Compartir a través de

Descodificar registros de Arranque medido para realizar un seguimiento de los cambios de PCR

Los registros de configuración de plataforma (PCR) son ubicaciones de memoria en el módulo de plataforma segura (TPM). BitLocker y sus tecnologías relacionadas dependen de configuraciones de PCR específicas. Además, un cambio específico en las PCR puede hacer que un dispositivo o un equipo entren en el modo de recuperación de BitLocker.

Al realizar un seguimiento de los cambios en las PCR e identificar cuándo cambiaron, se puede obtener información sobre los problemas que se producen o saber por qué un dispositivo o equipo entró en modo de recuperación de BitLocker. Los registros de arranque medido registran cambios de PCR y otra información. Estos registros se encuentran en la carpeta *C:\Windows\Logs\MeasuredBoot*.

En este artículo se describen las herramientas que se pueden usar para descodificar estos registros:

  • TBSLogGenerator.exe
  • PCPTool.exe

Para obtener más información sobre el arranque medido y las PCR, consulte los siguientes artículos:

Uso de TBSLogGenerator.exe para descodificar los registros de arranque medidos

Use TBSLogGenerator.exe para descodificar los registros de arranque medidos recopilados de Windows. TBSLogGenerator.exe se pueden instalar en los siguientes sistemas:

  • Un equipo que ejecuta Windows Server 2016 o versiones posteriores y que tiene habilitado un TPM
  • Una máquina virtual gen 2 que se ejecuta en Hyper-V que ejecuta Windows Server 2016 o posterior y usa un TPM virtual.

Para instalar la herramienta, siga estos pasos:

  1. Descargue el Kit de laboratorio de hardware de Windows del Kit de laboratorio de hardware de Windows.

  2. Después de descargarlo, ejecute el archivo de instalación desde la ruta de acceso donde se descargó la instalación.

  3. Acepte la ruta de instalación predeterminada.

    Captura de pantalla de la página Especificar ubicación del Asistente para la instalación del Kit de laboratorio de hardware de Windows.

  4. En Seleccionar las características que quiere instalar, seleccione Kit de laboratorio de hardware de Windows: Controlador + Studio.

    Captura de pantalla de la página Seleccionar características del Asistente para la instalación del Kit de hardware de Windows.

  5. Finalice la instalación.

Para usar TBSLogGenerator.exe, siga estos pasos:

  1. Una vez finalizada la instalación, abra una ventana del símbolo del sistema con privilegios elevados y vaya a la carpeta siguiente:

    C:\Archivos de programa (x86)\Windows Kits\10\Hardware Lab Kit\Tests\amd64\NTTEST\BASETEST\ngscb

    Esta carpeta contiene el archivo TBSLogGenerator.exe .

    Captura de pantalla de las propiedades y la ubicación del archivo TBSLogGenerator.exe.

  2. Ejecute el siguiente comando:

    TBSLogGenerator.exe -LF <LogFolderName>\<LogFileName>.log > <DestinationFolderName>\<DecodedFileName>.txt

    donde las variables representan los siguientes valores:

    • <LogFolderName> = el nombre de la carpeta que contiene el archivo que se va a descodificar
    • <LogFileName> = el nombre del archivo que se va a descodificar
    • <DestinationFolderName> = el nombre de la carpeta para el archivo de texto descodificado
    • <DecodedFileName> = el nombre del archivo de texto descodificado

    Por ejemplo, en la ilustración siguiente se muestran los registros de arranque medidos que se recopilaron de un equipo con Windows 10 y se colocaron en la carpeta C:\MeasuredBoot\ . La ilustración también muestra una ventana del símbolo del sistema y el comando para descodificar el archivo 0000000005-0000000000.log :

    TBSLogGenerator.exe -LF C:\MeasuredBoot\0000000005-0000000000.log > C:\MeasuredBoot\0000000005-0000000000.txt

    Captura de pantalla de la ventana del símbolo del sistema que muestra un ejemplo de cómo usar TBSLogGenerator.

    El comando genera un archivo de texto que usa el nombre especificado. En este ejemplo, el archivo es 0000000005-0000000000.txt. El archivo se encuentra en la misma carpeta que el archivo .log original.

    Captura de pantalla de la ventana del Explorador de Windows que muestra el archivo de texto que TBSLogGenerator genera.

    El contenido de este archivo de texto es similar al texto siguiente:

    Captura de pantalla del contenido del archivo de texto, como se muestra en el Bloc de notas.

    Para encontrar la información de PCR, vaya al final del archivo.

    Captura de pantalla del archivo de texto que muestra la información de PCR al final.

Uso de PCPTool.exe para descodificar los registros de arranque medidos

Nota:

PCPTool.exe es una solución de Visual Studio, pero el ejecutable debe compilarse para poder usar la herramienta.

PCPTool.exe forma parte del kit de herramientas de proveedores criptográficos de la plataforma TPM. La herramienta descodifica un archivo de registro de arranque medido y lo convierte en un archivo XML.

Para descargar e instalar PCPTool.exe, vaya a la página Kit de herramientas, seleccione Descargar y siga las instrucciones.

Para descodificar un registro, ejecute el siguiente comando:

PCPTool.exe decodelog <LogFolderPath>\<LogFileName>.log > <DestinationFolderName>\<DecodedFileName>.xml

donde las variables representan los siguientes valores:

  • <LogFolderPath> = la ruta de acceso a la carpeta que contiene el archivo que se va a descodificar
  • <LogFileName> = el nombre del archivo que se va a descodificar
  • <DestinationFolderName> = el nombre de la carpeta para el archivo de texto descodificado
  • <DecodedFileName> = el nombre del archivo de texto descodificado

El contenido del archivo XML será similar al siguiente XML:

Captura de pantalla de la ventana del símbolo del sistema que muestra un ejemplo de cómo usar PCPTool.