Compartir a través de


Configuración de directiva de grupo del TPM

En este artículo se describen los servicios del módulo de plataforma segura (TPM) que se pueden controlar de forma centralizada mediante la configuración de directiva de grupo. La configuración de la directiva de grupo para los servicios TPM se encuentra en Configuración> del equipoPlantillas> administrativas SystemTrusted Platform Module Services(Servicios de módulo de plataforma segura delsistema>).

Configuración de la lista de comandos de TPM bloqueados

Esta configuración de directiva le permite administrar la lista de directivas de grupo de comandos del Módulo de plataforma segura (TPM) bloqueados por Windows.

Si habilita esta configuración de directiva, Windows impide que los comandos especificados se envíen al TPM en el equipo. Un número de comando hace referencia a los comandos de TPM. Por ejemplo, el número de 129 comando es TPM_OwnerReadInternalPuby el número de 170 comando es TPM_FieldUpgrade.

Si deshabilita o no establece esta configuración de directiva, Windows solo puede bloquear los comandos de TPM especificados a través de las listas locales o predeterminadas. Windows preconfigura la lista predeterminada de comandos de TPM bloqueados. Para ver la lista predeterminada, ejecute tpm.msc, vaya a la sección "Administración de comandos" y haga visible la columna "En lista de bloqueos predeterminada". La lista local de comandos de TPM bloqueados se configura fuera de la directiva de grupo mediante la ejecución tpm.msc o mediante scripting en la interfaz de Win32_Tpm.

Configurar el sistema para borrar el TPM si no está en un estado listo

Esta configuración de directiva configura el sistema para pedir al usuario que borre el TPM si se detecta que el TPM está en cualquier estado distinto de Listo. Esta directiva solo surte efecto si el TPM del sistema está en un estado distinto de Listo, incluido si el TPM está "Listo, con funcionalidad reducida". El mensaje para borrar el TPM comenzará a producirse después del siguiente reinicio, solo cuando el usuario inicie sesión si el usuario que ha iniciado sesión forma parte del grupo Administradores del sistema. El aviso se puede descartar, pero volverá a aparecer después de cada reinicio e inicio de sesión hasta que la directiva esté deshabilitada o hasta que el TPM esté en estado Listo.

Omitir la lista predeterminada de comandos de TPM bloqueados

Esta configuración de directiva permite aplicar o omitir la lista local del equipo de comandos bloqueados del módulo de plataforma segura (TPM).

Si habilita esta configuración de directiva, Windows omite la lista local del equipo de comandos TPM bloqueados y solo bloqueará los comandos de TPM especificados por la directiva de grupo o la lista predeterminada.

La lista local de comandos de TPM bloqueados se configura fuera de la directiva de grupo mediante la ejecución tpm.msc o mediante scripting en la Win32_Tpm interfaz. Windows preconfigura la lista predeterminada de comandos de TPM bloqueados. Consulte la configuración de directiva relacionada para configurar la lista de directivas de grupo de comandos tpm bloqueados.

Si deshabilita o no configura esta configuración de directiva, Windows bloquea los comandos de TPM que se encuentran en la lista local, además de los comandos de la directiva de grupo y las listas predeterminadas de comandos tpm bloqueados.

Omitir la lista local de comandos de TPM bloqueados

Esta configuración de directiva configura la cantidad de información de autorización del propietario de TPM almacenada en el registro del equipo local. En función de la cantidad de información de autorización del propietario de TPM almacenada localmente, el sistema operativo y las aplicaciones basadas en TPM pueden realizar determinadas acciones de TPM, que requieren autorización del propietario de TPM sin necesidad de que el usuario escriba la contraseña de propietario de TPM.

Puede elegir que el sistema operativo almacene el valor de autorización de propietario de TPM completo, el blob de delegación administrativa de TPM más el blob de delegación de usuarios de TPM o ninguno.

Si habilita esta configuración de directiva, Windows almacena la autorización del propietario del TPM en el registro del equipo local según la configuración de autenticación de TPM administrada por el sistema operativo que elija.

Elija la configuración de autenticación de TPM administrada por el sistema operativo de "Full" para almacenar la autorización completa del propietario de TPM, el blob de delegación administrativa de TPM y el blob de delegación de usuarios de TPM en el registro local. Esta configuración permite el uso del TPM sin necesidad de almacenamiento remoto o externo del valor de autorización del propietario del TPM. Esta configuración es adecuada para escenarios, que no dependen de la prevención del restablecimiento de la lógica anti-martillamiento de TPM ni de cambiar el valor de autorización del propietario de TPM. Es posible que algunas aplicaciones basadas en TPM requieran que esta configuración se cambie antes de que se puedan usar las características, que dependen de la lógica contra el martillo de TPM.

Elija la configuración de autenticación de TPM administrada por el sistema operativo de "Delegado" para almacenar solo el blob de delegación administrativa de TPM y el blob de delegación de usuarios de TPM en el registro local. Esta configuración es adecuada para su uso con aplicaciones basadas en TPM que dependen de la lógica contra el martillo de TPM.

Elija la configuración de autenticación de TPM administrada por el sistema operativo de "Ninguno" para la compatibilidad con sistemas operativos y aplicaciones anteriores o para su uso con escenarios que requieren que la autorización del propietario de TPM no se almacene localmente. El uso de esta configuración puede causar problemas con algunas aplicaciones basadas en TPM.

Nota

Si la configuración de autenticación de TPM administrada por el sistema operativo cambia de "Completo" a "Delegado", se vuelve a generar el valor de autorización de propietario de TPM completo y se invalidan las copias del valor de autorización de propietario de TPM original.

Configuración del nivel de información de autorización del propietario de TPM disponible para el sistema operativo

Importante

A partir de la versión 1703 de Windows 10, el valor predeterminado es 5. Este valor se implementa durante el aprovisionamiento para que otro componente de Windows pueda eliminarlo o asumir su propiedad, en función de la configuración del sistema. Para TPM 2.0, un valor de 5 significa mantener la autorización de bloqueo. Para TPM 1.2, significa descartar la autorización completa del propietario de TPM y conservar solo la autorización delegada.

Esta configuración de directiva configuró qué valores de autorización de TPM se almacenan en el registro del equipo local. Se requieren determinados valores de autorización para permitir que Windows realice ciertas acciones.

Valor de TPM 1.2 Valor de TPM 2.0 Propósito ¿Se mantiene en el nivel 0? ¿Se mantiene en el nivel 2? ¿Se mantiene en el nivel 4?
OwnerAuthAdmin StorageOwnerAuth Creación de SRK No
OwnerAuthEndorsement EndorsementAuth Creación o uso de EK (solo 1.2: Creación de AIK) No
OwnerAuthFull LockoutAuth Restablecer o cambiar la protección contra ataques del diccionario No No

Hay tres configuraciones de autenticación de propietario de TPM administradas por el sistema operativo Windows. Puede elegir un valor de Full, Delegate o None.

  • Completo: esta configuración almacena la autorización completa del propietario de TPM, el blob de delegación administrativa de TPM y el blob de delegación de usuarios de TPM en el registro local. Con esta configuración, puede usar el TPM sin necesidad de almacenamiento remoto o externo del valor de autorización del propietario del TPM. Esta configuración es adecuada para escenarios que no requieren que restablezca la lógica de anti-martillo de TPM o cambie el valor de autorización del propietario de TPM. Es posible que algunas aplicaciones basadas en TPM requieran que esta configuración se cambie antes de que se puedan usar características que dependen de la lógica contra el martillo de TPM. La autorización de propietario completo en TPM 1.2 es similar a la autorización de bloqueo en TPM 2.0. La autorización de propietario tiene un significado diferente para TPM 2.0.

  • Delegado: esta configuración almacena solo el blob de delegación administrativa de TPM y el blob de delegación de usuarios de TPM en el registro local. Esta configuración es adecuada para su uso con aplicaciones basadas en TPM que dependen de la lógica de anti-martillo de TPM. Esta es la configuración predeterminada en Windows anterior a la versión 1703.

  • Ninguno: esta configuración proporciona compatibilidad con sistemas operativos y aplicaciones anteriores. También puede usarlo en escenarios en los que la autorización del propietario de TPM no se puede almacenar localmente. El uso de esta configuración puede causar problemas con algunas aplicaciones basadas en TPM.

Nota

Si la configuración de autenticación de TPM administrada por el sistema operativo cambia de Completo a Delegado, se volverá a generar el valor de autorización de propietario de TPM completo y cualquier copia del valor de autorización de propietario de TPM establecido anteriormente no será válido.

Información del Registro

Clave del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\TPM DWORD: OSManagedAuthLevel

En la tabla siguiente se muestran los valores de autorización del propietario de TPM en el Registro.

Datos de valor Configuración
0 Ninguna
2 Delegado
4 Completo

Si habilita esta configuración de directiva, el sistema operativo Windows almacena la autorización del propietario del TPM en el registro del equipo local según la configuración de autenticación de TPM que elija.

En Windows 10 anterior a la versión 1607, si deshabilita o no configura esta configuración de directiva y la opción Activar la copia de seguridad de TPM en Active Directory Domain Services también está deshabilitada o no configurada, la configuración predeterminada es almacenar el valor de autorización de TPM completo en el Registro local. Si esta directiva está deshabilitada o no está configurada y la opción Activar la copia de seguridad de TPM en Active Directory Domain Services está habilitada, solo la delegación administrativa y los blobs de delegación de usuarios se almacenan en el registro local.

Duración estándar del bloqueo de usuario

Esta configuración de directiva le permite administrar la duración en minutos para contar errores de autorización de usuario estándar para los comandos del Módulo de plataforma segura (TPM) que requieren autorización. Un error de autorización se produce cada vez que un usuario estándar envía un comando al TPM y recibe una respuesta de error que indica que se produjo un error de autorización. Se omiten los errores de autorización anteriores a la duración establecida. Si el número de comandos de TPM con un error de autorización dentro de la duración del bloqueo es igual a un umbral, se impide que un usuario estándar envíe comandos que requieran autorización al TPM.

El TPM está diseñado para protegerse contra ataques de adivinación de contraseñas al entrar en un modo de bloqueo de hardware cuando recibe demasiados comandos con un valor de autorización incorrecto. Cuando el TPM entra en modo de bloqueo, es global para todos los usuarios (incluidos los administradores) y para las características de Windows, como el cifrado de unidad bitlocker.

Esta configuración ayuda a los administradores a evitar que el hardware de TPM entre en un modo de bloqueo al ralentizar la velocidad a la que los usuarios estándar pueden enviar comandos que requieren autorización al TPM.

Para cada usuario estándar, se aplican dos umbrales. Superar cualquiera de los umbrales impide que el usuario envíe un comando que requiera autorización al TPM. Use la siguiente configuración de directiva para establecer la duración del bloqueo:

  • Umbral de bloqueo individual de usuario estándar: este valor es el número máximo de errores de autorización que puede tener cada usuario estándar antes de que el usuario no pueda enviar comandos que requieran autorización al TPM.
  • Umbral de bloqueo total de usuario estándar: este valor es el número total máximo de errores de autorización que pueden tener todos los usuarios estándar antes de que todos los usuarios estándar no puedan enviar comandos que requieran autorización al TPM.

Un administrador con la contraseña de propietario del TPM puede restablecer completamente la lógica de bloqueo de hardware del TPM mediante el Centro de seguridad de Windows Defender. Cada vez que un administrador restablece la lógica de bloqueo de hardware del TPM, se omiten todos los errores de autorización de TPM de usuario estándar anteriores. Esto permite a los usuarios estándar usar inmediatamente el TPM normalmente.

Si no configura esta configuración de directiva, se usa un valor predeterminado de 480 minutos (8 horas).

Umbral de bloqueo individual de usuario estándar

Esta configuración de directiva le permite administrar el número máximo de errores de autorización para cada usuario estándar para el módulo de plataforma segura (TPM). Este valor es el número máximo de errores de autorización que puede tener cada usuario estándar antes de que el usuario no pueda enviar comandos que requieran autorización al TPM. Si el número de errores de autorización para el usuario dentro de la duración establecida para la configuración de la directiva Duración de bloqueo de usuario estándar es igual a este valor, se impide que el usuario estándar envíe comandos que requieran autorización al módulo de plataforma segura (TPM).

Esta configuración ayuda a los administradores a evitar que el hardware de TPM entre en un modo de bloqueo al ralentizar la velocidad a la que los usuarios estándar pueden enviar comandos que requieren autorización al TPM.

Un error de autorización se produce cada vez que un usuario estándar envía un comando al TPM y recibe una respuesta de error que indica que se produjo un error de autorización. Se omiten los errores de autorización anteriores a la duración.

Un administrador con la contraseña de propietario del TPM puede restablecer completamente la lógica de bloqueo de hardware del TPM mediante el Centro de seguridad de Windows Defender. Cada vez que un administrador restablece la lógica de bloqueo de hardware del TPM, se omiten todos los errores de autorización de TPM de usuario estándar anteriores. Esto permite a los usuarios estándar usar inmediatamente el TPM normalmente.

Si no configura esta configuración de directiva, se usa un valor predeterminado de 4. Un valor de cero significa que el sistema operativo no permitirá que los usuarios estándar envíen comandos al TPM, lo que podría provocar un error de autorización.

Umbral de bloqueo total de usuario estándar

Esta configuración de directiva le permite administrar el número máximo de errores de autorización para todos los usuarios estándar para el módulo de plataforma segura (TPM). Si el número total de errores de autorización para todos los usuarios estándar dentro de la duración establecida para la directiva Duración de bloqueo de usuario estándar es igual a este valor, se impide que todos los usuarios estándar envíen comandos que requieran autorización al Módulo de plataforma segura (TPM).

Esta configuración ayuda a los administradores a evitar que el hardware de TPM entre en un modo de bloqueo porque ralentiza la velocidad que los usuarios estándar pueden enviar comandos que requieren autorización al TPM.

Un error de autorización se produce cada vez que un usuario estándar envía un comando al TPM y recibe una respuesta de error que indica que se produjo un error de autorización. Se omiten los errores de autorización anteriores a la duración.

Un administrador con la contraseña de propietario del TPM puede restablecer completamente la lógica de bloqueo de hardware del TPM mediante el Centro de seguridad de Windows Defender. Cada vez que un administrador restablece la lógica de bloqueo de hardware del TPM, se omiten todos los errores de autorización de TPM de usuario estándar anteriores. Esto permite a los usuarios estándar usar inmediatamente el TPM normalmente.

Si no configura esta configuración de directiva, se usa un valor predeterminado de 9. Un valor de cero significa que el sistema operativo no permitirá que los usuarios estándar envíen comandos al TPM, lo que podría provocar un error de autorización.

Configuración del sistema para usar la configuración de parámetros heredados de prevención de ataques de diccionario para TPM 2.0

Introducida en Windows 10, versión 1703, esta configuración de directiva configura el TPM para usar los parámetros de prevención de ataques de diccionario (umbral de bloqueo y tiempo de recuperación) en los valores que se usaron para Windows 10 versión 1607 y versiones posteriores.

Importante

La configuración de esta directiva solo surtirá efecto si:

  • El TPM se preparó originalmente con una versión de Windows después de La versión 1607 de Windows 10
  • El sistema tiene un TPM 2.0.

Nota

La habilitación de esta directiva solo surtirá efecto después de que se ejecute la tarea de mantenimiento de TPM (lo que suele ocurrir después de reiniciar el sistema). Una vez que esta directiva se ha habilitado en un sistema y ha surtido efecto (después de reiniciar el sistema), deshabilitarla no tendrá ningún impacto y el TPM del sistema permanecerá configurado mediante los parámetros heredados Dictionary Attack Prevention, independientemente del valor de esta directiva de grupo. Las únicas maneras de que la configuración deshabilitada de esta directiva surtan efecto en un sistema en el que se ha habilitado una vez son las siguientes:

  • Deshabilite la directiva de grupo
  • Borrar el TPM en el sistema

Configuración de directiva de grupo de TPM en Seguridad de Windows

Puede cambiar lo que ven los usuarios sobre TPM en Seguridad de Windows. La configuración de directiva de grupo del área TPM de Seguridad de Windows se encuentra en Configuración >del equipoPlantillas> administrativasComponentes de Windows Seguridad>del dispositivode seguridad> de Windows.

Deshabilitar el botón Borrar TPM

Si no quieres que los usuarios puedan seleccionar el botón Borrar TPM en Seguridad de Windows, puedes deshabilitarlo con esta configuración de directiva de grupo. Seleccione Habilitado para que el botón Borrar TPM no esté disponible para su uso.

Ocultar la recomendación de actualización de firmware de TPM

Si no quiere que los usuarios vean la recomendación de actualizar el firmware de TPM, puede deshabilitarlo con esta configuración. Seleccione Habilitado para evitar que los usuarios vean una recomendación para actualizar el firmware de TPM cuando se detecte un firmware vulnerable.