TPM密码保护需三步激活:一、BIOS/UEFI中启用TPM并设Owner密码;二、组策略启用“TPM和PIN启动保护”;三、PowerShell执行Initialize-Tpm、ConvertTo-SecureString及Enable-BitLocker绑定PIN与TPM。
如果您在 Windows 11 中尝试启用 TPM 密码保护功能,但系统未提供设置入口或提示“TPM 未就绪”“无法配置 PIN 或密码”,则可能是由于 TPM 芯片未启用、固件配置缺失或 BitLocker 策略限制所致。以下是激活 TPM 密码保护的具体方法:
一、在 BIOS/UEFI 中启用 TPM 并设置管理员密码
TPM 密码保护的前提是物理 TPM 芯片已通电并处于可用状态,且固件层允许设置所有权密码(Owner Password)。该密码由用户设定,用于授权后续所有 TPM 操作,包括绑定 BitLocker PIN 或密钥。
1、重启电脑,在开机自检画面出现时反复按 F2、Del 或 Esc(具体按键依主板品牌而定)进入 BIOS/UEFI 设置界面。
2、导航至 Security → Trusted Computing 或 Advanced → AMD fTPM / Intel PTT 子菜单。
3、将 TPM Device、fTPM 或 PTT 设置为 Enabled;若存在 Clear TPM 选项,请暂不操作,避免清除已有密钥。
4、查找 TPM Owner Password 或 Set TPM Password 选项,输入并确认一个至少 8 位、含大小写字母与数字的强密码。
5、保存设置并退出,系统重启后运行 tpm.msc 验证状态是否显示为“TPM 已准备好使用”。
二、通过组策略启用 TPM PIN 登录支持
Windows 11 默认不启用 TPM PIN 作为登录凭证,需通过组策略显式开启“TPM 与 PIN 双重启动保护”机制,使系统在启动阶段即调用 TPM 验证用户 PIN,防止离线暴力破解。
1、按下 Win + R,输入 gpedit.msc 并回车,以管理员权限打开本地组策略编辑器。
2、依次展开路径:计算机配置 → 管理模板 → Windows 组件 → BitLocker 驱动器加密 → 操作系统驱动器。
3、在右侧双击 需要额外的验证才能启动,将其设为 已启用。
4、点击“选项”区域,勾选 启用 TPM 和 PIN 启动保护,并在下方文本框中输入您希望强制使用的最小 PIN 长度(建议 6 位以上纯数字)。
5、点击“确定”保存,随后执行 gpupdate /force 刷新策略,重启后进入 BitLocker 设置页面即可看到 PIN 输入选项。
三、使用 PowerShell 配置 TPM PIN 并绑定 BitLocker
该方法绕过图形界面限制,直接调用 Windows 安全子系统完成 TPM PIN 注册与驱动器加密绑定,适用于已启用 TPM 且策略已配置的环境,可确保 PIN 与 TPM 硬件密钥严格绑定。
1、右键点击“开始”按钮,选择 Windows 终端(管理员) 或 PowerShell(管理员)。
2、执行命令启用 TPM 访问权限:Initialize-Tpm,若提示已初始化则跳过。
3、输入以下命令生成并注册 PIN:$Pin = ConvertTo-SecureString "123456" -AsPlainText -Force(请将 123456 替换为您的自定义 PIN)。
4、执行加密绑定命令:Enable-BitLocker -MountPoint "C:" -EncryptionMethod Aes256 -Pin $Pin -TPMAndPinProtector -UsedSpaceOnly。
5、系统将提示保存恢复密钥,必须选择 保存到 Microsoft 账户 或 另存为文件至 USB 设备,不可仅存于 C 盘。
