Problembehandlung für das TPM

• Gilt für:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Dieser Artikel enthält Informationen zur Problembehandlung für das Trusted Platform Module (TPM):

• Problembehandlung bei der TPM-Initialisierung
• Löschen aller Schlüssel aus dem TPM

Mit TPM 1.2 und Windows 11 können Sie auch die folgenden Aktionen ausführen:

• Aktivieren oder Deaktivieren des TPM

Informationen zu den TPM-Cmdlets finden Sie unter TPM-Cmdlets in Windows PowerShell.

Informationen zur TPM-Initialisierung und zum Besitz

Windows initialisiert automatisch und übernimmt den Besitz des TPM. Sie müssen das TPM nicht initialisieren und ein Besitzerkennwort erstellen.

TPM-Initialisierung

Wenn Sie feststellen, dass Windows das TPM nicht automatisch initialisieren kann, lesen Sie die folgenden Informationen:

• Sie können versuchen, das TPM auf die Werksstandardwerte zu löschen, sodass Windows es erneut initialisieren kann. Wichtige Vorsichtsmaßnahmen für diesen Prozess und Anweisungen zum Abschließen finden Sie unter Löschen aller Schlüssel aus dem TPM.
• Wenn es sich bei dem TPM um ein TPM 2.0 handelt und von Windows nicht erkannt wird, überprüfen Sie, ob ihre Computerhardware eine Unified Extensible Firmware Interface (UEFI) enthält, die mit der Trusted Computing Group kompatibel ist. Stellen Sie außerdem sicher, dass das TPM in den UEFI-Einstellungen nicht deaktiviert oder für das Betriebssystem ausgeblendet wurde.
• Wenn Sie ÜBER TPM 1.2 mit Windows 11 verfügen, ist das TPM möglicherweise deaktiviert und muss wie unter Aktivieren des TPM beschrieben wieder aktiviert werden. Wenn es wieder aktiviert ist, wird es von Windows erneut initialisiert.
• Wenn Sie versuchen, BitLocker mit dem TPM einzurichten, überprüfen Sie, welcher TPM-Treiber auf dem Computer installiert ist. Es wird empfohlen, immer einen der TPM-Treiber zu verwenden, die von Microsoft bereitgestellt werden und mit BitLocker geschützt sind. Wenn ein nicht von Microsoft stammender TPM-Treiber installiert ist, kann dies verhindern, dass der TPM-Standardtreiber geladen wird und BitLocker meldet, dass auf dem Computer kein TPM vorhanden ist. Wenn Sie einen Nicht-Microsoft-Treiber installiert haben, entfernen Sie ihn, und lassen Sie dem Betriebssystem die Initialisierung des TPM zu.

Netzwerkverbindungsprobleme für in die Domäne eingebundene Windows 11-Geräte

Wenn Sie über Windows 11 verfügen, kann die Initialisierung des TPM nicht abgeschlossen werden, wenn auf Ihrem Computer Netzwerkverbindungsprobleme auftreten und die beiden folgenden Bedingungen vorliegen:

• Ein Administrator hat Ihren Computer so konfiguriert, dass TPM-Wiederherstellungsinformationen in Active Directory Domain Services (AD DS) gespeichert werden müssen. Diese Anforderung kann über eine Gruppenrichtlinie konfiguriert werden.
• Ein Domänencontroller kann nicht erreicht werden. Dieses Szenario kann auf einem Gerät auftreten, das derzeit vom internen Netzwerk getrennt ist, das durch eine Firewall von der Domäne getrennt ist oder ein Netzwerkkomponentenfehler auftritt (z. B. ein nicht angeschlossenes Kabel oder ein fehlerhafter Netzwerkadapter).

Wenn diese Probleme auftreten, wird eine Fehlermeldung angezeigt, und Sie können den Initialisierungsprozess nicht abschließen. Um das Problem zu vermeiden, erlauben Sie Windows, das TPM zu initialisieren, während Sie mit dem Unternehmensnetzwerk verbunden sind, und Sie können einen Domänencontroller kontaktieren.

Systeme mit mehreren TPMs

Einige Systeme verfügen möglicherweise über mehrere TPMs, und das aktive TPM kann in UEFI umgeschaltet werden. Windows unterstützt diese Konfiguration nicht. Wenn Sie TPMs wechseln, erkennt Windows das neue TPM möglicherweise nicht ordnungsgemäß und kann damit nicht regulär interagieren. Wenn Sie tpMs wechseln möchten, sollten Sie auf das neue TPM umschalten, es deaktivieren und Windows neu installieren. Weitere Informationen finden Sie unter Löschen aller Schlüssel aus dem TPM.

Beispielsweise führt das Umschalten von TPMs dazu, dass BitLocker in den Wiederherstellungsmodus wechselt. Es wird dringend empfohlen, auf Systemen mit zwei TPMs ein TPM für die Verwendung auszuwählen und die Auswahl nicht zu ändern.

Löschen aller Schlüssel aus dem TPM

Sie können die Windows Defender Security Center-App verwenden, um das TPM als Problembehandlungsschritt oder als letzte Vorbereitung vor einer Neuinstallation eines neuen Betriebssystems zu löschen. Durch die Vorbereitung auf eine Neuinstallation auf diese Weise wird sichergestellt, dass das neue Betriebssystem alle TPM-basierten Funktionen, die es enthält, wie zum Beispiel den Nachweis, vollständig bereitstellen kann. Selbst wenn das TPM vor der Installation eines neuen Betriebssystems nicht gelöscht wird, funktionieren die meisten TPM-Funktionen wahrscheinlich ordnungsgemäß.

Durch Löschen des TPM wird es in einen nicht zugewiesenen Zustand zurückgesetzt. Nachdem Sie das TPM gelöscht haben, initialisiert das Windows-Betriebssystem es automatisch erneut und übernimmt den Besitz erneut.

Warnung

Das Löschen des TPM kann zu Datenverlusten führen. Weitere Informationen finden Sie im nächsten Abschnitt "Vorsichtsmaßnahmen vor dem Löschen des TPM".

Vorsichtsmaßnahmen vor dem Löschen des TPM

Das Löschen des TPM kann zu Datenverlusten führen. Um sich vor solchen Verlusten zu schützen, überprüfen Sie die folgenden Vorsichtsmaßnahmen:

• Das Löschen des TPM führt dazu, dass Sie alle erstellten Schlüssel verlieren, die dem TPM zugeordnet sind, und Daten, die durch diese Schlüssel geschützt sind, z. B. eine virtuelle intelligente Karte oder eine Anmelde-PIN. Stellen Sie sicher, dass Sie über eine Sicherungs- und Wiederherstellungsmethode für alle Daten verfügen, die durch das TPM geschützt oder verschlüsselt sind.
• Löschen Sie das TPM nicht auf einem Gerät, das Sie nicht besitzen, z. B. einem Geschäfts-, Schul- oder Uni-PC, ohne von Ihrem IT-Administrator dazu aufgefordert zu werden.
• Wenn Sie TPM-Vorgänge für Windows 11 vorübergehend anhalten möchten, können Sie das TPM deaktivieren. Weitere Informationen finden Sie unter Deaktivieren des TPM.
• Verwenden Sie immer Funktionen im Betriebssystem (zum Beispiel TPM.msc), um das TPM zu löschen. Löschen Sie das TPM nicht direkt aus der UEFI.
• Da Ihre TPM-Sicherheitshardware ein physischer Bestandteil Ihres Computers ist, sollten Sie vor dem Löschen des TPM die Handbücher oder Anweisungen lesen, die mit Ihrem Computer geliefert wurden, oder die Website des Herstellers durchsuchen.

Die Mitgliedschaft in der lokalen Administratorgruppe oder einer entsprechenden Gruppe ist das Minimum, das erforderlich ist, um dieses Verfahren abzuschließen.

Um das TPM zu löschen

1. Öffnen Sie die Windows Defender Security Center-App.
2. Wählen Sie Gerätesicherheit aus.
3. Wählen Sie Details des Sicherheitsprozessors aus.
4. Wählen Sie Problembehandlung des Sicherheitsprozessors aus.
5. Wählen Sie TPM löschen aus.
   • Sie werden aufgefordert, den Computer neu zu starten. Während des Neustarts werden Sie möglicherweise von der UEFI aufgefordert, eine Schaltfläche zu drücken, um zu bestätigen, dass Sie das TPM löschen möchten.
   • Nach dem Neustart des Geräts wird Ihr TPM automatisch für die Verwendung durch Windows vorbereitet.

Aktivieren oder Deaktivieren des TPM

Normalerweise ist das TPM im Rahmen des TPM-Initialisierungsprozesses aktiviert. Normalerweise müssen Sie das TPM nicht aktivieren oder deaktivieren. Bei Bedarf können Sie dies jedoch mithilfe des TPM-MMC tun.

Aktivieren des TPM

Wenn Sie das TPM verwenden möchten, nachdem Sie es deaktiviert haben, können Sie das TPM mit dem folgenden Verfahren aktivieren.

1. Öffnen Sie das TPM MMC (tpm.msc).
2. Wählen Sie im AktionsbereichTPM aktivieren aus, um die Seite TPM-Sicherheitshardware aktivieren anzuzeigen. Lesen Sie die Anweisungen auf dieser Seite.
3. Wählen Sie Herunterfahren (oder Neu starten aus) und folgen Sie dann den UEFI-Bildschirmaufforderungen.

Nachdem das Gerät neu gestartet wurde, aber bevor Sie sich bei Windows anmelden, werden Sie aufgefordert, die Neukonfiguration des TPM zu akzeptieren. Die Annahme stellt sicher, dass der Benutzer physischen Zugriff auf den Computer hat und dass Schadsoftware nicht versucht, Änderungen am TPM vorzunehmen.

Deaktivieren des TPM

Wenn Sie die vom TPM bereitgestellten Dienste nicht mehr verwenden möchten, können Sie die TPM-MMC verwenden, um das TPM zu deaktivieren.

1. Öffnen Sie die TPM-MMC (tpm.msc).
2. Wählen Sie im AktionsbereichTPM deaktivieren aus, um die Seite TPM-Sicherheitshardware deaktivieren-Seite anzuzeigen.
3. Wählen Sie im Dialogfeld TPM-Sicherheitshardware deaktivieren eine Methode aus, um Ihr Besitzerkennwort einzugeben und das TPM zu deaktivieren:
   • Wenn Sie Ihr TPM-Besitzerkennwort auf einem Wechselmedium gespeichert haben, fügen Sie es ein, und wählen Sie dann Ich habe die Besitzerkennwortdatei aus. Wählen Sie im Dialogfeld Sicherungsdatei mit dem TPM-Besitzerkennwort auswählendie Option Durchsuchen aus, um die TPM-Datei zu suchen, die auf Ihrem Wechselmediengerät gespeichert ist. Wählen Sie Öffnen und dann TPM deaktivieren aus.
   • Wenn Sie nicht über das Wechselmediengerät mit Ihrem gespeicherten TPM-Besitzerkennwort verfügen, wählen Sie Ich möchte das Kennwort eingeben aus. Geben Sie im Dialogfeld TPM-Besitzerkennwort eingeben Ihr Kennwort ein (einschließlich Bindestrichen), und wählen Sie dann TPM deaktivieren aus.
   • Wenn Sie Ihr TPM-Besitzerkennwort nicht gespeichert haben oder es nicht mehr kennen, wählen Sie Ich habe das TPM-Besitzerkennwort nicht aus, und befolgen Sie die Anweisungen im Dialogfeld und den nachfolgenden UEFI-Bildschirmen, um das TPM ohne Eingabe des Kennworts zu deaktivieren.

Verwenden der TPM-Cmdlets

Sie können das TPM mit Windows PowerShell verwalten. Ausführliche Informationen finden Sie unter TPM-Cmdlets in Windows PowerShell.