Problembehandlung für das TPM

Gilt für

  • Windows 10
  • Windows 11
  • Windows Server 2016 und höher

Dieser Artikel enthält Informationen für den IT-Professional zur Problembehandlung des Trusted Platform Module (TPM):

Mit TPM 1.2 und Windows 10, Version 1507 oder 1511, oder Windows 11 können Sie auch die folgenden Aktionen ausführen:

Informationen zu den TPM-Cmdlets finden Sie unter TPM-Cmdlets in Windows PowerShell.

Informationen zur TPM-Initialisierung und zum Besitz

Ab Windows 10 und Windows 11 wird das Betriebssystem automatisch initialisiert und übernimmt den Besitz des TPM. Dies ist eine Änderung gegenüber vorherigen Betriebssystemen, bei denen Sie das TPM initialisieren und ein Besitzerkennwort erstellen müssten.

Problembehandlung bei der TPM-Initialisierung

Wenn Sie feststellen, dass Windows das TPM nicht automatisch initialisieren kann, lesen Sie die folgenden Informationen:

  • Sie können versuchen, das TPM auf die Werksstandardwerte zurückzusetzen und Windows dadurch eine Reinitialisierung zu ermöglichen. Wichtige Vorsichtsmaßnahmen für diesen Prozess und Anweisungen zum Abschließen dieses Vorgangs finden Sie unter Löschen aller Schlüssel aus dem TPM weiter unten im Artikel.

  • Wenn es sich bei dem TPM um ein TPM 2.0 handelt und von Windows nicht erkannt wird, überprüfen Sie, ob ihre Computerhardware eine Unified Extensible Firmware Interface (UEFI) enthält, die mit der Trusted Computing Group kompatibel ist. Stellen Sie außerdem sicher, dass das TPM in den UEFI-Einstellungen nicht deaktiviert oder für das Betriebssystem ausgeblendet wurde.

  • Wenn Sie TPM 1.2 mit Windows 10, Version 1507, Version 1511 oder Windows 11 haben, ist das TPM möglicherweise deaktiviert und muss wieder aktiviert werden, wie unter Aktivieren des TPM beschrieben. Wenn es wieder aktiviert ist, initialisiert Windows es erneut.

  • Wenn Sie versuchen, BitLocker mit dem TPM einzurichten, überprüfen Sie, welcher TPM-Treiber auf dem Computer installiert ist. Es wird empfohlen, immer einen der TPM-Treiber zu verwenden, die von Microsoft bereitgestellt werden und mit BitLocker geschützt sind. Wenn ein nicht Microsoft TPM-Treiber installiert ist, kann dies verhindern, dass der TPM-Standardtreiber geladen wird und BitLocker meldet, dass auf dem Computer kein TPM vorhanden ist. Wenn Sie einen Nicht-Microsoft-Treiber installiert haben, entfernen Sie ihn und erlauben Sie dem operierenden Betriebssystem das TPM zu initialisieren.

Behandeln von Netzwerkverbindungsproblemen für Windows 10, Versionen 1507 und 1511 oder Windows 11

Wenn Sie über Windows 10, Version 1507 oder 1511 oder Windows 11 verfügen, kann die Initialisierung des TPM nicht abgeschlossen werden, wenn auf Ihrem Computer Netzwerkverbindungsprobleme auftreten und beide der folgenden Bedingungen vorliegen:

  • Ein Administrator hat Ihren Computer so konfiguriert, dass TPM-Wiederherstellungsinformationen in Active Directory Domain Services (AD DS) gespeichert werden müssen. Diese Anforderung kann über Gruppenrichtlinien konfiguriert werden.

  • Ein Domänencontroller kann nicht erreicht werden. Dies kann auf einem Computer auftreten, der derzeit vom Netzwerk getrennt ist, von der Domäne durch eine Firewall getrennt ist oder auf dem ein Netzwerkkomponentenfehler auftritt (Zum Beispiel ein nicht angeschlossenes Kabel, oder ein fehlerhafter Netzwerkadapter).

Wenn diese Probleme auftreten, wird eine Fehlermeldung angezeigt, und Sie können den Initialisierungsprozess nicht abschließen. Um dieses Problem zu vermeiden, erlauben Sie Windows, das TPM zu initialisieren, während Sie mit dem Unternehmensnetzwerk verbunden sind, und Sie können einen Domänencontroller kontaktieren.

Problembehandlung bei Systemen mit mehreren TPMs

Einige Systeme verfügen möglicherweise über mehrere TPMs, und das aktive TPM kann in UEFI umgeschaltet werden. Windows unterstützt dieses Verhalten nicht. Wenn Sie TPMs wechseln, erkennt Windows das neue TPM möglicherweise nicht ordnungsgemäß und kann damit nicht regulär interagieren. Wenn Sie TPMs wechseln möchten, sollten Sie auf das neue TPM umschalten, es löschen und Windows erneut installieren. Weitere Informationen finden Sie weiter unten in diesem Artikel unter Löschen aller Schlüssel aus dem TPM.

Beispielsweise führt das Umschalten von TPMs dazu, dass BitLocker in den Wiederherstellungsmodus wechselt. Es wird dringend empfohlen, auf Systemen mit zwei TPMs ein TPM für die Verwendung auszuwählen und die Auswahl nicht zu ändern.

Löschen aller Schlüssel aus dem TPM

Sie können die Windows Defender Security Center-App verwenden, um das TPM als Problembehandlungsschritt oder als letzte Vorbereitung vor einer Neuinstallation eines neuen Betriebssystems zu löschen. Durch die Vorbereitung auf eine Neuinstallation auf diese Weise wird sichergestellt, dass das neue Betriebssystem alle TPM-basierten Funktionen, die es enthält, wie zum Beispiel den Nachweis, vollständig bereitstellen kann. Selbst wenn das TPM vor der Installation eines neuen Betriebssystems nicht gelöscht wird, funktionieren die meisten TPM-Funktionen wahrscheinlich ordnungsgemäß.

Durch Löschen des TPM wird es in einen nicht zugewiesenen Zustand zurückgesetzt. Nachdem Sie das TPM gelöscht haben, initialisiert das Windows Betriebssystem es automatisch neu und übernimmt den Besitz wieder.

Warnung

Das Löschen des TPM kann zu Datenverlusten führen. Weitere Informationen finden Sie im nächsten Abschnitt: “Vorsichtsmaßnahmen, die vor dem Löschen des TPM getroffen werden müssen“.

Vorsichtsmaßnahmen vor dem Löschen des TPM

Das Löschen des TPM kann zu Datenverlusten führen. Um sich vor solchen Verlusten zu schützen, überprüfen Sie die folgenden Vorsichtsmaßnahmen:

  • Wenn Sie das TPM löschen, verlieren Sie alle erstellten Schlüssel, die dem TPM zugeordnet sind, und daten, die durch diese Schlüssel geschützt sind, z. B. eine virtuelle Smartcard oder eine Anmelde-PIN. Stellen Sie sicher, dass Sie über eine Sicherungs- und Wiederherstellungsmethode für alle Daten verfügen, die durch das TPM geschützt oder verschlüsselt sind.

  • Löschen Sie das TPM nicht auf einem Gerät, das Sie nicht besitzen, z. B. einem Geschäfts-, Schul- oder Uni-PC, ohne von Ihrem IT-Administrator dazu aufgefordert zu werden.

  • Wenn Sie TPM-Vorgänge vorübergehend anhalten möchten und TPM 1.2 mit Windows 10, Version 1507, Version 1511 oder Windows 11 verwenden, können Sie das TPM deaktivieren. Weitere Informationen finden Sie weiter unten in diesem Artikel unter Deaktivieren des TPM.

  • Verwenden Sie immer Funktionen im Betriebssystem (zum Beispiel TPM.msc), um das TPM zu löschen. Löschen Sie das TPM nicht direkt aus UEFI.

  • Da Ihre TPM-Sicherheitshardware ein physischer Teil Des Computers ist, sollten Sie vor dem Löschen des TPM die Handbücher oder Anweisungen lesen, die mit Ihrem Computer geliefert wurden, oder die Website des Herstellers durchsuchen.

Die Mitgliedschaft in der lokalen Administratorgruppe oder einer entsprechenden Gruppe ist das Minimum, das erforderlich ist, um dieses Verfahren abzuschließen.

Um das TPM zu löschen

  1. Öffnen Sie die Windows Defender Security Center-App.

  2. Wählen Sie Gerätesicherheit aus.

  3. Wählen Sie Details des Sicherheitsprozessors aus.

  4. Wählen Sie Problembehandlung des Sicherheitsprozessors aus.

  5. Wählen Sie TPM löschen aus.

  6. Sie werden aufgefordert, den Computer neu zu starten. Während des Neustarts werden Sie möglicherweise von der UEFI aufgefordert, eine Schaltfläche zu drücken, um zu bestätigen, dass Sie das TPM löschen möchten.

  7. Nach dem Neustart des PCs wird Ihr TPM automatisch für die Verwendung durch Windows vorbereitet.

Aktivieren oder Deaktivieren des TPM (nur mit TPM 1.2 mit Windows 10, Version 1507 und höher verfügbar)

Normalerweise ist das TPM im Rahmen des TPM-Initialisierungsprozesses aktiviert. Normalerweise müssen Sie das TPM nicht aktivieren oder deaktivieren. Bei Bedarf können Sie dies jedoch mithilfe des TPM-MMC tun.

Aktivieren des TPM

Wenn Sie das TPM verwenden möchten, nachdem Sie es deaktiviert haben, können Sie das TPM mithilfe des folgenden Verfahrens aktivieren.

So aktivieren Sie das TPM (TPM 1.2 mit Windows 10, Version 1507 und höher)

  1. Öffnen Sie das TPM MMC (tpm.msc).

  2. Wählen Sie im AktionsbereichTPM aktivieren aus, um die Seite TPM-Sicherheitshardware aktivieren anzuzeigen. Lesen Sie die Anweisungen auf dieser Seite.

  3. Wählen Sie Herunterfahren (oder Neu starten aus) und folgen Sie dann den UEFI-Bildschirmaufforderungen.

    Nach dem Neustart des Computers, aber bevor Sie sich bei Windows anmelden, werden Sie aufgefordert, die Neukonfiguration des TPM zu akzeptieren. Dadurch wird sichergestellt, dass der Benutzer physischen Zugriff auf den Computer hat und keine Schadsoftware versucht, Änderungen am TPM vorzunehmen.

Deaktivieren des TPM

Wenn Sie die vom TPM bereitgestellten Dienste nicht mehr verwenden möchten, können Sie die TPM-MMC verwenden, um das TPM zu deaktivieren.

So deaktivieren Sie das TPM (TPM 1.2 mit Windows 10, Version 1507 und höher)

  1. Öffnen Sie das TPM MMC (tpm.msc).

  2. Wählen Sie im AktionsbereichTPM deaktivieren aus, um die Seite TPM-Sicherheitshardware deaktivieren-Seite anzuzeigen.

  3. Wählen Sie im Dialogfeld TPM-Sicherheitshardware deaktivieren eine Methode aus, um Ihr Besitzerkennwort einzugeben und das TPM zu deaktivieren:

    • Wenn Sie Ihr TPM-Besitzerkennwort auf einem Wechselmedium gespeichert haben, fügen Sie es ein, und wählen Sie dann Ich habe die Besitzerkennwortdatei aus. Wählen Sie im Dialogfeld Sicherungsdatei mit TPM-Besitzerkennwort auswählen die Option Durchsuchen aus, um die TPM-Datei zu suchen, die auf Ihrem Wechselmedium gespeichert ist. Wählen Sie Öffnenund dann TPM deaktivieren aus.

    • Wenn Sie nicht über das Wechselmediengerät mit Ihrem gespeicherten TPM-Besitzerkennwort verfügen, wählen Sie Ich möchte das Kennwort eingeben aus. Geben Sie im Dialogfeld TPM-Besitzerkennwort eingeben Ihr Kennwort ein (einschließlich Bindestrichen), und wählen Sie dann TPM deaktivieren aus.

    • Wenn Sie Ihr TPM-Besitzerkennwort nicht gespeichert haben oder es nicht mehr kennen, wählen Sie Ich habe das TPM-Besitzerkennwort nicht aus, und folgen Sie den Anweisungen im Dialogfeld und den nachfolgenden UEFI-Bildschirmen, um das TPM ohne Eingabe des Kennworts zu deaktivieren.

Verwenden der TPM-Cmdlets

Sie können das TPM mit Windows PowerShell verwalten. Ausführliche Informationen finden Sie unter TPM-Cmdlets in Windows PowerShell.