O BitLocker não pode criptografar uma unidade: problemas conhecidos do TPM
Este artigo descreve problemas comuns que afetam o TPM (Trusted Platform Module) que podem impedir o BitLocker de criptografar uma unidade. Este artigo também fornece diretrizes para resolver esses problemas.
Observação
Se tiver sido determinado que o problema do BitLocker não envolve o TPM, consulte BitLocker não pode criptografar uma unidade: problemas conhecidos.
O TPM está bloqueado e o erro The TPM is defending against dictionary attacks and is in a time-out period é exibido
Ele tentou ativar a criptografia de unidade do BitLocker em um dispositivo, mas falha com uma mensagem de erro semelhante à seguinte mensagem de erro:
O TPM está se defendendo contra ataques de dicionário e está em um período de tempo limite.
Causa do bloqueio do TPM
O TPM está bloqueado.
Resolução para o TPM que está sendo bloqueado
Para resolve esse problema, o TPM precisa ser redefinido e desmarcado. O TPM pode ser redefinido e desmarcado com as seguintes etapas:
Abra uma janela elevada do PowerShell e execute o seguinte script:
$Tpm = Get-WmiObject -class Win32_Tpm -namespace "root\CIMv2\Security\MicrosoftTpm" $ConfirmationStatus = $Tpm.GetPhysicalPresenceConfirmationStatus(22).ConfirmationStatus if($ConfirmationStatus -ne 4) {$Tpm.SetPhysicalPresenceRequest(22)}Reinicie o computador. Se um prompt for exibido confirmando a limpeza do TPM, concorde em limpar o TPM.
Entre no Windows e tente iniciar novamente a criptografia de unidade do BitLocker.
Aviso
Redefinir e limpar o TPM pode causar perda de dados.
O TPM não se prepara com o erro The TPM is defending against dictionary attacks and is in a time-out period
Ele tentou ativar a criptografia da unidade BitLocker em um dispositivo, mas ela falha. Durante a solução de problemas, o TPM console de gerenciamento (tpm.msc) é usado para tentar preparar o TPM no dispositivo. A operação falha com uma mensagem de erro semelhante à seguinte mensagem de erro:
O TPM está se defendendo contra ataques de dicionário e está em um período de tempo limite.
Causa da falha na preparação do TPM
O TPM está bloqueado.
Resolução para TPM não está em preparação
Para resolve esse problema, desabilite e habilite novamente o TPM com as seguintes etapas:
Insira as telas de configuração UEFI/BIOS do dispositivo reiniciando o dispositivo e atingindo a combinação de chaves apropriada como as botas do dispositivo. Consulte o fabricante do dispositivo para obter a combinação de chaves apropriada para entrar nas telas de configuração UEFI/BIOS.
Uma vez nas telas de configuração UEFI/BIOS, desabilite o TPM. Consulte o fabricante do dispositivo para obter instruções sobre como desabilitar o TPM nas telas de configuração UEFI/BIOS.
Salve a configuração UEFI/BIOS com o TPM desabilitado e reinicie o dispositivo para inicializar no Windows.
Depois de entrar no Windows, retorne ao TPM console de gerenciamento. Uma mensagem de erro semelhante à seguinte mensagem de erro é exibida:
O TPM compatível não pode ser encontrado
O TPM (Módulo de Plataforma Confiável Compatível) não pode ser encontrado neste computador. Verifique se esse computador tem 1,2 TPM e ele está ativado no BIOS.
Essa mensagem é esperada, pois o TPM está atualmente desabilitado no firmware/BIOS UEFI do dispositivo.
Reinicie o dispositivo e insira as telas de configuração UEFI/BIOS novamente.
Reenable the TPM in the UEFI/BIOS configuration screens.
Salve a configuração UEFI/BIOS com o TPM habilitado e reinicie o dispositivo para inicializar no Windows.
Depois de entrar no Windows, retorne ao TPM console de gerenciamento.
Se o TPM ainda não puder ser preparado, desmarque as chaves TPM existentes seguindo as instruções no artigo Solucionar problemas do TPM: desmarque todas as chaves do TPM.
Aviso
Limpar o TPM pode causar perda de dados.
O BitLocker falha ao habilitar com o erro Access Denied: Failed to backup TPM Owner Authorization information to Active Directory Domain Services. Errorcode: 0x80070005 ou Insufficient Rights
O Não habilitar o BitLocker até que as informações de recuperação sejam armazenadas na política do AD DS seja imposta no ambiente. Ele tentou ativar a criptografia de unidade do BitLocker em um dispositivo, mas falha com a mensagem de erro de Access Denied: Failed to backup TPM Owner Authorization information to Active Directory Domain Services. Errorcode: 0x80070005 ou Insufficient Rights.
Causa de Access Denied ou Insufficient Rights
O TPM não tinha permissões suficientes no contêiner de dispositivos TPM no AD DS (Active Directory Domain Services). Portanto, as informações de recuperação do BitLocker não puderam ser apoiadas no AD DS e a criptografia de unidade do BitLocker não pôde ativar.
Esse problema parece estar limitado a computadores que executam versões do Windows que são anteriores a Windows 10.
Resolução para Access Denied ou Insufficient Rights
Para verificar se esse problema está ocorrendo, use um dos dois métodos a seguir:
Desabilite a política ou remova o computador do domínio seguido por tentar ativar novamente a criptografia de unidade do BitLocker. Se a operação for bem-sucedida, o problema será causado pela política.
Use ferramentas de rastreamento de rede e LDAP para examinar as trocas LDAP entre o cliente e o controlador de domínio do AD DS para identificar a causa do erro Direitos Negados ou Insuficientes do Access. Nesse caso, um erro deve ser exibido quando o cliente tenta acessar seu objeto no
CN=TPM Devices,DC=<domain>,DC=comcontêiner.
Para examinar as informações do TPM para o computador afetado, abra uma janela de Windows PowerShell elevada e execute o seguinte comando:
Get-ADComputer -Filter {Name -like "ComputerName"} -Property * | Format-Table name,msTPM-TPMInformationForComputerNeste comando, ComputerName é o nome do computador afetado.
Para resolve o problema, use uma ferramenta como dsacls.exe para garantir que a lista de controle de acesso do msTPM-TPMInformationForComputer conceda permissões de leitura e gravação para NTAUTHORITY/SELF.
O TPM não está preparado com o erro 0x80072030: There is no such object on the server
Os controladores de domínio foram atualizados do Windows Server 2008 R2 para Windows Server 2012 R2. Existe um GPO (objeto de política de grupo) que impõe o Não habilitar o BitLocker até que as informações de recuperação sejam armazenadas na política do AD DS .
Ele tentou ativar a criptografia da unidade BitLocker em um dispositivo, mas ela falha. Durante a solução de problemas, o TPM console de gerenciamento (tpm.msc) é usado para tentar preparar o TPM no dispositivo. A operação falha com uma mensagem de erro semelhante à seguinte mensagem de erro:
0x80072030 Não há nenhum objeto desse tipo no servidor quando uma política para fazer backup das informações do TPM para o active directory está habilitada
Foi confirmado que os atributos ms-TPM-OwnerInformation e msTPM-TpmInformationForComputer estão presentes.
Causa do 0x80072030: não há nenhum objeto desse tipo no servidor
O nível funcional de domínio e floresta do ambiente ainda pode ser definido como Windows 2008 R2. Além disso, as permissões no AD DS podem não ser definidas corretamente.
Resolução para 0x80072030: não há nenhum objeto desse tipo no servidor
O problema pode ser resolvido com as seguintes etapas:
Atualize o nível funcional do domínio e da floresta para Windows Server 2012 R2.
Baixe Add-TPMSelfWriteACE.vbs.
No script, modifique o valor de strPathToDomain para o nome de domínio da organização.
Abra uma janela elevada do PowerShell e execute o seguinte comando:
cscript.exe <Path>\Add-TPMSelfWriteACE.vbsNeste comando, <Path> é o caminho para o arquivo de script.
Para saber mais, confira os seguintes artigos:
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de