Administrar el bloqueo de TPM

  • Artículo

En este tema para profesionales de TI se describe cómo administrar la característica de bloqueo para el módulo de plataforma segura (TPM) en Windows.

Sobre el bloqueo de TPM

El TPM se bloqueará solo para impedir la manipulación o ataques malintencionados. El bloqueo de TPM suele aplicarse durante un tiempo variable o hasta que se apaga el equipo. Mientras el TPM está en modo de bloqueo, por lo general, devuelve un mensaje de error cuando recibe comandos que requieren un valor de autorización. Una excepción es que el TPM siempre permite al propietario al menos un intento para restablecer el bloqueo del TPM cuando está en modo de bloqueo.

La propiedad de TPM se suele asumir la primera vez que se activa el cifrado de unidad de BitLocker para el equipo. En este caso, la contraseña de autorización de propietario del TPM se guarda con la clave de recuperación de BitLocker. Cuando la clave de recuperación de BitLocker se guarda en un archivo, BitLocker también guarda un archivo de contraseña de propietario del TPM (.tpm) con el valor de hash de contraseña de propietario de TPM. Cuando se imprime la clave de recuperación de BitLocker, a su vez se imprime la contraseña de propietario del TPM. También puedes guardar el valor hash de contraseña de propietario del TPM en los Servicios de dominio de Active Directory (AD DS) si la configuración de Directiva de grupo de tu organización está configurada para ello.

En algunos casos, las claves de cifrado están protegidas por un TPM al exigir un valor de autorización válido para obtener acceso a la clave. Un ejemplo común es configurar el cifrado de unidad de BitLocker para usar el protector de clave PIN además de TPM. En este escenario, el usuario debe escribir el PIN correcto durante el proceso de inicio para tener acceso a la clave de cifrado de volumen protegida por el TPM. Para evitar que el malware o los usuarios malintencionados descubran valores de autorización, TPM implementa una lógica de protección. La lógica de protección está diseñada para ralentizar o detener las respuestas del TPM si detecta que una entidad pueda estar intentando adivinar los valores de autorización.

Los estándares del sector de Trusted Computing Group (TCG) especifican que los fabricantes de TPM deben implementar algún tipo de lógica de protección en los chips TPM 1.2 y TPM 2.0. Los fabricantes de TPM implementan distintos comportamientos y mecanismos de protección. Las instrucciones generales indican que el chip del TPM tarda exponencialmente más en responder si se envían valores de autorización incorrectos al TPM. Algunos chips de TPM pueden no almacenar intentos erróneos con el tiempo. Otros chips de TPM pueden almacenar cada intento erróneo de forma indefinida. Por lo tanto, algunos usuarios pueden experimentar retrasos cada vez mayores al escribir de forma incorrecta un valor de autorización que se envía al TPM. Esto puede impedirles usar el TPM durante un tiempo.

Si el TPM ha entrado en modo de bloqueo o responde con lentitud a los comandos, puedes restablecer el valor de bloqueo mediante el uso de los procedimientos siguientes. Restablecer el bloqueo de TPM requiere la autorización del propietario del TPM.

Restablecer el bloqueo de TPM mediante el MMC del TPM

El siguiente procedimiento explica los pasos para restablecer el bloqueo del TPM mediante el MMC del TPM.

Mt431884.wedge(es-es,VS.85).gifPara restablecer el bloqueo del TPM

  1. Abre el MMC del TPM (tpm.msc).

  2. En el panel Acción, haz clic en Restablecer bloqueo del TPM para iniciar el Asistente para restablecer el bloqueo del TPM.

  3. Elige uno de los siguientes métodos para escribir la contraseña de propietario del TPM:

    • Si has guardado la contraseña de propietario del TPM en un archivo .tpm, haz clic en Tengo el archivo de la contraseña de propietario y escribe la ruta de acceso al archivo, o bien haz clic en Examinar para navegar a la ubicación del archivo.

    • Si deseas escribir manualmente la contraseña de propietario del TPM, haz clic en Desea escribir la contraseña de propietario y escribe la contraseña en el cuadro de texto.

      Nota  

      Si has habilitado BitLocker y el TPM al mismo tiempo e imprimiste la contraseña de recuperación de BitLocker al activar BitLocker, la contraseña de propietario del TPM puede haberse imprimido con esta.

       

Usar la Directiva de grupo para administrar la configuración de bloqueo del TPM

La configuración de la Directiva de grupo del TPM en la siguiente lista se encuentra en:

Configuración del equipo\Plantillas administrativas\Sistema\Servicios del Módulo de plataforma segura\

  • Duración del bloqueo de usuario estándar

    Esta configuración de directiva te permite administrar la duración en minutos para el recuento de errores de autorización de usuario estándar para los comandos del TPM que requieren autorización. Los errores de autorización se producen cada vez que un usuario envía un comando al TPM y recibe un mensaje de error que indica que se ha producido un error de autorización. Los errores de autorización anteriores a la duración establecida se omitirán. Si el número de comandos del TPM con error de autorización de la duración del bloqueo es igual a un umbral, se impedirá que los usuarios envíen comandos al TPM que requieran autorización.

  • Umbral de bloqueos individuales del usuario estándar

    Esta configuración de directiva te permite administrar el número máximo de errores de autorización para el TPM para cada usuario. Este valor es el número máximo de errores de autorización que puede tener cada usuario antes de que no puedan enviar al TPM comandos que requieren autorización. Si el número de errores de autorización es igual a la duración que se establece para la configuración de directiva, se impide al usuario enviar comandos al TPM que requieren autorización.

  • Umbral de bloqueos totales del usuario estándar

    Esta configuración de directiva te permite administrar el número máximo de errores de autorización para el TPM para todos los usuarios estándar. Si el número total de errores de autorización para todos los usuarios es igual a la duración establecida para la directiva, se impedirá a todos los usuarios enviar comandos al TPM que requieren autorización.

Para obtener información sobre cómo mitigar los ataques de diccionario que usan la configuración de bloqueo, consulta Conceptos básicos del TPM.

Usar los cmdlets del TPM

Si usas Windows PowerShell para administrar tus equipos, también puedes administrar el TPM mediante Windows PowerShell. Para instalar los cmdlets del TPM, escribe el siguiente comando:

dism /online /enable-feature /FeatureName:tpm-psh-cmdlets

Para obtener más detalles sobre los cmdlets individuales, consulta Cmdlets de TPM en Windows PowerShell.

Recursos adicionales

Para obtener más información sobre el TPM, consulta Información general sobre la tecnología del TPM.