Una vez que se ha asumido la propiedad del Módulo de plataforma segura (TPM), el propietario de TPM puede limitar el número de comandos de TPM que se pueden ejecutar con la directiva de grupo o Administración de TPM.
Descripción de comandos de TPM
El hardware TPM es un dispositivo de hardware pasivo. No inicia ni interrumpe los procesos del equipo. En su lugar, acepta y responde a los comandos de otras aplicaciones, como los controladores de dispositivo y los sistemas operativos. En la versión actual de las especificaciones de comandos de TPM definidas por Trusted Computing Group se proporciona un conjunto de 120 comandos estándar para su uso en la administración de TPM. Estos comandos se muestran al seleccionar Administración de comandos en Administración de TPM.
Para obtener una lista de los comandos de Administración de TPM, vea las especificaciones del Módulo de plataforma segura (TPM) (
Bloqueo y autorización de comandos de TPM
Para controlar qué comandos va a aceptar y a qué comandos va a responder TPM en el equipo, seleccione el comando en Administración de comandos y decida si TPM va a aceptar o a bloquear el comando. Hay tres listas de comandos bloqueados: una lista predeterminada se proporciona con el sistema operativo, una segunda lista se mantiene en el equipo local y la administran los administradores locales, y otra lista de comandos se controla mediante objetos de directiva de grupo. Si hay un comando de TPM en una de estas listas, se bloquea en TPM. Si un servicio o una aplicación intenta ejecutar un comando bloqueado, se genera un error en el servicio o la aplicación que envía el comando.
Para obtener más información, vea Control del bloqueo de comandos de TPM mediante Administración de TPM.
Uso de la directiva de grupo para controlar los comandos de TPM
La configuración de la directiva de grupo para los servicios de TPM se encuentra en Computer Configuration\Administrative Templates\System\Trusted Platform Module Services. En la siguiente tabla se describe la configuración de la directiva que se puede usar para controlar los comandos de TPM.
| Nombre de la configuración | Descripción |
|---|---|
Configurar la lista de comandos del TPM bloqueados |
Esta configuración de directiva permite administrar la lista de directivas de grupo de los comandos de TPM bloqueados por Windows. Si habilita esta configuración de directiva, Windows bloquea los comandos especificados en esta configuración para que no se envíen a TPM en el equipo. Para hacer referencia a los comandos de TPM, se usa un número de comando. Por ejemplo, el número de comando 129 es TPM_OwnerReadInternalPub y el número de comando 170 es TPM_FieldUpgrade. Para agregar comandos a esta lista, habilite la configuración y, a continuación, haga clic en Mostrar para abrir la lista de comandos bloqueados. En el cuadro de diálogo Mostrar contenido, haga clic en el campo Valor y escriba el número del comando que desee bloquear. Si desea bloquear varios comandos, escriba el número de cada comando en otra línea de la lista. Si esta configuración está deshabilitada o no se ha establecido, no se usa la lista de comandos bloqueados de la directiva de grupo y Windows sólo bloquea los comandos de TPM especificados mediante las listas predeterminadas o locales. |
Omitir la lista predeterminada de comandos del TPM bloqueados |
Esta configuración de directiva permite aplicar u omitir la lista predeterminada de comandos de TPM bloqueados del equipo. Si habilita esta configuración de directiva, Windows omite la lista predeterminada de comandos de TPM bloqueados del equipo y sólo bloquea los comandos de TPM especificados por la directiva de grupo o la lista local. Windows configura previamente la lista predeterminada de comandos de TPM bloqueados. Los comandos de la lista predeterminada no usados por Trusted Computing Group o que afectan a la privacidad se deben revisar antes de permitir su uso con los módulos TPM de la organización. |
Omitir la lista local de comandos del TPM bloqueados |
Esta configuración de directiva permite aplicar u omitir la lista local de comandos de TPM bloqueados del equipo. Si habilita esta configuración de directiva, Windows omite la lista local de comandos de TPM bloqueados del equipo y sólo bloquea los comandos de TPM especificados por la directiva de grupo o la lista predeterminada. |
Para obtener más información, vea Control del bloqueo de comandos de TPM mediante directivas de grupo.
Bloqueo de comandos nuevos
Dado que algunos proveedores de hardware pueden proporcionar comandos adicionales o que Trusted Computing Group puede agregar comandos nuevos en el futuro, Administración de TPM admite el bloqueo de comandos nuevos mediante el elemento Bloquear nuevo comando del menú Acción. Si hay algún comando adicional que no desee que TPM acepte, haga clic en Bloquear nuevo comando y, a continuación, escriba el número del comando.