Información general sobre la tecnología del módulo de plataforma segura
Este tema para profesionales de TI ofrece información sobre el módulo de plataforma segura (TPM) y sobre cómo lo usa Windows para el control del acceso y la autenticación. El tema proporciona vínculos a otros recursos sobre el TPM.
Descripción de la característica
La tecnología del módulo de plataforma segura (TPM) está diseñada para proporcionar funciones de seguridad basadas en el hardware. El chip del TPM es un procesador de criptografía seguro diseñado para realizar operaciones criptográficas. El chip incluye varios mecanismos de seguridad física que hacen que sea resistente a las alteraciones y que las funciones de seguridad no permitan que el software malintencionado realice alteraciones. Algunas de las principales ventajas de usar la tecnología TPM son que permiten:
Generar, almacenar y limitar el uso de claves criptográficas.
Usar la tecnología del TPM para la autenticación de dispositivos de plataforma mediante el uso de la clave RSA exclusiva del TPM, que se grabará en sí misma.
Garantizar la integridad de la plataforma llevando y almacenando medidas de seguridad.
Las funciones de TPM más comunes se usan para las medidas de integridad del sistema y para la creación y el uso de las claves. Durante el proceso de arranque de un sistema, es posible medir y registrar en el TPM el código de arranque que se carga (incluido el firmware y los componentes del sistema operativo). Las mediciones de integridad se pueden usar como prueba de cómo se inició un sistema y para asegurarse de que la clave basada en el TPM se usó solo cuando se usó el software adecuado para arrancar el sistema.
Las claves basadas en el TPM se pueden configurar de varias maneras. Una opción consiste en hacer que una clave de TPM no esté disponible fuera del TPM. Esto se recomienda para mitigar los ataques de suplantación de identidad, ya que impide que se pueda copiar y usar la clave sin el TPM. Las claves basadas en el TPM también se pueden configurar para requerir un valor de autorización a la hora de usarlas. Si se producen demasiados intentos de autorización incorrectos, el TPM activa su lógica de ataques de diccionario y evita más intentos de autorización.
Las especificaciones de Trusted Computing Group (TCG) definen varias versiones del TPM. Para obtener más información, consulta el sitio web de TCG (http://www.trustedcomputinggroup.org/developers/trusted_platform_module).
Windows puede aprovisionar y administrar el TPM automáticamente. La configuración de directiva de grupo puede configurarse para controlar si se realiza una copia de seguridad del valor de autorización del propietario del TPM en Active Directory. Dado que el estado TPM se mantiene durante las instalaciones de sistema operativo, la información de TPM se almacena en una ubicación en Active Directory independiente de los objetos del equipo. En función de los objetivos de seguridad de la empresa, la directiva de grupo puede configurarse para permitir o impedir que los administradores locales restablezcan la lógica de ataques de diccionario del TPM. Los usuarios estándar pueden usar el TPM, pero los controles de directiva de grupo limitan el número de intentos de autorización erróneos de los usuarios estándar para evitar que un solo usuario pueda impedir que otros usuarios o el administrador puedan usar el TPM. La tecnología del TPM también puede usarse como tarjeta inteligente virtual y para el almacenamiento seguro de certificados. Con el desbloqueo de BitLocker en red, los equipos unidos a un dominio no tendrán que especificar el PIN de BitLocker.
Aplicaciones prácticas
Los certificados pueden instalarse o crearse en equipos que usan el TPM. Tras aprovisionar un equipo, la clave privada RSA de un certificado se enlaza al TPM y no se puede exportar. El TPM también puede usarse como sustituto de las tarjetas inteligentes, lo que reduce los costos asociados a la creación y al desembolso de las tarjetas inteligentes.
El aprovisionamiento automático en el TPM también reduce el costo de la implementación del TPM en una empresa. Las nuevas API de administración del TPM pueden determinar si las acciones de aprovisionamiento del TPM requieren presencia física de un técnico de servicio para aprobar las solicitudes de cambio de estado del TPM durante el proceso de arranque.
Los software antimalware pueden usar las mediciones de arranque del estado de inicio del sistema operativo para garantizar la integridad de un equipo que ejecute Windows 10, Windows 8.1, Windows 8, Windows Server 2012 R2 o Windows Server 2012. Estas mediciones incluyen el lanzamiento de Hyper-V para probar que los centros de datos que usan la virtualización no están ejecutando hipervisores que no sean de confianza. Con el desbloqueo de BitLocker en red, los administradores de TI pueden enviar una actualización sin preocuparse por que un equipo esté a la espera de la especificación del PIN.
El TPM cuenta con varias configuraciones de directiva de grupo que se pueden usar para administrar cómo se usa. Dicha configuración puede usarse para administrar el valor de autorización del propietario, los comandos de TPM bloqueados, el bloqueo del usuario estándar y la copia de seguridad del TPM en AD DS. Para obtener más información, consulta Configuración de directiva de grupo de los servicios del módulo de plataforma de confianza.
Funcionalidades nuevas y modificadas
Para obtener más información sobre las funcionalidades nuevas y modificadas del Módulo de plataforma segura de Windows 10, consulta Novedades en el Módulo de plataforma segura.
Certificación de estado del dispositivo
La Certificación de estado del dispositivo permite a las empresas establecer la confianza en función de los componentes de hardware y software de un dispositivo administrado. Con la Certificación de estado del dispositivo, puede configurar un servidor MDM para consultar un servicio de certificación de salud que permita o deniegue el acceso del dispositivo administrado a un recurso seguro.
Algunos aspectos que puede comprobar en el dispositivo:
- ¿La prevención de ejecución de datos está admitida y habilitada?
- ¿El cifrado de unidad BitLocker está admitido y habilitado?
- ¿El arranque seguro está admitido y habilitado?
Nota El dispositivo debe estar ejecutando Windows 10 y debe admitir al menos TPM 2.0.
Versiones compatibles
| Versión de TPM | Windows 10 | Windows Server 2012 R2, Windows 8.1 y Windows RT | Windows Server 2012, Windows 8 y Windows RT | Windows Server 2008 R2 y Windows 7 |
|---|---|---|---|---|
TPM 1.2 |
X |
X |
X |
X |
TPM 2.0 |
X |
X |
X |
X |
Recursos adicionales
Configuración de directivas de grupo del TPM
Cmdlets del TPM en Windows PowerShell
Extensiones de esquema de AD DS para admitir la copia de seguridad del TPM
Preparación de la organización para BitLocker: planeación y directivas, configuraciones del TPM