Configuración de directiva de grupo del TPM
En este tema se describen los servicios del módulo de plataforma segura (TPM) que se pueden controlar de forma centralizada mediante directiva de grupo configuración. La configuración de directiva de grupo para los servicios tpm se encuentra en Configuración> del equipoPlantillas> administrativas SystemTrusted Platform Module Services (Servicios de módulo de plataforma seguradel sistema>).
Configuración del nivel de información de autorización del propietario de TPM disponible para el sistema operativo
Importante
A partir de Windows 10 versión 1703, el valor predeterminado es 5. Este valor se implementa durante el aprovisionamiento para que otro componente de Windows pueda eliminarlo o asumir su propiedad, en función de la configuración del sistema. Para TPM 2.0, un valor de 5 significa mantener la autorización de bloqueo. Para TPM 1.2, significa descartar la autorización completa del propietario de TPM y conservar solo la autorización delegada.
Esta configuración de directiva configuró qué valores de autorización de TPM se almacenan en el registro del equipo local. Se requieren determinados valores de autorización para permitir que Windows realice ciertas acciones.
| Valor de TPM 1.2 | Valor de TPM 2.0 | Propósito | ¿Se mantiene en el nivel 0? | ¿Se mantiene en el nivel 2? | ¿Se mantiene en el nivel 4? |
|---|---|---|---|---|---|
| OwnerAuthAdmin | StorageOwnerAuth | Creación de SRK | No | Sí | Sí |
| OwnerAuthEndorsement | EndorsementAuth | Creación o uso de EK (solo 1.2: Creación de AIK) | No | Sí | Sí |
| OwnerAuthFull | LockoutAuth | Restablecer o cambiar la protección contra ataques del diccionario | No | No | Sí |
Hay tres configuraciones de autenticación de propietario de TPM administradas por el sistema operativo Windows. Puede elegir un valor de Full, Delegate o None.
Completo: esta configuración almacena la autorización completa del propietario de TPM, el blob de delegación administrativa de TPM y el blob de delegación de usuarios de TPM en el registro local. Con esta configuración, puede usar el TPM sin necesidad de almacenamiento remoto o externo del valor de autorización del propietario del TPM. Esta configuración es adecuada para escenarios que no requieren que restablezca la lógica de anti-martilleo de TPM o cambie el valor de autorización del propietario de TPM. Es posible que algunas aplicaciones basadas en TPM requieran que esta configuración se cambie antes de que se puedan usar características que dependen de la lógica contra el martillo de TPM. La autorización de propietario completo en TPM 1.2 es similar a la autorización de bloqueo en TPM 2.0. La autorización de propietario tiene un significado diferente para TPM 2.0.
Delegado: esta configuración almacena solo el blob de delegación administrativa de TPM y el blob de delegación de usuarios de TPM en el registro local. Esta configuración es adecuada para su uso con aplicaciones basadas en TPM que dependen de la lógica de anti-martillo de TPM. Esta es la configuración predeterminada en Windows anterior a la versión 1703.
Ninguno: esta configuración proporciona compatibilidad con sistemas operativos y aplicaciones anteriores. También puede usarlo en escenarios en los que la autorización del propietario de TPM no se puede almacenar localmente. El uso de esta configuración puede causar problemas con algunas aplicaciones basadas en TPM.
Nota
Si la configuración de autenticación de TPM administrada por el sistema operativo cambia de Completo a Delegado, se volverá a generar el valor de autorización de propietario de TPM completo y cualquier copia del valor de autorización de propietario de TPM establecido anteriormente no será válido.
Información del Registro
Clave del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\TPM DWORD: OSManagedAuthLevel
En la tabla siguiente se muestran los valores de autorización del propietario de TPM en el Registro.
| Datos de valor | Configuración |
|---|---|
| 0 | Ninguna |
| 2 | Delegado |
| 4 | Completo |
Si habilita esta configuración de directiva, el sistema operativo Windows almacenará la autorización del propietario de TPM en el registro del equipo local según la configuración de autenticación de TPM que elija.
En Windows 10 anteriores a la versión 1607, si deshabilita o no establece esta configuración de directiva y la opción Activar la copia de seguridad de TPM en Servicios de dominio de Active Directory directiva también está deshabilitada o no configurada, la configuración predeterminada es almacenar el valor de autorización de TPM completo en el registro local. Si esta directiva está deshabilitada o no está configurada y la opción Activar copia de seguridad de TPM en Servicios de dominio de Active Directory directiva está habilitada, solo la delegación administrativa y los blobs de delegación de usuarios se almacenan en el registro local.
Duración estándar del bloqueo de usuario
Esta configuración de directiva le permite administrar la duración en minutos para contar errores de autorización de usuario estándar para los comandos del Módulo de plataforma segura (TPM) que requieren autorización. Un error de autorización se produce cada vez que un usuario estándar envía un comando al TPM y recibe una respuesta de error que indica que se produjo un error de autorización. Se omiten los errores de autorización anteriores a la duración establecida. Si el número de comandos de TPM con un error de autorización dentro de la duración del bloqueo es igual a un umbral, se impide que un usuario estándar envíe comandos que requieran autorización al TPM.
El TPM está diseñado para protegerse contra ataques de adivinación de contraseñas al entrar en un modo de bloqueo de hardware cuando recibe demasiados comandos con un valor de autorización incorrecto. Cuando el TPM entra en un modo de bloqueo, es global para todos los usuarios (incluidos los administradores) y para las características de Windows, como el cifrado de unidad BitLocker.
Esta configuración ayuda a los administradores a evitar que el hardware de TPM entre en un modo de bloqueo al ralentizar la velocidad a la que los usuarios estándar pueden enviar comandos que requieren autorización al TPM.
Para cada usuario estándar, se aplican dos umbrales. Superar cualquiera de los umbrales impide que el usuario envíe un comando que requiera autorización al TPM. Use la siguiente configuración de directiva para establecer la duración del bloqueo:
- Umbral de bloqueo individual de usuario estándar: este valor es el número máximo de errores de autorización que puede tener cada usuario estándar antes de que el usuario no pueda enviar comandos que requieran autorización al TPM.
- Umbral de bloqueo total de usuario estándar: este valor es el número total máximo de errores de autorización que pueden tener todos los usuarios estándar antes de que todos los usuarios estándar no puedan enviar comandos que requieran autorización al TPM.
Un administrador con la contraseña de propietario de TPM puede restablecer completamente la lógica de bloqueo de hardware del TPM mediante el Windows Defender Security Center. Cada vez que un administrador restablece la lógica de bloqueo de hardware del TPM, se omiten todos los errores de autorización de TPM de usuario estándar anteriores. Esto permite a los usuarios estándar usar inmediatamente el TPM normalmente.
Si no configura esta configuración de directiva, se usa un valor predeterminado de 480 minutos (8 horas).
Umbral de bloqueo individual de usuario estándar
Esta configuración de directiva le permite administrar el número máximo de errores de autorización para cada usuario estándar para el módulo de plataforma segura (TPM). Este valor es el número máximo de errores de autorización que puede tener cada usuario estándar antes de que el usuario no pueda enviar comandos que requieran autorización al TPM. Si el número de errores de autorización para el usuario dentro de la duración establecida para la configuración de la directiva Duración de bloqueo de usuario estándar es igual a este valor, se impide que el usuario estándar envíe comandos que requieran autorización al módulo de plataforma segura (TPM).
Esta configuración ayuda a los administradores a evitar que el hardware de TPM entre en un modo de bloqueo al ralentizar la velocidad a la que los usuarios estándar pueden enviar comandos que requieren autorización al TPM.
Un error de autorización se produce cada vez que un usuario estándar envía un comando al TPM y recibe una respuesta de error que indica que se produjo un error de autorización. Se omiten los errores de autorización anteriores a la duración.
Un administrador con la contraseña de propietario de TPM puede restablecer completamente la lógica de bloqueo de hardware del TPM mediante el Windows Defender Security Center. Cada vez que un administrador restablece la lógica de bloqueo de hardware del TPM, se omiten todos los errores de autorización de TPM de usuario estándar anteriores. Esto permite a los usuarios estándar usar inmediatamente el TPM normalmente.
Si no configura esta configuración de directiva, se usa un valor predeterminado de 4. Un valor de cero significa que el sistema operativo no permitirá que los usuarios estándar envíen comandos al TPM, lo que podría provocar un error de autorización.
Umbral de bloqueo total de usuario estándar
Esta configuración de directiva le permite administrar el número máximo de errores de autorización para todos los usuarios estándar para el módulo de plataforma segura (TPM). Si el número total de errores de autorización para todos los usuarios estándar dentro de la duración establecida para la directiva Duración de bloqueo de usuario estándar es igual a este valor, se impide que todos los usuarios estándar envíen comandos que requieran autorización al Módulo de plataforma segura (TPM).
Esta configuración ayuda a los administradores a evitar que el hardware de TPM entre en un modo de bloqueo porque ralentiza la velocidad que los usuarios estándar pueden enviar comandos que requieren autorización al TPM.
Un error de autorización se produce cada vez que un usuario estándar envía un comando al TPM y recibe una respuesta de error que indica que se produjo un error de autorización. Se omiten los errores de autorización anteriores a la duración.
Un administrador con la contraseña de propietario de TPM puede restablecer completamente la lógica de bloqueo de hardware del TPM mediante el Windows Defender Security Center. Cada vez que un administrador restablece la lógica de bloqueo de hardware del TPM, se omiten todos los errores de autorización de TPM de usuario estándar anteriores. Esto permite a los usuarios estándar usar inmediatamente el TPM normalmente.
Si no configura esta configuración de directiva, se usa un valor predeterminado de 9. Un valor de cero significa que el sistema operativo no permitirá que los usuarios estándar envíen comandos al TPM, lo que podría provocar un error de autorización.
Configuración del sistema para usar la configuración de parámetros heredados de prevención de ataques de diccionario para TPM 2.0
Introducida en Windows 10, versión 1703, esta configuración de directiva configura el TPM para usar los parámetros de prevención de ataques de diccionario (umbral de bloqueo y tiempo de recuperación) en los valores que se usaron para Windows 10 versión 1607 y versiones posteriores.
Importante
La configuración de esta directiva solo surtirá efecto si:
- El TPM se preparó originalmente con una versión de Windows después de Windows 10 versión 1607
- El sistema tiene un TPM 2.0.
Nota
La habilitación de esta directiva solo surtirá efecto después de que se ejecute la tarea de mantenimiento de TPM (lo que suele ocurrir después de reiniciar el sistema). Una vez que esta directiva se ha habilitado en un sistema y ha surtido efecto (después de reiniciar el sistema), deshabilitarla no tendrá ningún impacto y el TPM del sistema permanecerá configurado mediante los parámetros heredados Dictionary Attack Prevention, independientemente del valor de esta directiva de grupo. Las únicas maneras de que la configuración deshabilitada de esta directiva surtan efecto en un sistema en el que se ha habilitado una vez son las siguientes:
- Deshabilite la directiva de grupo
- Borrar el TPM en el sistema
Configuración de directiva de grupo tpm en Seguridad de Windows
Puede cambiar lo que ven los usuarios sobre TPM en Seguridad de Windows. La configuración de directiva de grupo del área TPM de Seguridad de Windows se encuentra en Configuración> del equipoPlantillas> administrativasComponentes> de Windows Seguridad de Windows>Seguridad de dispositivos.
Deshabilitar el botón Borrar TPM
Si no desea que los usuarios puedan hacer clic en el botón Borrar TPM de Seguridad de Windows, puede deshabilitarlo con esta configuración de directiva de grupo. Seleccione Habilitado para que el botón Borrar TPM no esté disponible para su uso.
Ocultar la recomendación de actualización de firmware de TPM
Si no quiere que los usuarios vean la recomendación de actualizar el firmware de TPM, puede deshabilitarlo con esta configuración. Seleccione Habilitado para evitar que los usuarios vean una recomendación para actualizar el firmware de TPM cuando se detecte un firmware vulnerable.
Temas relacionados
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de