Inicializar y configurar la propiedad de TPM
En este tema para profesionales de TI se describe cómo inicializar y configurar la propiedad del módulo de plataforma segura (TPM), cómo activar y desactivar el TPM, y cómo borrar las claves de TPM. También se explica cómo solucionar problemas que pueden surgir tras el uso de estos procedimientos.
Acerca de la propiedad y la inicialización del TPM
El TPM se debe inicializar, y su propiedad debe tomarse antes de que se pueda usar para ayudar a proteger el equipo. El propietario del TPM es el usuario que posee la contraseña de propietario, y puede configurarla y cambiarla. Existe solo una contraseña de propietario por TPM. El propietario del TPM puede sacar el máximo partido de las funcionalidades de TPM. La propiedad del TPM se puede tomar como parte del proceso de inicialización.
Al iniciar el Asistente para la inicialización del TPM, al que se obtiene acceso a través de Microsoft Management Console (MMC) de TPM, puedes determinar si se ha inicializado el TPM del equipo. También puedes ver las propiedades del TPM.
Este tema contiene procedimientos para las siguientes tareas:
Inicializar el TPM y configurar la propiedad
Solucionar problemas de la inicialización del TPM
Activar o desactivar el TPM
Desactivar todas las claves del TPM
Usar los cmdlets del TPM
Inicializar el TPM y configurar la propiedad
Para completar este procedimiento, se requiere como mínimo la pertenencia al grupo local Administradores o equivalente. Además, el equipo debe estar equipado con un BIOS compatible con Trusted Computing Group.
.gif "Mt431880.wedge(es-es,VS.85).gif")
Para iniciar al Asistente para la inicialización del TPM
Abre la consola de administración del TPM (tpm.msc). Si aparece el cuadro de diálogo Control de cuentas de usuario, confirma que la acción que se muestra es la que quieres y luego haz clic en Sí.
En el menú Acción, haz clic en Inicializar TPM para iniciar el Asistente de inicialización del TPM.
Si el TPM nunca se ha inicializado o está desactivado, el Asistente de inicialización de TPM muestra el cuadro de diálogo Activar el hardware de seguridad del TPM. Este cuadro de diálogo proporciona instrucciones para inicializar o activar el TPM. Sigue las instrucciones del asistente.
Nota
Si el TPM ya está activado, el Asistente de inicialización de TPM muestra el cuadro de diálogo Crear la contraseña de propietario de TPM. Omite el resto de este procedimiento y continúa con el procedimiento Para configurar la propiedad del TPM.
Nota
Si el Asistente para la inicialización del TPM detecta que no tiene un BIOS compatible, no puedes continuar con el Asistente para la inicialización del TPM, y se te avisará de que consultes la documentación del fabricante del equipo para obtener instrucciones para inicializar el TPM.
Haz clic en Reiniciar.
Sigue las indicaciones en pantalla del BIOS. Se mostrará un mensaje de aceptación para asegurarte que un usuario tiene acceso físico al equipo y que ningún malware intentará activar el TPM.
Nota
Las indicaciones de la pantalla del BIOS y las pulsaciones de teclas necesarias varían según el fabricante del equipo.
Tras reiniciar el equipo, inicia sesión en el equipo con las mismas credenciales administrativas que usaste para iniciar este procedimiento.
El Asistente para la inicialización de TPM se reinicia automáticamente. Si aparece el cuadro de diálogo Control de cuentas de usuario, confirma que la acción que se muestra es la que quieres y luego haz clic en Sí.
Continúa con el siguiente procedimiento para tomar posesión del TPM.
Para finalizar la inicialización del TPM para su uso, debes establecer un propietario para el TPM. El proceso de tomar posesión incluye la creación de una contraseña de propietario de TPM.
Para configurar la propiedad de TPM
Si no continúas inmediatamente después del último procedimiento, inicia al Asistente de inicialización del TPM. Si necesitas revisar los pasos para hacerlo, consulta el procedimiento anterior Para iniciar el Asistente para la inicialización del TPM.
En el cuadro de diálogo Crear la contraseña de propietario TPM, haz clic en Crear contraseña automáticamente (recomendado).
En el cuadro de diálogo Guardar la contraseña de propietario del TPM, haz clic en Guardar la contraseña.
En el cuadro de diálogo Guardar como, selecciona una ubicación para guardar la contraseña y haz clic en Guardar. El archivo de contraseña se guarda como computer_name.tpm.
Importante
Es muy recomendable guardar la contraseña de propietario del TPM en un dispositivo de almacenamiento extraíble y almacenarlo en una ubicación segura.
Haz clic en Imprimir la contraseña si deseas imprimir una copia de la contraseña.
Importante
Es muy recomendable imprimir una copia de la contraseña de propietario TPM y almacenarla en una ubicación segura.
Haz clic en Inicializar.
Nota
El proceso de inicialización de TPM puede tardar unos minutos en completarse.
Haz clic en Cerrar.
Precaución
No pierdas tu contraseña. Si lo haces, no podrás realizar cambios administrativos a menos que borres el TPM, lo que puede producir pérdida de datos.
Solucionar problemas de la inicialización del TPM
Administrar el módulo de plataforma segura (TPM) suele ser un procedimiento sencillo. Si no puedes completar el procedimiento de inicialización, revisa la información siguiente:
Si Windows no detecta el TPM, comprueba que el hardware del equipo contiene un BIOS compatible con Trusted Computing Group. Asegúrate de que no se ha usado ninguna configuración del BIOS para ocultar el TPM del sistema operativo.
Si estás intentando inicializar el TPM como parte de la configuración de BitLocker, comprueba qué controlador TPM está instalado en el equipo. Te recomendamos usar siempre uno de los controladores TPM proporcionados por Microsoft y protegidos con BitLocker. Si se instala un controlador TPM que no sea de Microsoft, puede evitar que se cargue el controlador TPM predeterminado y hacer que BitLocker informe de que un TPM no está presente en el equipo. Si tienes instalado un controlador que no sea de Microsoft, quítalo y vuelve a intentar inicializar el TPM. La siguiente tabla enumera los tres controladores TPM estándar proporcionados por Microsoft.
Nombre del controlador Fabricante Módulo de plataforma segura 1.2
(estándar)
Módulo de plataforma segura Broadcom (A1), v1.2
Broadcom
Módulo de plataforma segura Broadcom (A2), v1.2
Broadcom
Si el TPM se ha inicializado anteriormente y no tienes la contraseña de propietario, tendrás que quitar o restablecer el TPM a los valores predeterminados de fábrica. Para obtener más información, consulta Desactivar todas las claves del TPM.
Precaución
Al quitar el TPM, se pueden perder datos. Para evitar la pérdida de datos, asegúrate de tener un método de recuperación o copia de seguridad para los datos que están protegidos o cifrados por el TPM.
Dado que el hardware de seguridad del TPM es una parte física de tu equipo, puede que quieras leer los manuales o las instrucciones que se incluyen con el equipo, o bien buscar el sitio web del fabricante.
Conexión de red
No podrás completar la inicialización del módulo de plataforma segura (TPM) con el equipo desconectado de la red de tu organización si se cumple alguna de las siguientes condiciones:
Un administrador ha configurado el equipo para que requiera que la información de recuperación del TPM se guarde en los Servicios de dominio de Active Directory (AD DS). Este requisito puede configurarse mediante la Directiva de grupo.
Un controlador de dominio no está disponible. Esto puede ocurrir en un equipo que está desconectado actualmente de la red, separado del dominio por un firewall, o puede dar lugar a un error de componente de red (como un cable desconectado o un adaptador de red defectuoso).
En cualquier caso, aparecerá un mensaje de error y no podrás completar el proceso de inicialización. Para evitar este problema, inicializa el TPM mientras estás conectado a la red corporativa para poder ponerte en contacto con un controlador de dominio.
Sistemas con varios TPM
Algunos sistemas pueden tener varios TPM, y se puede alternar entre los TPM activos en el BIOS. Windows 10 no admite este comportamiento. Si cambias entre TPM, la característica que depende del TPM no funcionará con el nuevo TPM a menos que esté desactivado y colocado mediante aprovisionamiento. Al realizar esta desactivación se pueden perder datos, en concreto claves y certificados asociados al TPM anterior. Por ejemplo, al alternar entre TPM, Bitlocker entrará en modo de recuperación. Es muy recomendable que, en sistemas con dos TPM, un TPM esté seleccionado para usarse y que no se cambie la selección.
Activar o desactivar el TPM
Normalmente, el TPM está activado como parte del proceso de inicialización del TPM. Normalmente, no es necesario activar o desactivar el TPM. Sin embargo, si es necesario, puedes hacerlo mediante MMC del TPM.
Activar el TPM
Si el TPM se ha inicializado, pero nunca se ha usado, o si deseas usar el TPM después de haberlo desactivado, puedes usar el siguiente procedimiento para activar el TPM.
Para activar el TPM
Abre el MMC del TPM (tpm.msc).
En el panel Acción, haz clic en Activar TPM para mostrar la página Activar el hardware de seguridad del TPM. Lee las instrucciones de esta página.
Haz clic en Apagado (o en Reiniciar) y sigue las indicaciones en pantalla del BIOS.
Tras reiniciar el equipo, pero antes de iniciar sesión en Windows, se te pedirá que aceptes la reconfiguración del TPM. Esto garantiza que el usuario tiene acceso físico al equipo y que el malware no intenta realizar cambios en el TPM.
Desactivar el TPM
Si deseas dejar de usar los servicios proporcionados por el TPM, puedes usar MMC del TPM para desactivar el TPM. Si tienes la contraseña de propietario TPM, el acceso físico al equipo no es necesario para desactivar el TPM. Si no tienes la contraseña de propietario del TPM, debes tener acceso físico al equipo para desactivar el TPM.
Para desactivar el TPM
Abre el MMC del TPM (tpm.msc).
En el panel Acción, haz clic en Desactivar TPM para mostrar la página Desactivar el hardware de seguridad del TPM.
En el cuadro de diálogo Desactivar el hardware de seguridad del TPM, selecciona un método para especificar la contraseña de propietario y desactivar el TPM:
Si has guardado la contraseña de propietario del TPM en un dispositivo de almacenamiento extraíble, insértala y haz clic en Tengo el archivo de la contraseña de propietario. En el cuadro de diálogo Seleccionar archivo de copia de seguridad con la contraseña de propietario del TPM, haz clic en Examinar para buscar el archivo .tpm que se guarda en el dispositivo de almacenamiento extraíble, haz clic en Abrir y luego en Desactivar TPM.
Si no tienes el dispositivo de almacenamiento extraíble con la contraseña de propietario de TPM guardada, haz clic en Deseo escribir la contraseña. En el cuadro de diálogo Escribe la contraseña de propietario del TPM, escribe tu contraseña (incluyendo guiones) y haz clic en Desactivar TPM.
Si no conoces la contraseña de propietario del TPM, haz clic en No tengo la contraseña de propietario del TPM y sigue las instrucciones que aparecen en el cuadro de diálogo y las pantallas posteriores del BIOS para desactivar el TPM sin escribir la contraseña.
Desactivar todas las claves del TPM
Al desactivar el TPM, se restablece a un estado sin propietario. Después de desactivar el TPM, debes completar el proceso de inicialización del TPM antes de usar el software que depende del TPM, como el cifrado de unidad BitLocker. De manera predeterminada, el TPM se inicializa automáticamente.
Importante
Al quitar el TPM, se pueden perder datos. Para evitar la pérdida de datos, asegúrate de tener un método de recuperación o copia de seguridad para los datos que están protegidos o cifrados por el TPM.
Después de desactivar el TPM, también se apaga.
Para suspender temporalmente las operaciones del TPM, apaga el TPM en lugar de desactivarlo.
Para completar este procedimiento, se requiere como mínimo la pertenencia al grupo local Administradores o equivalente.
Para borrar el TPM
Abre el MMC del TPM (tpm.msc).
Si aparece el cuadro de diálogo Control de cuentas de usuario, confirma que la acción que se muestra es la que quieres y luego haz clic en Sí.
En Acciones, haz clic en Quitar TPM.
Advertencia
Si el TPM está desactivado, reinícialo antes de quitarlo.
Al quitar el TPM, se restablecen los valores predeterminados de fábrica y se desactiva. Se perderán todas las claves creadas y los datos que están protegidos por esas claves.
En el cuadro de diálogo Quitar el hardware de seguridad del TPM, selecciona uno de los siguientes métodos para escribir la contraseña y quitar el TPM:
Si tienes el dispositivo de almacenamiento extraíble con tu contraseña de propietario de TPM guardada, insértala y haz clic en Tengo el archivo de la contraseña de propietario. En el cuadro de diálogo Seleccionar archivo de copia de seguridad con la contraseña de propietario del TPM, usa Examinar para navegar al archivo .tpm guardado en el dispositivo de almacenamiento extraíble. Haz clic en Abrir y luego en Quitar TPM.
Si no tienes el dispositivo de almacenamiento extraíble con la contraseña guardada, haz clic en Deseo escribir la contraseña de propietario. En el cuadro de diálogo Escribe la contraseña de propietario del TPM, escribe tu contraseña (incluyendo guiones) y haz clic en Quitar TPM.
Si no conoces la contraseña de propietario del TPM, haz clic en No tengo la contraseña de propietario del TPM y sigue las instrucciones que se proporcionan para quitar el TPM sin escribir la contraseña.
Nota
Si tienes acceso físico al equipo, puedes quitar el TPM y realizar un número limitado de tareas de administración sin escribir la contraseña de propietario del TPM.
Se mostrará el estado del TPM en Estado en el MMC del TPM.
Usar los cmdlets del TPM
Si usas Windows PowerShell para administrar tus equipos, también puedes administrar el TPM mediante Windows PowerShell. Para instalar los cmdlets del TPM, escribe el siguiente comando:
dism /online /enable-feature /FeatureName:tpm-psh-cmdlets
Para obtener más detalles sobre los cmdlets individuales, consulta Cmdlets de TPM en Windows PowerShell.
Recursos adicionales
Para obtener más información sobre el TPM, consulta Información general sobre la tecnología del módulo de plataforma segura.