Información general sobre la tecnología del Módulo de plataforma segura

Se aplica a

  • Windows 11
  • Windows 10
  • Windows Server 2022
  • Windows Server 2019
  • Windows Server 2016

Este tema para profesionales de TI ofrece información sobre el Módulo de plataforma segura (TPM) y sobre cómo lo usa Windows para el control del acceso y la autenticación.

Descripción de la característica

La tecnología de Módulo de plataforma segura (TPM) está diseñada para proporcionar funciones basadas en hardware y relacionadas con la seguridad. Un chip TPM es un procesador criptográfico seguro diseñado para llevar a cabo operaciones criptográficas. El chip incluye varios mecanismos de seguridad físicos para que sea resistente a alteraciones y el software malintencionado no pueda alterar las funciones de seguridad del TPM. Algunas de las principales ventajas de usar la tecnología TPM son que puede:

  • Generar, almacenar y limitar el uso de claves criptográficas.

  • Usar la tecnología TPM para la autenticación de dispositivos de plataforma mediante clave RSA única de TPM, que se graba dentro.

  • Garantizar la integridad de la plataforma llevando y almacenando medidas de seguridad.

Las funciones de TPM más comunes se usan para las medidas de integridad del sistema y para la creación y el uso de las claves. Durante el proceso de arranque de un sistema, es posible medir y registrar en el TPM el código de arranque que se carga (incluido el firmware y los componentes del sistema operativo). Las mediciones de integridad se pueden usar como prueba de cómo se inició un sistema y para asegurarse de que la clave basada en el TPM se usó solo cuando se usó el software adecuado para arrancar el sistema.

Las claves basadas en el TPM se pueden configurar de varias maneras. Una opción consiste en hacer que una clave de TPM no esté disponible fuera del TPM. Esto se recomienda para mitigar los ataques de suplantación de identidad, ya que impide que se pueda copiar y usar la clave sin el TPM. Las claves basadas en el TPM también se pueden configurar para requerir un valor de autorización a la hora de usarlas. Si se producen demasiados intentos de autorización incorrectos, el TPM activa su lógica de ataques de diccionario y evita más intentos de autorización.

Las especificaciones de Trusted Computing Group (TCG) definen varias versiones del TPM. Para obtener más información, consulte el sitio web de TCG.

Inicialización automática del TPM con Windows

A partir de Windows 10 y Windows 11, el sistema operativo se inicializa automáticamente y toma posesión del TPM. Esto significa que, en la mayoría de los casos, se recomienda evitar la configuración del TPM mediante la consola de administración del TPM, TPM.msc. Existen algunas excepciones, principalmente relacionadas con el restablecimiento o la realización de una instalación limpia en un equipo. Para obtener más información, consulte Borrar todas las claves del TPM. Ya no estamos desarrollando activamente la consola de administración de TPM a partir de Windows Server 2019 y Windows 10, versión 1809.

En determinados escenarios empresariales específicos limitados a Windows 10, versión 1507 y 1511, la directiva de grupo puede usarse para realizar una copia de seguridad del valor de autorización del propietario de TPM en Active Directory. Dado que el estado TPM se mantiene durante las instalaciones de sistema operativo, esta información de TPM se almacena en una ubicación en Active Directory independiente de los objetos del equipo.

Aplicaciones prácticas

Los certificados pueden instalarse o crearse en equipos que usan el TPM. Tras aprovisionar un equipo, la clave privada RSA de un certificado se enlaza al TPM y no se puede exportar. El TPM también puede usarse como sustituto de las tarjetas inteligentes, lo que reduce los costos asociados a la creación y al desembolso de las tarjetas inteligentes.

El aprovisionamiento automático en el TPM también reduce el costo de la implementación del TPM en una empresa. Las nuevas API de administración del TPM pueden determinar si las acciones de aprovisionamiento del TPM requieren presencia física de un técnico de servicio para aprobar las solicitudes de cambio de estado del TPM durante el proceso de arranque.

El software antimalware puede usar las medidas de arranque del estado de inicio del sistema operativo para demostrar la integridad de un equipo que ejecute Windows 10, Windows 11 o Windows Server 2016. Estas medidas incluyen el lanzamiento de Hyper-V para probar que los centros de datos que usan la virtualización no están ejecutando hipervisores que no sean de confianza. Con el desbloqueo de BitLocker en red, los administradores de TI pueden enviar una actualización sin preocuparse por que un equipo esté a la espera de la especificación del PIN.

El TPM tiene varias configuraciones de directiva de grupo que pueden resultar útiles en ciertos escenarios de empresa. Para obtener más información, consulta Configuración de directivas de grupo del TPM.

Funcionalidad nueva y modificada

Para obtener más información sobre las funcionalidades nuevas y modificadas del Módulo de plataforma segura en Windows, consulte Novedades en el Módulo de plataforma segura

Atestación de estado de dispositivo

La Certificación de estado del dispositivo permite a las empresas establecer la confianza en función de los componentes de hardware y software de un dispositivo administrado. Con la Certificación de estado del dispositivo, puede configurar un servidor MDM para consultar un servicio de certificación de salud que permita o deniegue el acceso del dispositivo administrado a un recurso seguro.

Algunos aspectos que puede comprobar en el dispositivo:

  • ¿La prevención de ejecución de datos está admitida y habilitada?

  • ¿El cifrado de unidad BitLocker está admitido y habilitado?

  • ¿El arranque seguro está admitido y habilitado?

Nota

Windows 11, Windows 10, Windows Server 2016 y Windows Server 2019 admiten la Atestación de estado de dispositivo con TPM 2.0. Se agregó compatibilidad con TPM 1.2 a partir de Windows 10, versión 1607. TPM 2.0 requiere firmware UEFI. Un equipo con BIOS heredado y TPM 2.0 no funcionará según lo esperado.

Versiones admitidas para la atestación de estado del dispositivo

Versión de TPM Windows 11 Windows 10 Windows Server 2022 Windows Server 2019 Windows Server 2016
TPM 1.2 >= ver 1607 >= ver 1607
TPM 2.0