[English]Gibt es ein Problem mit dem Trusted Platform Module 2.0 unter Windows 10 Version 1903? Mir liegen Berichte vor, dass TPM im Geräte-Manager den Fehlercode 10 auslöst. Dann arbeitet Bitlocker natürlich nicht mehr.
Anzeige
Hintergrund: Bitlocker und TPM
Zur Festplattenverschlüsselung unter Windows kann Microsofts Bitlocker eingesetzt werden. Diese Funktion ist ja ab der Pro-Version des Betriebssystems an Bord. Bitlocker hat dabei die Möglichkeit, die Verschlüsselung mit oder ohne Trusted Platform Module 2.0 durchzuführen.
Fehlt ein TPM-Modul, muss eine PIN zum Entschlüsseln der Bitlocker-verschlüsselten Dateien angegeben werden. Ist ein Trusted Platform Module 2.0 in Form eines Chips auf dem Mainboard vorhanden, kann Bitlocker dieses zur Authentifizierung verwenden. Die verschlüsselten Datenträger sind dann per TPM an diese Hardware gebunden.
Probleme mit dem TPM-Chip in Windows 10 V1903
Bitlocker und das Trusted Platform Module 2.0 sind immer wieder für Probleme unter Windows gut (siehe Links auf andere Beiträge am Artikelende). Nun hat mir Blog-Leser Andreas E. (danke dafür) über eine private Nachricht auf Facebook auf ein Problem mit Bitlocker in Verbindung mit TPM 2.0 und Windows 10 Mai 2019 Update (Version 1903) hingewiesen. Er selbst sowie Kollegen stellen bei diversen Rechnern mit Windows 10 Version 1903 Probleme mit TPM fest.
Anzeige
Das Trusted Platform Module 2.0 kann nicht gestartet werden. Im Geräte-Manager findet man dann die in obigem Screenshot gezeigte Fehlermeldung.
Das Gerät kann nicht gestartet werden. (Code 10)
(Vorgang fehlgeschlagen)
Der Vorgang konnte nicht durchgeführt werden.
Kann das Gerät (TPM 2.0) nicht gestartet werden, der Geräte-Manager meldet den Fehler 10, fällt natürlich der TPM-Protector für Bitlocker weg. Dann wird Bitlocker angehalten – und man kann nicht mehr auf die verschlüsselten Informationen zugreifen bzw. Bitlocker mit TPM verwenden. Andreas schreibt dazu:
Und der Schutz wird angehalten
Man findet dazu aber sehr wenig Infos
Vielleicht mal eine Recherche wert
Das ist die Information, die mir bisher vorliegt. Eine kurze Suche im Internet zeigt aber, dass Bitlocker und TPM keinesfalls 'fool proof' sind, sondern gerne mal Ärger bereiten. Dell hat einen längeren Artikel So beheben Sie häufig auftretende Problemen mit TPM und BitLocker zu diversen Fehlern veröffentlicht (man beachte den Terminus 'häufig' im Artikeltitel).
Ob es Probleme mit einer TMP 2.0-Firmware-Aktualisierung gibt, wie hier von Microsoft beschrieben, kann ich nicht sagen.
Was findet man zu TPM Code 10?
Geht man gezielt nach TPM 2.0 und dem Fehlercode 10 im Internet auf die Suche, gibt es einige Treffer.
Virenscanner und Filtertreiber
Im Technet gibt es diesen Forenthread, der sich mit dem Code 10 bei TPM 2.0 beschäftigt. Dort war möglicherweise das Problem, dass (ich vermute ein Fremdvirenscanner) die Einträge für UpperFilters und LowerFilters mit eigenen Modulen versehen wurden. Die scheinen dann TPM-Probleme bereitet zu haben.
Allerdings kann man die Filtertreiber nicht so einfach aus der Registrierung lösche – denn das System bootete nicht mehr. Der Betroffene musste Windows 10 V1809 neu installieren – und dann wurde der TPM 2.0-Chip im Geräte-Manager sauber erkannt.
Irgendwo in Foren ist mir der Hinweis untergekommen, dass immer der Windows-eigene TPM-Treiber – nicht jedoch der OEM-TMP-Treiber zu verwenden ist (hier wird es auch erwähnt). Ich habe auch die Information (z.B. hier) gefunden, dass der UEFI-Boot-Modus einen Einfluss haben kann.
Konflikt mit anderer Hardware?
In diesem HP-Forenbeitrag beschreibt ein Nutzer ebenfalls das Fehlerbild, dass das TPM 2.0-Gerät im Geräte-Manager den Code 10 anzeigt. Verwendet wird Microsoft Windows 10, wobei keine Versionsangabe gemacht wird (anhand des Posts kann es maximal Windows 10 V1803 gewesen sein).
Der Poster berichtet aber gleichzeitig von Problemen mit der Windows 10 Hello-Anmeldung und einem Fingerabdruck-Sensor. Was ich aus diesem (ungelösten Thread) mitgenommen habe, ist auf folgendes zu achten:
- BIOS und oder UEFI müssen auf dem neuesten Stand sein, um den TPM 2.0-Chip sauber zu unterstützen.
- Es muss ein passender Chipsatz-Treiber über Windows installiert sein, damit alle Geräte sauber erkannt werden.
Der Chipsatz-Treiber sollte zwar durch Windows 10 mitgeliefert werden. Wenn es dort aber Probleme gibt, kann man ggf. schauen, ob der OEM da etwas aktualisiertes anbietet.
In diesem Zusammenhang ist mir auch dieser Blog-Post unter die Augen gekommen. Dort ging es darum, dass ein Audio-Gerät unter Windows 10 V1709 den Fehlercode 10 warf. Dort gab es aber wohl das Folgeproblem, dass der Bitlocker DMA-Schutz auch nicht mehr funktionierte. Der Fehler wurde durch ein kumulatives Update für Windows 10 gelöst und danach funktionierte auch der Direct Memory Access (DMA) Schutz bei Bitlocker wieder.
Ich habe noch einen Kommentar zu diesem Beitrag gefunden, in dem jemand behauptet, dass Windows 10 V1903 das 'TPM aushebelt' – aber Details bleibt der Nutzer schuldig.
An dieser Stelle die Frage: Gibt es weitere Betroffene, die diesen Effekt feststellen? Hat jemand vielleicht sogar eine Ursache festgestellt und kennt einen Fix?
Ähnliche Artikel:
Windows: Angriff auf Bitlocker per TPM
Windows 10: Bitlocker verschlüsselt automatisch
Windows 10: Wichtiger Secure Boot/Bitlocker Bug-Fix
Surface Pro 3: Schwachstelle im TPM-Chip, updaten!
Windows 10 V1803: Fix für Bitlocker-Bug im November 2018?
Intel legt Code für die TPM2-Unterstützung offen
Sicherheit: Angriff auf TPM und Intel ME-Dump
Per Intel AMT am BIOS-/Bitlocker-Passwort umgehen
Windows 10 Version 1607: Hyper-V/Bitlocker/DeviceGuard als Upgrade-Stopper
Heimnetzgruppe funktioniert bei TPM nicht mehr
Pre-Boot-Authentifizierung: Verschlüsselung ohne PBA unzureichend?
Anzeige
Hallo Herr Born,
Das Problem mit Fehlercode 10 und TPM ist mir in einem Kundenprojekt aufgefallen. Dort war Windows 10 Enterprise 1809 im Einsatz und der Device Guard wird aktiviert.
Und war wurde in den Gruppenrichtlinien im Active Directory die Policy „Turn on Virtualization Based Security" aktiviert und dort die Einstellung „Secure Launch Configuration" auf Enabled gesetzt. Relevant für den Fehler war nur diese genannte Einstellung.
Gesetzt wird diese Einstellung wenn man Microsoft Security Baselines für Windows 10 1809 verwendet.
Wird Secure Launch Configuration auf Disabled gesetzt, wird der TPM Chip wieder normal gestartet. Es hat sich herausgestellt, dass wohl die eingesetzte CPU nicht die entsprechende Funktion unterstützt. Das ist erst ab Intel Coffelake und Whiskeylake Generation der Fall.
Hier der Link bei Microsoft: https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-system-guard/system-guard-secure-launch-and-smm-protection#requirements-met-by-system-guard-enabled-machines
Ich hoffe das hilft weiter. Es wird aber bestimmt noch einen anderen Grund geben. Die wenigsten werden wohl diese Sicherheitsfunktionen verwenden.
mit besten Grüßen,
Simon E.
System Guard ist ein heißer Kandidat. Der Fehler an sich scheint ja etwas mit dem Zugriff auf bestimmte Speicherbereiche zu tun zu haben. Einen Client hab ich beobachtet als der Fehler auftrat. Dort gab es einen Bluescreen mit einer Memory Management Fehlermeldung. System Guard isoliert Speicherbereiche über die mit dem UEFI kommuniziert wird evtl. ist hier auch das Problem. Schuld wird dann vermutlich das UEFI sein, das genau die Dinge tut die Systemguard ja verhindern soll, nämlich in Speicherbereichen rumpfuschen wo es nix verloren hat.
So, System Guard hat definitiv was damit zu tun. Spannend ist dass der TPM erst weggeflogen ist, als ich auch Application Guard und Sandbox aktiviert habe. Kann auch Zufall sein. Auf dem einen Rechner hat das deaktivieren der System Guard GPO auf jeden Fall den TPM wieder normal starten lassen.
Moin.
Wäre schön, wenn Andreas E. nachliefert, um welche TPM Module (Intel/Infineon,…) es sich bei ihm handelt. Ich konnte das hier noch nicht feststellen (Dutzende Geräte mit TPM 2.0 und Infineon TPM 2.0 auf Win10 1903 samt Bitlocker).
An Günter: Es besteht ein großer Unterschied zwischen "dann wird Bitlocker angehalten" und "und man kann nicht mehr auf die verschlüsselten Informationen zugreifen". Ersteres ist nicht schön, aber die Daten sind zugreifbar. Letzteres kann ich mir ehrlich gesagt nicht vorstellen, denn das TPM gibt den Schlüssel ja vor dem Start von Windows preis, somit spielt es für die Zugreifbarkeit der Daten keine Rolle, ob das TPM unter Windows ein Problem hat.
Die TPMs waren alle nicht-diskrete also das was das UEFI bereit stellt.
Ja Bitlocker wird nur angehalten, so schlau ist Windows zum Glück.
Interessant. Wir nutzen nur diskrete TPMs, vielleicht deshalb.
Wenn ich Zeit finde, teste ich einmal mit Intel PTT.
Habe auf die Schnelle mal einen Client gegriffen und das TPM-Modul entfernt und Intel PTT aktiviert – auch damit keine Probleme. Das war ein Asrock H170 Pro4 (Bios 7.3), falls es interessiert.
Hallo! Wir haben weder bei HP noch bei Dell Probleme mit TPM 2.0. Der TPM spielt bei BitLocker 'nur' die Rolle einer Schlüsselschutzvorrichtung. Wenn das nicht mehr funktioniert, muss man die Daten mit einer anderen entschlüsseln. Dazu kann der Wiederherstellungsschlüssel oder – wenn eingerichtet – der Recovery Agent verwendet werden. Wir haben noch nie Daten wegen BitLocker verloren, obwohl TPM-Chips defekt wurden. Ein wahnsinniger Aufwand ist es immer. Wenn bei uns ein Rechner neu aufgesetzt wird, werden immer das aktuellste BIOS, die aktuellsten Treiber vom Hersteller und TPM-Updates installiert.
Richtig, wobei die Daten mit Eingabe des Passworts nicht entschlüsselt werden, sondern die Partitionen wird "geöffnet" für den Zugriff. Die Daten sind weiterhin verschlüsselt, solange bis man sie mit Botlocker explizit entschlüsselt.
Deswegen gibt es auch kein "Schutz angehalten" oder einemn möglichen Daten Verlust, wenn man gem. Deployment regeln das ganze ausgerollt.
Bspw. speichern des Womiederherstellungspassworts im AD oder Netshare, etc.
Ganz richtig, danke! Die Daten werden nicht entschlüsselt, wie ich geschrieben habe. Man muss bei der Thematik mit den Begriffen wirklich vorsichtig sein. Aber wenn man das mit den Schlüsselschutzvorrichtungen mal halbwegs verstanden hat, ist das nicht so schwierig.
Siehe hier https://docs.microsoft.com/de-at/windows/security/information-protection/tpm/tpm-recommendations
und hier
https://www.apress.com/us/book/9781430265832
Bei mir in Win 10 Pro Version 1803 sehe ich unter Einstellungen > System > Info > Systemintegrität, dass ein Konflikt mit dem TPM Modul Treiber 2.0 vorliegt. (Das Gerät kann nicht gestartet werden) Deswegen schlägt bei mir seit zig Versuchen vermutlich auch das Upgrade auf Version 1903 fehl. Allerdings habe ich den merkwürdigen Fall, dass das TPM bereits unter "Sicherheitsgeräte" im Gerätemanager aufgelistet ist, obwohl nicht der Windows Treiber, sondern der OEM Treiber verwendet wird. Ich erhalte ständig Meldungen, dass der Support für meine Windows Version im November 2019 eingestellt wird, das Upgrade ist aber nicht möglich und wird mit dem Rollback auf 1803 beendet. Auch das Löschen des Gerätes TPM 2.0 verhindert nicht, dass das Upgrade scheitert. Das TPM 2.0 wird im Rahmen des Bootvorgangs und Initialisierungsprozesses neu aufgespielt.
Ich habe auch ein sehr merkwürdiges Bitlocker-Problem, welches ich noch nirgendwo im Netz gefunden habe: Ich kann bei einer mit Bitlocker verschlüsselten Festplatte das Entsperr-Passwort eingeben, dieses wird auch akzeptiert, danach komme ich aber nicht an die Daten der Festplatte: Es erscheint nur eine Windows-Fehlermeldung "Der Pfad ist nicht verfügbar. Auf E:\ kann nicht zugegriffen werden. Falscher Paramater." – Wenn ich den Rechner (Win 10 Pro 1903) dann mehrere Stunden einfach nur laufen lasse, geht es dann irgendwann mal, sagen wir mal nach 6 Stunden kann ich dann plötzlich ganz normal auf die Partition zugreifen als wäre nie was gewesen. – Wenn ich dann Bitlocker wieder sperre und versuche zu entsperren dasselbe Spiel. – Damit lebe ich nun schon einige Monate. – Ich meine mich zu erinnern vor Monaten sogar schonmal die gesamte Festplatte gelöscht, den TPM Chip gelöscht und dann alles neu mit Bitlocker verschlüsselt zu haben, aber danach dasselbe Problem mit der "Pfad nicht verfügbar"-Meldung… Wirklich ein sehr kurioses Bitlocker Problem, zumal ich über die Google-Recherche auch bisher niemand anderen mit einem solchen Problem gefunden habe. (Mainboard BIOS (Asus ROG Zenith Extreme) ist aktuell und Firmware des Asus/Infineon TPM 2.0 Chips ebenfalls. Keine Fehler im Gerätemanager.)
Zumal gab es Zeiten, an dem ich mit genau diesem Rechner an dem seit einigen Monaten dieses Problem vorherrscht ganz normal mit Bitlocker-Laufwerken arbeiten konnte. – Das betroffene Laufwerk war früher mal eine WD RED 3TB, wurde aber irgendwann mal durch eine Seagte Barracuda ST4000DM004 ersetzt. – Bin mir nicht sicher, aber vielleicht habe ich das Problem seitdem ich auf die Seagate gewechselt bin. – Ich müsste vielleicht nochmal einige Stunden investieren und wieder eine WD RED einbauen und verschlüsseln um zu gucken, ob es das Problem nur mit der Seagate gibt… – Ich wollte zumindest mal diese Erfahrung im Internet publik machen, vielleicht finden sich über diesen Weg ja noch weitere Betroffene…
So, ich habe gestern nochmal eine andere Festplatte (Western Digital) eingebaut und frisch Bitlocker verschlüsselt: Das beschriebene Problem samt Fehlermeldung bleibt exakt dasselbe: Nach dem ansich erfolgreichen Entsperren mt Bitlocker-Passwort muss ich mehrere Stunden warten bis ich auch tatsächlich auf die freigeschaltete Bitlocker-Platte zugreifen kann, vorher immer nur die "Der Pfad ist nicht verfügbar."-Fehlermeldung. (Ich habe übrigens auch bereits mehrfach mein Virenschutzprogramm, Bitdefender Total Security 2020, komplett deaktiviert, was aber auch in Sachen dieses Bitlocker-Problems nichts bringt) – Keine Ahnung wo ich weiter auf Fehlersuche gehen sollte… – Im Windows Eventviewer taucht zu der Pfad nicht verfügbar Meldung kein Eintrag auf…