Información general sobre la tecnología del Módulo de plataforma segura
En este artículo se describe el módulo de plataforma segura (TPM) y cómo Windows lo usa para el control de acceso y la autenticación.
Descripción de la característica
La tecnología módulo de plataforma segura (TPM) está diseñada para proporcionar funciones relacionadas con la seguridad basadas en hardware. Un chip TPM es un procesador criptográfico seguro diseñado para llevar a cabo operaciones criptográficas. El chip incluye varios mecanismos de seguridad físicos para que sea resistente a alteraciones y el software malintencionado no pueda alterar las funciones de seguridad del TPM. Algunas de las ventajas de usar la tecnología TPM son:
- Generar, almacenar y limitar el uso de claves criptográficas.
- Úsela para la autenticación de dispositivos mediante la clave RSA única del TPM, que se graba en el chip.
- Ayude a garantizar la integridad de la plataforma mediante la toma y el almacenamiento de medidas de seguridad del proceso de arranque.
Las funciones de TPM más comunes se usan para las medidas de integridad del sistema y para la creación y el uso de las claves. Durante el proceso de arranque de un sistema, es posible medir y registrar en el TPM el código de arranque que se carga (incluido el firmware y los componentes del sistema operativo). Las mediciones de integridad se pueden usar como prueba de cómo se inició un sistema y para asegurarse de que la clave basada en el TPM se usó solo cuando se usó el software adecuado para arrancar el sistema.
Las claves basadas en TPM se pueden configurar de varias maneras. Una opción consiste en hacer que una clave de TPM no esté disponible fuera del TPM. Esto se recomienda para mitigar los ataques de suplantación de identidad, ya que impide que se pueda copiar y usar la clave sin el TPM. Las claves basadas en el TPM también se pueden configurar para requerir un valor de autorización a la hora de usarlas. Si se producen demasiadas estimaciones de autorización incorrectas, el TPM activa su lógica de ataque de diccionario e impide que se acierte más estimaciones de valor de autorización.
Las especificaciones de Trusted Computing Group (TCG) definen varias versiones del TPM. Para obtener más información, consulte el sitio web de TCG.
Requisitos de licencia y de la edición de Windows
En la tabla siguiente se enumeran las ediciones de Windows que admiten el módulo de plataforma segura (TPM):
Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
---|---|---|---|
Sí | Sí | Sí | Sí |
Los derechos de licencia del Módulo de plataforma segura (TPM) se conceden mediante las siguientes licencias:
Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
---|---|---|---|---|
Sí | Sí | Sí | Sí | Sí |
Se puede obtener más información sobre las licencias de Windows en Información general sobre las licencias de Windows.
Inicialización automática del TPM con Windows
A partir de Windows 10 y Windows 11, el sistema operativo se inicializa automáticamente y toma posesión del TPM. Esto significa que, en la mayoría de los casos, se recomienda evitar la configuración del TPM mediante la consola de administración del TPM, TPM.msc. Existen algunas excepciones, principalmente relacionadas con el restablecimiento o la realización de una instalación limpia en un equipo. Para obtener más información, consulte Borrar todas las claves del TPM.
Nota
Ya no estamos desarrollando activamente la consola de administración de TPM a partir de Windows Server 2019 y Windows 10, versión 1809.
En determinados escenarios empresariales específicos limitados a Windows 10, versión 1507 y 1511, la directiva de grupo puede usarse para realizar una copia de seguridad del valor de autorización del propietario de TPM en Active Directory. Dado que el estado TPM se mantiene durante las instalaciones de sistema operativo, esta información de TPM se almacena en una ubicación en Active Directory independiente de los objetos del equipo.
Aplicaciones prácticas
Los certificados pueden instalarse o crearse en equipos que usan el TPM. Una vez aprovisionado un equipo, la clave privada RSA de un certificado está enlazada al TPM y no se puede exportar. El TPM también puede usarse como sustituto de las tarjetas inteligentes, lo que reduce los costos asociados a la creación y al desembolso de las tarjetas inteligentes.
El aprovisionamiento automático en el TPM también reduce el costo de la implementación del TPM en una empresa. Las nuevas API de administración del TPM pueden determinar si las acciones de aprovisionamiento del TPM requieren presencia física de un técnico de servicio para aprobar las solicitudes de cambio de estado del TPM durante el proceso de arranque.
El software antimalware puede usar las medidas de arranque del estado de inicio del sistema operativo para demostrar la integridad de un equipo que ejecuta Windows. Estas medidas incluyen el inicio de Hyper-V para probar que los centros de datos que usan la virtualización no ejecutan hipervisores que no son de confianza. Con el desbloqueo de BitLocker en red, los administradores de TI pueden enviar una actualización sin preocuparse por que un equipo esté a la espera de la especificación del PIN.
El TPM tiene varias configuraciones de directiva de grupo que pueden resultar útiles en ciertos escenarios de empresa. Para obtener más información, consulta Configuración de directivas de grupo del TPM.
Atestación de estado del dispositivo
La Certificación de estado del dispositivo permite a las empresas establecer la confianza en función de los componentes de hardware y software de un dispositivo administrado. Con la atestación del estado del dispositivo, puede configurar un servidor MDM para consultar un servicio de atestación de estado que permita o deniegue el acceso de un dispositivo administrado a un recurso seguro.
Algunos problemas de seguridad que puede comprobar en los dispositivos incluyen:
- ¿La prevención de ejecución de datos está admitida y habilitada?
- ¿El cifrado de unidad BitLocker está admitido y habilitado?
- ¿El arranque seguro está admitido y habilitado?
Nota
Windows admite la atestación de estado del dispositivo con TPM 2.0. TPM 2.0 requiere firmware UEFI. Un dispositivo con BIOS y TPM 2.0 heredados no funcionará según lo previsto.
Versiones admitidas para la atestación de estado del dispositivo
Versión de TPM | Windows 11 | Windows 10 | Windows Server 2022 | Windows Server 2019 | Windows Server 2016 |
---|---|---|---|---|---|
TPM 1.2 | >= ver 1607 | Sí | >= ver 1607 | ||
TPM 2.0 | Sí | Sí | Sí | Sí | Sí |