Evaluación de BitLocker y TPMs

  • 2 minutos

BitLocker usa un chip del módulo de plataforma segura (TPM) para comprobar la integridad del proceso de inicio mediante:

  • Proporcionar un método para comprobar que se ha mantenido la integridad de los archivos de arranque anticipado y para ayudar a garantizar que no se ha producido ninguna modificación negativa de esos archivos, como con virus del sector de arranque o kits raíz.
  • Mejora de la protección para mitigar los ataques basados en software sin conexión. Cualquier software alternativo que pueda iniciar el sistema no tiene acceso a las claves de descifrado del volumen del sistema operativo Windows.
  • Bloquear el sistema cuando se manipula. Si alguien ha alterado los archivos supervisados, el sistema no se inicia. Esto alerta al usuario de la alteración porque el sistema no se inicia como de costumbre. En caso de que se produzca el bloqueo del sistema, BitLocker ofrece un proceso de recuperación sencillo.

Junto con el TPM, BitLocker comprueba la integridad de los componentes de inicio temprano. Esto ayuda a evitar ataques sin conexión adicionales, como intentos de insertar código malintencionado en estos componentes. Esta funcionalidad es importante porque los componentes de la primera parte del proceso de inicio deben estar disponibles en un formato sin cifrar para que el equipo pueda iniciarse.

Nota:

Es posible que tenga que habilitar la funcionalidad de TPM en el BIOS del equipo.

Si un atacante puede obtener acceso a los componentes del proceso de inicio, puede cambiar el código de estos componentes y obtener acceso al equipo aunque los datos del disco estén cifrados. Una vez que el atacante obtiene acceso a información confidencial, como claves de BitLocker o contraseñas de usuario, puede eludir BitLocker y otras protecciones de seguridad de Windows.

BitLocker no requiere un TPM. Sin embargo, solo un equipo con un TPM puede proporcionar la seguridad adicional de la comprobación de la integridad del sistema de preinicio. Para determinar si un equipo tiene un chip TPM versión 1.2, siga estos pasos:

  1. Abra Panel de control, seleccione Sistema y seguridad y, a continuación, seleccione Cifrado de unidad BitLocker.
  2. En la esquina inferior izquierda, seleccione Administración de TPM. Se abre la administración de TPM en la consola del equipo local . Si el equipo no tiene el chip TPM 1.2, aparece el mensaje "Tpm compatible no se encuentra".

Nota:

En los equipos que no tienen TPM 1.2, todavía puede usar BitLocker para cifrar el volumen del sistema operativo Windows. Sin embargo, esta implementación no incluye un TPM y requiere que el usuario inserte una clave de inicio USB para iniciar el equipo o reanudarse desde la hibernación. Tampoco proporciona la comprobación de integridad del sistema de preinicio que BitLocker proporciona al trabajar con un TPM.