Các lỗi BitLocker trên máy Dell và giải pháp đề xuất

Bài viết này cung cấp một hướng dẫn để xác định và giải quyết các lỗi BitLocker trên máy Dell và TPM phổ biến bạn có thể gặp.

TPM (Trusted Platform Module) là gì?

TPM (Trusted Platform Module) là một con chip nằm trong máy tính và được hàn vào bo mạch chủ trên các hệ thống Dell. Chức năng chính TPM là tạo các khóa mật mã một cách an toàn, nhưng cũng có các chức năng khác. Mỗi chip TPM có một khóa RSA độc đáo và bí mật được ghi vào nó khi sản xuất.

Nếu một TPM đang được sử dụng bởi bảo mật như Bitlocker hoặc DDPE, bảo mật đó phải bị tạm dừng (Suspended) trước khi xóa TPM hoặc thay thế bo mạch hệ thống.

TPM sóng có 2 chế độ, 1.2 và 2.0. TPM 2.0 là một tiêu chuẩn mới bao gồm các chức năng bổ sung như thuật toán bổ sung, hỗ trợ nhiều khóa đáng tin cậy và hỗ trợ rộng hơn cho các ứng dụng. TPM 2.0 yêu cầu BIOS phải được đặt thành UEFI và không phải là Legacy. Nó cũng yêu cầu Windows là 64 bit.

Kể từ tháng 3 năm 2017, tất cả các nền tảng Dell Skylake đều hỗ trợ chế độ TPM 2.0 và chế độ TPM 1.2 trên Windows 7, 8 và 10 (Windows 7 yêu cầu Windows Update KB2920188 để hỗ trợ Chế độ TPM 2.0). Để hoán đổi các chế độ trên TPM, bạn phải flash firmware. Liên kết có thể được tìm thấy dưới các trang trình điều khiển mô hình được hỗ trợ tại Dell Support.

Thông số kỹ thuật về TPM được quản lý bởi nhóm máy tính đáng tin cậy. Chi tiết và tài liệu có thể được tìm thấy ở đây.

PTT – Intel Platform Trust Technology là gì?

Một số Laptop Dell được trang bị Công nghệ tin cậy nền tảng Intel (PTT). Công nghệ này là một phần của Hệ thống Intel trên Chip (SoC). Là phiên bản TPM 2.0 dựa trên firmware, có thể hoạt động cùng dung lượng với chip TPM 1.2 riêng. PTT có thể được quản lý trong cùng khả năng với TPM rời rạc của Windows TPM.MSC.

Trong trường hợp các hệ thống được trang bị Intel PTT, sẽ không có tùy chọn nào được liệt kê cho TPM trong BIOS. Điều này có thể dẫn đến sự nhầm lẫn về cách bật BitLocker trên hệ thống nếu PTT bị tắt. Thay vào đó, một tùy chọn cho PTT Security sẽ hiển thị trong menu Cài đặt bảo mật trong BIOS.

Mẫu máy Dell nào có PTT/TPM?

• Latitude 13, Tất cả E Series, XT2, XT2 XFR, XT3, Latitude 13, Latitude 10
• OptiPlex – Tất cả các dòng 60 series và trước đó (560, 760, 960)
• Precision Mobile – Tất cả dòng X400 series và trước đó (M2400, M4400, M6400)
• Precision WorkStation – Tất cả dòng X500 series và trước đó (T3500, T5500, T7500)
• XPS & Alienware – Ultrabooks và các mẫu hiện đang được vận chuyển.
• Vostro – Tất cả dòng X20 series và trước đó (1220, 1320, 1520, 1720)
• Venue – Tất cả
• Một số Latitude, XPS, và Inspiron với Intel PTT

Làm sao thay đổi chế độ TPM?

Chế độ TPM 1.2 và 2.0 chỉ có thể được thay đổi bằng cách sử dụng firmware được tải xuống từ trang Hỗ trợ của Dell và chỉ trên các hệ thống được chọn. Bạn có thể sử dụng bảng trong phần trên để xác định xem hệ thống có hỗ trợ tính năng này không.

Bạn cũng có thể kiểm tra trang “Trình điều khiển & Tải xuống” của hệ thống để xác minh xem firmware có khả dụng để di chuyển giữa các chế độ này không. Nếu firmware không được liệt kê, thì một đơn vị không hỗ trợ tính năng này. Ngoài ra, TPM phải ở chế độ On and Enable để flash.

Các bước để flash TPM với 1.2 hoặc 2.0 Firmware:

• Trên Windows:
  1. Tạm dừng (Suspend) Bitlocker hoặc bất kỳ mã hóa/bảo mật hệ thống nào dựa trên TPM
  2. Vô hiệu hóa Windows Auto Provisioning nếu cần (Windows 8/10)
     • PowerShell gõ lệnh: Disable-TpmAutoProvisioning
  3. Khởi động lại máy và truy cập BIOS
• Trong BIOS:
  1. Điều hướng tới Security và chọn trang TPM/Intel PTT.
  2. Chọn vào box trống TPM và chọn nút “Apply” ở cuối.
  3. Nhấn nút “Exit” để reboot vào Windows
• Trên Windows:
  1. Chạy TPM firmware update
     • Hệ thống sẽ tự động reboot và bắt đầu flash.
     • KHÔNG được tắt hệ thống khi đang cập nhật
  2. Reboot hệ thống vào Windows và Bật Windows Auto Provisioning nếu áp dụng.
  3. PowerShell lệnh: Enable-TpmAutoProvisioning
  4. Nếu là Windows 7, sử dụng TPM.msc để lấy quyền điều khiển TPM
  5. Reboot hệ thống và bật mã hóa sử dụng TPM

Phiên bản phần mềm TPM có thể được kiểm tra bằng TPM.msc hoặc lệnh “get-tpm” trong Windows PowerShell (chỉ dành cho Windows 8 và 10).

Sử dụng “get-tpm” trên Windows 10 1607 trở về trước sẽ chỉ hiển thị 3 ký tự đầu tiên của chương trình cơ sở.

Windows 10 1703 trở lên sẽ hiển thị 20 ký tự:

BitLocker là gì?

BitLocker là tính năng mã hóa toàn bộ đĩa có trên hầu hết các phiên bản Windows 7, 8, and 10, bao gồm:

• Windows 7 Enterprise
• Windows 7 Ultimate
• Windows 8 Pro
• Windows 8 Enterprise
• Windows 10 Pro
• Windows 10 Enterprise
• Windows 10 Education

Các bước để bật Bitlocker/Device Encryption (Mã hóa thiết bị) xem thêm tại hướng dẫn từ Microsoft: Device encryption in Windows 10 .

LƯU Ý: Windows 10 Home có tính năng Mã hóa thiết bị – “Device Encryption” thay vì Bitlocker. Tính năng này tương tự như Bitlocker, hạn chế tính năng so với Bitlocker và có giao diện người dùng riêng – Windows User Interface.

Các vấn đề TPM và Bitlocker cùng giải pháp

Vấn đề trong BIOS:

• BitLocker error when using TPM in 1.2 mode after updating the BIOS – BitLocker will not engage with message “The Trusted Platform Module (TPM) on this computer does not work with the current BIOS. Contact the computer manufacturer for BIOS upgrade instructions” in TPM 1.2 mode after updating BIOS
• Updating the BIOS on Dell Systems With BitLocker Enabled

Vấn đề với Recovery Key:

• Automatic Windows Device Encryption/BitLocker on Dell Systems
• BitLocker is prompting for a Recovery Key and you cannot locate the key
• BitLocker Asks for a Recovery Key Every Boot on USB-C / Thunderbolt Systems When Docked or Undocked
• How to unlock BitLocker when it stops accepting recovery keys

Các lỗi với TPM và hướng khắc phục

TPM có trong Device Manager và TPM Management Console

TPM (Trusted Platform Module) nên có ở Security devices trong Device Manager. Bạn còn có thể check TPM Management Console theo các bước:

1. Nhấn tổ hợp Windows + R để chạy command prompt.
2. Gõ tpm.msc rồi nhấn Enter .
3. Check tình trạng TPM mục quản lý đã là Ready.

Nếu TPM không xuất hiện Device Manager hoặc không phải tình trạng Ready trong TPM Management Console, theo các bước sau để khắc phục:

1. Xác nhận TPM đã được bật và kích hoạt trong BIOS theo các bước dưới đây:
   • Reboot máy tính và nhấn F2 để truy cập System Setup.
   • Click Security danh mục Settings menu.
   • Click tùy chọn TPM 1.2 Security hoặc TPM 2.0 Security trong Security menu.
   • Đảm bảo TPM On và Activate đã được chọn.
   • Bạn còn cần đảm bảo Attestation Enable và Key Storage Enable cũng được check phù hợp với chức năng của TPM.

LƯU Ý: Nếu TPM không có trong BIOS, hãy kiểm tra để đảm bảo máy tính của bạn với TPM đã bị vô hiệu hóa.

Nếu TPM vẫn không xuất hiện trong Device Manager hoặc ở tình trạngReady trong TPM Management Console, hãy xóa TPM thực hiện cập nhật TPM firmware mới nhất có thể. Bạn cần vô hiệu hóa trước TPM Auto-Provisioning, sau đó xóa TPM theo các bước sau:

1. Nhấn phím Windows trên bàn phím và gõ powershell trong ô tìm kiếm
2. Chuột phải vào PowerShell (x86) và chọn Run as admin.
3. Gõ lệnh PowerShell: Disable-TpmAutoProvisioning rồi nhấn Enter.
4. Đảm bảo kết quả: AutoProvisioning : Disabled (Hình dưới):

• Mở TPM Management Console bằng cách nhấn tổ hợp phím Windows + R để chạy command prompt. Gõ tpm.msc và nhấn Enter.
• Trong bảng Actions pane, chọn Clear TPM…
• Reboot lại máy tính, nhấn F12, khi được hỏi, thực hiện tiếp để xóa TPM.

Tiếp theo, cài đặt TPM firmware mới nhất bằng cách:

1. Truy cập Dell Support Website.
2. Nhập service tag hoặc tìm kiếm model máy tính để truy cập trang support chính xác.
3. Tại trang support, chọn Drivers & downloads từ danh mục.
4. Click Find it myself tab và chọn hệ điều hành.
5. Chọn mục Security từ danh mục Driver.
6. Tìm Dell TPM 2.0 Firmware Update Utility hoặc Dell TPM 1.2 Update Utility trong danh mục. Click View Details để xem chi tiết cùng Installation instructions để tải về và cài đặt update.

“TPM is ready for use, with reduced functionality” thông báo từ TPM.msc

• Sự cố xảy ra hầu hết khi hệ thống được khôi phục ảnh (imaged) mà không xóa TPM.
• Giải pháp bằng cách xóa TPM và cài đặt TPM firmware mới nhất như hướng dẫn trên.
• Check BIOS để đảm bảo cài đặt TPM đã chính xác.
• Nếu vấn đề vẫn tiếp tục, thực hiện xóa TPM và tải lại Windows. .

Xác nhận TPM.msc hiển thị TPM đã bật và sẵn sàng sử dụng.

• TPM hoạt động bình thường.

Các lỗi BitLocker trên máy Dell & cách khắc phục

Xác nhận Hệ điều hành đang sử dụng hỗ trợ Bitlocker

Kiểm tra hệ Hệ điều hành có hỗ trợ BitLocker theo Danh sách mục Bitlocker là gì? ở trên.

Xác nhận TPM đã bật và sẵn sàng sử dụng trong PM Management Console (tpm.msc)

• Nếu TPM chưa sẵn sàng sử dụng, hay xem mục Khắc phục lỗi liên quan TPM ở trên.

BitLocker kích hoạt khi khởi động

Nếu BitLocker kích hoạt khi khởi động, hãy theo hướng dẫn dưới đây để khắc phục:

• Kích hoạt BitLocker khi khởi động máy tính thường là do BitLocker vận hành như thiết kế ban đầu. Vấn đề này cần xác định xem thuộc từ nguyên nhân độc lập nào dưới đây:
  • Thay đổi trong tập tin core Windows
  • Thay đổi trong BIOS
  • Thay đổi với TPM
  • Thay đổi liên quan đến phân vùng đã mã hóa hoặc boot record
  • Thất bại trong việc cung cấp thông tin đăng nhập
  • Thay đổi trong cấu hình phần cứng

Vì vậy đề nghị bạn TẠM DỪNG (Suspend) BitLocker trước khi tiến hành bất kỳ thay đổi nào ở trên với máy tính của mình. Các bước để TẠM DỪNG BitLocker:

1. Click nút Windows Start Menu, gõ manage bitlocker trong ô tìm kiếm và nhấn Enter để mở Manage BitLocker Console.
2. Click Suspend Protection đối với ổ đĩa đã được mã hóa (Theo hình).

Sau khi hoàn tất các thay đổi cần thiết, thực hiện lại thao tác trên, chọn Resume Protection để bật trở lại dịch vụ BitLocker.

Để ngăn BitLocker kích hoạt khi khởi động máy sau khi thay đổi máy tính được thực hiện, có thể phải vô hiệu hóa hoàn toàn mã hóa Bitlocker. Sau đó kích hoạt lại mã hóa BitLocker. Bạn có thể tắt và bật mã hóa BitLocker từ bảng điều khiển quản lý theo các bước bên dưới:

Nhấp vào nút Start Menu của Windows, nhập “Manage Bitlocker” trong hộp tìm kiếm và nhấn Enter để mở Bảng điều khiển BitLocker. Click “Turn of BitLocker”

Sau khi quá trình giải mã hoàn tất, bạn có thể chọn Turn on BitLocker từ Manage BitLocker Console để mã hóa lại ổ cứng.

BitLocker không tiếp tục hay hoạt động

Nếu BitLocker sẽ không tiếp tục hoặc hoạt động, hãy làm theo cách khắc phục được đề xuất bên dưới:

1. Xác minh không có thay đổi gần đây từ danh sách trên được thực hiện cho máy tính. Quay trở lại trạng thái trước khi thay đổi xảy ra và xem BitLocker bây giờ sẽ tham gia hay tiếp tục.
2. Nếu sự thay đổi gần đây là vấn đề, hãy tạm dừng BitLocker khỏi Bảng điều khiển BitLocker và thực hiện lại thay đổi.
3. Nếu sự cố vẫn còn, thì hãy xác minh phần sụn BIOS và TPM là phiên bản mới nhất. Kiểm tra các phiên bản mới nhất từ ​​Trình điều khiển & tải xuống cho máy tính của bạn tại Trang web Hỗ trợ của Dell.
4. Nếu BitLocker vẫn không tiếp tục hoặc tham gia, hãy cài đặt lại hệ điều hành.

Mất BitLocker Recovery Key

Khóa khôi phục – BitLocker Recovery Key là cần thiết để đảm bảo chỉ người được ủy quyền mới có thể mở khóa máy tính của bạn và khôi phục quyền truy cập vào dữ liệu được mã hóa của bạn.

Nếu BitLocker Recovery Key bị mất hoặc thất lạc, Dell sẽ không thể thay thế nó. Bạn nên lưu trữ khóa khôi phục ở một vị trí an toàn và có thể phục hồi. Ví dụ về các vị trí lưu trữ khóa sẽ là ổ flash, ổ cứng ngoài, vị trí mạng (ổ đĩa được ánh xạ, Bộ điều khiển Active Directory / Bộ điều khiển miền) hoặc được lưu vào Tài khoản Microsoft của bạn.

Nếu bạn chưa bao giờ mã hóa hệ thống của mình, có thể nó đã được thực hiện thông qua quy trình Windows tự động, được giải thích trong bài viết sau Mã hóa / BitLocker thiết bị Windows tự động trên Hệ thống Dell.

BitLocker hoạt động như thiết kế

Nếu BitLocker tham gia và mã hóa ổ cứng và không kích hoạt khi khởi động máy tính, thì nó đang hoạt động như thiết kế.