Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo para profesionales de TI se describe cómo administrar la característica de bloqueo del módulo de plataforma segura (TPM) en Windows.
Acerca del bloqueo de TPM
El TPM se bloquea para evitar alteraciones o ataques malintencionados. El bloqueo de TPM suele durar una cantidad variable de tiempo o hasta que el equipo está apagado. Mientras el TPM está en modo de bloqueo, normalmente devuelve un mensaje de error cuando recibe comandos que requieren un valor de autorización. Una excepción es que el TPM siempre permite al propietario al menos un intento de restablecer el bloqueo de TPM cuando está en modo de bloqueo.
Windows toma la propiedad del TPM en el primer arranque. De forma predeterminada, Windows no conserva la contraseña de propietario del TPM.
En algunos casos, las claves de cifrado están protegidas por un TPM al requerir un valor de autorización válido para acceder a la clave. Un ejemplo común es configurar el cifrado de unidad bitlocker para usar el protector de clave de PIN y TPM. En este escenario, el usuario debe escribir el PIN correcto durante el proceso de arranque para acceder a la clave de cifrado de volumen protegida por el TPM. Para evitar que usuarios malintencionados o software detecten valores de autorización, los TPMs implementan la lógica de protección. La lógica de protección está diseñada para ralentizar o detener las respuestas del TPM si detecta que una entidad podría intentar adivinar los valores de autorización.
TPM 2.0
Los dispositivos TPM 2.0 tienen un comportamiento de bloqueo estandarizado que Windows configura. Los dispositivos TPM 2.0 tienen un umbral de recuento máximo y un tiempo de recuperación. Windows configura el recuento máximo en 32 y el tiempo de recuperación en 10 minutos. Esta configuración significa que cada 10 minutos continuos de funcionamiento encendido sin un evento hace que el contador disminuya en 1.
Si el TPM está en modo de bloqueo o responde lentamente a los comandos, puede restablecer el valor de bloqueo mediante los procedimientos siguientes. El restablecimiento del bloqueo de TPM requiere la autorización del propietario del TPM. Este valor ya no se conserva de forma predeterminada a partir de Windows 10 versión 1607 y posteriores.
TPM 1.2
Los estándares del sector del grupo de informática de confianza (TCG) especifican que los fabricantes de TPM deben implementar algún tipo de lógica de protección en los chips TPM 1.2 y TPM 2.0. Los dispositivos TPM 1.2 implementan diferentes mecanismos de protección y comportamiento. En general, el chip TPM tarda exponencialmente más tiempo en responder si se envían valores de autorización incorrectos al TPM. Es posible que algunos chips de TPM no almacenen intentos fallidos con el tiempo. Otros chips de TPM pueden almacenar todos los intentos erróneos indefinidamente. Por lo tanto, algunos usuarios pueden experimentar retrasos cada vez más largos cuando escriben erróneamente un valor de autorización que se envía al TPM. Estos retrasos pueden impedir que usen el TPM durante algún tiempo.
Restablecer el bloqueo de TPM mediante MMC de TPM
Nota
Este procedimiento solo está disponible si ha configurado Windows para conservar la contraseña de propietario de TPM. De forma predeterminada, esta contraseña no está disponible en Windows 10 a partir de la versión 1607 y posteriores.
En el procedimiento siguiente se explican los pasos para restablecer el bloqueo de TPM mediante MMC de TPM.
Restablecer el bloqueo de TPM
Abra MMC de TPM (tpm.msc).
En el panel Acción , seleccione Restablecer bloqueo de TPM para iniciar el Asistente para restablecer bloqueo de TPM.
Elija uno de los métodos siguientes para escribir la contraseña de propietario de TPM:
Si guardó la contraseña de propietario de TPM en un
.tpmarchivo, seleccione Tengo el archivo de contraseña de propietario y, a continuación, escriba la ruta de acceso al archivo o seleccione Examinar para ir a la ubicación del archivo.Si desea escribir manualmente la contraseña de propietario de TPM, seleccione Quiero escribir la contraseña del propietario y, a continuación, escriba la contraseña en el cuadro de texto proporcionado.
Nota
Si ha habilitado BitLocker y el TPM al mismo tiempo y ha impreso la contraseña de recuperación de BitLocker al activar BitLocker, es posible que la contraseña del propietario de TPM se haya impreso con ella.
Uso de directiva de grupo para administrar la configuración de bloqueo de TPM
La configuración de directiva de grupo de TPM de la lista siguiente se encuentra en:
Configuración del> equipoPlantillas> administrativasSistema>Servicios de módulo de plataforma segura
Standard duración del bloqueo de usuario
Esta configuración de directiva le permite administrar la duración en minutos para contar errores de autorización de usuario estándar para los comandos de TPM que requieren autorización. Un error de autorización se produce cada vez que un usuario envía un comando al TPM y recibe un mensaje de error que indica que se produjo un error de autorización. Se omiten los errores de autorización anteriores a la duración establecida. Si el número de comandos de TPM con un error de autorización dentro de la duración del bloqueo es igual a un umbral, se impide que el usuario envíe comandos al TPM que requieren autorización.
Standard umbral de bloqueo individual del usuario
Esta configuración de directiva le permite administrar el número máximo de errores de autorización del TPM para cada usuario. Este valor es el número máximo de errores de autorización que puede tener cada usuario antes de que el usuario no pueda enviar comandos al TPM que requieren autorización. Si el número de errores de autorización es igual a la duración establecida para la configuración de directiva, se impide al usuario enviar comandos al TPM que requieren autorización.
Standard umbral de bloqueo total del usuario
Esta configuración de directiva permite administrar el número máximo de errores de autorización del TPM para todos los usuarios estándar. Si el número total de errores de autorización para todos los usuarios es igual a la duración establecida para la directiva, se impide que todos los usuarios envíen comandos al TPM que requieran autorización.
Para obtener información sobre la mitigación de ataques de diccionario que usan la configuración de bloqueo, consulte Aspectos básicos del TPM.
Usar los cmdlets para el TPM
Puede administrar el TPM con Windows PowerShell. Para obtener más información, consulte Cmdlets para el TPM en Windows PowerShell.