваш компьютер присоединен к домену, то настройку групповой политики должен выполнить администратор сети. Если Вы просто делаете это на своем компьютере, и он не присоединен к домену, Вы можете использовать локальный редактор Групповой политики, чтобы изменить параметры собственного компьютера.

Чтобы открыть локальный редактор Групповой политики, нажмите Win + R на клавиатуре, введите gpedit.msc в диалоговом окне и нажмите клавишу ОК или Enter .

Перейдите к политике Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Шифрование диска BitLocker → Диски операционной системы.

Дважды щелкните параметр «Требовать дополнительную проверку подлинности при запуске» в правой панели.

Выберите «Включено» в верхней части окна и убедитесь, что установлен флажок Разрешить BitLocker без совместимого доверенного платформенного модуля (требуется пароль или ключ запуска на флэш-накопителе USB) .

Нажмите OK , чтобы сохранить изменения. Теперь можно закрыть окно редактора Групповой политики. Ваше изменение вступает в силу немедленно – Вам даже не нужно перезагружаться.

Как настроить BitLocker

Теперь можно включать, настраивать и использовать BitLocker. На Панели управления → Система и безопасность → Шифрование диска BitLocker и нажмите кнопку Включить BitLocker , чтобы включить его для диска.

Сначала появится запрос на выбор способа разблокировки диска, когда ваш компьютер загружается. Так как у вас нет доверенного платформенного модуля, Вы должны либо вводить пароль при каждой загрузке компьютера, либо предоставлять флэш-накопитель USB. Если вы предоставляете USB флэш-накопитель, Вам нужно каждый раз подключать флэш-накопитель к компьютеру, чтобы получить доступ к файлам.

Далее через программу настройку шифрования BitLocker сохраните ключ восстановления шифрования диска. Остальная часть процесса совпадает с обычным процессом запуска BitLocker.

Когда ваш компьютер загрузится, вам придется либо ввести пароль, либо вставить USB-накопитель, который вы предоставили. Если Вы не можете предоставить пароль или USB-накопитель, BitLocker не сможет расшифровать ваш диск и Вы не сможете загрузиться в вашу систему Windows и получить доступ к файлам.

BitLocker и доверенный платформенный модуль: другие известные проблемы BitLocker and TPM: other known issues

В этой статье описываются общие проблемы, непосредственно связанные с модулем доверенных платформ (TPM), и данная статья содержит рекомендации по устранению этих проблем. This article describes common issues that relate directly to the Trusted Platform Module (TPM), and provides guidance to address these issues.

Azure AD. Windows Hello для бизнеса и один вход не работают Azure AD: Windows Hello for Business and single sign-on do not work

У вас есть клиентский компьютер Azure Active Directory (Azure AD), который не может проверить подлинность правильно. You have an Azure Active Directory (Azure AD)-joined client computer that cannot authenticate correctly. Вы испытываете один или несколько следующих симптомов: You experience one or more of the following symptoms:

• Windows Hello для бизнеса не работает. Windows Hello for Business does not work.
• Условный доступ не удается. Conditional access fails.
• Один вход (SSO) не работает. Single sign-on (SSO) does not work.

Кроме того, компьютер регистрит запись для event ID 1026, которая напоминает следующее: Additionally, the computer logs an entry for Event ID 1026, which resembles the following:

Имя журнала: System Log Name: System
Источник: Microsoft-Windows-TPM-WMI Source: Microsoft-Windows-TPM-WMI
Дата: Date:
ID события: 1026 Event ID: 1026
Категория задач: Нет Task Category: None
Уровень: Сведения Level: Information
Ключевые слова: Keywords:
Пользователь: SYSTEM User: SYSTEM
Компьютер: Computer:
Описание: Description:
Оборудование модуля доверенных платформ (TPM) на этом компьютере не может быть автоматически оборудовано для использования. The Trusted Platform Module (TPM) hardware on this computer cannot be provisioned for use automatically. Чтобы настроить TPM в интерактивном режиме, используйте консоль управления TPM (Start->tpm.msc) и используйте действие, чтобы сделать TPM готовым. To set up the TPM interactively use the TPM management console (Start->tpm.msc) and use the action to make the TPM ready.
Ошибка. TPM защищается от атак словаря и находится в периоде ожидания. Error: The TPM is defending against dictionary attacks and is in a time-out period.
Дополнительные сведения: 0x840000 Additional Information: 0x840000

Причина Cause

Это событие указывает на то, что TPM не готов или имеет некоторые параметры, которые препятствуют доступу к клавишам TPM. This event indicates that the TPM is not ready or has some setting that prevents access to the TPM keys.

Кроме того, поведение указывает на то, что клиентский компьютер не может получить основной маркер обновления (PRT). Additionally, the behavior indicates that the client computer cannot obtain a Primary Refresh Token (PRT).

Разрешение Resolution

Чтобы проверить состояние PRT, используйте команду dsregcmd/status для сбора информации. To verify the status of the PRT, use the dsregcmd /status command to collect information. В выпуске средства убедитесь, что состояние пользователя или состояние SSO содержит атрибут AzureAdPrt. In the tool output, verify that either User state or SSO state contains the AzureAdPrt attribute. Если значение этого атрибута нет, PRT не был выдан. If the value of this attribute is No, the PRT was not issued. Это может указывать на то, что компьютер не может представить сертификат для проверки подлинности. This may indicate that the computer could not present its certificate for authentication.

Чтобы устранить эту проблему, выполните следующие действия для устранения неполадок TPM: To resolve this issue, follow these steps to troubleshoot the TPM:

1. Откройте консоль управления TPM (tpm.msc). Open the TPM management console (tpm.msc). Для этого выберите Начнитеи введите tpm.msc в поле Поиск. To do this, select Start, and enter tpm.msc in the Search box.
2. Если вы видите уведомление, чтобы разблокировать TPM или сбросить блокировку, выполните эти инструкции. If you see a notice to either unlock the TPM or reset the lockout, follow those instructions.
3. Если вы не видите такого уведомления, просмотрите параметры BIOS компьютера для любых параметров, которые можно использовать для сброса или отключения блокировки. If you do not see such a notice, review the BIOS settings of the computer for any setting that you can use to reset or disable the lockout.
4. Обратитесь к поставщику оборудования, чтобы определить, есть ли известное решение проблемы. Contact the hardware vendor to determine whether there is a known fix for the issue.
5. Если вы все еще не можете разрешить проблему, очистить и повторно инициализировать TPM. If you still cannot resolve the issue, clear and re-initialize the TPM. Чтобы сделать это, следуйте инструкциям в устранении неполадок TPM: Очиститьвсе ключи от TPM . To do this, follow the instructions in Troubleshoot the TPM: Clear all the keys from the TPM.

Очистка TPM может привести к потере данных. Clearing the TPM can cause data loss.

Ошибка TPM 1.2: не удалось загрузить консоль управления. TPM 1.2 Error: Loading the management console failed. Устройство, которое требуется поставщику криптографии, не готово к использованию The device that is required by the cryptographic provider is not ready for use

У вас есть компьютер на основе Windows 10 версии 1703, использующий TPM-версию 1.2. You have a Windows 10 version 1703-based computer that uses TPM version 1.2. При попытке открыть консоль управления TPM вы получаете сообщение, напоминая следующее: When you try to open the TPM management console, you receive a message that resembles the following:

Загрузка консоли управления не удалась. Loading the management console failed. Устройство, которое требуется поставщику криптографии, не готово к использованию. The device that is required by the cryptographic provider is not ready for use.
HRESULT 0x800900300x80090030 — NTE_DEVICE_NOT_READY HRESULT 0x800900300x80090030 — NTE_DEVICE_NOT_READY
Устройство, которое требуется этому поставщику криптографии, не готово к использованию. The device that is required by this cryptographic provider is not ready for use.
Версия спецификации TPM: TPM v1.2 TPM Spec version: TPM v1.2

На другом устройстве с одной и той же версией Windows можно открыть консоль управления TPM. On a different device that is running the same version of Windows, you can open the TPM management console.

Причина (заподозрили) Cause (suspected)

Эти симптомы указывают на то, что у TPM есть проблемы с оборудованием или программным обеспечением. These symptoms indicate that the TPM has hardware or firmware issues.

Разрешение Resolution

Чтобы устранить эту проблему, переключить режим работы TPM с версии 1.2 на версию 2.0. To resolve this issue, switch the TPM operating mode from version 1.2 to version 2.0.

Если это не решает проблему, подумайте о замене материнской платы устройства. If this does not resolve the issue, consider replacing the device motherboard. После замены материнской платы переключение режима работы TPM с версии 1.2 на версию 2.0. After you replace the motherboard, switch the TPM operating mode from version 1.2 to version 2.0.

Устройства не присоединяются к гибридной Azure AD из-за проблемы с TPM Devices do not join hybrid Azure AD because of a TPM issue

У вас есть устройство, которое вы пытаетесь присоединиться к гибридной Azure AD. You have a device that you are trying to join to a hybrid Azure AD. Тем не менее, операция приступать, как представляется, не удается. However, the join operation appears to fail.

Чтобы убедиться, что присоединиться удалось, используйте команду dsregcmd/status. To verify that the join succeeded, use the dsregcmd /status command. В выходе средства следующие атрибуты указывают на успешное участие: In the tool output, the following attributes indicate that the join succeeded:

• AzureAdJoined: ДА AzureAdJoined: YES
• Имя домена: DomainName:

Если значение AzureADJoined — Нет, регистрация не удалась. If the value of AzureADJoined is No, the join failed.

Причины и разрешения Causes and Resolutions

Эта проблема может возникнуть, если операционная система Windows не является владельцем TPM. This issue may occur when the Windows operating system is not the owner of the TPM. Конкретное исправление этой проблемы зависит от того, какие ошибки или события вы испытываете, как показано в следующей таблице: The specific fix for this issue depends on which errors or events you experience, as shown in the following table:

Сообщение Message	Причина Reason	Разрешение Resolution
NTE_BAD_KEYSET (0x80090016/-2146893802) NTE_BAD_KEYSET (0x80090016/-2146893802)	Операция TPM не удалась или была недействительной TPM operation failed or was invalid	Вероятно, эта проблема была вызвана поврежденным изображением sysprep. This issue was probably caused by a corrupted sysprep image. Убедитесь, что вы создаете изображение sysprep с помощью компьютера, к нему не присоединились или не зарегистрированы в Azure AD или гибридной Azure AD. Make sure that you create the sysprep image by using a computer that is not joined to or registered in Azure AD or hybrid Azure AD.
TPM_E_PCP_INTERNAL_ERROR (0x80290407/-2144795641) TPM_E_PCP_INTERNAL_ERROR (0x80290407/-2144795641)	Общая ошибка TPM. Generic TPM error.	Если устройство возвращает эту ошибку, отключить TPM. If the device returns this error, disable its TPM. Windows 10, версия 1809 и более поздние версии автоматически выявляют ошибки TPM и завершать гибридное участие Azure AD без использования TPM. Windows 10, version 1809 and later versions automatically detect TPM failures and finish the hybrid Azure AD join without using the TPM.
TPM_E_NOTFIPS (0x80280036/-2144862154) TPM_E_NOTFIPS (0x80280036/-2144862154)	Режим FIPS TPM в настоящее время не поддерживается. The FIPS mode of the TPM is currently not supported.	Если устройство дает эту ошибку, отключает TPM. If the device gives this error, disable its TPM. Windows 10, версия 1809 и более поздние версии автоматически выявляют ошибки TPM и завершать гибридное участие Azure AD без использования TPM. Windows 10, version 1809 and later versions automatically detect TPM failures and finish the hybrid Azure AD join without using the TPM.
NTE_AUTHENTICATION_IGNORED (0x80090031/-2146893775) NTE_AUTHENTICATION_IGNORED (0x80090031/-2146893775)	TPM заблокирован. The TPM is locked out.	Эта ошибка является переходной. This error is transient. Подождите период охлаждения, а затем повторить операцию приступать. Wait for the cooldown period, and then retry the join operation.

Дополнительные сведения о проблемах TPM см. в следующих статьях: For more information about TPM issues, see the following articles: