Configuración de directivas de grupo del TPM
Este tema para profesionales de TI describe los servicios del módulo de plataforma segura (TPM) que se pueden controlar de forma centralizada mediante la configuración de directiva de grupo.
La configuración de directiva de grupo de los servicios de TPM se encuentra en:
Configuración del equipo\Plantillas administrativas\Sistema\Servicios del Módulo de plataforma segura\
| Configuración | Windows 10 | Windows Server 2012 R2, Windows 8.1 y Windows RT | Windows Server 2012, Windows 8 y Windows RT | Windows Server 2008 R2 y Windows 7 | Windows Server 2008 y Windows Vista |
|---|---|---|---|---|---|
Habilitar la copia de seguridad del TPM en los servicios de dominio de Active Directory |
X |
X |
X |
X |
X |
Configurar la lista de comandos del TPM bloqueados |
X |
X |
X |
X |
X |
Ignorar la lista predeterminada de comandos del TPM bloqueados |
X |
X |
X |
X |
X |
Ignorar la lista local de comandos del TPM bloqueados |
X |
X |
X |
X |
X |
Configurar el nivel de información de autorización del propietario del TPM disponible para el sistema operativo |
X |
X |
X |
||
Duración del bloqueo de usuario estándar |
X |
X |
X |
||
Umbral de bloqueos individuales del usuario estándar |
X |
X |
X |
||
Umbral de bloqueos totales del usuario estándar |
X |
X |
X |
Habilitar la copia de seguridad del TPM en los servicios de dominio de Active Directory
Esta configuración de directiva permite administrar la copia de seguridad de los servicios de dominio de Active Directory (AD DS) de la información del propietario del TPM.
Nota
Esta configuración de directiva se aplica a los sistemas operativos Windows que se muestran en la tabla de versiones.
La información del propietario del TPM incluye un hash criptográfico de la contraseña del propietario del TPM. Algunos comandos del TPM solo los puede ejecutar el propietario del TPM. Este hash autoriza al TPM a ejecutar estos comandos.
Importante
Para realizar copias de seguridad de la información del propietario del TPM desde un equipo que use Windows 10, Windows 8.1 o Windows 8, es posible que tengas que configurar primero las extensiones de esquema correspondientes y tener acceso a la configuración de control en el dominio para que la copia de seguridad de AD DS puede realizarse correctamente. Windows Server 2012 R2 y Windows Server 2012 incluyen las extensiones de esquema necesarias de manera predeterminada. Para obtener más información, consulta Extensiones de esquema de AD DS para admitir la copia de seguridad del TPM.
El TPM no puede usarse para proporcionar características de seguridad mejoradas para el cifrado de unidad BitLocker y otras aplicaciones sin establecer primero un propietario. Para tomar posesión del TPM con una contraseña de propietario, escribe en el símbolo del sistema de un equipo local tpm.msc para abrir la consola de administración del TPM y selecciona la acción para inicializar el TPM. Si la información del propietario del TPM se pierde o no está disponible, es posible realizar tareas de administración limitada del TPM mediante la ejecución de tpm.msc.
Si habilitas esta configuración de directiva, se realizará una copia de seguridad silenciosa y automática de la información del propietario del TPM en AD DS cuando uses Windows para establecer o cambiar una contraseña de propietario del TPM. Cuando se habilita esta configuración de directiva, no se podrá establecer ni cambiar la contraseña del propietario del TPM a menos que el equipo esté conectado al dominio y la copia de seguridad de AD DS se realice correctamente.
Si deshabilitas o no defines esta configuración de directiva, no se realizará la copia de seguridad en AD DS de la información del propietario del TPM.
Configurar la lista de comandos del TPM bloqueados
Esta configuración de directiva permite administrar la lista de directiva de comandos del módulo de plataforma segura (TPM) que están bloqueados por Windows.
Nota
Esta configuración de directiva se aplica a los sistemas operativos Windows que se muestran en la tabla de versiones.
Si habilitas esta configuración de directiva, Windows evitará que los comandos especificados se envíen al TPM en el equipo. Un número de comando hace referencia a los comandos del TPM. Por ejemplo, el comando número 129 es TPM_OwnerReadInternalPub y el comando número 170 es TPM_FieldUpgrade. Para buscar el número de comando que está asociado a cada comando del TPM, escribe tpm.msc en el símbolo del sistema para abrir la consola de administración del TPM y navegar a la sección Administración de comandos.
Si deshabilitas o no defines esta configuración de directiva, Windows podrá bloquear solo los comandos del TPM que se especifican a través de las listas locales o predeterminadas. La lista predeterminada de comandos del TPM bloqueados está preconfigurada en Windows.
Puedes ver la lista predeterminada escribiendo tpm.msc en el símbolo del sistema, desplazándote a la sección Administración de comandos y mostrando la columna En lista de bloqueo predeterminada.
La lista local de comandos del TPM bloqueados se configura fuera de la directiva de grupo mediante la ejecución de la consola de administración del TPM o la creación de scripts de la interfaz Win32_Tpm.
Para obtener información sobre cómo aplicar u omitir las listas predeterminada y locales de comandos del TPM bloqueados, consulta
Ignorar la lista predeterminada de comandos del TPM bloqueados
Ignorar la lista local de comandos del TPM bloqueados
Ignorar la lista predeterminada de comandos del TPM bloqueados
Esta configuración de directiva permite aplicar u omitir la lista predeterminada de comandos bloqueados del módulo de plataforma segura (TPM).
Nota
Esta configuración de directiva se aplica a los sistemas operativos Windows que se muestran en la tabla de versiones.
La lista predeterminada de comandos del TPM bloqueados está preconfigurada en Windows. Puedes ver la lista predeterminada escribiendo tpm.msc en el símbolo del sistema para abrir la consola de administración del TPM, desplazándote a la sección Administración de comandos y mostrando la columna En lista de bloqueo predeterminada. Consulta también la configuración de directiva relacionada, Configurar la lista de comandos del TPM bloqueados.
Si habilitas esta configuración de directiva, el sistema operativo Windows ignorará la lista predeterminada del equipo de comandos del TPM bloqueados y bloqueará solo los comandos del TPM especificados por la directiva de grupo o la lista local.
Si deshabilitas o no configuras esta configuración de directiva, Windows bloqueará los comandos del TPM de la lista predeterminada, además de los comandos especificados por la directiva de grupo y la lista local de comandos del TPM bloqueados.
Ignorar la lista local de comandos del TPM bloqueados
Esta configuración de directiva permite aplicar u omitir la lista local de comandos bloqueados del módulo de plataforma segura (TPM).
Nota
Esta configuración de directiva se aplica a los sistemas operativos Windows que se muestran en la tabla de versiones.
La lista local de comandos del TPM bloqueados se configura fuera de la directiva de grupo escribiendo tpm.msc en el símbolo del sistema para abrir la consola de administración del TPM, o bien creando scripts de la interfaz Win32_Tpm. (La lista predeterminada de comandos del TPM bloqueados está preconfigurada en Windows.) Consulta también la configuración de directiva para Configurar la lista de comandos del TPM bloqueados.
Si habilitas esta configuración de directiva, el sistema operativo Windows ignorará la lista local del equipo de comandos del TPM bloqueados y bloqueará solo los comandos del TPM especificados por la directiva de grupo o la lista predeterminada.
Si deshabilitas o no configuras esta configuración de directiva, Windows bloqueará los comandos del TPM de la lista local, además de los comandos especificados en la directiva de grupo y la lista predeterminada de comandos del TPM bloqueados.
Configurar el nivel de información de autorización del propietario del TPM disponible para el sistema operativo
Esta configuración de directiva configura la cantidad de información de autorización del propietario del TPM que se almacena en el registro del equipo local. Dependiendo de la cantidad de información de autorización del propietario del TPM que se almacena localmente, el sistema operativo Windows y aplicaciones basadas en el TPM podrán realizar determinadas acciones en el TPM que requieren la autorización del propietario del TPM sin tener que pedir al usuario que escriba la contraseña del propietario del TPM.
Nota
Esta configuración de directiva se aplica a los sistemas operativos Windows que se muestran en la tabla de versiones.
El sistema operativo Windows administra tres configuraciones de autenticación del propietario del TPM. Puedes elegir el valor Completo, Delegado o Ninguno.
Completo Esta configuración almacena en el registro local la autorización del propietario del TPM completa, el blob de delegación administrativa del TPM y el blob de delegación del usuario del TPM. Con esta configuración, puedes usar el TPM sin necesidad de almacenamiento remoto o externo del valor de autorización del propietario del TPM. Esta configuración es apropiada para escenarios que no requieren restablecer la lógica de protección contra ataques de repetición del TPM o cambiar el valor de autorización del propietario del TPM. Algunas aplicaciones basadas en el TPM pueden requerir que se cambie esta configuración para poder usar las características que dependen de la lógica de protección contra ataques de repetición del TPM.
Delegado Esta configuración almacena en el registro local solo el blob de delegación administrativa del TPM y el blob de delegación del usuario del TPM. Esta configuración se puede usar con aplicaciones basadas en el TPM que dependen de la lógica de protección contra ataques de repetición del TPM. Cuando uses esta configuración, te recomendamos que uses almacenamiento externo o remoto para el valor completo de autorización de propietario del TPM como, por ejemplo, al realizar la copia de seguridad del valor en los servicios de dominio de Active Directory (AD DS).
Ninguno Esta configuración proporciona compatibilidad con aplicaciones y sistemas operativos anteriores. También puedes usarla para escenarios en los que la autorización del propietario del TPM no se puede almacenar localmente. El uso de esta configuración podría causar problemas con algunas aplicaciones basadas en el TPM.
Nota
Si se cambia la configuración de la autenticación del TPM administrada por el sistema operativo de Completo a Delegado, se volverá a generar el valor de autorización del propietario del TPM completo y las copias del valor de autorización del propietario del TPM establecidas anteriormente dejarán de ser válidas. Si vas a realizar una copia de seguridad del valor de autorización del propietario del TPM en AD DS, el nuevo valor de autorización del propietario se copiará automáticamente en AD DS cuando se modifique.
Información del registro
Clave del registro: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\TPM
DWORD: OSManagedAuthLevel
La siguiente tabla muestra los valores de autorización del propietario del TPM en el registro.
| Datos de valor | Configuración |
|---|---|
0 |
Ninguno |
2 |
Delegado |
4 |
Completo |
Si habilitas esta configuración de directiva, el sistema operativo Windows almacenará la autorización del propietario del TPM en el registro del equipo local en función de la configuración de autenticación del TPM que elijas.
Si deshabilitas o no configuras esta configuración de directiva y la configuración de directiva Activar copia de seguridad del TPM en los Servicios de dominio de Active Directory está también deshabilitada o no configurada, la configuración predeterminada es la de almacenar el valor de autorización del TPM completo en el registro local. Si esta directiva está deshabilitada o no configurada y la configuración de directiva Activar copia de seguridad del TPM en los Servicios de dominio de Active Directory está habilitada, solo se almacenarán en el registro local la delegación administrativa y los blobs de delegación del usuario.
Duración del bloqueo de usuario estándar
Esta configuración de directiva permite administrar la duración en minutos para el recuento de errores de autorización de usuario estándar de los comandos de módulo de plataforma segura (TPM) que requieren autorización. Los errores de autorización se producen cada vez que un usuario estándar envía un comando al TPM y recibe una respuesta de error que indica que se ha producido un error de autorización. Los errores de autorización anteriores a la duración establecida se omitirán. Si el número de comandos del TPM con error de autorización de la duración del bloqueo es igual a un umbral, se impedirá que los usuarios estándar envíen comandos que requieran autorización en el TPM.
Nota
Esta configuración de directiva se aplica a los sistemas operativos Windows que se muestran en la tabla de versiones.
El TPM está diseñado para protegerse contra ataques de averiguación de contraseñas mediante la activación de un modo de bloqueo cuando recibe demasiados comandos con un valor de autorización incorrecto. Cuando el TPM entra en un modo de bloqueo, dicho modo es global para todos los usuarios (incluidos los administradores) y para las características de Windows como, por ejemplo, el cifrado de unidad de BitLocker.
El número de errores de autorización que permite el TPM y el tiempo que este permanecerá bloqueado varía según el fabricante del TPM. Algunos TPM pueden entran en modo de bloqueo durante periodos más prolongados, con menos errores de autorización en función de los errores pasados. Algunos TPM pueden requerir el reinicio del sistema para salir del modo de bloqueo. Otros TPM pueden requerir que el sistema esté encendido el tiempo suficiente para que transcurran los ciclos de tiempo y, de este modo, desactivar el modo de bloqueo del TPM.
Esta configuración ayuda a los administradores a impedir que el hardware del TPM entre en modo de bloqueo al reducir la velocidad a la que los usuarios estándar pueden enviar al TPM comandos que requieran autorización.
Se aplican dos umbrales para cada usuario estándar. Si se superan ambos umbrales, el usuario no podrá enviar al TPM comandos que requieran autorización. Usa la siguiente configuración de directiva para establecer la duración del bloqueo:
Umbral de bloqueo individual de usuario estándar Este valor es el número máximo de errores de autorización que puede tener cada usuario estándar antes de que no puedan enviar al TPM comandos que requieren autorización.
Umbral de bloqueos totales del usuario estándar Este valor es el número máximo total de errores de autorización que pueden tener todos los usuarios estándar antes de que todos los usuarios estándar no puedan enviar al TPM comandos que requieren autorización.
Un administrador con la contraseña de propietario del TPM puede restablecer completamente lógica de bloqueo de hardware del TPM mediante la consola de administración del TPM (tpm.msc). Cada vez que un administrador restablece la lógica de bloqueo de hardware del TPM, se omitirán todos los errores de autorización del TPM anteriores de los usuarios estándar. Esto permite a los usuarios estándar usar inmediatamente el TPM con normalidad.
Si no defines esta configuración de directiva, se usará un valor predeterminado de 480 minutos (8 horas).
Umbral de bloqueos individuales del usuario estándar
Esta configuración de directiva permite administrar el número máximo de errores de autorización para cada usuario estándar para el módulo de plataforma segura (TPM). Este valor es el número máximo de errores de autorización que puede tener cada usuario estándar antes de que no puedan enviar al TPM comandos que requieren autorización. Si el número de errores de autorización del usuario registrados durante el periodo establecido para la directiva Duración de bloqueo de usuario estándar es igual a este valor, se impedirá al usuario estándar el envío de comandos que requieran la autorización al módulo de plataforma segura (TPM).
Nota
Esta configuración de directiva se aplica a los sistemas operativos Windows que se muestran en la tabla de versiones.
Esta configuración ayuda a los administradores a impedir que el hardware del TPM entre en modo de bloqueo al reducir la velocidad a la que los usuarios estándar pueden enviar al TPM comandos que requieran autorización.
Los errores de autorización se producen cada vez que un usuario estándar envía un comando al TPM y recibe una respuesta de error para indicar que se ha producido un error de autorización. Los errores de autorización anteriores al periodo de duración se ignorarán.
Un administrador con la contraseña de propietario del TPM puede restablecer completamente lógica de bloqueo de hardware del TPM mediante la consola de administración del TPM (tpm.msc). Cada vez que un administrador restablece la lógica de bloqueo de hardware del TPM, se omitirán todos los errores de autorización del TPM anteriores de los usuarios estándar. Esto permite a los usuarios estándar usar inmediatamente el TPM con normalidad.
Si no configura esta directiva, se usará un valor predeterminado de 4. Un valor de cero significa que el sistema operativo no permitirá que los usuarios estándar envíen comandos al TPM, lo que podría provocar un error de autorización.
Umbral de bloqueos totales del usuario estándar
Esta configuración de directiva permite administrar el número máximo de errores de autorización para todos los usuarios estándar para el módulo de plataforma segura (TPM). Si el número total de errores de autorización de todos los usuarios estándar registrados durante el periodo establecido para la directiva Duración de bloqueo de usuario estándar es igual a este valor, se impedirá a todos los usuarios estándar el envío de comandos que requieran la autorización al módulo de plataforma segura (TPM).
Nota
Esta configuración de directiva se aplica a los sistemas operativos Windows que se muestran en la tabla de versiones.
Esta configuración ayuda a los administradores a impedir que el hardware del TPM entre en modo de bloqueo, ya que reduce la velocidad a la que los usuarios estándar pueden enviar al TPM comandos que requieran autorización.
Los errores de autorización se producen cada vez que un usuario estándar envía un comando al TPM y recibe una respuesta de error para indicar que se ha producido un error de autorización. Los errores de autorización anteriores al periodo de duración se ignorarán.
Se aplican dos umbrales para cada usuario estándar. Si se superan ambos umbrales, el usuario estándar no podrá enviar al TPM comandos que requieran autorización.
El valor de bloqueo individual de usuario estándar es el número máximo de errores de autorización que puede tener cada usuario estándar antes de que no puedan enviar al TPM comandos que requieren autorización.
El umbral de bloqueo total de usuario estándar es el número máximo total de errores de autorización que pueden tener todos los usuarios estándar antes de que todos los usuarios estándar no puedan enviar al TPM comandos que requieren autorización.
El TPM está diseñado para protegerse contra ataques de averiguación de contraseñas mediante la activación de un modo de bloqueo cuando recibe demasiados comandos con un valor de autorización incorrecto. Cuando el TPM entra en un modo de bloqueo, dicho modo es global para todos los usuarios (incluidos los administradores) y para las características de Windows como, por ejemplo, el cifrado de unidad de BitLocker.
El número de errores de autorización que permite el TPM y el tiempo que este permanecerá bloqueado varía según el fabricante del TPM. Algunos TPM pueden entran en modo de bloqueo durante periodos más prolongados, con menos errores de autorización en función de los errores pasados. Algunos TPM pueden requerir el reinicio del sistema para salir del modo de bloqueo. Otros TPM pueden requerir que el sistema esté encendido el tiempo suficiente para que transcurran los ciclos de tiempo y, de este modo, desactivar el modo de bloqueo del TPM.
Un administrador con la contraseña de propietario del TPM puede restablecer completamente lógica de bloqueo de hardware del TPM mediante la consola de administración del TPM (tpm.msc). Cada vez que un administrador restablece la lógica de bloqueo de hardware del TPM, se omitirán todos los errores de autorización del TPM anteriores de los usuarios estándar. Esto permite a los usuarios estándar usar inmediatamente el TPM con normalidad.
Si no configura esta directiva, se usará un valor predeterminado de 9. Un valor de cero significa que el sistema operativo no permitirá que los usuarios estándar envíen comandos al TPM, lo que podría provocar un error de autorización.
Recursos adicionales
Información general sobre la tecnología del módulo de plataforma segura
Cmdlets del TPM en Windows PowerShell
Preparación de la organización para BitLocker: planeación y directivas, configuraciones del TPM