El Módulo de plataforma segura (TPM) se bloquea para evitar posibles alteraciones o ataques; este proceso se llama bloqueo. El bloqueo de TPM suele aplicarse durante una cantidad de tiempo variable o hasta que se apague el equipo. Mientras TPM está en el modo de bloqueo, suele devolver un error al recibir comandos que requieren un valor de autorización. La excepción es que TPM siempre permite al propietario realizar como mínimo un intento de restablecimiento del bloqueo de TPM si éste se encuentra en el modo de bloqueo. Si TPM se encuentra en el modo de bloqueo o responde lentamente a los comandos, se recomienda restablecer el valor de bloqueo. El restablecimiento del bloqueo de TPM requiere la autorización del propietario de TPM. La autorización del propietario de TPM se establece cuando el administrador asume inicialmente la propiedad de TPM. A la contraseña de autorización de propietario se le aplica un valor hash para crear un valor de autorización de propietario, almacenado por TPM. Se recomienda que el administrador guarde el valor hash de autorización de propietario en un archivo de contraseña de propietario de TPM con una extensión .tpm que contenga el valor hash de autorización de propietario en una estructura XML. Por motivos de seguridad, el archivo de contraseña de propietario de TPM no contiene la contraseña de propietario original. La propiedad de TPM se suele asumir la primera vez que se activa el Cifrado de unidad BitLocker en el equipo. En este caso, la contraseña de autorización de propietario de TPM se guarda con la clave de recuperación de BitLocker. Si la clave de recuperación de BitLocker se guarda en un archivo, BitLocker guarda también un archivo de contraseña de propietario de TPM (.tpm) con el valor hash de la contraseña de propietario de TPM. Si se imprime la clave de recuperación de BitLocker, se imprime también la contraseña de propietario de TPM. Además, puede guardar el valor hash de la contraseña de propietario de TPM en Servicios de dominio de Active Directory (AD DS) si la configuración de la directiva de grupo de la organización lo permite.
Descripción de los mecanismos de protección de TPM
En algunos casos, TPM protege las claves de cifrado al requerir un valor de autorización válido para obtener acceso a la clave. (Un ejemplo común es cuando el Cifrado de unidad BitLocker está configurado para usar TPM y el protector de clave PIN, en cuyo caso el usuario debe escribir el PIN correcto durante el proceso de arranque para obtener acceso a la clave de cifrado del volumen protegida por TPM). Para evitar que entidades malintencionadas detecten los valores de autorización, TPM implementa una lógica de protección. Esta lógica de protección está diseñada para ralentizar o detener las respuestas de TPM en caso de detectar que una entidad está intentando obtener los valores de autorización.
Los estándares de la organización Trusted Computing Group (TCG) especifican que los fabricantes de TPM deben implementar algún tipo de lógica de protección en los chips de TPM 1.2. Los fabricantes de TPM implementan distintos mecanismos y comportamientos de protección. En el caso de los chips de TPM, la regla general es aumentar el tiempo de respuesta de forma exponencial si se envían valores de autorización incorrectos a TPM. Es posible que, con el tiempo, algunos chips de TPM dejen de almacenar los intentos con errores. Otros chips de TPM pueden almacenar todos los intentos con errores indefinidamente. Por consiguiente, es posible que algunos usuarios observen retrasos de una duración cada vez mayor al escribir de forma incorrecta un valor de autorización enviado a TPM, lo que les impide usar TPM durante un período de tiempo determinado. Los usuarios pueden restablecer los mecanismos de protección en TPM mediante el siguiente procedimiento.
Nota | |
La lógica de protección de TPM también se aplica al valor de autorización de propietario de TPM. Los estándares del sector especifican que el usuario puede realizar como mínimo un intento para restablecer el bloqueo de TPM mediante el valor de autorización de propietario incluso si TPM está bloqueado. Si se usa un valor incorrecto al intentar restablecer el bloqueo de TPM, al intentar escribir posteriormente el valor de autorización de propietario, TPM puede responder como si el valor correcto fuera incorrecto o indicar que TPM está bloqueado. |
Para restablecer el bloqueo de TPM |
-
Abra el complemento Administración de TPM (tpm.msc).
-
En el menú Acción, haga clic en Restablecer bloqueo de TPM para iniciar el asistente para restablecer el bloqueo de TPM.
Elija el método correspondiente para escribir la contraseña de propietario de TPM:
- Si ha guardado la contraseña de propietario de TPM en un archivo .tpm, haga clic en Tengo el archivo de contraseña de propietario y, a continuación, escriba la ruta de acceso al archivo o haga clic en Examinar para navegar hasta la ubicación del archivo.
- Si desea escribir manualmente la contraseña de propietario de TPM, haga clic en Deseo escribir la contraseña de propietario y, a continuación, escriba la contraseña en el espacio suministrado. Si ha habilitado BitLocker y TPM al mismo tiempo y ha elegido imprimir la contraseña de recuperación de BitLocker al activar BitLocker, también se imprimirá la contraseña de propietario de TPM.
- Si ha guardado la contraseña de propietario de TPM en un archivo .tpm, haga clic en Tengo el archivo de contraseña de propietario y, a continuación, escriba la ruta de acceso al archivo o haga clic en Examinar para navegar hasta la ubicación del archivo.
Una vez autenticada la contraseña de propietario de TPM, se muestra un cuadro de diálogo para confirmar el restablecimiento del bloqueo de TPM.
Preguntas más frecuentes
¿Cuándo se debe restablecer el bloqueo de TPM?
El caso más probable se da cuando en el proceso de arranque los usuarios observan un aumento del tiempo de respuesta si se usa un protector de clave (combinación de TPM y PIN) y se escribe un PIN incorrecto. Es posible que parezca que el sistema se bloquea durante un período de tiempo determinado antes de informar al usuario de que se ha especificado un PIN incorrecto y de que TPM está bloqueado. Si TPM está bloqueado, es posible que el usuario escriba el PIN correcto, pero TPM responda como si se hubiera escrito un PIN incorrecto durante un período de tiempo determinado. Se puede producir un comportamiento similar en otras aplicaciones que usen TPM con valores de autorización, aunque es más probable que tan sólo la aplicación que se comunica con TPM no responda si el sistema operativo ya se ha iniciado. Dado que TPM puede almacenar indefinidamente todos los intentos de autorización incorrectos recibidos, es posible que los usuarios deseen restablecer de forma activa el bloqueo de TPM en caso de escribir de forma incorrecta valores de autorización como el PIN de BitLocker.
¿Qué comportamiento se prevé si la lógica de protección de TPM se activa para proteger los valores de autorización?
El comportamiento de la plataforma de hardware varía según las opciones de implementación del fabricante de la plataforma. La regla general es que los fabricantes de hardware aumenten exponencialmente el tiempo de respuesta del chip de TPM. Además, es posible que el chip de TPM responda como si se hubiera especificado un valor de autorización incorrecto durante un período de tiempo determinado. Para obtener información detallada acerca de este comportamiento, póngase en contacto con el fabricante de la plataforma.
Si TPM está bloqueado mientras se usa BitLocker, durante el proceso de arranque, existe la posibilidad de abrir la consola de recuperación de BitLocker o de esperar y volver a escribir el PIN.
Una vez iniciado Windows, en Administración de TPM se muestra el estado de TPM como bloqueado.
Todos los comandos que implican valores de autorización o intentan enviar la contraseña de propietario de TPM a TPM generan un error en TPM si éste está bloqueado.
¿Qué se debe hacer en caso de no recordar la contraseña de propietario de TPM?
Es posible que el valor hash de autorización de propietario de TPM se guardara en un archivo con la extensión .tpm cuando el administrador asumió la propiedad de TPM en el equipo. Busque en el sistema de archivos un archivo con la extensión .tpm. Si imprime la contraseña de recuperación de BitLocker, se imprimirá también la contraseña de propietario de TPM. Si no encuentra la contraseña de propietario de TPM, puede quitar TPM y volver a asumir la propiedad. Esto se debe hacer con precaución debido a que se perderán los datos cifrados con TPM. Si usa BitLocker, asegúrese de suspenderlo desactivarlo antes de quitar TPM. Para obtener más información acerca de cómo quitar TPM, vea el tema sobre la Quitar TPM.
¿Es importante mantener en secreto el valor hash de autorización de propietario de TPM?
Sí. Si una entidad malintencionada obtiene acceso el valor hash de autorización de propietario de TPM, dicha entidad puede realizar varios intentos para obtener el valor de autorización de clave de cifrado (por ejemplo, el PIN de BitLocker), usar el valor hash de autorización de propietario de TPM para restablecer el bloqueo de TPM y repetir este proceso indefinidamente. Además, es probable que se obtenga el valor de autorización si su tamaño es reducido.
¿Cómo está relacionada la contraseña de propietario de TPM con el valor hash de autorización de propietario de TPM?
A la contraseña de propietario de TPM se le asigna un valor hash mediante SHA-1 y se codifica con base 64 para crear un valor hash de autorización de propietario de TPM.