Share via

BitLocker no puede cifrar una unidad: problemas conocidos de TPM

  • Artículo

En este artículo se describen problemas comunes que afectan al módulo de plataforma segura (TPM) que podrían impedir que BitLocker cifre una unidad. En este artículo también se proporcionan instrucciones para solucionar estos problemas.

Nota:

Si se ha determinado que el problema de BitLocker no implica el TPM, vea BitLocker cannot encrypt a drive: known issues (No se puede cifrar una unidad: problemas conocidos).

El TPM está bloqueado y se muestra el error The TPM is defending against dictionary attacks and is in a time-out period

Se intentó activar el cifrado de unidad bitlocker en un dispositivo, pero se produce un error con un mensaje de error similar al siguiente:

El TPM se está defendiendo frente a ataques de diccionario y está en un período de tiempo de espera.

Causa del bloqueo del TPM

El TPM está bloqueado.

Resolución del TPM que se bloquea

Para resolver este problema, el TPM debe restablecerse y borrarse. El TPM se puede restablecer y borrar con los pasos siguientes:

  1. Abra una ventana de PowerShell con privilegios elevados y ejecute el siguiente script:

    $Tpm = Get-WmiObject -class Win32_Tpm -namespace "root\CIMv2\Security\MicrosoftTpm"
$ConfirmationStatus = $Tpm.GetPhysicalPresenceConfirmationStatus(22).ConfirmationStatus
if($ConfirmationStatus -ne 4) {$Tpm.SetPhysicalPresenceRequest(22)}

  2. Reinicie el equipo. Si se muestra un mensaje que confirma la eliminación del TPM, acepte borrar el TPM.

  3. Inicie sesión en Windows y vuelva a intentar iniciar el cifrado de unidad de BitLocker.

Advertencia

Restablecer y borrar el TPM puede provocar la pérdida de datos.

El TPM no se puede preparar con el error The TPM is defending against dictionary attacks and is in a time-out period

Se intentó activar el cifrado de unidad bitlocker en un dispositivo, pero se produce un error. Durante la solución de problemas, la consola de administración de TPM (tpm.msc) se usa para intentar preparar el TPM en el dispositivo. Se produce un error en la operación con un mensaje de error similar al siguiente:

El TPM se está defendiendo frente a ataques de diccionario y está en un período de tiempo de espera.

Causa de que tpm no se prepare

El TPM está bloqueado.

Resolución de errores de preparación de TPM

Para resolver este problema, deshabilite y vuelva a habilitar el TPM con los pasos siguientes:

  1. Escriba las pantallas de configuración UEFI/BIOS del dispositivo reiniciando el dispositivo y pulsando la combinación de teclas adecuada cuando se inicia el dispositivo. Consulte con el fabricante del dispositivo para obtener la combinación de teclas adecuada para entrar en las pantallas de configuración de UEFI/BIOS.

  2. Una vez en las pantallas de configuración de UEFI/BIOS, deshabilite el TPM. Consulte con el fabricante del dispositivo para obtener instrucciones sobre cómo deshabilitar el TPM en las pantallas de configuración de UEFI/BIOS.

  3. Guarde la configuración de UEFI/BIOS con el TPM deshabilitado y reinicie el dispositivo para arrancar en Windows.

  4. Una vez que haya iniciado sesión en Windows, vuelva a la consola de administración de TPM. Se muestra un mensaje de error similar al siguiente:

    No se puede encontrar TPM compatible

    No se puede encontrar el módulo de plataforma segura (TPM) compatible en este equipo. Compruebe que este equipo tiene TPM 1.2 y que está activado en el BIOS.

    Se espera este mensaje, ya que el TPM está deshabilitado actualmente en el firmware o BIOS de UEFI del dispositivo.

  5. Reinicie el dispositivo y vuelva a escribir las pantallas de configuración de UEFI/BIOS.

  6. Vuelva a habilitar el TPM en las pantallas de configuración de UEFI/BIOS.

  7. Guarde la configuración de UEFI/BIOS con el TPM habilitado y reinicie el dispositivo para arrancar en Windows.

  8. Una vez que haya iniciado sesión en Windows, vuelva a la consola de administración de TPM.

Si el TPM todavía no se puede preparar, borre las claves de TPM existentes siguiendo las instrucciones del artículo Solución de problemas del TPM: Borrar todas las claves del TPM.

Advertencia

Borrar el TPM puede provocar la pérdida de datos.

BitLocker no se puede habilitar con el error Access Denied: Failed to backup TPM Owner Authorization information to Active Directory Domain Services. Errorcode: 0x80070005 o Insufficient Rights

No habilite BitLocker hasta que la información de recuperación se almacene en la directiva de AD DS se aplique en el entorno. Se intentó activar el cifrado de unidad bitlocker en un dispositivo, pero se produce un error con el mensaje de error de Access Denied: Failed to backup TPM Owner Authorization information to Active Directory Domain Services. Errorcode: 0x80070005 o Insufficient Rights.

Causa de Access Denied o Insufficient Rights

El TPM no tenía permisos suficientes en el contenedor de dispositivos TPM de Servicios de dominio de Active Directory (AD DS). Por lo tanto, no se pudo realizar una copia de seguridad de la información de recuperación de BitLocker en AD DS y el cifrado de unidad bitlocker no se pudo activar.

Este problema parece limitarse a los equipos que ejecutan versiones de Windows anteriores a Windows 10.

Resolución para Access Denied o Insufficient Rights

Para comprobar que se está produciendo este problema, use uno de los dos métodos siguientes:

  • Deshabilite la directiva o quite el equipo del dominio seguido de intentar activar de nuevo el cifrado de unidad BitLocker. Si la operación se realiza correctamente, la directiva produjo el problema.

  • Use las herramientas ldap y de seguimiento de red para examinar los intercambios LDAP entre el cliente y el controlador de dominio de AD DS para identificar la causa del error Acceso denegado o Derechos insuficientes . En este caso, se debe mostrar un error cuando el cliente intenta acceder a su objeto en el CN=TPM Devices,DC=<domain>,DC=com contenedor.

  1. Para revisar la información de TPM del equipo afectado, abra una ventana de Windows PowerShell con privilegios elevados y ejecute el siguiente comando:

    Get-ADComputer -Filter {Name -like "ComputerName"} -Property * | Format-Table name,msTPM-TPMInformationForComputer

    En este comando, NombreDeEquipo es el nombre del equipo afectado.

  2. Para resolver el problema, use una herramienta como dsacls.exe para asegurarse de que la lista de control de acceso de msTPM-TPMInformationForComputer concede permisos de lectura y escritura a NTAUTHORITY/SELF.

El TPM no se puede preparar con el error 0x80072030: There is no such object on the server

Los controladores de dominio se actualizaron de Windows Server 2008 R2 a Windows Server 2012 R2. Existe un objeto de directiva de grupo (GPO) que exige no habilitar BitLocker hasta que la información de recuperación se almacene en la directiva de AD DS .

Se intentó activar el cifrado de unidad bitlocker en un dispositivo, pero se produce un error. Durante la solución de problemas, la consola de administración de TPM (tpm.msc) se usa para intentar preparar el TPM en el dispositivo. Se produce un error en la operación con un mensaje de error similar al siguiente:

0x80072030 No hay ningún objeto de este tipo en el servidor cuando se habilita una directiva para realizar una copia de seguridad de la información de TPM en Active Directory.

Se ha confirmado que los atributos ms-TPM-OwnerInformation y msTPM-TpmInformationForComputer están presentes.

Causa de 0x80072030: no hay ningún objeto de este tipo en el servidor

El nivel funcional de dominio y bosque del entorno todavía se puede establecer en Windows 2008 R2. Además, es posible que los permisos de AD DS no se establezcan correctamente.

Resolución de 0x80072030: no hay ningún objeto de este tipo en el servidor

El problema se puede resolver con los pasos siguientes:

  1. Actualice el nivel funcional del dominio y el bosque a Windows Server 2012 R2.

  2. Descargue Add-TPMSelfWriteACE.vbs.

  3. En el script, modifique el valor de strPathToDomain en el nombre de dominio de la organización.

  4. Abra una ventana de PowerShell con privilegios elevados y ejecute el siguiente comando:

    cscript.exe <Path>\Add-TPMSelfWriteACE.vbs

    En este comando, <Ruta de acceso> es la ruta de acceso al archivo de script.

Para más información, consulte los siguientes artículos: