Guía paso a paso sobre los servicios del Módulo de plataforma segura de Windows Vista

En esta guía paso a paso se ofrecen las instrucciones necesarias para utilizar los servicios del Módulo de plataforma segura (TPM) en un entorno de laboratorio de pruebas.

¿En qué consisten los servicios del Módulo de plataforma segura?

Los servicios del Módulo de plataforma segura (TPM) son una nueva característica de Microsoft^® Windows Vista™ y Windows Server® con nombre de código "Longhorn" que permite administrar el hardware de seguridad de TPM en el equipo. La arquitectura de los servicios de TPM ofrece la infraestructura para la seguridad del hardware al proporcionar acceso y uso compartido en el nivel de aplicación de TPM.

¿En qué consiste un Módulo de plataforma segura?

Un TPM es un microchip diseñado para proporcionar funciones básicas relacionadas con la seguridad, donde intervienen principalmente claves de cifrado. El TPM se suele instalar en la placa base de un equipo o equipo portátil y se comunica con el resto del sistema mediante un bus de hardware.

Los equipos que incorporan un TPM pueden crear claves de cifrado y cifrarlas de modo que sólo el TPM pueda descifrarlas. Este proceso, denominado en ocasiones "contener" o "enlazar" claves, puede ayudar a protegerlas. Cada TPM dispone de una clave "contenedora" maestra, denominada clave raíz de almacenamiento (SRK), que se guarda dentro del propio TPM. La parte privada de una clave creada en un TPM no se expone nunca a otro componente, software, proceso o usuario.

Los equipos que incluyen un TPM también pueden crear una clave que no sólo se incluya en un contenedor, sino que también se relacione con determinadas medidas de la plataforma. Este tipo de clave sólo se puede descubrir si estas medidas tienen los mismos valores que cuando se creó la clave. Este proceso se denomina "sellado" de claves en TPM. El descifrado se llama "desproteger". El TPM también puede sellar y desproteger datos generados fuera del mismo. Con esta clave sellada y un software similar a Cifrado de unidad BitLocker™, puede bloquear la información hasta que se cumplan unas condiciones específicas de hardware o software.

Con TPM, las partes privadas de los pares de claves se separan de la memoria que controla el sistema operativo. Las claves se pueden sellar en el TPM y es posible comprobar determinadas garantías sobre el estado de un sistema, que definen su "confiabilidad", antes de desproteger y liberar las claves para su uso. Debido a que TPM utiliza sus propios circuitos lógicos y firmware internos para procesar las instrucciones, no depende del sistema operativo ni se expone a vulnerabilidades de software externas.

Destinatarios de esta guía

Esta guía está dirigida a los siguientes destinatarios:

• Planeadores y analistas de TI que se encuentran evaluando el producto.

• Primeros implantadores.

• Arquitectos de seguridad responsables de la implementación de soluciones de confianza.

Contenido de esta guía

• Requisitos de los servicios de TPM

• Escenarios clave para los servicios de TPM

• Escenario 1: Inicialización de TPM

• Escenario 2: Desactivación y borrado de TPM

• Escenario 3: Bloqueo y desbloqueo de comandos de TPM

• Registro de errores y comentarios

• Recursos adicionales

Requisitos de los servicios de TPM

Se recomienda que siga primero los pasos indicados en esta guía en un entorno de laboratorio de pruebas. Las guías paso a paso no están pensadas necesariamente para que se utilicen en la implementación de características de Windows Vista o Windows Server "Longhorn" sin la documentación que la acompaña (mencionada en la sección Recursos adicionales), por lo que se deben utilizar con prudencia cuando se empleen como documentos independientes.

Preparación del laboratorio de pruebas para los servicios de TPM

La configuración del laboratorio necesaria para probar TPM incluye simplemente un equipo cliente conectado a una red aislada a través de un concentrador común o conmutador de capa 2. El cliente debe ejecutar Windows Vista y se debe equipar con un BIOS que cumpla con las especificaciones del Trusted Computing Group (TCG) y TPM (versión 1.2) compatible. También se recomienda una unidad de memoria USB portátil. Se deben emplear direcciones IP privadas durante la configuración del laboratorio de pruebas.

Escenarios clave para los servicios de TPM

En esta guía se incluyen los siguientes escenarios para los servicios de TPM:

• Escenario 1: Inicialización de TPM

• Escenario 2: Desactivación y borrado de TPM

• Escenario 3: Bloqueo y desbloqueo de comandos de TPM

  Nota

  Con estos escenarios se pretende ayudar a los administradores a familiarizarse con el conjunto de características de los servicios de TPM de Windows Vista. Incluyen la información básica y los procedimientos que los administradores necesitan para comenzar con la configuración e implementación de equipos con TPM en sus redes. Esta guía no ofrece información ni procedimientos destinados a configuraciones personalizadas o avanzadas de los servicios de TPM.

Escenario 1: Inicialización de TPM

En este escenario se describe cómo inicializar TPM en el equipo. Este proceso implica la activación de TPM y, posteriormente, la configuración de la propiedad del mismo. Este escenario está dirigido a los administradores locales responsables de la configuración de equipos con TPM.

La inicialización remota de TPM se admite en Windows Vista; no obstante, normalmente se requiere una presencia física para inicializar el TPM de un equipo. Si un equipo incluye el TPM inicializado, la presencia física no es necesaria. En esta guía no se ofrece información sobre los procedimientos para la inicialización remota. Los servicios de TPM exponen una clase WMI que permite que los procedimientos de este escenario se realicen mediante secuencias de comandos. Tampoco se incluye en esta guía información sobre las secuencias de comandos de estas tareas.

Pasos para la inicialización de TPM

Para inicializar TPM en el equipo, siga estos pasos:

• Paso 1: Inicializar TPM

• Paso 2: Establecer la propiedad de TPM

Paso 1: Inicializar TPM

Se debe inicializar TPM a fin de que pueda utilizarse para ayudar a proteger el equipo. En el paso 1 se describe el procedimiento para llevar a cabo esta acción.

Los equipos fabricados para que cumplan los requisitos de Windows Vista incluyen la funcionalidad de BIOS de preinicio que facilita la inicialización de un TPM en un equipo a través del asistente de inicialización de TPM. Cuando se inicia este asistente, se puede determinar si el TPM del equipo se ha inicializado o no.

En el siguiente procedimiento se indican los pasos del proceso de inicio del asistente de inicialización de TPM y la inicialización de TPM.

Nota

Para realizar el siguiente procedimiento, debe iniciar sesión en un equipo con TPM con las credenciales de administrador.

Para iniciar el asistente de inicialización de TPM e inicializar TPM

1. Haga clic en Inicio, seleccione Todos los programas, elija Accesorios y haga clic en Ejecutar.

2. Escriba tpm.msc en el cuadro Abrir y haga clic en Entrar.

3. Si aparece el cuadro de diálogo Control de cuenta de usuario, compruebe que la acción propuesta es la solicitada y haga clic en Continuar. Para obtener más información, consulte la sección de recursos adicionales al final de este documento.

4. Aparecerá la consola Administración de TPM.

5. En Acciones, haga clic en la opción de inicializaicón del TPM. Se iniciará el asistente de inicialización de TPM.

   • Si TPM está desactivado, el asistente mostrará el cuadro de diálogo Activar el hardware de seguridad del TPM. En este cuadro se incluyen instrucciones para inicializar TPM.

   • Si TPM ya se ha inicializado, el asistente mostrará el cuadro de diálogo Crear la contraseña de propietario de TPM. Consulte el Paso 2: Establecer la propiedad de TPM, más adelante en esta guía.

   • Si el asistente de inicialización de TPM detecta un BIOS que no cumple con los requisitos de Windows Vista, no podrá continuar y se le avisará que consulte la documentación del fabricante del equipo para obtener instrucciones sobre la inicialización de TPM.

6. Haga clic en Apagar (o Reiniciar) y, a continuación, siga las indicaciones en pantalla del BIOS.

   Nota   Los controles y las indicaciones en pantalla del BIOS variarán en función del fabricante del equipo.

7. Tras el reinicio, se mostrará una solicitud de aceptación para garantizar la presencia física del usuario y comprobar que ningún software malintencionado intenta inicializar el TPM.

8. Si aparece el cuadro de diálogo Control de cuenta de usuario, compruebe que la acción propuesta es la solicitada y haga clic en Continuar. Para obtener más información, consulte la sección de recursos adicionales al final de este documento.

9. Haga clic en Preparar TPM automáticamente para propiedad (recomendado).

10. Continúe con el paso 2.

Paso 2: Establecer la propiedad de TPM

También se debe establecer la propiedad de TPM a fin de que pueda utilizarse para ayudar a proteger el equipo. Con esta operación, se asigna una contraseña que ayuda a garantizar que sólo el propietario autorizado de TPM puede tener acceso al mismo y administrarlo. Esta contraseña también se utiliza para desactivar TPM si no desea utilizarlo más, o bien para borrarlo si se va a reciclar el equipo.

Siga este procedimiento para definir la propiedad de TPM.

En el siguiente procedimiento se indican los pasos del proceso de configuración de la propiedad de TPM mediante el asistente de inicialización.

Nota

Para realizar el siguiente procedimiento, debe iniciar sesión en un equipo con TPM con las credenciales de administrador local.

Para establecer la propiedad de TPM

1. Si ya ha inicializado TPM, inicie el asistente de inicialización de TPM. Si necesita revisar los pasos para ello, consulte el Paso 1: Inicializar TPM descrito anteriormente en esta guía.

2. En el cuadro de diálogo Crear la contraseña de propietario de TPM, seleccione Crear contraseña automáticamente (recomendado).

3. En el cuadro de diálogo Guardar la contraseña de propietario de TPM, haga clic en Guardar contraseña.

4. En el cuadro de diálogo Guardar como, seleccione una ubicación para guardar la contraseña y haga clic en Guardar. El archivo de contraseña se guarda como nombre_equipo.tpm.

   Importante  Se recomienda guardar la contraseña de propietario de TPM en un medio extraíble.

5. Haga clic en Imprimir contraseña si desea imprimir una copia en papel de la contraseña.

   Importante  Se recomienda que imprima una copia en papel de la contraseña de propietario de TPM y la guarde en un lugar seguro.

6. Haga clic en Inicializar.

   Nota   El proceso de inicialización de TPM puede tardar unos minutos en completarse.

7. Haga clic en Cerrar.

   Precaución   No pierda la contraseña. Si lo hace, no podrá realizar cambios administrativos hasta que borre el TPM.

Escenario 2 Desactivación y borrado de TPM

Este escenario incluye dos tareas comunes que los administradores pueden realizar durante una nueva configuración o reciclaje de un equipo con TPM. Se trata de la desactivación y borrado del TPM.

Desactivación de TPM

Algunos administradores pueden decidir que no todos los equipos con TPM de la red necesitan la protección adicional que ofrece el módulo. En este caso, se aconseja asegurarse de que se han desactivado los TPM en dichos equipos. En el siguiente procedimiento se indican los pasos del proceso de desactivación de TPM.

Nota

Para desactivar TPM no se requiere una presencia física.

Para realizar el siguiente procedimiento, debe iniciar sesión en un equipo con TPM con las credenciales de administrador local.

Para desactivar TPM

1. Haga clic en Inicio, seleccione Todos los programas, elija Accesorios y haga clic en Ejecutar.

2. Escriba tpm.msc en el cuadro Abrir y haga clic en Entrar. Aparecerá la consola Administración de TPM.

3. Si aparece el cuadro de diálogo Control de cuenta de usuario, compruebe que la acción propuesta es la solicitada y haga clic en Continuar. Para obtener más información, consulte la sección de recursos adicionales al final de este documento.

4. En Acciones, haga clic en Desactivar TPM.

5. En el cuadro de diálogo Desactivar el hardware de seguridad del TPM, seleccione un método para introducir la contraseña y desactivar TPM:

   • Si dispone del medio extraíble en el que ha guardado la contraseña de propietario, insértelo y haga clic en Tengo un archivo de copia de seguridad con la contraseña de propietario de TPM. En el cuadro de diálogo Seleccionar un archivo de copia de seguridad con la contraseña de propietario de TPM, utilice Examinar para seleccionar el archivo .tpm del medio extraíble, haga clic en Abrir y, a continuación, seleccione Desactivar TPM.

   • Si no dispone de un medio extraíble, haga clic en Deseo escribir la contraseña de propietario de TPM. En el cuadro de diálogo Escriba su contraseña de propietario de TPM, escriba la contraseña (incluyendo guiones) y haga clic en Desactivar TPM.

   • Si no conoce la contraseña de propietario, haga clic en No tengo la contraseña de propietario de TPM y siga las instrucciones para desactivar TPM sin introducir la contraseña.

     Nota   Se puede desactivar TPM y realizar un número limitado de tareas de administración sin introducir la contraseña de propietario simplemente estando delante del equipo.

   El estado de TPM se muestra en Estado en la consola Administración de TPM.

Borrado de TPM

Al borrar el TPM, se cancela su propiedad y el módulo se desactiva. Esta operación se debe realizar cuando se recicla el equipo cliente con TPM, o bien cuando el propietario de TPM ha perdido su contraseña. En el siguiente procedimiento se indican los pasos del proceso de borrado de TPM.

Nota

Para borrar TPM no se requiere de la presencia física.

Para realizar el siguiente procedimiento, debe iniciar sesión en un equipo con TPM con las credenciales de administrador local.

Para borrar TPM

1. Haga clic en Inicio, seleccione Todos los programas, elija Accesorios y haga clic en Ejecutar.

2. Escriba tpm.msc en el cuadro Abrir y haga clic en Entrar. Aparecerá la consola Administración de TPM.

3. Si aparece el cuadro de diálogo Control de cuenta de usuario, compruebe que la acción propuesta es la solicitada y haga clic en Continuar. Para obtener más información, consulte la sección de recursos adicionales al final de este documento.

   Precaución   Con el borrado de TPM, se restablecen los valores predeterminados de fábrica y el módulo se desactiva. Se perderán todas las claves creadas y los datos protegidos por dichas claves.

4. En Acciones, haga clic en QuitarTPM. Si TPM está desactivado, siga el procedimiento del Paso 1: Inicializar TPM para volver a inicializarlo antes de borrarlo.

5. En el cuadro de diálogo Quitar el hardware de seguridad del TPM, seleccione un método para introducir la contraseña y borrar el TPM:

   • Si dispone del medio extraíble en el que ha guardado la contraseña de propietario, insértelo y haga clic en Tengo un archivo de copia de seguridad con la contraseña de propietario de TPM. En el cuadro de diálogo Seleccionar un archivo de copia de seguridad con la contraseña de propietario de TPM, utilice Examinar para seleccionar el archivo .tpm del medio extraíble, haga clic en Abrir y, a continuación, seleccione Quitar TPM.

   • Si no dispone de un medio extraíble, haga clic en Deseo escribir la contraseña de propietario de TPM. En el cuadro de diálogo Escriba su contraseña de propietario de TPM, escriba la contraseña (incluyendo guiones) y haga clic en Quitar TPM.

   • Si no conoce la contraseña de propietario, haga clic en No tengo la contraseña de propietario de TPM y siga las instrucciones para borrar TPM sin introducir la contraseña.

     Nota   Se puede borrar TPM y realizar un número limitado de tareas de administración sin introducir la contraseña de propietario simplemente estando delante del equipo.

   El estado de TPM se muestra en Estado en la consola Administración de TPM.

Escenario 3: Bloqueo y desbloqueo de comandos de TPM

En este escenario se describe el proceso para bloquear o desbloquear un comando de TPM. Se trata de una tarea que pueden realizar los administradores locales durante la configuración o reconfiguración de un equipo con TPM. Los comandos de TPM se administran mediante un nodo secundario de la consola Administración de TPM dedicado exclusivamente a la administración de comandos. Aquí, los administradores pueden explorar los comandos disponibles en TPM, además de bloquearlos y desbloquearlos dentro de los límites de la configuración de la directiva de grupo y del equipo local. En el siguiente procedimiento se indican los pasos para bloquear y desbloquear comandos de TPM.

Nota

Para realizar el siguiente procedimiento, debe iniciar sesión en un equipo con TPM con las credenciales de administrador local.

Para bloquear y desbloquear comandos de TPM

1. Haga clic en Inicio, seleccione Todos los programas, elija Accesorios y haga clic en Ejecutar.

2. Si aparece el cuadro de diálogo Control de cuenta de usuario, compruebe que la acción propuesta es la solicitada y haga clic en Continuar. Para obtener más información, consulte la sección de recursos adicionales al final de este documento.

3. Escriba tpm.msc en el cuadro Abrir y haga clic en Entrar. Aparecerá la consola Administración de TPM.

4. Haga clic en la opción de administración de comandos en el árbol de la consola. Aparecerá una lista de comandos de TPM.

5. Seleccione un comando de la lista que desee bloquear o desbloquear.

6. En Acciones, haga clic en en la opción correspondiente para bloquear el comando seleccionado o en la de permitir el comando seleccionado, según sea necesario.

   Nota   Los administradores locales no pueden desbloquear los comandos de TPM bloqueados mediante la directiva de grupo. Los comandos de la lista de bloqueo predeterminada para MMC de TPM tampoco se pueden desbloquear hasta que se modifique la configuración de la directiva de grupo de modo que omita la lista.

Registro de errores y comentarios

Dado que los servicios de TPM son una nueva característica de Windows Server "Longhorn" y Windows Vista, estamos muy interesados en los comentarios sobre sus experiencias con los servicios de TPM, los problemas con los que se ha encontrado y la utilidad de la documentación.

Al registrar errores, siga las instrucciones del sitio Web de Microsoft Connect (https://go.microsoft.com/fwlink/?LinkId=49779). Asimismo, nos interesan conocer peticiones y comentarios generales sobre los servicios de TPM.

Puede enviar sus preguntas y comentarios generales a tpminfo@microsoft.com.

Recursos adicionales

Los siguientes recursos ofrecen información adicional sobre los servicios de TPM:

• Si necesita soporte técnico del producto, consulte el sitio Web de Microsoft Connect (https://go.microsoft.com/fwlink/?LinkId=49779).

• Para obtener acceso a los grupos de noticias de los servicios de TPM, siga las instrucciones incluidas en el sitio Web de Microsoft Connect (https://go.microsoft.com/fwlink/?LinkId=50067).

• El equipo de Cifrado de unidad BitLocker mantiene un blog en el sitio Web de Microsoft TechNet (https://go.microsoft.com/fwlink/?LinkId=66461) (en inglés).

Soporte técnico del programa de adopción de tecnología

Si es responsable de pruebas beta y forma parte del programa especial beta de adopción de tecnología (TAP), puede también ponerse en contacto con el miembro del equipo de desarrollo de Microsoft que tenga asignado para obtener asistencia.