Compartir a través de

Bloqueo de comandos

  • Artículo

Para conservar la integridad de las operaciones, el software no puede ejecutar determinados comandos de TPM en la plataforma. Por ejemplo, algunos comandos solo se ejecutan mediante software del sistema. Cuando el TBS bloquea un comando, se devuelve un error según corresponda. De forma predeterminada, el TBS bloquea los comandos que podrían afectar a la privacidad, la seguridad y la estabilidad del sistema. El TBS también supone que otras partes de la pila de software pueden restringir el acceso a determinados comandos a entidades autorizadas.

En el caso de los comandos de TPM versión 1.2, hay tres listas de comandos bloqueados: una lista controlada por la directiva de grupo, una lista controlada por administradores locales y una lista predeterminada. Si se encuentra en cualquiera de las listas, se bloquea un comando de TPM. Sin embargo, hay marcas de directiva de grupo para permitir que TBS omita la lista local y la lista predeterminada. Las marcas de directiva de grupo se pueden editar directamente o acceder a ellas a través del Editor de objetos de directiva de grupo.

Nota

La lista de comandos bloqueados localmente no se conserva después de una actualización al sistema operativo. Se conservan los comandos bloqueados en la lista de directiva de grupo.

 

En el caso de los comandos de TPM versión 2.0, la lógica de bloqueo se invierte; usa una lista de comandos permitidos. Esta lógica bloqueará automáticamente los comandos que no se conocían cuando se realizó la lista por primera vez. Cuando se agregan comandos a la especificación de TPM después de que se haya enviado una versión de Windows, estos nuevos comandos se bloquean automáticamente. Solo una actualización del Registro agregará estos nuevos comandos a la lista de comandos permitidos.

A partir de Windows 10 1809 (Windows Server 2019), los comandos de TPM 2.0 permitidos ya no se pueden manipular mediante la configuración del Registro. Para estas versiones de Windows 10, los comandos de TPM 2.0 permitidos se fijan en el controlador TPM. Los comandos de TPM 1.2 todavía se pueden bloquear y desbloquear a través de los cambios del Registro.

Acceso directo al Registro

Las marcas de directiva de grupo se encuentran en la clave del Registro HKEY_LOCAL_MACHINE\Directivas\ desoftware\de Microsoft\Tpm\BlockedCommands.

Para determinar qué listas se deben usar para bloquear los comandos de TPM, hay dos valores DWORD que se usan como marcas booleanas:

  • "IgnoreDefaultList"

    Si se establece (el valor existe y es distinto de cero), TBS omite la lista predeterminada de comandos bloqueados.

  • "IgnoreLocalList"

    Si se establece (el valor existe y no es cero), TBS omite la lista local de comandos bloqueados.

Editor de objetos de directiva de grupo

Para acceder al editor de objetos de directiva de grupo

  1. Haga clic en Iniciar.
  2. Haga clic en Ejecutar.
  3. En el cuadro Abrir , escriba gpedit.msc. Haga clic en OK. Se abre el editor de objetos directiva de grupo.
  4. Expanda la opción Configuración del equipo.
  5. Expanda Plantillas administrativas.
  6. Expanda Sistema.
  7. Expanda Servicios de módulos de plataforma segura.

Las listas de comandos TPM1.2 bloqueados específicos se pueden editar directamente en las siguientes ubicaciones.

  • Lista de directivas de grupo:

    HKEY_LOCAL_MACHINE
   Software
      Policies
         Microsoft
            Tpm
               BlockedCommands
                  List

  • Lista local:

    HKEY_LOCAL_MACHINE
   SYSTEM
      CurrentControlSet
         Services
            SharedAccess
               Parameters
                  Tpm
                     BlockedCommands
                        List

  • Lista predeterminada:

    HKEY_LOCAL_MACHINE
   Software
      Microsoft
         Tpm
            BlockedCommands
               List

En cada una de estas claves del Registro, hay una lista de valores del Registro de REG_SZ tipo. Cada valor representa un comando TPM bloqueado. Cada clave del Registro tiene un campo "Nombre de valor" y un campo "Datos de valor". Ambos campos ("Nombre del valor" y "Datos de valor"), deben coincidir exactamente con el valor decimal del ordinal del comando TPM que se va a bloquear.

La lista de comandos TPM 2.0 permitidos específicos se puede editar directamente en la siguiente ubicación. En la clave del Registro, hay una lista de valores del Registro de REG_DWORD tipo. Cada valor representa un comando TPM 2.0 permitido. Cada valor del Registro tiene un nombre y un campo de valor . El nombre coincide con el ordinal del comando TPM 2.0 hexadecimal que se debe permitir. El valor tiene un valor de 1 si se permite el comando. Si un ordinal de comando no está presente o tiene un valor de 0, el comando se bloqueará.

  • Lista predeterminada:

    HKEY_LOCAL_MACHINE
   Software
      Microsoft
         Tpm
            AllowedW8Commands
               List

Para Windows 8, Windows Server 2012 y versiones posteriores, las claves del Registro BlockedCommands y AllowedW8Commands determinan respectivamente los comandos de TPM bloqueados o permitidos para las cuentas de administrador. Las cuentas de usuario tienen una lista de comandos TPM bloqueados o permitidos en las claves del Registro BlockedUserCommands y AllowedW8UserCommands respectivamente. En Windows 10, versión 1607, se han introducido nuevas claves del Registro para aplicaciones appContainer: BlockedAppContainerCommands y AllowedW8AppContainerCommands.