Exportar (0) Imprimir
Expandir todo

Introducción al arranque seguro

Actualizado: febrero de 2014

Se aplica a: Windows 8, Windows 8.1, Windows Server 2012, Windows Server 2012 R2

El arranque seguro es un estándar de seguridad desarrollado por miembros del sector de equipos de computación destinado a garantizar que los equipos arranquen usando solamente software que sea de confianza para el fabricante del equipo.

Cuando se arrancan los equipos, el firmware comprueba la firma de cada fragmento de software de arranque, entre ellos los controladores de firmware (ROM de opción) y el sistema operativo. Si las firmas son confiables, el equipo arranca y el firmware transfiere el control al sistema operativo.

Las siguientes versiones de Windows son compatibles con el arranque seguro: Windows 8.1, Windows Server 2012 R2, Windows RT 8.1, Windows 8, Windows Server 2012 y Windows RT.

noteNota
¿Viste la marca de agua "El Arranque seguro no está configurado correctamente" después de actualizar a Windows 8.1, Windows Server 2012 R2 o Windows RT 8.1?

Hemos lanzado un parche que quita la marca de agua.

Los usuarios de Windows 8.1 y Windows Server 2012 R2 pueden instalar un parche para quitar la marca de agua de inmediato: Id. de artículo de Microsoft Knowledge Base 2902864.

Para obtener más información, consulta el tema de "El arranque seguro no está configurado correctamente": solución de problemas.

  • ¿El arranque seguro es necesario para actualizar a la versión más reciente de Windows?

    No. No existen requisitos de hardware adicionales de Windows Vista ni Windows 7.

    El arranque seguro es una característica opcional que el fabricante de un equipo puede activar con el fin de mejorar la seguridad del equipo. La encontrarás en todos los equipos con Windows 8.1, Windows RT 8.1, Windows® 8 y Windows RT certificados mediante logotipo.

  • ¿Qué sucede si mi nuevo hardware no es de confianza?

    Es posible que el equipo no arranque. Pueden surgir dos tipos de problemas:

    • Puede que el firmware no confíe en el sistema operativo, ROM de opción, controlador o aplicación porque no sean de confianza para la base de datos de arranque seguro.

    • En algunas ocasiones, hay hardware que precisa de controladores en modo kernel que deben estar firmados. Nota: muchos de los controladores de 32 bits (x86) antiguos vienen sin firmar, dado que la firma de controladores en modo kernel es un requisito de reciente aparición en el arranque seguro. Para más información, consulta el tema sobre los requisitos de firma de la característica de arranque seguro para controladores en modo kernel.

    Para más información, consulta el tema sobre la situación en la que puede que Windows 8 con arranque seguro deje de iniciarse tras instalar hardware nuevo.

  • ¿Cómo se puede agregar hardware o ejecutar software o sistemas operativos que no sean de confianza para el fabricante?

    • Puedes buscar actualizaciones de software de Microsoft o del fabricante del PC.

    • Puedes ponerte en contacto con el fabricante para pedirle que agregue nuevo hardware o software a la base de datos de arranque seguro.

    • Para la mayoría de los equipos, puedes deshabilitar el arranque seguro mediante su BIOS. Para obtener más información, consulta el tema sobre Deshabilitar el arranque seguro.

      Para equipos de Windows RT 8.1 y Windows RT, es necesario configurar el arranque seguro para que no pueda deshabilitarse.

  • ¿Cómo edito la base de datos del arranque seguro de mi equipo?

    Esto solamente puede hacerlo el fabricante del equipo.

El arranque seguro requiere un equipo que cumpla con las especificaciones 2.3.1 de UEFI, Errata C o superior.

El arranque seguro se admite en equipos de clase 2 y clase 3 de UEFI. En los equipos de clase 2 de UEFI con el arranque seguro habilitado, se debe deshabilitar el módulo de compatibilidad (CSM) para que el equipo pueda arrancar únicamente sistemas operativos autorizados basados en UEFI.

El arranque seguro no requiere un Módulo de plataforma segura (TPM).

El arranque seguro debe estar deshabilitado para habilitar la depuración del modo kernel, habilitar TESTSIGNING o deshabilitar NX. Para más información para OEM, consulta la Guía para crear y administrar claves de arranque seguro de Windows 8.

Cuando el arranque seguro está activado en un PC, todas las partes del software, como los controladores UEFI (también denominados ROM de opción) y el sistema operativo se contrastan con las bases de datos de firmas buenas conocidas almacenadas en el firmware. Si cada parte del software es válida, el firmware ejecuta dicho software y el sistema operativo.

Antes de implementar el PC, el OEM almacena en él las bases de datos de arranque seguro, a saber, la base de datos de firmas (db), la base de datos de firmas revocadas (dbx) y la base de datos de claves de cifrado de claves (KEK). Estas bases de datos se almacenan en la memoria RAM permanente del firmware (NV-RAM) en el momento de fabricación.

La base de datos de firmas (db) y la base de datos de firmas revocadas (dbx) enumera los firmantes y los hash de imagen de aplicaciones de UEFI, los cargadores de sistemas operativos (como la administración de arranque o el cargador del sistema operativo Microsoft) y los controladores UEFI que pueden cargarse en el equipo individual, y las imágenes revocadas para elementos en los que ya no se confían y tal vez no puedan cargarse.

La base de datos de claves de cifrado de claves (KEK) es una base de datos independiente de claves de firma que puede usarse para actualizar las bases de datos de firmas y de firmas revocadas. Microsoft requiere que se incluya una clave especificada en la base de datos KEK para poder agregar en el futuro nuevos sistemas operativos a la base de datos de firmas, o bien para agregar imágenes incorrectas conocidas a la base de datos de firmas revocadas.

Una vez agregadas las bases de datos (y después de la validación y prueba finales del firmware), el OEM bloquea el firmware para que no pueda modificarse, excepto en lo que respecta a las actualizaciones firmadas con la clave correcta o las actualizaciones llevadas a cabo por un usuario físicamente presente que usa menús de firmware, y, después, genera una clave de plataforma (PK). La PK puede usarse para firmar actualizaciones de la KEK o para desactivar el arranque seguro.

Los OEM deben ponerse en contacto con el fabricante de firmware para obtener herramientas y ayuda para crear estas bases de datos. Para más información, consulta la guía para crear y administrar claves de arranque seguro de Windows 8.

  1. Una vez encendido el equipo, cada una de las bases de datos de firmas se comprueba con la PK.

  2. Si no se confía en el firmware, el firmware UEFI debe iniciar la recuperación específica del OEM para restaurar el firmware de confianza.

  3. Si se produce un problema en la Administración de arranque de Windows, el firmware trata de arrancar una copia de seguridad de esta aplicación. Si también se produce un error al hacerlo, el firmware debe iniciar la corrección específica del OEM.

  4. Una vez que la Administración de arranque de Windows se encuentra en ejecución, si se produce un problema con los controladores o el kernel de NTOS, se carga el Entorno de recuperación de Windows (Windows RE) para que se puedan recuperar estos controladores o la imagen de kernel.

  5. Windows carga el software antimalware.

  6. Windows carga otros controladores de kernel e inicializa los procesos de modo usuario.

Para más información, consulta la nota del producto sobre el arranque seguro y el arranque medido: protección de los componentes de la primera fase de arranque frente al malware.

Consulte también

¿Te ha resultado útil?
(Caracteres restantes: 1500)
Gracias por sus comentarios
Mostrar:
© 2014 Microsoft