Contents

Seguridad de Windows
Confianza cero y Windows
Seguridad de hardware
Introducción
Procesador de seguridad de Microsoft Pluton
Introducción a Microsoft Pluton
Microsoft Pluton como TPM
Módulo de plataforma segura
Información general sobre el módulo de plataforma segura
Conceptos básicos del TPM
Como usa Windows el TPM
Configuración de directiva de grupo del TPM
Realizar una copia de seguridad de la información de recuperación del TPM en AD
DS
Ver el estado, borrar o solucionar problemas del TPM
Descripción de los bancos de PCR en dispositivos con el TPM 2.0
Recomendaciones para el TPM
Raíz de confianza basada en hardware
Inicio seguro de protección del sistema y protección SMM
Habilitar la protección basada en virtualización de la integridad de código
Protección de DMA para kernel
Dispositivos Windows con núcleo protegido
Seguridad del sistema operativo
Introducción
Seguridad del sistema
Proteger el proceso de arranque de Windows
Arranque seguro
Criptografía y administración de certificados
Aplicación de Seguridad de Windows
 Protección contra virus y amenazas
Protección de cuentas
Firewall y protección de red
Control de aplicaciones y explorador
Seguridad del dispositivo
Rendimiento y estado del dispositivo
Opciones de familia
Configuración de las directivas de seguridad
Auditoría de seguridad
Protección y cifrado de datos
Unidad de disco duro cifrada
BitLocker
Descripción general del cifrado de dispositivos de BitLocker en Windows
Preguntas frecuentes de BitLocker
Información general y requisitos
Actualización
Implementación y administración
Administración de claves
BitLocker To Go
Active Directory Domain Services
Seguridad
Desbloqueo de BitLocker en red
General
Preparar la organización para BitLocker: planificación y directivas
Comparación de implementación de BitLocker
Implementación básica de BitLocker
Implementar BitLocker en Windows Server 2012 y versiones posteriores
Administración de BitLocker para empresas
Habilitar desbloqueo de red con BitLocker
Usar herramientas de Cifrado de unidad BitLocker para administrar BitLocker
Usar el Visor de contraseñas de recuperación de BitLocker
Configuración de las directivas de grupo de BitLocker
 Configuraciones de BCD y BitLocker
Guía de recuperación de BitLocker
Contramedidas de BitLocker
Protección de volúmenes compartidos de clúster y redes de área de
almacenamiento con BitLocker
Solucionar problemas de BitLocker
Solucionar problemas de BitLocker
BitLocker no puede cifrar una unidad: problemas conocidos
Aplicación de directivas de BitLocker con Intune: problemas conocidos
Desbloqueo de Bitlocker en red: problemas conocidos
Recuperación de BitLocker: problemas conocidos
Configuración de BitLocker: problemas conocidos
Solucionar problemas de BitLocker y TPM
BitLocker no puede cifrar una unidad: problemas de TPM conocidos
BitLocker y TPM: otros problemas conocidos
Descodificar registros de Arranque medido para realizar un seguimiento de los
cambios de PCR
Cifrado de datos personales (PDE)
Información general sobre el cifrado de datos personales (PDE)
Preguntas más frecuentes sobre el cifrado de datos personales (PDE)
Configuración del cifrado de datos personales (PDE) en Intune
Configuración de S/MIME para Windows
Seguridad de red
Guía técnica de VPN
Tipos de conexión de VPN
Decisiones de enrutamiento de VPN
Opciones de autenticación de VPN
VPN y acceso condicional
Resolución de nombres de VPN
Opciones desencadenadas automáticamente de perfil de VPN
Características de seguridad de VPN
Opciones de perfil de VPN
Cómo configurar el Protocolo Diffie Hellman sobre conexiones VPN IKEv2
 Cómo usar el inicio de sesión único (SSO) a través de conexiones VPN y Wi-Fi
Optimizar el tráfico de Office 365 con el cliente VPN de Windows
Firewall de Windows Defender
Líneas de base de seguridad de Windows
Kit de herramientas de seguridad y cumplimiento
Obtener soporte técnico
Protección contra virus y amenazas
Introducción
Antivirus de Microsoft Defender
Reglas de reducción de la superficie expuesta a ataques
Protección contra alteraciones
Protección de red
Acceso controlado a carpetas
Protección contra vulnerabilidades
Microsoft Defender para punto de conexión
Más seguridad de Windows
Invalidar opciones de mitigación de procesos para facilitar la aplicación de directivas
de seguridad relacionadas con las aplicaciones
Uso de reenvío de eventos de Windows para facilitar la detección de intrusiones
Bloquear fuentes que no sean de confianza en una empresa
Windows Information Protection (WIP)
Crear una directiva de WIP con Microsoft Intune
Crear una directiva WIP en Microsoft Intune
Implementar la directiva de WIP en Microsoft Intune
Asociar e implementar una directiva de VPN para WIP en Microsoft Intune
Crear y verificar un certificado de agente de recuperación de datos EFS (DRA)
Determinar el contexto empresarial de una aplicación que se ejecuta en WIP
Creación de una directiva wip mediante Microsoft Configuration Manager
Crear e implementar una directiva WIP en Administrador de configuración
Crear y verificar un certificado de agente de recuperación de datos EFS (DRA)
Determinar el contexto empresarial de una aplicación que se ejecuta en WIP
Tareas y opciones de configuración necesarias para activar WIP
Escenarios de prueba para WIP
 Limitaciones mientras usas WIP
Cómo recopilar registros de eventos de auditoría de WIP
Instrucciones generales y procedimientos recomendados para WIP
Aplicaciones optimizadas para su uso con WIP
Comportamiento de aplicaciones habilitadas y no habilitadas mientras se usa WIP
Configuración de red recomendada de recursos de Enterprise Cloud y recursos
neutros con WIP
Utilización de Outlook Web Access con WIP
Ajustar el aprendizaje de WIP
Deshabilitar WIP
Seguridad de la aplicación
Introducción
Control de aplicaciones de Windows Defender y protección basada en la
virtualización de la integridad del código
Control de aplicaciones de Windows Defender
Protección de aplicaciones de Microsoft Defender
Espacio aislado de Windows
Arquitectura de espacio aislado de Windows
Configuración del espacio aislado de Windows
Introducción a SmartScreen de Microsoft Defender
Protección contra suplantación de identidad mejorada en Microsoft Defender
SmartScreen
Configuración de S/MIME para Windows
Resumen de la guía de mitigación de robo de credenciales de Windows
Seguridad del usuario e identidad protegida
Introducción
Windows Hello para empresas
Guía de mitigación de robo de credenciales de Windows
Asignación de certificados de empresa
Proteger las credenciales de dominio derivadas con Credential Guard
Cómo funciona Credential Guard
Requisitos de Credential Guard
Administrar Credential Guard
 Herramienta de preparación del hardware
Límites de protección de Credential Guard
Consideraciones sobre el uso de Credential Guard
Credential Guard: mitigaciones adicionales
Credential Guard: problemas conocidos
Proteger las credenciales de Escritorio remoto con Credential Guard remoto
Configuración de LSA Protection
Directiva de soporte técnico para contraseñas perdidas u olvidadas
Introducción a Access Control
Cuentas locales
Control de cuentas de usuario
Cómo funciona el Control de cuentas de usuario
Configuración de directiva de seguridad de Control de cuentas de usuario
Configuración de las claves del Registro y directiva de grupo de Control de
cuentas de usuario
Tarjetas inteligentes
Funcionamiento del inicio de sesión mediante tarjetas inteligentes en Windows
Arquitectura de tarjeta inteligente
Enumeración y requisitos de certificados
Tarjeta inteligente y Servicios de Escritorio remoto
Tarjetas inteligentes para el servicio de Windows
Servicio de propagación de certificados
Servicio Directiva de extracción de tarjetas inteligentes
Herramientas y configuración de Tarjeta inteligente
Información de depuración de tarjetas inteligentes
Directiva de grupo de tarjeta inteligente y configuración de registros
Eventos de tarjeta inteligente
Tarjetas inteligentes virtuales
Comprender y evaluar las tarjetas inteligentes virtuales
Introducción a las tarjetas inteligentes virtuales: guía paso a paso
Usar tarjetas inteligentes virtuales
Implementar tarjetas inteligentes virtuales
Evaluar la seguridad de las tarjetas inteligentes virtuales
 Tpmvscmgr
Servicios en la nube
Introducción
Administración de dispositivos móviles
Equipos en la nube Windows 365
Azure Virtual Desktop
Fundamentos de seguridad
Introducción
Ciclo de vida de desarrollo de seguridad de Microsoft
Validación de FIPS 140-2
Certificaciones de criterios comunes
Privacidad de Windows
 estado del dispositivo Confianza cero y Windows
08/11/2022 • 5 minutes to read

Las organizaciones necesitan un modelo de seguridad que se adapte de forma más eficaz a la complejidad del
entorno de trabajo moderno. Los administradores de TI deben adoptar el área de trabajo híbrida, a la vez que
protegen a las personas, dispositivos, aplicaciones y datos dondequiera que se encuentren. La implementación
de un modelo de Confianza cero para la seguridad ayuda a abordar los entornos complejos de hoy en día.
Los principios Confianza cero son:
Compruebe explícitamente . Autentíquese y autorice siempre en función de todos los puntos de datos
disponibles, incluida la identidad del usuario, la ubicación, el estado del dispositivo, el servicio o la carga
de trabajo, la clasificación de datos y la supervisión de anomalías.
Use el acceso con privilegios mínimos . Limite el acceso de los usuarios con acceso Just-In-Time y
Just-Enough, directivas adaptables basadas en riesgos y protección de datos para ayudar a proteger los
datos y mantener la productividad.
Suponga una infracción . Evite que los atacantes obtengan acceso para minimizar los posibles daños
en los datos y sistemas. Proteja los roles con privilegios, compruebe el cifrado de un extremo a otro, use
análisis para obtener visibilidad e impulse la detección de amenazas para mejorar las defensas.
El concepto Confianza cero de comprobación se aplica explícitamente a los riesgos introducidos por los
dispositivos y los usuarios. Windows permite la atestación de estado del dispositivo y las funcionalidades
de acceso condicional , que se usan para conceder acceso a los recursos corporativos.
El acceso condicional evalúa las señales de identidad para confirmar que los usuarios son quienes dicen que son
antes de que se les conceda acceso a los recursos corporativos.
Windows 11 admite la atestación del estado del dispositivo, lo que ayuda a confirmar que los dispositivos están
en un buen estado y no se han manipulado. Esta funcionalidad ayuda a los usuarios a acceder a los recursos
corporativos, ya sea en la oficina, en casa o cuando viajan.
La atestación ayuda a comprobar la identidad y el estado de los componentes esenciales y que el dispositivo, el
firmware y el proceso de arranque no se han modificado. La información sobre el firmware, el proceso de
arranque y el software se usa para validar el estado de seguridad del dispositivo. Esta información se almacena
criptográficamente en el módulo de plataforma segura (TPM) del coprocesador de seguridad. Una vez que se
atestigua el dispositivo, se le puede conceder acceso a los recursos.

Atestación de estado del dispositivo en Windows

Durante el proceso de arranque pueden surgir muchos riesgos de seguridad, ya que este proceso puede ser el
componente con más privilegios de todo el sistema. El proceso de verificación usa la atestación remota como
canal seguro para determinar y presentar el estado del dispositivo. La atestación remota determina:
Si el dispositivo puede ser de confianza
Si el sistema operativo ha arrancado correctamente
Si el sistema operativo tiene habilitado el conjunto correcto de características de seguridad
Estas determinaciones se realizan con la ayuda de una raíz segura de confianza mediante el módulo de
plataforma segura (TPM). Los dispositivos pueden atestiguar que el TPM está habilitado y que el dispositivo no
se ha alterado.
Windows incluye muchas características de seguridad para ayudar a proteger a los usuarios de malware y
ataques. Sin embargo, confiar en los componentes de seguridad de Windows solo se puede lograr si la
plataforma arranca según lo esperado y no se ha alterado. Windows se basa en el arranque seguro de unified
Extensible Firmware Interface (UEFI), el antimalware de inicio temprano (ELAM), la raíz dinámica de confianza
para la medición (DRTM), el arranque de confianza y otras características de seguridad de hardware y firmware
de bajo nivel. Cuando se enciende el equipo hasta que se inicia el antimalware, Windows se respalda con la
configuración de hardware adecuada para ayudarle a mantenerse seguro. El arranque medido y de confianza,
implementado por cargadores de arranque y BIOS, comprueba y registra criptográficamente cada paso del
arranque de forma encadenada. Estos eventos se enlazan a un coprocesador de seguridad (TPM) que actúa
como raíz de confianza. La atestación remota es el mecanismo por el que un servicio lee y comprueba estos
eventos para proporcionar un informe verificable, imparcial y resistente a alteraciones. La atestación remota es
el auditor de confianza del arranque del sistema, lo que permite que entidades específicas confíen en el
dispositivo.
Un resumen de los pasos implicados en la atestación y Confianza cero en el lado del dispositivo son los
siguientes:
1. Durante cada paso del proceso de arranque, como una carga de archivos, la actualización de variables
especiales, etc., la información como los hashes de archivo y la firma se miden en los PCR de TPM. Las
medidas están enlazadas por una especificación de grupo de computación de confianza (TCG) que
determina qué eventos se pueden registrar y el formato de cada evento.
2. Una vez que Windows ha arrancado, el atestador o comprobador solicita al TPM que recupere las
medidas almacenadas en su registro de configuración de plataforma (PCR) junto con un registro de TCG.
Las medidas de ambos componentes forman juntos la evidencia de atestación que se envía al servicio de
atestación.
3. El TPM se comprueba mediante las claves o el material criptográfico disponibles en el conjunto de chips
con un servicio de certificados de Azure.
4. A continuación, esta información se envía al servicio de atestación en la nube para comprobar que el
dispositivo es seguro. Microsoft Endpoint Manger se integra con Microsoft Azure Attestation para revisar
el estado del dispositivo de forma completa y conectar esta información con el acceso condicional de
Azure Active Directory. Esta integración es clave para Confianza cero soluciones que ayudan a enlazar la
confianza a un dispositivo que no es de confianza.
5. El servicio de atestación realiza las siguientes tareas:
Compruebe la integridad de la evidencia. Esta comprobación se realiza mediante la validación de los
PCR que coinciden con los valores recomputados mediante la reproducción del registro tcg.
Compruebe que el TPM tiene una clave de identidad de atestación válida emitida por el TPM
autenticado.
Compruebe que las características de seguridad están en los estados esperados.
6. El servicio de atestación devuelve un informe de atestación que contiene información sobre las
características de seguridad basadas en la directiva configurada en el servicio de atestación.
7. A continuación, el dispositivo envía el informe a la nube de Microsoft Intune para evaluar la confiabilidad
de la plataforma según las reglas de cumplimiento de dispositivos configuradas por el administrador.
8. El acceso condicional, junto con el estado de cumplimiento del dispositivo, decide permitir o denegar el
acceso.

Otros recursos
Obtenga más información sobre las soluciones de Microsoft Confianza cero en el Centro de orientación de
Confianza cero.
 Seguridad de hardware de Windows
08/11/2022 • 3 minutes to read

Las amenazas modernas requieren una seguridad moderna con una fuerte alineación entre la seguridad de
hardware y las técnicas de seguridad de software para mantener a los usuarios, los datos y los dispositivos
protegidos. El sistema operativo por sí solo no puede protegerse de la amplia gama de herramientas y técnicas
que los cibercriminales usan para poner en peligro un equipo dentro de su silicio. Una vez dentro, los intrusos
pueden ser difíciles de detectar mientras participan en varias actividades nefastas desde el robo de datos
importantes hasta la captura de direcciones de correo electrónico y otros fragmentos confidenciales de
información. Estas nuevas amenazas llaman a la computación de hardware que es seguro hasta el núcleo,
incluidos los procesadores y los chips de hardware. Microsoft y nuestros asociados, incluidos los fabricantes de
chip y dispositivos, han trabajado juntos para integrar eficaces funcionalidades de seguridad en software,
firmware y hardware.

M EDIDA S DE SEGURIDA D C A RA C T ERÍST IC A S & F UN C IO N A L IDA DES

Módulo de plataforma segura (TPM) Un módulo de plataforma segura (TPM) está diseñado para
proporcionar funciones relacionadas con la seguridad
basadas en hardware y ayudar a evitar alteraciones no
deseadas. Los TPMs proporcionan ventajas de seguridad y
privacidad para el hardware del sistema, los propietarios de
la plataforma y los usuarios.
Un chip TPM es un procesador criptográfico seguro que
ayuda con acciones como generar, almacenar y limitar el uso
de claves criptográficas. Muchos TPMs incluyen varios
mecanismos de seguridad físicos para que sea resistente a
manipulaciones y evitar que software malintencionado altere
las funciones de seguridad del TPM.

Obtenga más información sobre el módulo de plataforma

segura.

Raíz de confianza basada en hardware con Windows Para proteger recursos críticos como autenticación de
Defender Protección del sistema Windows, tokens de inicio de sesión único, Windows Hello y
el módulo de plataforma de confianza virtual, el firmware y el
hardware de un sistema deben ser de confianza.
Windows Defender Protección del sistema ayuda a proteger
y mantener la integridad del sistema cuando se inicia y valida
que la integridad del sistema se ha mantenido realmente a
través de la atestación local y remota.

Obtenga más información sobre cómo una raíz de confianza

basada en hardware ayuda a proteger Windows y Protección
del sistema protección de inicio seguro y SMM.
M EDIDA S DE SEGURIDA D C A RA C T ERÍST IC A S & F UN C IO N A L IDA DES

Habilitar la protección basada en virtualización de la La integridad de código protegida por hipervisor (HVCI) es
integridad de código una característica de seguridad basada en virtualización
(VBS) disponible en Windows. En la configuración de
seguridad de dispositivos Windows, HVCI se conoce como
Integridad de memoria.
HVCI y VBS mejoran el modelo de amenazas de Windows y
proporcionan protecciones más seguras contra el malware
que intenta aprovechar el kernel de Windows. VBS usa el
hipervisor de Windows para crear un entorno virtual aislado
que se convierte en la raíz de confianza del sistema
operativo que supone que el kernel se puede poner en
peligro. HVCI es un componente crítico que protege y
protege este entorno virtual mediante la ejecución de la
integridad del código en modo kernel dentro de él y la
restricción de las asignaciones de memoria del kernel que se
podrían usar para poner en peligro el sistema.

Más información: Habilitación de la protección basada en

virtualización de la integridad del código.

Protección del acceso directo a memoria (DMA) del kernel Los dispositivos pcie hot plug como Thunderbolt, USB4 y
CFexpress permiten a los usuarios conectar nuevas clases de
periféricos externos, incluidas tarjetas gráficas u otros
dispositivos PCI, a sus pc con una experiencia idéntica a USB.
Dado que los puertos de conexión rápida pci son externos y
de fácil acceso, los equipos son susceptibles a ataques de
acceso directo a memoria (DMA) en unidades. La protección
de acceso a memoria (también conocida como Protección
contra DMA del kernel) protege a los equipos frente a
ataques DMA basados en unidades que usan dispositivos
pcIe hot plug, lo que limita estos periféricos externos para
que no puedan copiar directamente la memoria cuando el
usuario ha bloqueado su equipo.

Más información sobre kernel DMA Protection.

Equipos de núcleo protegido Microsoft está trabajando estrechamente con asociados

OEM y proveedores de silicio para crear equipos de núcleo
protegido que incluyan hardware, firmware y software
profundamente integrados para garantizar una mayor
seguridad para dispositivos, identidades y datos.

Los equipos de núcleo protegido proporcionan protecciones

que son útiles contra ataques sofisticados y pueden
proporcionar mayor garantía al controlar datos críticos en
algunos de los sectores más sensibles a los datos, como los
trabajadores sanitarios que controlan registros médicos y
otra información de identificación personal (PII), roles
comerciales que controlan un alto impacto empresarial y
datos altamente confidenciales, como un controlador
financiero con datos de ganancias.

Obtenga más información sobre los equipos de núcleo

protegido.
 Procesador de seguridad de Microsoft Pluton
08/11/2022 • 2 minutes to read

El procesador de seguridad De Microsoft Pluton es una tecnología de seguridad de chip a nube creada con
Confianza cero principios básicos. Microsoft Pluton proporciona una raíz de confianza basada en hardware,
identidad segura, atestación segura y servicios criptográficos. La tecnología pluton es una combinación de un
subsistema seguro que forma parte del software system on chip (SoC) y el software creado por Microsoft que
se ejecuta en este subsistema seguro integrado.
Microsoft Pluton está disponible actualmente en dispositivos con procesadores de las series Ryzen 6000 y
Qualcomm Snapdragon® 8cx Gen 3. Microsoft Pluton se puede habilitar en dispositivos con procesadores
compatibles con Pluton que ejecutan Windows 11, versión 22H2.

¿Qué es Microsoft Pluton?

Diseñado por Microsoft y creado por asociados de silicio, Microsoft Pluton es un procesador criptográfico
seguro integrado en la CPU para garantizar la integridad del código y la protección más reciente con las
actualizaciones proporcionadas por Microsoft a través de Windows Update. Pluton protege las credenciales,
identidades, datos personales y claves de cifrado. La información es significativamente más difícil de quitar
incluso si un atacante ha instalado malware o ha completado la posesión física del EQUIPO.
Microsoft Pluton está diseñado para proporcionar la funcionalidad del módulo de plataforma segura, así como
para ofrecer otras funciones de seguridad más allá de lo que es posible con la especificación tpm 2.0, y permite
que se entreguen características adicionales de firmware y sistema operativo de Plutón a lo largo del tiempo a
través de Windows Update. Para obtener más información, consulte Microsoft Pluton como TPM.
Pluton se basa en tecnología probada que se usa en Xbox y Azure Sphere y proporciona funcionalidades de
seguridad integradas protegidas para Windows 11 dispositivos en colaboración con los principales asociados de
silicon. Para obtener más información, consulte Meet the Microsoft Pluton processor – The security chip
designed for the future of Windows PC.

Introducción a la arquitectura de seguridad de Microsoft Pluton

El subsistema de seguridad de Plutón consta de las siguientes capas:

DESC RIP C IÓ N

Hardware El procesador de seguridad de Pluton es un elemento seguro

estrechamente integrado en el subsistema SoC. Proporciona
un entorno de ejecución de confianza al mismo tiempo que
proporciona los servicios criptográficos necesarios para
proteger los recursos confidenciales y los elementos críticos,
como claves, datos, etc.

Firmware El firmware autorizado por Microsoft proporciona las

características y funcionalidades seguras necesarias, y expone
las interfaces que el software y las aplicaciones del sistema
operativo pueden usar para interactuar con Pluton. El
firmware se almacena en el almacenamiento flash disponible
en la placa base. Cuando se inicia el sistema, el firmware se
carga como parte de la inicialización del hardware de Plutón.
Durante el inicio de Windows, se carga una copia de este
firmware (o el firmware más reciente obtenido de Windows
Update, si está disponible) en el sistema operativo. Para
obtener más información, consulte Flujo de carga de
firmware.

Software Controladores y aplicaciones del sistema operativo

disponibles para un usuario final para permitir el uso sin
problemas de las funcionalidades de hardware
proporcionadas por el subsistema de seguridad de Pluton.

Flujo de carga de firmware

Cuando se inicia el sistema, la inicialización del hardware de Pluton se realiza cargando el firmware de Plutón
desde el almacenamiento flash de interfaz periférica serie (SPI) disponible en la placa base. Sin embargo,
durante el inicio de Windows, el sistema operativo usa la versión más reciente del firmware de Pluton. Si el
firmware más reciente no está disponible, Windows usa el firmware que se cargó durante la inicialización del
hardware. En el diagrama siguiente se muestra este proceso:
Temas relacionados
Microsoft Pluton como TPM
 Microsoft Pluton como módulo de plataforma
segura
08/11/2022 • 3 minutes to read

Microsoft Pluton está diseñado para proporcionar la funcionalidad del módulo de plataforma segura (TPM) y así
establecer la raíz de confianza del silicio. Microsoft Pluton admite el estándar del sector TPM 2.0, lo que permite
a los clientes beneficiarse inmediatamente de la seguridad mejorada en las características de Windows que
dependen de TPM, como BitLocker, Windows Hello y Windows Defender Protección del sistema.
Al igual que con otros TPMs, las credenciales, las claves de cifrado y otra información confidencial no se pueden
extraer fácilmente de Pluton aunque un atacante haya instalado malware o haya completado la posesión física
del dispositivo. Almacenar datos confidenciales como claves de cifrado de forma segura dentro del procesador
Pluton, que está aislado del resto del sistema, ayuda a garantizar que las técnicas de ataque emergentes, como
la ejecución especulativa, no puedan acceder al material de clave.
Pluton también resuelve el principal desafío de seguridad de mantener actualizado su propio firmware raíz de
confianza en todo el ecosistema de PC, mediante la entrega de actualizaciones de firmware de Windows Update.
Hoy en día, los clientes reciben actualizaciones de su firmware de seguridad de una variedad de orígenes
diferentes, lo que puede dificultarles la aplicación de estas actualizaciones.
Para obtener más información sobre los escenarios relacionados con TPM que se benefician de Pluton, consulte
Características de TPM y Windows.

Microsoft Pluton como procesador de seguridad junto con TPM

discreto
Microsoft Pluton se puede usar como TPM o junto con un TPM. Aunque Pluton compila la seguridad
directamente en la CPU, los fabricantes de dispositivos pueden optar por usar TPM discreto como TPM
predeterminado, al tiempo que tiene Pluton disponible para el sistema como procesador de seguridad para
casos de uso más allá del TPM.
Pluton está integrado en el subsistema de SoC y proporciona una plataforma flexible y actualizable para ejecutar
firmware que implementa la funcionalidad de seguridad de un extremo a otro creada, mantenida y actualizada
por Microsoft. Animamos a los usuarios propietarios de dispositivos compatibles con Pluton a habilitar
Microsoft Pluton como TPM predeterminado.

Habilitación de Microsoft Pluton como TPM

Los dispositivos con procesadores de la serie Ryzen 6000 y Qualcomm Snapdragon® 8cx Gen 3 son
compatibles con Plutón, sin embargo, habilitar y proporcionar una opción para habilitar Pluton está a discreción
del fabricante del dispositivo. Pluton es compatible con estos dispositivos y se puede habilitar desde las
opciones de configuración de la interfaz de firmware extensible unificada (UEFI) para el dispositivo.
Las opciones de configuración de UEFI difieren de un producto a otro, visite el sitio web del producto y busque
instrucciones para habilitar Plutón como TPM.
 WARNING
Si BitLocker está habilitado, se recomienda deshabilitar BitLocker antes de cambiar la configuración del TPM para evitar
bloqueos. Después de cambiar la configuración de TPM, vuelva a habilitar BitLocker, que luego enlazará las claves de
BitLocker con el TPM de Plutón. Como alternativa, guarde la clave de recuperación de BitLocker en una unidad USB.
Windows Hello deben volver a configurarse después de cambiar el TPM. Configure métodos de inicio de sesión
alternativos antes de cambiar la configuración de TPM para evitar problemas de inicio de sesión.

TIP
En la mayoría de los dispositivos Lenovo, para introducir las opciones UEFI es necesario presionar la tecla Entrar al iniciar,
seguida de presionar F1. En el menú Configuración de UEFI, seleccione La opción Seguridad y, a continuación, en la página
Seguridad, seleccione la opción Chip de seguridad para ver las opciones de configuración del TPM. En la lista desplegable
de selección de chip de seguridad, seleccione MSFT Pluton y haga clic en F10 para guardar y salir.

Temas relacionados
Procesador de seguridad de Microsoft Pluton
 Módulo de plataforma segura
08/11/2022 • 2 minutes to read

Se aplica a
Windows10
Windows11
Windows Server2016 y superior
La tecnología del Módulo de plataforma segura (TPM) está diseñada para ofrecer funciones relacionadas con la
seguridad y el hardware. Un chip TPM es un procesador de criptografía seguro que te ayuda a con acciones,
tales como generar y almacenar claves criptográficas, así como limitar su uso. En los temas siguientes se incluye
información detallada.

T EM A DESC RIP C IÓ N

Información general sobre el Módulo de plataforma segura Se incluye una descripción general del Módulo de plataforma
segura (TPM) y se explica cómo lo usa Windows para la
autenticación y el control de acceso.

Conceptos básicos del TPM Incluye información general sobre cómo funciona un TPM
con claves criptográficas. También incluye una descripción de
las tecnologías que funcionan con el TPM, como las tarjetas
inteligentes virtuales basadas en TPM.

Configuración de directiva de grupo del TPM Incluye una descripción de los servicios de TPM que se
pueden controlar de forma centralizada mediante la
configuración de directiva de grupo.

Realizar una copia de seguridad de la información de Para Windows 10, versión 1511, y Windows 10, versión
recuperación del TPM en AD DS 1507 solamente, incluye una descripción sobre cómo se
realiza una copia de seguridad de la información de TPM de
un equipo en Active Directory Domain Services.

Solucionar problemas del TPM Incluye una descripción de las acciones que puedes realizar a
través del complemento TPM, [Link]: ver el estado del
TPM, solucionar problemas de inicialización del TPM y borrar
las claves del TPM. Además, para TPM 1.2 y Windows 10,
versión 1507 o 1511, o Windows 11, describe cómo activar
o desactivar el TPM.

Descripción de los bancos de PCR en dispositivos con el TPM Proporciona información general sobre lo que ocurre al
2.0 cambiar bancos de PCR en dispositivos de TPM 2.0.

Recomendaciones para el TPM Describe aspectos de los TPM, como la diferencia entre TPM
1.2 y 2.0, y las características de Windows para las que se
requiere o se recomienda un TPM.
 Información general sobre la tecnología del Módulo
de plataforma segura
08/11/2022 • 5 minutes to read

Se aplica a
Windows11
Windows10
Windows Server 2016
Windows Server 2019
Este tema para profesionales de TI ofrece información sobre el Módulo de plataforma segura (TPM) y sobre
cómo lo usa Windows para el control del acceso y la autenticación.

Descripción de la característica
La tecnología de Módulo de plataforma segura (TPM) está diseñada para proporcionar funciones basadas en
hardware y relacionadas con la seguridad. Un chip TPM es un procesador criptográfico seguro diseñado para
llevar a cabo operaciones criptográficas. El chip incluye varios mecanismos de seguridad físicos para que sea
resistente a alteraciones y el software malintencionado no pueda alterar las funciones de seguridad del TPM.
Algunas de las principales ventajas de usar la tecnología TPM son que puede:
Generar, almacenar y limitar el uso de claves criptográficas.
Usar la tecnología TPM para la autenticación de dispositivos de plataforma mediante clave RSA única de
TPM, que se graba dentro.
Garantizar la integridad de la plataforma llevando y almacenando medidas de seguridad.
Las funciones de TPM más comunes se usan para las medidas de integridad del sistema y para la creación y el
uso de las claves. Durante el proceso de arranque de un sistema, es posible medir y registrar en el TPM el
código de arranque que se carga (incluido el firmware y los componentes del sistema operativo). Las
mediciones de integridad se pueden usar como prueba de cómo se inició un sistema y para asegurarse de que
la clave basada en el TPM se usó solo cuando se usó el software adecuado para arrancar el sistema.
Las claves basadas en el TPM se pueden configurar de varias maneras. Una opción consiste en hacer que una
clave de TPM no esté disponible fuera del TPM. Esto se recomienda para mitigar los ataques de suplantación de
identidad, ya que impide que se pueda copiar y usar la clave sin el TPM. Las claves basadas en el TPM también
se pueden configurar para requerir un valor de autorización a la hora de usarlas. Si se producen demasiados
intentos de autorización incorrectos, el TPM activa su lógica de ataques de diccionario y evita más intentos de
autorización.
Las especificaciones de Trusted Computing Group (TCG) definen varias versiones del TPM. Para obtener más
información, consulte el sitio web de TCG.
Inicialización automática del TPM con Windows
A partir de Windows 10 y Windows 11, el sistema operativo se inicializa automáticamente y toma posesión del
TPM. Esto significa que, en la mayoría de los casos, se recomienda evitar la configuración del TPM mediante la
consola de administración del TPM, [Link] . Existen algunas excepciones, principalmente relacionadas con el
restablecimiento o la realización de una instalación limpia en un equipo. Para obtener más información, consulte
Borrar todas las claves del TPM. Ya no estamos desarrollando activamente la consola de administración de TPM
a partir de Windows Server 2019 y Windows 10, versión 1809.
En determinados escenarios empresariales específicos limitados a Windows 10, versión 1507 y 1511, la
directiva de grupo puede usarse para realizar una copia de seguridad del valor de autorización del propietario
de TPM en Active Directory. Dado que el estado TPM se mantiene durante las instalaciones de sistema operativo,
esta información de TPM se almacena en una ubicación en Active Directory independiente de los objetos del
equipo.

Aplicaciones prácticas
Los certificados pueden instalarse o crearse en equipos que usan el TPM. Tras aprovisionar un equipo, la clave
privada RSA de un certificado se enlaza al TPM y no se puede exportar. El TPM también puede usarse como
sustituto de las tarjetas inteligentes, lo que reduce los costos asociados a la creación y al desembolso de las
tarjetas inteligentes.
El aprovisionamiento automático en el TPM también reduce el costo de la implementación del TPM en una
empresa. Las nuevas API de administración del TPM pueden determinar si las acciones de aprovisionamiento
del TPM requieren presencia física de un técnico de servicio para aprobar las solicitudes de cambio de estado
del TPM durante el proceso de arranque.
El software antimalware puede usar las medidas de arranque del estado de inicio del sistema operativo para
demostrar la integridad de un equipo que ejecute Windows 10, Windows 11 o Windows Server 2016. Estas
medidas incluyen el lanzamiento de Hyper-V para probar que los centros de datos que usan la virtualización no
están ejecutando hipervisores que no sean de confianza. Con el desbloqueo de BitLocker en red, los
administradores de TI pueden enviar una actualización sin preocuparse por que un equipo esté a la espera de la
especificación del PIN.
El TPM tiene varias configuraciones de directiva de grupo que pueden resultar útiles en ciertos escenarios de
empresa. Para obtener más información, consulta Configuración de directivas de grupo del TPM.

Funcionalidad nueva y modificada

Para obtener más información sobre las funcionalidades nuevas y modificadas del Módulo de plataforma
segura en Windows, consulte Novedades en el Módulo de plataforma segura

Atestación de estado de dispositivo

La Certificación de estado del dispositivo permite a las empresas establecer la confianza en función de los
componentes de hardware y software de un dispositivo administrado. Con la Certificación de estado del
dispositivo, puede configurar un servidor MDM para consultar un servicio de certificación de salud que permita
o deniegue el acceso del dispositivo administrado a un recurso seguro.
Algunos aspectos que puede comprobar en el dispositivo:
¿La prevención de ejecución de datos está admitida y habilitada?
¿El cifrado de unidad BitLocker está admitido y habilitado?
¿El arranque seguro está admitido y habilitado?

NOTE
Windows 11, Windows 10, Windows Server 2016 y Windows Server 2019 admiten la Atestación de estado de dispositivo
con TPM 2.0. Se agregó compatibilidad con TPM 1.2 a partir de Windows versión 1607 (RS1). TPM 2.0 requiere firmware
UEFI. Un equipo con BIOS heredado y TPM 2.0 no funcionará según lo esperado.
Versiones admitidas para la atestación de estado del dispositivo
W IN DO W S SERVER W IN DO W S SERVER
VERSIÓ N DE T P M W IN DO W S11 W IN DO W S10 2016 2019

TPM 1.2 >= ver 1607 >= ver 1607 Sí

TPM 2.0 Sí Sí Sí Sí

Temas relacionados
Módulo de plataforma segura (lista de temas)
Detalles sobre el TPM estándar (tiene vínculos a características que usan TPM)
Portal de servicios base de TPM
API de servicios base de TPM
Cmdlets de TPM en Windows PowerShell
Preparación de la organización para BitLocker: planeación y directivas, configuraciones del TPM
Aprovisionamiento de dispositivos de Azure: atestación de identidad con TPM
Aprovisionamiento de dispositivos de Azure: escala de tiempo de fabricación para dispositivos TPM
Windows 10: Habilitar vTPM (TPM virtual)
Cómo realizar un arranque múltiple con BitLocker, TPM y un sistema operativo que no sea Windows
 Conceptos básicos del TPM
08/11/2022 • 12 minutes to read

Se aplica a
Windows10
Windows11
Windows Server 2016 y versiones posteriores
En este artículo para el profesional de TI se proporciona una descripción de los componentes del módulo de
plataforma segura (TPM 1.2 y TPM 2.0) y se explica cómo se usan para mitigar los ataques de diccionario.
Un módulo de plataforma segura (TPM) es un microchip diseñado para proporcionar funciones básicas
relacionadas con la seguridad, que implican principalmente claves de cifrado. El TPM se instala en la placa base
de un equipo y se comunica con el resto del sistema mediante un bus de hardware.
Los equipos que incorporan un TPM pueden crear claves criptográficas y cifrarlas para que solo las pueda
descifrar el TPM. Este proceso, a menudo denominado ajuste o enlace de una clave, puede ayudar a proteger la
clave de la divulgación. Cada TPM tiene una clave de ajuste maestra, denominada clave raíz de almacenamiento,
que se almacena en el propio TPM. La parte privada de una clave raíz de almacenamiento o una clave de
aprobación que se crea en un TPM nunca se expone a ningún otro componente, software, proceso o usuario.
Puede especificar si las claves de cifrado creadas por el TPM se pueden migrar o no. Si especifica que se pueden
migrar, las partes públicas y privadas de la clave se pueden exponer a otros componentes, software, procesos o
usuarios. Si especifica que las claves de cifrado no se pueden migrar, la parte privada de la clave nunca se
expone fuera del TPM.
Los equipos que incorporan un TPM también pueden crear una clave encapsulada y vinculada a determinadas
medidas de plataforma. Este tipo de clave solo se puede desencapsear cuando esas medidas de plataforma
tienen los mismos valores que tenían cuando se creó la clave. Este proceso se conoce como "sellar la clave en el
TPM". Descifrar la clave se denomina desenlazamiento. El TPM también puede sellar y anular la seal de los datos
que se generan fuera del TPM. Con esta clave y software sellados, como el cifrado de unidad BitLocker, puede
bloquear los datos hasta que se cumplan condiciones específicas de hardware o software.
Con un TPM, las partes privadas de pares clave se mantienen independientes de la memoria controlada por el
sistema operativo. Las claves se pueden sellar en el TPM, y se pueden realizar ciertas garantías sobre el estado
de un sistema (garantías que definen la confiabilidad de un sistema) antes de que las claves se desasombren y
se liberen para su uso. El TPM usa su propio firmware interno y circuitos lógicos para procesar las instrucciones.
Por lo tanto, no se basa en el sistema operativo y no se expone a vulnerabilidades que puedan existir en el
sistema operativo o el software de la aplicación.
Para obtener información sobre qué versiones de Windows admiten qué versiones del TPM, consulta
Información general sobre la tecnología del módulo de plataforma segura. Las características que están
disponibles en las versiones se definen en las especificaciones de Trusted Computing Group (TCG). Para obtener
más información, consulte la página Módulo de plataforma segura en el sitio web del grupo de informática de
confianza: Módulo de plataforma segura.
En las secciones siguientes se proporciona información general sobre las tecnologías que admiten el TPM:
Arranque medido con compatibilidad con la atestación
Tarjeta inteligente virtual basada en TPM
 Almacenamiento de certificados basado en TPM
TPM Cmdlets
Interfaz de presencia física
Estados e inicialización de TPM 1.2
Claves de aprobación
Atestación de clave de TPM
Anti-martilleo
En el tema siguiente se describen los servicios de TPM que se pueden controlar de forma centralizada mediante
directiva de grupo configuración: Configuración de TPM directiva de grupo.

Arranque medido con compatibilidad con la atestación

La característica Arranque medido proporciona software antimalware con un registro de confianza (resistente a
la suplantación y manipulación) de todos los componentes de arranque. El software antimalware puede usar el
registro para determinar si los componentes que se ejecutaron antes de que fueran de confianza frente a
infectados con malware. También puede enviar los registros de arranque medido a un servidor remoto para su
evaluación. El servidor remoto puede iniciar acciones de corrección interactuando con software en el cliente o a
través de mecanismos fuera de banda, según corresponda.

Tarjeta inteligente virtual basada en TPM

La tarjeta inteligente virtual emula la funcionalidad de las tarjetas inteligentes tradicionales. Las tarjetas
inteligentes virtuales usan el chip TPM que está disponible en los equipos de una organización, en lugar de usar
una tarjeta inteligente física y un lector independientes. Esto reduce en gran medida el costo de administración e
implementación de las tarjetas inteligentes en una empresa. Para el usuario final, la tarjeta inteligente virtual
siempre está disponible en el equipo. Si un usuario necesita usar más de un equipo, se debe emitir una tarjeta
inteligente virtual al usuario para cada equipo. Un equipo que se comparte entre varios usuarios puede
hospedar varias tarjetas inteligentes virtuales, una para cada usuario.

Almacenamiento de certificados basado en TPM

El TPM protege los certificados y las claves RSA. El proveedor de almacenamiento de claves de TPM (KSP)
proporciona un uso fácil y práctico del TPM como una forma de proteger fuertemente las claves privadas. El KSP
de TPM genera claves cuando una organización se inscribe para obtener certificados. El KSP se administra
mediante plantillas en la interfaz de usuario. El TPM también protege los certificados que se importan desde un
origen externo. Los certificados basados en TPM son certificados estándar. El certificado nunca puede salir del
TPM desde el que se generan las claves. El TPM ahora se puede usar para operaciones criptográficas a través de
Cryptography API: Next Generation (CNG). Para obtener más información, consulte Cryptography API: Next
Generation.

TPM Cmdlets
Puede administrar el TPM con Windows PowerShell. Para obtener más información, consulte Cmdlets para el
TPM en Windows PowerShell.

Interfaz de presencia física

Para TPM 1.2, las especificaciones de TCG para LOS TPM requieren presencia física (normalmente, presionar una
tecla) para activar el TPM, desactivarlo o borrarlo. Estas acciones normalmente no se pueden automatizar con
scripts u otras herramientas de automatización a menos que el OEM individual los suministre.

Estados e inicialización de TPM 1.2

TPM 1.2 tiene varios estados posibles. Windows inicializa automáticamente el TPM, lo que lo lleva a un estado
habilitado, activado y de propiedad.

Claves de aprobación
Una aplicación de confianza solo puede usar TPM si el TPM contiene una clave de aprobación, que es un par de
claves RSA. La mitad privada del par de claves se mantiene dentro del TPM y nunca se revela ni se puede
acceder a ella fuera del TPM.

Atestación de clave
La atestación de claves de TPM permite a una entidad de certificación comprobar que una clave privada está
protegida por un TPM y que el TPM es en el que confía la entidad de certificación. Las claves de aprobación
probadas como válidas se usan para enlazar la identidad del usuario a un dispositivo. El certificado de usuario
con una clave atestiguada de TPM proporciona una mayor garantía de seguridad respaldada por la no
exportabilidad, el anti-martilleo y el aislamiento de las claves proporcionadas por un TPM.

Anti-martilleo
Cuando un TPM procesa un comando, lo hace en un entorno protegido, por ejemplo, un microcontrolador
dedicado en un chip discreto o un modo especial protegido por hardware en la CPU principal. Un TPM se usa
para crear una clave criptográfica que no se divulga fuera del TPM. Se usa en el TPM después de proporcionar el
valor de autorización correcto.
Los TPMs tienen protección contra martillos diseñada para evitar ataques por fuerza bruta, o ataques de
diccionario más complejos, que intentan determinar los valores de autorización para usar una clave. El enfoque
básico es que el TPM permita solo un número limitado de errores de autorización antes de impedir que se usen
más intentos de usar claves y bloqueos. Proporcionar un recuento de errores para claves individuales no es
técnicamente práctico, por lo que los TPM tienen un bloqueo global cuando se producen demasiados errores de
autorización.
Dado que muchas entidades pueden usar el TPM, una única autorización correcta no puede restablecer la
protección contra martillos del TPM. Esto impide que un atacante cree una clave con un valor de autorización
conocido y, a continuación, la use para restablecer la protección del TPM. Los TPM están diseñados para
olvidarse de los errores de autorización después de un período de tiempo, por lo que el TPM no entra en un
estado de bloqueo innecesariamente. Se puede usar una contraseña de propietario de TPM para restablecer la
lógica de bloqueo del TPM.
Anti-martillo tpm 2.0
TPM 2.0 tiene un comportamiento anti-martillo bien definido. Esto contrasta con tpm 1.2 para el que el
fabricante implementó la protección contra el martillo y la lógica varió ampliamente en todo el sector.
Para los sistemas con TPM 2.0, Windows configura el TPM para bloquearse después de 32 errores de
autorización y olvidar un error de autorización cada 10 minutos. Esto significa que un usuario podría intentar
rápidamente usar una clave con el valor de autorización incorrecto 32 veces. Para cada uno de los 32 intentos, el
TPM registra si el valor de autorización era correcto o no. Esto provoca involuntariamente que el TPM entre en
un estado bloqueado después de 32 intentos erróneos.
Los intentos de usar una clave con un valor de autorización durante los próximos 10 minutos no devolverán
éxito o error; en su lugar, la respuesta indica que el TPM está bloqueado. Después de 10 minutos, se olvida un
error de autorización y el número de errores de autorización que recuerda el TPM cae a 31, por lo que el TPM
deja el estado bloqueado y vuelve al funcionamiento normal. Con el valor de autorización correcto, las claves se
podrían usar normalmente si no se produce ningún error de autorización durante los próximos 10 minutos. Si
transcurre un período de 320 minutos sin errores de autorización, el TPM no recuerda ningún error de
autorización y se podrían volver a producir 32 intentos erróneos.
Windows 8 Certificación no requiere que los sistemas TPM 2.0 se olviden de los errores de autorización cuando
el sistema está totalmente apagado o cuando el sistema ha hibernado. Windows requiere que los errores de
autorización se olviden cuando el sistema se ejecuta normalmente, en modo de suspensión o en estados de baja
potencia que no estén apagados. Si un sistema Windows con TPM 2.0 está bloqueado, el TPM deja el modo de
bloqueo si el sistema se deja encendido durante 10 minutos.
La protección contra el martillo de TPM 2.0 se puede restablecer completamente inmediatamente enviando un
comando de bloqueo de restablecimiento al TPM y proporcionando la contraseña de propietario del TPM. De
forma predeterminada, Windows aprovisiona automáticamente TPM 2.0 y almacena la contraseña de
propietario de TPM para que la usen los administradores del sistema.
En algunas situaciones empresariales, el valor de autorización del propietario de TPM está configurado para
almacenarse centralmente en Active Directory y no se almacena en el sistema local. Un administrador puede
iniciar MMC de TPM y elegir restablecer el tiempo de bloqueo de TPM. Si la contraseña del propietario del TPM
se almacena localmente, se usa para restablecer el tiempo de bloqueo. Si la contraseña del propietario del TPM
no está disponible en el sistema local, el administrador debe proporcionarla. Si un administrador intenta
restablecer el estado de bloqueo de TPM con la contraseña de propietario de TPM incorrecta, el TPM no permite
otro intento de restablecer el estado de bloqueo durante 24 horas.
TPM 2.0 permite crear algunas claves sin un valor de autorización asociado a ellas. Estas claves se pueden usar
cuando el TPM está bloqueado. Por ejemplo, BitLocker con una configuración predeterminada de solo TPM
puede usar una clave en el TPM para iniciar Windows, incluso cuando el TPM está bloqueado.
Razones detrás de los valores predeterminados
Originalmente, BitLocker permitía entre 4 y 20 caracteres para un PIN. Windows Hello tiene su propio PIN para
el inicio de sesión, que puede tener entre 4 y 127 caracteres. BitLocker y Windows Hello usan el TPM para evitar
ataques por fuerza bruta de PIN.
Windows 10, versión 1607 y los parámetros de prevención de ataques de diccionario usados anteriormente. Los
parámetros de prevención de ataques de diccionario proporcionan una manera de equilibrar las necesidades de
seguridad con la facilidad de uso. Por ejemplo, cuando se usa BitLocker con una configuración de TPM + PIN, el
número de estimaciones de PIN está limitado con el tiempo. Un TPM 2.0 en este ejemplo podría configurarse
para permitir solo 32 estimaciones de PIN inmediatamente y, a continuación, solo una estimación más cada dos
horas. Esto suma un máximo de aproximadamente 4415 estimaciones al año. Si el PIN es de 4 dígitos, todas las
combinaciones de PIN posibles de 9999 podrían intentarse en poco más de dos años.
A partir de Windows 10, versión 1703, la longitud mínima del PIN de BitLocker se incrementó a 6 caracteres
para alinearse mejor con otras características de Windows que aprovechan TPM 2.0, incluido Windows Hello.
Aumentar la longitud del PIN requiere un mayor número de conjeturas para un atacante. Por lo tanto, la
duración del bloqueo entre cada estimación se ha acortado para permitir que los usuarios legítimos vuelvan a
intentar un intento erróneo antes, al tiempo que mantienen un nivel de protección similar. En caso de que se
necesiten usar los parámetros heredados para el umbral de bloqueo y el tiempo de recuperación, asegúrese de
que el GPO está habilitado y configure el sistema para que use la configuración heredada Dictionary Attack
Prevention Parameters para TPM 2.0.
Tarjetas inteligentes basadas en TPM
La tarjeta inteligente basada en TPM de Windows, que es una tarjeta inteligente virtual, se puede configurar
para permitir el inicio de sesión en el sistema. A diferencia de las tarjetas inteligentes físicas, el proceso de inicio
de sesión usa una clave basada en TPM con un valor de autorización. En la lista siguiente se muestran las
ventajas de las tarjetas inteligentes virtuales:
 Las tarjetas inteligentes físicas pueden aplicar el bloqueo solo para el PIN de tarjeta inteligente física, y
pueden restablecer el bloqueo después de introducir el PIN correcto. Con una tarjeta inteligente virtual, la
protección contra martillos del TPM no se restablece después de una autenticación correcta. El número
permitido de errores de autorización antes de que el TPM entre en bloqueo incluye muchos factores.
Los fabricantes de hardware y los desarrolladores de software tienen la opción de usar las características
de seguridad del TPM para satisfacer sus requisitos.
La intención de seleccionar 32 errores como umbral de bloqueo es que los usuarios rara vez bloquean el
TPM (incluso cuando aprenden a escribir contraseñas nuevas o si bloquean y desbloquean con frecuencia
sus equipos). Si los usuarios bloquean el TPM, deben esperar 10 minutos o usar alguna otra credencial
para iniciar sesión, como un nombre de usuario y una contraseña.

Temas relacionados
Módulo de plataforma segura (lista de temas)
Cmdlets de TPM en Windows PowerShell
Proveedores WMI de TPM
Preparación de la organización para BitLocker: planeación y directivas, configuraciones del TPM
 Cómo Windows usa el módulo de plataforma
segura
08/11/2022 • 27 minutes to read

El sistema operativo Windows mejora la mayoría de las características de seguridad existentes en el sistema
operativo y agrega nuevas y innovadoras características de seguridad, como Device Guard y Windows Hello
para empresas. Hace que la seguridad basada en hardware sea más profunda dentro del sistema operativo que
en las anteriores versiones de Windows, maximizando la seguridad de la plataforma y aumentando la facilidad
de uso. Para lograr muchas de estas mejoras de seguridad, Windows hace un uso extensivo del módulo de
plataforma segura (TPM). En este artículo se ofrece una breve introducción al TPM, se describe cómo funciona y
se describen las ventajas que aporta TPM a Windows y el impacto acumulado en la seguridad de la ejecución de
Windows en un equipo que contiene un TPM.
Consulta también:
Especificaciones de Windows 11
Especificaciones de Windows10
Conceptos básicos del TPM
Recomendaciones para el TPM 

Información general sobre TPM

El TPM es un módulo criptográfico que mejora la seguridad y privacidad del equipo. Proteger los datos
mediante cifrado y descifrado, proteger las credenciales de autenticación y probar qué software se está
ejecutando en un sistema son funcionalidades básicas asociadas a la seguridad de los equipos. El TPM ayuda
con todos estos escenarios y más.
Históricamente, los TPM han sido chips discretos soldados a la placa base de un equipo. Estas implementaciones
permiten el fabricante de equipos originales (OEM) del equipo evaluar y certificar que el TPM está separado del
resto del sistema. Aunque las implementaciones de TPM discreto siguen siendo frecuentes, pueden ser
problemáticas en el caso de dispositivos integrados que sean pequeños o tengan bajo consumo de energía.
Algunas implementaciones de TPM más recientes integran la funcionalidad de TPM en el mismo conjunto de
chips que otros componentes de la plataforma mientras todavía ofrecen una separación lógica similar a la de los
chips de TPM discretos.
Los TPM con pasivos: reciben comandos y devuelven respuestas. Para aprovechar plenamente un TPM, el OEM
debe integrar cuidadosamente el hardware y el firmware del sistema con el TPM para enviarle comandos y
reaccionar a sus respuestas. Los TPM se diseñaron originalmente para brindar ventajas de seguridad y
privacidad al propietario y los usuarios de una plataforma, pero las versiones más recientes pueden ofrecer las
ventajas de seguridad y privacidad al propio hardware del sistema. Sin embargo, para que un TPM se pueda
usar en escenarios avanzados, es preciso aprovisionarlo. Windows aprovisiona automáticamente un TPM, pero
si el usuario vuelve a instalar el sistema operativo, es posible que tenga que indicar al sistema operativo que
vuelva a aprovisionar explícitamente el TPM para poder usar todas las características del TPM.
La organización Trusted Computing Group (TCG), sin ánimo de lucro, es la que publica y mantiene la
especificación de TPM. El TCG existe para desarrollar, definir y promocionar estándares globales del sector e
independientes del proveedor que admiten una raíz basada en hardware de confianza para plataformas
informáticas de confianza interoperables. El TCG también publica la especificación de TPM como el estándar
internacional 11889 ISO/IEC, que usa el proceso de envío de la PAS (Publicly Available Specification) que el
Comité Técnico Conjunto 1 define entre la Organización Internacional de Normalización (ISO) y la Comisión
Electrotécnica Internacional (IEC).
Los OEM implementan el TPM como componente en una plataforma informática de confianza como un PC, una
tableta o un teléfono. Las plataformas informáticas de confianza usan el TPM para admitir escenarios de
privacidad y seguridad que el software por sí mismo no puede conseguir. Por ejemplo, el software por sí mismo
no puede informar de forma confiable si existe malware durante el proceso de inicio del sistema. La estrecha
integración entre el TPM y la plataforma aumenta la transparencia del proceso de inicio y admite la evaluación
del estado del dispositivo habilitando de forma confiable la medición y notificación del software que inicia el
dispositivo. La implementación de un TPM como parte de una plataforma informática de confianza ofrece una
raíz de hardware de confianza, lo que significa que el hardware se comporta de manera confiable. Por ejemplo,
si una clave almacenada en un TPM tiene propiedades que no permiten exportarla, esa clave no puede
realmente salir del TPM.
El TCG diseñó el TPM como una solución de seguridad de bajo costo para el mercado de masas que cumple los
requisitos de distintos segmentos de clientes. Del mismo modo que existen variaciones en los requisitos
normativos y de clientes de los distintos sectores, hay variaciones en las propiedades de seguridad de las
distintas implementaciones de TPM. En los contratos públicos, por ejemplo, algunos gobiernos han definido
claramente requisitos de seguridad de TPM mientras que otros no.
Los programas de certificación para los TPM, y la tecnología en general, continúan evolucionando a medida que
aumenta la velocidad de la innovación. Aunque tener un TPM es claramente mejor que no tenerlo, el mejor
consejo de Microsoft es determinar las necesidades de seguridad de tu organización e investigar los requisitos
normativos asociados a la adquisición para tu sector. El resultado es un equilibrio entre los escenarios usados, el
nivel de seguridad, el costo, la comodidad y la disponibilidad.

TPM en Windows
Las características de seguridad de Windows combinadas con las ventajas de un TPM ofrecen ventajas prácticas
de seguridad y privacidad. Las secciones siguientes comienzan con las principales características de seguridad
relacionadas con TPM en Windows y describen cómo usan las tecnologías clave el TPM para habilitar o
aumentar la seguridad.

Proveedor criptográfico de plataforma

Windows incluye un framework de criptografía denominado Cryptographic API: Next Generation (CNG), cuyo
enfoque básico es implementar algoritmos criptográficos de maneras diferentes pero con una interfaz de
programación de aplicaciones (API) común. Las aplicaciones que usan criptografía pueden utilizar la API común
sin conocer los detalles de cómo se implementa un algoritmo, mucho menos el propio algoritmo.
Aunque CNG suena como un punto de partida banal, ilustra algunas de las ventajas que ofrece un TPM. Debajo
de la interfaz CNG, Windows o terceros suministran un proveedor criptográfico (es decir, una implementación
de un algoritmo) implementado como bibliotecas de software solas o en una combinación de software y
hardware de sistema disponible o hardware de terceros. Si se implementa a través de hardware, el proveedor de
criptografía se comunica con el hardware que se encuentra detrás de la interfaz de software de CNG.
El Proveedor criptográfico de plataforma, introducido en el sistema operativo Windows 8, expone las siguientes
propiedades especiales de TPM, que los proveedores de GNC de software no pueden ofrecer o no pueden
ofrecer con la misma eficacia:
Protección de claves . El Proveedor criptográfico de plataforma puede crear claves en el TPM con
restricciones sobre su uso. El sistema operativo puede cargar y usar las claves en el TPM sin copiar las
claves en la memoria del sistema, donde son vulnerables al malware. El Proveedor criptográfico de
plataforma también puede configurar claves que un TPM protege para que no se puedan quitar. Si un
 TPM crea una clave, la clave es única y solo se encuentra en ese TPM. Si el TPM importa una clave, el
proveedor criptográfico de plataforma puede usar la clave en ese TPM, pero ese TPM no es un origen
para realizar más copias de la clave o habilitar el uso de copias en otro lugar. En marcado contraste, las
soluciones de software que protegen frente a la copia de claves están sujetas a ataques de ingeniería
inversa, en las que alguien averigua de qué manera la solución almacena las claves o hace copias de las
claves mientras están en la memoria durante el uso.
Protección contra ataques de diccionario . Las claves que protege un TPM pueden requerir un valor
de autorización, como un PIN. Con la protección contra ataques de diccionario, el TPM puede evitar
ataques que intentan un gran número de intentos para determinar el PIN. Tras demasiados intentos, el
TPM simplemente devuelve un error diciendo que no se permiten más intentos durante un período de
tiempo. Las soluciones de software pueden proporcionar características similares, pero no pueden
proporcionar el mismo nivel de protección, especialmente si se reinicia el sistema, el reloj del sistema
cambia o se revierten los archivos del disco duro que cuentan intentos con error. Además, con la
protección contra ataques de diccionario, los valores de autorización como los PIN pueden ser más
cortos y fáciles de recordar, a la vez que proporcionan el mismo nivel de protección que los valores más
complejos al usar soluciones de software.
Estas características de TPM ofrecen al Proveedor criptográfico de plataforma distintas ventajas sobre las
soluciones basadas en software. Una manera práctica de ver estas ventajas en acción es cuando se usan
certificados en un dispositivo Windows. En las plataformas que incluyen un TPM, Windows puede usar el
Proveedor criptográfico de plataforma para proporcionar almacenamiento de certificados. Las plantillas de
certificados pueden especificar que un TPM use el Proveedor criptográfico de plataforma para proteger la clave
asociada a un certificado. En entornos mixtos, donde es posible que algunos equipos no tengan un TPM, la
plantilla de certificado podría preferir el proveedor criptográfico de plataforma sobre el proveedor de software
estándar de Windows. Si un certificado está configurado para no poder ser exportado, la clave privada del
certificado está restringida y no se puede exportar desde el TPM. Si el certificado requiere un PIN, el PIN obtiene
la protección contra ataques de diccionario del TPM automáticamente.

Tarjeta inteligente virtual

Las tarjetas inteligentes son dispositivos físicos muy seguros que suelen almacenar un solo certificado y la
correspondiente clave privada. Los usuarios insertan una tarjeta inteligente en un lector de tarjetas integrado o
USB y escriben un PIN para desbloquearlo. Windows puede entonces obtener acceso al certificado de la tarjeta y
usar la clave privada para la autenticación o para desbloquear los volúmenes de datos protegidos con BitLocker.
Las tarjetas inteligentes son populares porque proporcionan una autenticación en dos fases que requiere tanto
algo que el usuario tiene (es decir, la tarjeta inteligente) como algo que el usuario conoce (como el PIN de la
tarjeta inteligente). Sin embargo, las tarjetas inteligentes son difíciles de usar porque requieren la compra y la
implementación tanto de tarjetas inteligentes como de lectores de tarjetas inteligentes.
En Windows, la característica Tarjeta inteligente virtual permite al TPM imitar una tarjeta inteligente insertada
permanentemente. El TPM se convierte en "algo que el usuario tiene", pero todavía requiere un PIN. Aunque las
tarjetas inteligentes físicas limitan el número de intentos de PIN antes de bloquear la tarjeta y requieren un
restablecimiento, una tarjeta inteligente virtual se basa en la protección contra ataques de diccionario del TPM
para evitar demasiados intentos de PIN.
Para las tarjetas inteligentes virtuales basadas en TPM, el TPM protege el uso y el almacenamiento de la clave
privada del certificado para que no pueda copiarse cuando se esté usando o esté guardada y se esté usando en
otro lugar. El uso de un componente que forma parte del sistema en lugar de una tarjeta inteligente física
independiente puede reducir el costo total de propiedad porque elimina los escenarios de "tarjeta perdida" y
"tarjeta dejada en casa" al mismo tiempo que ofrece los beneficios de la autenticación multifactor basada en
tarjetas inteligentes. Para los usuarios, las tarjetas inteligentes virtuales son fáciles de usar ya que solo requieren
un PIN para desbloquear. Las tarjetas inteligentes virtuales admiten los mismos escenarios que las tarjetas
inteligentes físicas, incluido el inicio de sesión en Windows o la autenticación para el acceso a recursos.
Windows Hello para empresas
Windows Hello para empresas proporciona métodos de autenticación destinados a reemplazar contraseñas, que
pueden ser difíciles de recordar y fácilmente vulnerables. Además, las soluciones de nombre de usuario y
contraseña para la autenticación a menudo reutilizan las mismas combinaciones de nombre de usuario y
contraseña en múltiples dispositivos y servicios; si esas credenciales se ponen en peligro, estarán expuestas a
riesgos en muchos lugares. Windows Hello para empresas aprovisiona dispositivos uno a uno y combina la
información proporcionada en cada dispositivo (es decir, la clave criptográfica) con información adicional para
autenticar a los usuarios. En un sistema que tiene un TPM, el TPM puede proteger la clave. Si un sistema no tiene
un TPM, las técnicas basadas en software protegen la clave. La información adicional que el usuario suministra
puede ser un valor de PIN o, si el sistema tiene el hardware necesario, información biométrica, como
reconocimiento facial o de huellas dactilares. Para proteger la privacidad, la información biométrica solo se
utiliza en el dispositivo aprovisionado para obtener acceso a la clave aprovisionada: no se comparte entre
dispositivos.
La adopción de una nueva tecnología de autenticación requiere que las organizaciones y los proveedores de
identidades implementen y usen esa tecnología. Windows Hello para empresas permite que los usuarios se
autentiquen con su cuenta de Microsoft existente, una cuenta de Active Directory, una cuenta de Microsoft Azure
Active Directory o incluso servicios de proveedores de identidad que no son de Microsoft o servicios de
usuarios de confianza que admiten la autenticación mediante FIDO v. 2.0.
Los proveedores de identidad tienen flexibilidad en cómo aprovisionan credenciales en los dispositivos cliente.
Por ejemplo, una organización puede aprovisionar solo aquellos dispositivos que tienen un TPM para que la
organización sepa que un TPM protege las credenciales. La capacidad de distinguir un TPM de un malware que
actúa como un TPM requiere las siguientes capacidades de TPM (consulta la Figura 1):
Clave de aprobación . El fabricante del TPM puede crear una clave especial en el TPM denominada clave
de aprobación. Un certificado de clave de aprobación, firmado por el fabricante, indica que la clave de
aprobación está presente en un TPM que realizó el fabricante. Las soluciones pueden usar el certificado
con el TPM que contiene la clave de aprobación para confirmar que un escenario conlleva realmente un
TPM de un fabricante de TPM específico (en lugar de que el malware actúe como un TPM).
Clave de identidad de atestación . Para proteger la privacidad, la mayoría de los escenarios TPM no
usan directamente una clave de aprobación real. En su lugar, usan claves de identidad de atestación y una
entidad de certificación (CA) de identidad utiliza la clave de aprobación y su certificado para probar que
una o más claves de identidad de atestación existen realmente en un TPM real. La CA de identidad emite
certificados de claves de identidad de atestación. Más de una CA de identidad generalmente verá el
mismo certificado de clave de aprobación que puede identificar de forma exclusiva al TPM, pero se puede
crear cualquier número de certificados de clave de identidad de atestación para limitar la información
compartida en otros escenarios.
Figura 1: Administración de claves criptográficas del TPM
Para Windows Hello para empresas, Microsoft puede asumir el rol de la CA de identidad. Los servicios de
Microsoft pueden emitir un certificado de clave de identidad de atestación para cada dispositivo, usuario y
proveedor de identidad con el fin de garantizar que la privacidad está protegida y para ayudar a los proveedores
de identidad a garantizar que se cumplen los requisitos del TPM del dispositivo antes de aprovisionar las
credenciales de Windows Hello para empresas.

Cifrado de unidad BitLocker

BitLocker ofrece cifrado de volumen completo para proteger los datos en reposo. La configuración de
dispositivo más común divide la unidad de disco duro en varios volúmenes. El sistema operativo y los datos de
usuario se encuentran en un volumen que contiene información confidencial y otros volúmenes contienen
información pública, como componentes de arranque, información del sistema y herramientas de recuperación.
(Estos otros volúmenes se usan con poca frecuencia y no es necesario que sean visibles para los usuarios). Sin
más protecciones, si el volumen que contiene el sistema operativo y los datos de usuario no está cifrado, alguien
puede arrancar otro sistema operativo y omitir fácilmente la aplicación de permisos de archivo del sistema
operativo previsto para leer los datos de usuario.
En la configuración más común, BitLocker cifra el volumen del sistema operativo de modo que si el equipo o la
unidad de disco duro se pierde o se roba cuando está desconectado, los datos del volumen siguen siendo
confidenciales. Cuando el equipo está encendido, se inicia normalmente y continúa hasta el mensaje de inicio de
sesión en Windows, el usuario debe iniciar sesión con sus credenciales, lo que permite al sistema operativo
aplicar sus permisos de archivo normales. Sin embargo, si cambia algo en el proceso de arranque, por ejemplo,
se arranca un sistema operativo diferente desde un dispositivo USB, el volumen del sistema operativo y los
datos del usuario no se pueden leer y no son accesibles. El TPM y el firmware del sistema colaboran para
registrar mediciones de cómo se inició el sistema, incluido el software cargado y detalles de configuración,
como si el arranque se realizó desde el disco duro o un dispositivo USB. BitLocker se basa en el TPM para
permitir el uso de una clave solo cuando el inicio se produce de una manera esperada. El firmware del sistema y
el TPM están cuidadosamente diseñados para trabajar de manera conjunta con el fin de proporcionar las
siguientes capacidades:
Raíz de confianza de hardware para la medición . Un TPM permite al software enviarle comandos
que registran mediciones de software o información de configuración. Esta información se puede calcular
utilizando un algoritmo hash que esencialmente transforma muchos datos en un pequeño valor de hash
estadísticamente único. El firmware del sistema tiene un componente denominado Core Root of Trust of
 Measurement (CRTM) que es implícitamente de confianza. El CRTM aplica el hash incondicionalmente al
siguiente componente de software y registra el valor de medición enviando un comando al TPM. Los
componentes sucesivos, ya sean firmware del sistema o cargadores del sistema operativo, continúan el
proceso midiendo los componentes de software que cargan antes de ejecutarlos. Debido que la medida
de cada componente se envía al TPM antes de ejecutarse, un componente no puede borrar su medida del
TPM. (Sin embargo, las medidas se borran cuando se reinicia el sistema.) El resultado es que en cada paso
del proceso de inicio del sistema, el TPM sostiene las mediciones del software de arranque y la
información de configuración. Cualquier cambio en el software de arranque o la configuración produce
diferentes medidas de TPM en ese paso y en pasos posteriores. Dado que el firmware del sistema inicia
incondicionalmente la cadena de medidas, proporciona una raíz de confianza basada en hardware para
las medidas del TPM. En algún momento del proceso de inicio, el valor del registro de información de
configuración y software cargado disminuye y la cadena de medidas se detiene. El TPM permite la
creación de claves que solo se pueden usar cuando los registros de configuración de plataforma que
contienen las medidas tienen valores específicos.
Clave que se usa solo cuando las medidas de arranque son precisas . BitLocker crea una clave en
el TPM que solo se puede usar cuando las medidas de arranque coinciden con un valor esperado. El valor
esperado se calcula para el paso del proceso de inicio cuando Windows Boot Manager se ejecuta desde el
volumen del sistema operativo en el disco duro del sistema. El Administración de arranque de Windows,
que se almacena sin cifrar en el volumen de arranque, necesita usar la clave del TPM para poder descifrar
los datos leídos en la memoria del volumen del sistema operativo y el arranque puede continuar usando
el volumen del sistema operativo cifrado. Si se arranca un sistema operativo diferente o se cambia la
configuración, los valores de medición en el TPM serán diferentes, el TPM no permitirá que el
Administrador de arranque de Windows use la clave y el proceso de arranque no podrá continuar
normalmente porque no se pueden descifrar los datos del sistema operativo. Si alguien intenta arrancar
el sistema con un sistema operativo o un dispositivo diferentes, el software o las medidas de
configuración en el TPM serán incorrectos y el TPM no permitirá el uso de la clave necesaria para
descifrar el volumen del sistema operativo. Como opción para notificaciones de error, si los valores de
medidas cambian de manera inesperada, el usuario siempre puede usar la clave de recuperación de
BitLocker para obtener acceso a los datos del volumen. Las organizaciones pueden configurar BitLocker
para almacenar la clave de recuperación Servicios de dominio de Active Directory (AD DS).
Las características del hardware del dispositivo son importantes para BitLocker y su capacidad de proteger
datos. Algo que se debe tener en cuenta es si el dispositivo ofrece vectores de ataque cuando el sistema se
encuentra en la pantalla de inicio de sesión. Por ejemplo, si el dispositivo Windows tiene un puerto que permite
el acceso directo a la memoria para que alguien pueda conectar el hardware y leer la memoria, un atacante
puede leer la clave de descifrado del volumen del sistema operativo de la memoria mientras se encuentra en la
pantalla de inicio de sesión de Windows. Para mitigar este riesgo, las organizaciones pueden configurar
BitLocker para que la clave del TPM requiera tanto las medidas de software correctas como un valor de
autorización. El proceso de inicio del sistema se detiene en el Administrador de inicio de Windows y se le pide al
usuario que escriba el valor de autorización para la clave del TPM o que inserte un dispositivo USB con el valor.
Este proceso impide que BitLocker cargue automáticamente la clave en la memoria donde podría ser vulnerable,
pero tiene una experiencia de usuario menos deseable.
El hardware más reciente y Windows funcionan mejor juntos para deshabilitar el acceso directo a la memoria a
través de puertos y reducir los vectores de ataque. El resultado es que las organizaciones pueden implementar
más sistemas sin requerir que los usuarios introduzcan información de autorización adicional durante el
proceso de inicio. El hardware adecuado permite usar BitLocker con la configuración "Solo TPM", lo que
proporciona a los usuarios una experiencia de inicio de sesión única sin tener que escribir un PIN o una clave
USB durante el arranque.

Cifrado de dispositivo
El cifrado de dispositivo es la versión para los consumidores de BitLocker y usa la misma tecnología subyacente.
El funcionamiento es si un cliente inicia sesión con una cuenta Microsoft y el sistema cumple los requisitos de
hardware en espera moderna, el cifrado de unidad BitLocker se habilita automáticamente en Windows. Se
realiza una copia de seguridad de la clave de recuperación en la nube de Microsoft y es accesible para el
consumidor a través de su cuenta de Microsoft. Los requisitos de hardware en espera moderna informan a
Windows de que el hardware es adecuado para implementar El cifrado de dispositivos y permite el uso de la
configuración "solo TPM" para una experiencia de consumidor sencilla. Además, el hardware de Modern
Standby está diseñado para reducir la probabilidad de que los valores de medidas cambien y solicita al cliente la
clave de recuperación.
Para las medidas de software, el cifrado de dispositivo se basa en medidas de la autoridad que proporciona
componentes de software (basados en la firma de código de fabricantes como OEM o Microsoft) en lugar de los
hashes precisos de los componentes de software. Esto permite el mantenimiento de los componentes sin
cambiar los valores de medición resultantes. Para las medidas de configuración, los valores usados se basan en
la directiva de seguridad de arranque en lugar de las otras numerosas configuraciones registradas durante el
inicio. Estos valores también cambian con menos frecuencia. El resultado es que el cifrado de dispositivo está
habilitado en el hardware adecuado de una manera fácil de usar a la vez que protege los datos.

Arranque medido
Windows 8 introdujo el arranque medido como una forma de que el sistema operativo registre la cadena de
medidas de componentes de software e información de configuración en el TPM a través de la inicialización del
sistema operativo Windows. En las versiones anteriores de Windows, la cadena de medidas se detuvo en el
propio componente del Administrador de arranque de Windows y las medidas en el TPM no fueron útiles para
comprender el estado inicial de Windows.
El proceso de arranque de Windows se produce en etapas y con frecuencia implica a controladores de terceros
para comunicarse con hardware específico del proveedor o implementar soluciones de antimalware. Para el
software, el arranque medido registra las mediciones del kernel de Windows, los controladores de anti-malware
de inicio anticipado y los controladores de arranque en el TPM. Para las opciones de configuración, el arranque
medido registra información pertinente para la seguridad, como datos de firma usados por los controladores
antimalware y datos de configuración sobre las características de seguridad de Windows (por ejemplo, si
BitLocker está activado o desactivado).
El arranque medido garantiza que las medidas del TPM reflejan completamente el estado de inicio del software
de Windows y los ajustes de configuración. Si los ajustes de seguridad y otras protecciones se configuran
correctamente, se puede confiar en ellos para mantener la seguridad del sistema operativo en ejecución a partir
de entonces. Otros escenarios pueden usar el estado de inicio del sistema operativo para determinar si se debe
confiar en el sistema operativo en ejecución.
Las medidas del TPM están diseñadas para evitar registrar cualquier información confidencial como medida.
Como protección adicional de la privacidad, el arranque medido detiene la cadena de medición en el estado de
inicio inicial de Windows. Por lo tanto, el conjunto de medidas no incluye detalles acerca de qué aplicaciones se
están usando o cómo se está utilizando Windows. La información de medidas se puede compartir con entidades
externas para mostrar que el dispositivo está aplicando directivas de seguridad adecuadas y que no se inició con
malware.
El TPM ofrece la siguiente manera para que los escenarios usen las medidas registradas en el TPM durante el
arranque:
Atestación remota . Usando una clave de identidad de atestación, el TPM puede generar y firmar
criptográficamente una instrucción (o estimación) de las medidas actuales en el TPM. Windows puede crear
claves de identidad de atestación únicas para varios escenarios para evitar que evaluadores independientes
colabore para realizar un seguimiento del mismo dispositivo. La información adicional de la estimación se
codificada criptográficamente para limitar el intercambio de información y proteger mejor la privacidad. Al
 enviar la estimación a una entidad remota, un dispositivo puede atestiguar qué software y opciones de
configuración se usaron para iniciar el dispositivo e inicializar el sistema operativo. Un certificado de clave de
identidad de certificación puede proporcionar una garantía adicional de que la estimación procede de un
TPM real. La atestación remota es el proceso de registrar medidas en el TPM, generar una estimación y
enviar la información de la estimación a otro sistema que evalúa las medidas para establecer la confianza en
un dispositivo. La Figura 2 ilustra este proceso.
Cuando se agregan nuevas características de seguridad a Windows, el arranque medido agrega información de
configuración pertinente para la seguridad a las medidas registradas en el TPM. El arranque medido permite
escenarios de atestación remotos que reflejan el firmware del sistema y el estado de inicialización de Windows.

Figura 2: Proceso usado para crear prueba de software de arranque y configuración usando un TPM

Atestación de estado
Algunas mejoras de Windows ayudan a las soluciones de seguridad a implementar escenarios de atestación
remota. Microsoft ofrece un servicio de atestación de estado, que puede crear certificados de claves de
identidad de atestación para TPM de diferentes fabricantes, así como analizar la información de arranque
medido para extraer afirmaciones de seguridad sencillas, como si BitLocker está activado o desactivado. Las
afirmaciones de seguridad sencillas se pueden usar para evaluar la salud del dispositivo.
Las soluciones de Administración de dispositivos móviles (MDM) pueden recibir afirmaciones de seguridad
sencillas del servicio de atestación de estado de Microsoft para un cliente sin tener que lidiar con la complejidad
de la estimación ni con las medidas detalladas del TPM. Las soluciones de MDM pueden actuar sobre la
información de seguridad al poner en cuarentena dispositivos con estado incorrecto o bloquear el acceso a
servicios en la nube como Microsoft Office 365.

Credential Guard
Credential Guard es una nueva característica de Windows que ayuda a proteger las credenciales de Windows en
organizaciones que han implementado AD DS. Históricamente, se aplicó hash a las credenciales de un usuario
(por ejemplo, la contraseña de inicio de sesión) para generar un token de autorización. El usuario usó el token
para obtener acceso a los recursos que estaba autorizado a usar. Un punto débil del modelo de token es que el
malware que tenía acceso al kernel del sistema operativo podría examinar la memoria del ordenador y usar
todos los tokens de acceso actualmente en uso. El atacante podría usar entonces los símbolos recogidos para
iniciar sesión en otras máquinas y recopilar más credenciales. Este tipo de ataque se denomina ataque "pass-
the-hash", una técnica de malware que infecta una máquina para infectar muchas máquinas de una
organización.
De manera similar a la forma en que Microsoft Hyper-V mantiene las máquinas virtuales (VM) independientes
unas de otras, Credential Guard usa la virtualización para aislar el proceso que aplica hash a credenciales en un
área de memoria al que el kernel del sistema operativo no puede obtener acceso. Este área de memoria aislada
se inicializa y protege durante el proceso de arranque para que los componentes del entorno del sistema
operativo mayor no puedan manipularlo. Credential Guard usa el TPM para proteger sus claves con mediciones
TPM, por lo que solo son accesibles durante el paso del proceso de arranque cuando se inicializa la región
independiente; no están disponibles para el kernel normal del sistema operativo. El código de la autoridad de
seguridad local en el kernel de Windows interactúa con el área de memoria aislada pasando credenciales y
recibiendo tokens de autorización de uso único a cambio.
La solución resultante ofrece una defensa en profundidad, porque incluso si el malware se ejecuta en el núcleo
del sistema operativo, no puede obtener acceso a los secretos dentro del área de memoria aislada que genera
realmente los tokens de autorización. La solución no resuelve el problema de los registradores de claves porque
las contraseñas que capturan estos registradores pasan realmente a través del kernel normal de Windows, pero
cuando se combinan con otras soluciones, como tarjetas inteligentes para la autenticación, Credential Guard
mejora en gran medida la protección de las credenciales en Windows.

Conclusión
El TPM agrega ventajas de seguridad basadas en hardware a Windows. Cuando se instala en hardware que
incluye un TPM, Window ofrece ventajas de seguridad notablemente mejoradas. En la tabla siguiente se
resumen los principales beneficios de las características principales del TPM.

C A RA C T ERÍST IC A B EN EF IC IO S A L USA RSE EN UN SIST EM A C O N UN T P M

Proveedor criptográfico de plataforma Si la máquina está en peligro, la clave privada

asociada al certificado no se puede copiar del
dispositivo.
El mecanismo de ataque de diccionario del TPM
protege los valores de PIN para usar un certificado.

Tarjeta inteligente virtual Lograr una seguridad similar a la de las tarjetas

inteligentes físicas sin implementar tarjetas
inteligentes físicas o lectores de tarjetas.

Windows Hello para empresas Las credenciales aprovisionadas en un dispositivo no

se pueden copiar en otro lugar.
Confirme el TPM de un dispositivo antes de
aprovisionar las credenciales.

Cifrado de unidad BitLocker Hay varias opciones disponibles para que las
empresas protejan los datos en reposo mientras
equilibra los requisitos de seguridad con hardware de
dispositivo diferente.
 C A RA C T ERÍST IC A B EN EF IC IO S A L USA RSE EN UN SIST EM A C O N UN T P M

Cifrado de dispositivo Con una cuenta de Microsoft y el hardware

adecuado, los dispositivos de los consumidores se
benefician sin problemas de la protección de datos en
reposo.

Arranque medido Una raíz de hardware de confianza contiene medidas

de arranque que ayudan a detectar malware durante
la atestación remota.

Atestación de estado Las soluciones MDM pueden realizar fácilmente la

atestación remota y evaluar el estado del cliente
antes de conceder acceso a recursos o servicios en la
nube, como Office 365.

Credential Guard La defensa en profundidad aumenta para que,

incluso si el malware tiene derechos administrativos
en una máquina, es significativamente más difícil
poner en peligro máquinas adicionales en una
organización.

Aunque algunas de las características mencionadas anteriormente tienen requisitos de hardware adicionales
(por ejemplo, compatibilidad con la virtualización), el TPM es una piedra angular de la seguridad de Windows.
Microsoft y otras partes interesadas del sector continúan mejorando los estándares globales asociados a TPM y
encuentran cada vez más aplicaciones que lo usan para proporcionar beneficios tangibles a los clientes.
Microsoft ha incluido compatibilidad con la mayoría de las características de TPM en su versión de Windows
para Internet de las cosas (IoT) denominada Windows IoT Core. Los dispositivos IoT que se pueden implementar
en ubicaciones físicas inseguras y conectarse a servicios en la nube como Azure IoT Hub para la administración
pueden usar el TPM de maneras innovadoras para abordar sus emergentes requisitos de seguridad.
 Configuración de directiva de grupo del TPM
08/11/2022 • 10 minutes to read

Se aplica a
Windows10
Windows11
Windows Server2016 y superior
En este tema se describen los servicios del módulo de plataforma segura (TPM) que se pueden controlar de
forma centralizada mediante directiva de grupo configuración.
La configuración de directiva de grupo para los servicios tpm se encuentra en:
Configuración del equipo\Plantillas administrativas\System\Trusted Platform Module Ser vices\
En Windows se introdujeron los siguientes directiva de grupo configuración.

Configuración del nivel de información de autorización del propietario

de TPM disponible para el sistema operativo
IMPORTANT
A partir de Windows 10 versión 1703, el valor predeterminado es 5. Este valor se implementa durante el
aprovisionamiento para que otro componente de Windows pueda eliminarlo o asumir su propiedad, en función de la
configuración del sistema. Para TPM 2.0, un valor de 5 significa mantener la autorización de bloqueo. Para TPM 1.2,
significa descartar la autorización completa del propietario de TPM y conservar solo la autorización delegada.

Esta configuración de directiva configuró qué valores de autorización de TPM se almacenan en el registro del
equipo local. Se requieren determinados valores de autorización para permitir que Windows realice ciertas
acciones.

VA LO R DE T P M VA LO R DE T P M ¿SE M A N T IEN E ¿SE M A N T IEN E ¿SE M A N T IEN E

1. 2 2. 0 P RO P Ó SITO EN EL N IVEL 0? EN EL N IVEL 2? EN EL N IVEL 4?

OwnerAuthAdmi StorageOwnerAu Creación de SRK No Sí Sí

n th

OwnerAuthEndo EndorsementAut Creación o uso No Sí Sí

rsement h de EK (solo 1.2:
Creación de AIK)

OwnerAuthFull LockoutAuth Restablecer o No No Sí

cambiar la
protección
contra ataques
del diccionario

Hay tres configuraciones de autenticación de propietario de TPM administradas por el sistema operativo
Windows. Puede elegir un valor de Full , Delegate o None .
Completo Esta configuración almacena la autorización completa del propietario de TPM, el blob de
 delegación administrativa de TPM y el blob de delegación de usuarios de TPM en el registro local. Con
esta configuración, puede usar el TPM sin necesidad de almacenamiento remoto o externo del valor de
autorización del propietario del TPM. Esta configuración es adecuada para escenarios que no requieren
que restablezca la lógica de anti-martilleo de TPM o cambie el valor de autorización del propietario de
TPM. Es posible que algunas aplicaciones basadas en TPM requieran que esta configuración se cambie
antes de que se puedan usar características que dependen de la lógica contra el martillo de TPM. La
autorización de propietario completo en TPM 1.2 es similar a la autorización de bloqueo en TPM 2.0. La
autorización de propietario tiene un significado diferente para TPM 2.0.
Delegado Esta configuración almacena solo el blob de delegación administrativa de TPM y el blob de
delegación de usuarios de TPM en el registro local. Esta configuración es adecuada para su uso con
aplicaciones basadas en TPM que dependen de la lógica de anti-martillo de TPM. Esta es la configuración
predeterminada en Windows anterior a la versión 1703.
Ninguno Esta configuración proporciona compatibilidad con sistemas operativos y aplicaciones
anteriores. También puede usarlo en escenarios en los que la autorización del propietario de TPM no se
puede almacenar localmente. El uso de esta configuración puede causar problemas con algunas
aplicaciones basadas en TPM.

NOTE
Si la configuración de autenticación de TPM administrada por el sistema operativo cambia de Completo a Delegado , se
volverá a generar el valor de autorización de propietario de TPM completo y cualquier copia del valor de autorización de
propietario de TPM establecido anteriormente no será válido.

Información del Registro

Clave del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\TPM
DWORD: OSManagedAuthLevel
En la tabla siguiente se muestran los valores de autorización del propietario de TPM en el Registro.

DATO S DE VA LO R C O N F IGURA C IÓ N

0 Ninguna

2 Delegado

4 Completo

Si habilita esta configuración de directiva, el sistema operativo Windows almacenará la autorización del
propietario del TPM en el registro del equipo local según la configuración de autenticación de TPM que elija.
En Windows 10 anteriores a la versión 1607, si deshabilita o no establece esta configuración de directiva y la
opción Activar la copia de seguridad de TPM en Ser vicios de dominio de Active Director y directiva
también está deshabilitada o no configurada, la configuración predeterminada es almacenar el valor de
autorización de TPM completo en el registro local. Si esta directiva está deshabilitada o no está configurada y la
opción Activar copia de seguridad de TPM en Ser vicios de dominio de Active Director y directiva está
habilitada, solo la delegación administrativa y los blobs de delegación de usuarios se almacenan en el registro
local.

Duración estándar del bloqueo de usuario

Esta configuración de directiva le permite administrar la duración en minutos para contar errores de
autorización de usuario estándar para los comandos del Módulo de plataforma segura (TPM) que requieren
autorización. Un error de autorización se produce cada vez que un usuario estándar envía un comando al TPM y
recibe una respuesta de error que indica que se produjo un error de autorización. Se omiten los errores de
autorización anteriores a la duración establecida. Si el número de comandos de TPM con un error de
autorización dentro de la duración del bloqueo es igual a un umbral, se impide que un usuario estándar envíe
comandos que requieran autorización al TPM.
El TPM está diseñado para protegerse frente a ataques de adivinación de contraseñas al entrar en un modo de
bloqueo de hardware cuando recibe demasiados comandos con un valor de autorización incorrecto. Cuando el
TPM entra en un modo de bloqueo, es global para todos los usuarios (incluidos los administradores) y para las
características de Windows, como el cifrado de unidad BitLocker.
Esta configuración ayuda a los administradores a evitar que el hardware de TPM entre en un modo de bloqueo
al ralentizar la velocidad a la que los usuarios estándar pueden enviar comandos que requieren autorización al
TPM.
Para cada usuario estándar, se aplican dos umbrales. Superar cualquiera de los umbrales impide que el usuario
envíe un comando que requiera autorización al TPM. Use la siguiente configuración de directiva para establecer
la duración del bloqueo:
Umbral de bloqueo individual de usuario estándar Este valor es el número máximo de errores de
autorización que puede tener cada usuario estándar antes de que el usuario no pueda enviar comandos
que requieran autorización al TPM.
Umbral de bloqueo total de usuario estándar Este valor es el número total máximo de errores de
autorización que pueden tener todos los usuarios estándar antes de que todos los usuarios estándar no
puedan enviar comandos que requieran autorización al TPM.
Un administrador con la contraseña de propietario de TPM puede restablecer completamente la lógica de
bloqueo de hardware del TPM mediante el Windows Defender Security Center. Cada vez que un administrador
restablece la lógica de bloqueo de hardware del TPM, se omiten todos los errores de autorización de TPM de
usuario estándar anteriores. Esto permite a los usuarios estándar usar inmediatamente el TPM normalmente.
Si no configura esta configuración de directiva, se usa un valor predeterminado de 480 minutos (8 horas).

Umbral de bloqueo individual de usuario estándar

Esta configuración de directiva le permite administrar el número máximo de errores de autorización para cada
usuario estándar para el módulo de plataforma segura (TPM). Este valor es el número máximo de errores de
autorización que puede tener cada usuario estándar antes de que el usuario no pueda enviar comandos que
requieran autorización al TPM. Si el número de errores de autorización para el usuario dentro de la duración
establecida para la configuración de la directiva Duración de bloqueo de usuario estándar es igual a este
valor, se impide que el usuario estándar envíe comandos que requieran autorización al módulo de plataforma
segura (TPM).
Esta configuración ayuda a los administradores a evitar que el hardware de TPM entre en un modo de bloqueo
al ralentizar la velocidad a la que los usuarios estándar pueden enviar comandos que requieren autorización al
TPM.
Un error de autorización se produce cada vez que un usuario estándar envía un comando al TPM y recibe una
respuesta de error que indica que se ha producido un error de autorización. Se omiten los errores de
autorización anteriores a la duración.
Un administrador con la contraseña de propietario de TPM puede restablecer completamente la lógica de
bloqueo de hardware del TPM mediante el Windows Defender Security Center. Cada vez que un administrador
restablece la lógica de bloqueo de hardware del TPM, se omiten todos los errores de autorización de TPM de
usuario estándar anteriores. Esto permite a los usuarios estándar usar inmediatamente el TPM normalmente.
Si no configura esta configuración de directiva, se usa un valor predeterminado de 4. Un valor de cero significa
que el sistema operativo no permitirá que los usuarios estándar envíen comandos al TPM, lo que podría
provocar un error de autorización.

Umbral de bloqueo total de usuario estándar

Esta configuración de directiva le permite administrar el número máximo de errores de autorización para todos
los usuarios estándar para el módulo de plataforma segura (TPM). Si el número total de errores de autorización
para todos los usuarios estándar dentro de la duración establecida para la directiva duración de bloqueo de
usuario estándar es igual a este valor, se impide que todos los usuarios estándar envíen comandos que
requieran autorización al Módulo de plataforma segura (TPM).
Esta configuración ayuda a los administradores a evitar que el hardware de TPM entre en un modo de bloqueo
porque ralentiza la velocidad que los usuarios estándar pueden enviar comandos que requieren autorización al
TPM.
Un error de autorización se produce cada vez que un usuario estándar envía un comando al TPM y recibe una
respuesta de error que indica que se ha producido un error de autorización. Se omiten los errores de
autorización anteriores a la duración.
Un administrador con la contraseña de propietario de TPM puede restablecer completamente la lógica de
bloqueo de hardware del TPM mediante el Windows Defender Security Center. Cada vez que un administrador
restablece la lógica de bloqueo de hardware del TPM, se omiten todos los errores de autorización de TPM de
usuario estándar anteriores. Esto permite a los usuarios estándar usar inmediatamente el TPM normalmente.
Si no configura esta configuración de directiva, se usa un valor predeterminado de 9. Un valor de cero significa
que el sistema operativo no permitirá que los usuarios estándar envíen comandos al TPM, lo que podría
provocar un error de autorización.

Configuración del sistema para usar la configuración de parámetros

heredados de prevención de ataques de diccionario para TPM 2.0
Introducida en Windows 10, versión 1703, esta configuración de directiva configura el TPM para usar los
parámetros de prevención de ataques de diccionario (umbral de bloqueo y tiempo de recuperación) en los
valores que se usaron para Windows 10 versión 1607 y versiones posteriores.

IMPORTANT
La configuración de esta directiva solo surtirá efecto si:
El TPM se preparó originalmente con una versión de Windows después de Windows 10 versión 1607
El sistema tiene un TPM 2.0.
 NOTE
La habilitación de esta directiva solo surtirá efecto después de que se ejecute la tarea de mantenimiento de TPM (lo que
suele ocurrir después de reiniciar el sistema). Una vez que esta directiva se ha habilitado en un sistema y ha surtido efecto
(después de reiniciar el sistema), deshabilitarla no tendrá ningún impacto y el TPM del sistema permanecerá configurado
mediante los parámetros heredados Dictionary Attack Prevention, independientemente del valor de esta directiva de
grupo. Las únicas maneras de que la configuración deshabilitada de esta directiva surtan efecto en un sistema en el que
se ha habilitado una vez son las siguientes:
Deshabilite la directiva de grupo
Borrar el TPM en el sistema

Configuración de directiva de grupo de TPM en la aplicación

Seguridad de Windows
Puede cambiar lo que ven los usuarios sobre TPM en la aplicación Seguridad de Windows. La configuración de
directiva de grupo del área tpm de la aplicación Seguridad de Windows se encuentra en:
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Seguridad de
Windows\Seguridad del dispositivo
Deshabilitar el botón Borrar TPM
Si no desea que los usuarios puedan hacer clic en el botón Borrar TPM de la aplicación Seguridad de Windows,
puede deshabilitarlo con esta configuración de directiva de grupo. Seleccione Habilitado para que el botón
Borrar TPM no esté disponible para su uso.
Ocultar la recomendación de actualización de firmware de TPM
Si no desea que los usuarios vean la recomendación de actualizar el firmware de TPM, puede deshabilitarlo con
esta configuración. Seleccione Habilitado para evitar que los usuarios vean una recomendación para actualizar
el firmware de TPM cuando se detecte un firmware vulnerable.

Temas relacionados
Módulo de plataforma segura
Cmdlets de TPM en Windows PowerShell
Preparación de la organización para BitLocker: planeación y directivas, configuraciones del TPM
 Realizar una copia de seguridad de la información
de recuperación del TPM en AD DS
08/11/2022 • 2 minutes to read

Se aplica a
Windows10
Windows11
Windows Server2016 y superior
No se aplica a
Windows10, versión 1607 o posterior
Con Windows 10, versiones 1511 y 1507, o Windows 11, puede realizar una copia de seguridad de la
información del módulo de plataforma segura (TPM) de un equipo en Servicios de dominio de Active Directory
(AD DS). Al hacerlo, puede usar AD DS para administrar el TPM desde un equipo remoto. El procedimiento es el
mismo que para Windows 8.1. Para obtener más información, consulte Copia de seguridad de la información de
recuperación de TPM en AD DS.

Temas relacionados
Módulo de plataforma segura (lista de temas)
Configuración de directiva de grupo del TPM
 Solucionar problemas del TPM
08/11/2022 • 7 minutes to read

Se aplica a
Windows10
Windows11
Windows Server2016 y superior
En este artículo se proporciona información para profesionales de TI para solucionar problemas del Módulo de
plataforma segura (TPM):
Solucionar problemas de inicialización del TPM
Borrar todas las claves del TPM
Con TPM 1.2 y Windows 10, versión 1507 o 1511, o Windows 11, también puede realizar las siguientes
acciones:
Activar o desactivar el TPM
Para obtener información acerca de los cmdlets para el TPM, consulte Cmdlets para el TPM en Windows
PowerShell.

Acerca de la inicialización y la propiedad del TPM

A partir de Windows 10 y Windows 11, el sistema operativo se inicializa automáticamente y toma posesión del
TPM. Se trata de un cambio con respecto a sistemas operativos anteriores, en los cuales inicializaba el TPM y
creaba una contraseña de propietario.

Solucionar problemas de inicialización del TPM

Si ve que Windows no puede inicializar el TPM automáticamente, revise la siguiente información:
Puede intentar borrar el TPM con los valores predeterminados de fábrica y permitir que Windows vuelva
a inicializarlo. Para conocer precauciones importantes para este proceso e instrucciones para completarlo,
consulte Borrar todas las claves del TPM, más adelante en este artículo.
Si el TPM es un TPM 2.0 y Windows no lo detecta, compruebe que el hardware del equipo contiene una
interfaz de firmware extensible unificada (UEFI) compatible con el grupo de informática de confianza.
Además, asegúrese de que, en la configuración de UEFI, el TPM no se ha deshabilitado ni oculto del
sistema operativo.
Si tiene TPM 1.2 con Windows 10, versión 1507 o 1511 o Windows 11, es posible que el TPM esté
desactivado y tenga que volver a activarse, como se describe en Activar el TPM. Cuando se vuelve a
activar, Windows lo inicializará de nuevo.
Si intenta configurar BitLocker con el TPM, compruebe qué controlador de TPM está instalado en el
equipo. Se recomienda usar siempre uno de los controladores de TPM proporcionados por Microsoft y
protegidos con BitLocker. Si se instala un controlador TPM que no es de Microsoft, puede impedir que se
cargue el controlador de TPM predeterminado y hacer que BitLocker informe de que un TPM no está
presente en el equipo. Si tiene instalado un controlador que no es de Microsoft, quítelo y, a continuación,
permita que el sistema operativo inicialice el TPM.
Solucionar problemas de conexión de red para Windows 10, versiones 1507 y 1511, o Windows 11
Si tiene Windows 10, versión 1507 o 1511, o Windows 11, la inicialización del TPM no se puede completar
cuando el equipo tiene problemas de conexión de red y existen las dos condiciones siguientes:
Un administrador ha configurado el equipo para requerir que la información de recuperación del TPM se
guarde en Active Directory Domain Services (AD DS). Este requisito se puede configurar a través de la
directiva de grupo.
No se puede acceder a un controlador de dominio. Esto puede ocurrir en un equipo actualmente
desconectado de la red, separado del dominio por un firewall o que experimenta un error de componente
de red (como un cable desconectado o un adaptador de red defectuoso).
Si se producen estos problemas, aparece un mensaje de error y no se puede completar el proceso de
inicialización. Para evitar este problema, permita que Windows inicialice el TPM mientras está conectado a la red
corporativa y puede ponerse en contacto con un controlador de dominio.
Solucionar problemas de sistemas con varios TPM
Algunos sistemas pueden tener varios TPM y el TPM activo puede alternarse en la UEFI. Windows no admite
este comportamiento. Si cambia los TPM, Windows podría no detectar o no interactuar correctamente con el
nuevo TPM. Si planea cambiar los TPM, debe alternar al nuevo TPM, borrarlo y volver a instalar Windows. Para
obtener más información, consulte Borrar todas las claves del TPM, más adelante en este artículo.
Por ejemplo, al alternar los TPM, BitLocker entrará en modo de recuperación. Se recomienda encarecidamente
que, en sistemas con dos TPM, se seleccione un TPM para usarse y no se cambie la selección.

Borrar todas las claves del TPM

Puedes usar la aplicación Centro de seguridad de Windows Defender para borrar el TPM como paso de solución
de problemas o como preparación final antes de una instalación limpia de un nuevo sistema operativo. Preparar
una instalación limpia de este modo ayuda a garantizar que el nuevo sistema operativo pueda implementar
completamente cualquier funcionalidad basada en TPM que incluya, como la atestación. Sin embargo, incluso si
el TPM no se borra antes de instalar un nuevo sistema operativo, la mayoría de las funciones de TPM
probablemente funcionarán correctamente.
Al borrar el TPM, se restablece a un estado sin propietario. Después de borrar el TPM, el sistema operativo
Windows volverá a inicializarlo automáticamente y tomará posesión de nuevo.

WARNING
Borrar el TPM puede provocar la pérdida de datos. Para obtener más información, consulte la siguiente sección,
"Precauciones que debe tomar antes de borrar el TPM".

Precauciones que debe tomar antes de borrar el TPM

Borrar el TPM puede provocar la pérdida de datos. Para protegerse contra dicha pérdida, revise las siguientes
precauciones:
Borrar el TPM hace que pierda todas las claves creadas asociadas al TPM y los datos protegidos por esas
claves, como una tarjeta inteligente virtual o un PIN de inicio de sesión. Asegúrese de que tiene un
método de copia de seguridad y recuperación para los datos protegidos o cifrados por el TPM.
No borre el TPM en un dispositivo que no posea, como un equipo profesional o educativo, sin que el
administrador de TI le indique que lo haga.
Si desea suspender temporalmente las operaciones del TPM y tiene un TPM 1.2 con Windows 10, versión
1507 o 1511, o Windows 11, puede desactivar el TPM. Para obtener más información, consulte Desactivar
 el TPM, más adelante en este artículo.
Use siempre la funcionalidad del sistema operativo (como [Link]) para borrar el TPM. No borre el TPM
directamente desde UEFI.
Dado que el hardware de seguridad del TPM es una parte física del equipo, antes de borrar el TPM, es
posible que desee leer los manuales o instrucciones que se han recibido con el equipo o buscar en el sitio
web del fabricante.
La pertenencia al grupo de administradores local, o equivalente, es el requisito mínimo necesario para
completar este procedimiento.
Para borrar el TPM
1. Abrir la aplicación Centro de seguridad de WindowsDefender.
2. Seleccione Seguridad del dispositivo .
3. Seleccione Detalles del procesador de seguridad .
4. Seleccione Solución de problemas del procesador de seguridad .
5. Seleccione Borrar TPM .
6. Se le pedirá que reinicie el equipo. Durante el reinicio, es posible que la UEFI le pida que presione un
botón para confirmar que desea borrar el TPM.
7. Después de reiniciar el equipo, el TPM se preparará automáticamente para su uso por Windows.

Activar o desactivar el TPM (disponible solo con TPM 1.2 con

Windows 10, versión 1507 y posteriores)
Normalmente, el TPM está activado como parte del proceso de inicialización del TPM. Normalmente no es
necesario activar o desactivar el TPM. Sin embargo, si es necesario, puede hacerlo mediante MMC de TPM.
Activar el TPM
Si quiere usar el TPM después de desactivarlo, puede usar el siguiente procedimiento para activar el TPM.
Para activar el TPM (TPM 1.2 con Windows 10, versión 1507 y posteriores)
1. Abra MMC de TPM ([Link]).
2. En el panel Acción , seleccione Activar TPM para visualizar la página Habilitar el hardware de
seguridad del TPM . Lea las instrucciones de esta página.
3. Seleccione Apagar (o Reiniciar ) y, a continuación, siga las indicaciones de la pantalla UEFI.
Después de reiniciar el equipo, pero antes de iniciar sesión en Windows, se le pedirá que acepte la
reconfiguración del TPM. Esto garantiza que el usuario tenga acceso físico al equipo y que el software
malintencionado no intente realizar cambios en el TPM.
Desactivar el TPM
Si quiere dejar de usar los servicios proporcionados por el TPM, puedes usar MMC de TPM para desactivar el
TPM.
Para desactivar el TPM (TPM 1.2 con Windows 10, versión 1507 y posteriores)
1. Abra MMC de TPM ([Link]).
2. En el panel Acción , seleccione Desactivar TPM para visualizar la página Deshabilitar el hardware de
seguridad del TPM .
3. En el cuadro de diálogo Deshabilitar el hardware de seguridad del TPM , seleccione un método para
escribir la contraseña de propietario y desactivar el TPM:
Si guardó la contraseña de propietario del TPM en un dispositivo de almacenamiento extraíble,
insértelo y, a continuación, seleccione Tengo el archivo de contraseña de propietario . En el
cuadro de diálogo Seleccionar archivo de copia de seguridad con la contraseña de
propietario del TPM , seleccione Examinar para buscar el archivo .tpm que está guardado en el
dispositivo de almacenamiento extraíble, seleccione Abrir y, a continuación, Desactivar TPM .
Si no tiene el dispositivo de almacenamiento extraíble con la contraseña de propietario de TPM
guardada, seleccione Quiero escribir la contraseña . En el cuadro de diálogo Escriba la
contraseña de propietario del TPM , escriba la contraseña (incluyendo guiones) y, a
continuación, seleccione Desactivar TPM .
Si no guardó la contraseña de propietario de TPM o ya no la conoce, seleccione No tengo la
contraseña de propietario de TPM y siga las instrucciones que se proporcionan en el cuadro
de diálogo y las pantallas UEFI posteriores para desactivar el TPM sin escribir la contraseña.

Usar los cmdlets para el TPM

Puede administrar el TPM con Windows PowerShell. Para obtener más información, consulte Cmdlets para el
TPM en Windows PowerShell.

Artículos relacionados
Módulo de plataforma segura (lista de artículos)
 Descripción de los bancos de PCR en dispositivos
con el TPM 2.0
08/11/2022 • 5 minutes to read

Se aplica a
Windows10
Windows11
Windows Server2016 y superior
Para obtener pasos sobre cómo cambiar los bancos de PCR en dispositivos TPM 2.0 en el equipo, debe ponerse
en contacto con el proveedor de OEM o UEFI. En este tema se proporciona información general sobre lo que
ocurre al cambiar los bancos de PCR en dispositivos TPM 2.0.
Un registro de configuración de plataforma (PCR) es una ubicación de memoria en el TPM que tiene algunas
propiedades únicas. El tamaño del valor que se puede almacenar en un PCR viene determinado por el tamaño
de un resumen generado por un algoritmo hash asociado. Un PCR SHA-1 puede almacenar 20 bytes, el tamaño
de un resumen SHA-1. Varios PCR asociados con el mismo algoritmo hash se conocen como banco de PCR.
Para almacenar un nuevo valor en un PCR, el valor existente se extiende con un nuevo valor como sigue: PCR[N]
= HASHalg( PCR[N] || ArgumentOfExtend )
El valor existente se concatena con el argumento de la operación de extensión de TPM. A continuación, la
concatenación resultante se usa como entrada para el algoritmo hash asociado, que calcula un resumen de la
entrada. Este resumen calculado se convierte en el nuevo valor del PCR.
La especificación del perfil tpm de la plataforma de cliente de PC DE TCG define la inclusión de al menos un
banco de PCR con 24 registros. La única manera de restablecer los primeros 16 PCR es restablecer el TPM en sí.
Esta restricción ayuda a garantizar que el valor de esos PCR solo se puede modificar mediante la operación de
extensión de TPM.
Algunos PCR de TPM se usan como sumas de comprobación de eventos de registro. Los eventos de registro se
extienden en el TPM a medida que se producen los eventos. Más adelante, un auditor puede validar los registros
calculando los valores de PCR esperados del registro y comparándolos con los valores de PCR del TPM. Dado
que los primeros 16 PCR de TPM no se pueden modificar arbitrariamente, una coincidencia entre un valor de
PCR esperado en ese intervalo y el valor de PCR de TPM real proporciona la garantía de un registro sin
modificar.

¿Cómo usa Windows los PCR?

Para enlazar el uso de una clave basada en TPM a un estado determinado del equipo, la clave se puede sellar a
un conjunto esperado de valores de PCR. Por ejemplo, los PCR de 0 a 7 tienen un valor bien definido después
del proceso de arranque, cuando se carga el sistema operativo. Cuando cambia el hardware, el firmware o el
cargador de arranque de la máquina, el cambio se puede detectar en los valores de PCR. Windows usa esta
funcionalidad para que ciertas claves criptográficas solo estén disponibles en determinados momentos durante
el proceso de arranque. Por ejemplo, la clave de BitLocker se puede usar en un punto determinado del arranque,
pero no antes ni después.
Es importante tener en cuenta que este enlace a los valores de PCR también incluye el algoritmo hash usado
para el PCR. Por ejemplo, una clave se puede enlazar a un valor específico de SHA-1 PCR[12], si se usan bancos
DE PCR SHA-256, incluso con la misma configuración del sistema. De lo contrario, los valores de PCR no
coincidirán.

¿Qué ocurre cuando se cambian los bancos de PCR?

Cuando se cambian los bancos de PCR, se cambia el algoritmo usado para calcular los valores hash
almacenados en los PCR durante las operaciones de extensión. Cada algoritmo hash devolverá una firma
criptográfica diferente para las mismas entradas.
Como resultado, si se cambia el banco de PCR utilizado actualmente, ya no funcionarán todas las claves
enlazadas a los valores de PCR anteriores. Por ejemplo, si tuviera una clave enlazada al valor SHA-1 de PCR[12]
y posteriormente cambiara los bancos PCR a SHA-256, los bancos no coincidirían y no podría usar esa clave. La
clave de BitLocker se protege mediante los bancos de PCR y Windows no podrá anular su separación si los
bancos de PCR se cambian mientras BitLocker está habilitado.

¿Qué puedo hacer para cambiar los PCR cuando BitLocker ya está
activo?
Antes de cambiar los bancos de PCR, debe suspender o deshabilitar BitLocker, o tener la clave de recuperación
lista. Para conocer los pasos para cambiar los bancos de PCR en el equipo, debe ponerse en contacto con su
proveedor de OEM o UEFI.

¿Cómo puedo identificar qué banco de PCR se está usando?

Se puede configurar un TPM para que tenga varios bancos de PCR activos. Cuando el BIOS realiza mediciones,
lo hará en todos los bancos de PCR activos, en función de su capacidad para realizar estas mediciones. El BIOS
puede optar por desactivar los bancos de PCR que no admite o "limita" los bancos de PCR que no admite
ampliando un separador. El siguiente valor del Registro identifica qué bancos de PCR están activos.
Clave del Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\IntegrityServices
DWORD: TPMActivePCRBanks
Define qué bancos de PCR están activos actualmente. (Este valor debe interpretarse como un mapa de bits
para el que los bits se definen en la tabla 21 del Registro de algoritmos TCG de la revisión 1.27).
Windows comprueba qué bancos de PCR están activos y admitidos por el BIOS. Windows también comprueba
si el registro de arranque medido admite medidas para todos los bancos de PCR activos. Windows preferirá el
uso del banco SHA-256 para las mediciones y volverá al banco DE PCR SHA1 si no se cumple una de las
condiciones previas.
Puede identificar qué banco PCR usa actualmente Windows examinando el Registro.
Clave del Registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\IntegrityServices
DWORD: TPMDigestAlgID
Id. de algoritmo del banco de PCR que Windows usa actualmente. (Este valor representa un identificador de
algoritmo tal como se define en la tabla 3 del Registro de algoritmos TCG de la revisión 1.27).
Windows solo usa un banco de PCR para continuar con las medidas de arranque. Todos los demás bancos de
PCR activos se ampliarán con un separador para indicar que Windows no los usa y las medidas que parecen ser
de Windows no deben ser de confianza.

Temas relacionados
Módulo de plataforma segura (lista de temas)
 Recomendaciones para el TPM
08/11/2022 • 9 minutes to read

Se aplica a
Windows10
Windows11
Windows Server2016 y superior
En este tema se proporcionan recomendaciones para la tecnología del módulo de plataforma segura (TPM) para
Windows.
Para ver una descripción de las características básicas de TPM, consulta Información general sobre la tecnología
del Módulo de plataforma segura.

Diseño e implementación de TPM

Tradicionalmente, los TPMs son chips discretos soldados a la placa base de un equipo. Estas implementaciones
permiten el fabricante de equipos originales (OEM) del equipo evaluar y certificar que el TPM está separado del
resto del sistema. Las implementaciones discretas de TPM son comunes. Sin embargo, pueden ser
problemáticos para los dispositivos integrados que son pequeños o tienen un bajo consumo de energía.
Algunas implementaciones de TPM más recientes integran la funcionalidad de TPM en el mismo conjunto de
chips que otros componentes de la plataforma mientras todavía ofrecen una separación lógica similar a la de los
chips de TPM discretos.
Los TPM con pasivos: reciben comandos y devuelven respuestas. Para aprovechar plenamente un TPM, el OEM
debe integrar cuidadosamente el hardware y el firmware del sistema con el TPM para enviarle comandos y
reaccionar a sus respuestas. Los TPM se diseñaron originalmente para brindar ventajas de seguridad y
privacidad al propietario y los usuarios de una plataforma, pero las versiones más recientes pueden ofrecer las
ventajas de seguridad y privacidad al propio hardware del sistema. Sin embargo, para que un TPM se pueda
usar en escenarios avanzados, es preciso aprovisionarlo. Windows aprovisiona automáticamente un TPM, pero
si el usuario planea volver a instalar el sistema operativo, es posible que tenga que borrar el TPM antes de
reinstalar para que Windows pueda aprovechar al máximo el TPM.
La organización Trusted Computing Group (TCG), sin ánimo de lucro, es la que publica y mantiene la
especificación de TPM. El TCG existe para desarrollar, definir y promover estándares del sector globales neutrales
para el proveedor. Estos estándares admiten una raíz de confianza basada en hardware para plataformas
informáticas interoperables de confianza. El TCG también publica la especificación de TPM como el estándar
internacional 11889 ISO/IEC, que usa el proceso de envío de la PAS (Publicly Available Specification) que el
Comité Técnico Conjunto 1 define entre la Organización Internacional de Normalización (ISO) y la Comisión
Electrotécnica Internacional (IEC).
Los OEM implementan el TPM como componente en una plataforma informática de confianza como un PC, una
tableta o un teléfono. Las plataformas informáticas de confianza usan el TPM para admitir escenarios de
privacidad y seguridad que el software por sí mismo no puede conseguir. Por ejemplo, el software por sí mismo
no puede informar de forma confiable si existe malware durante el proceso de inicio del sistema. La estrecha
integración entre el TPM y la plataforma aumenta la transparencia del proceso de inicio y admite la evaluación
del estado del dispositivo habilitando de forma confiable la medición y notificación del software que inicia el
dispositivo. La implementación de un TPM como parte de una plataforma informática de confianza ofrece una
raíz de hardware de confianza, lo que significa que el hardware se comporta de manera confiable. Por ejemplo,
si una clave almacenada en un TPM tiene propiedades que no permiten exportarla, esa clave no puede
realmente salir del TPM.
El TCG diseñó el TPM como una solución de seguridad de bajo costo para el mercado de masas que cumple los
requisitos de distintos segmentos de clientes. Del mismo modo que existen variaciones en los requisitos
normativos y de clientes de los distintos sectores, hay variaciones en las propiedades de seguridad de las
distintas implementaciones de TPM. En los contratos públicos, por ejemplo, algunos gobiernos han definido
claramente requisitos de seguridad de TPM mientras que otros no.

Comparación entre TPM 1.2 y 2.0

Desde un estándar del sector, Microsoft ha sido líder del sector en mover y estandarizar en TPM 2.0, que ha
conseguido muchos beneficios clave a través de algoritmos, criptografía, jerarquía, claves raíz, autorización y NV
RAM.

¿Por qué TPM 2.0?

Los productos y sistemas de TPM 2.0 disponen de ventajas de seguridad importantes con relación a TPM 1.2,
incluidos:
La especificación de TPM 1.2 solo permite el uso de RSA y el algoritmo hash SHA-1.
Por motivos de seguridad, algunas entidades están abandonando SHA-1. En particular, NIST ha requerido
a muchas agencias federales que pasen a SHA-256 a partir de 2014 y líderes de tecnología, incluido
Microsoft y Google han anunciado que dejarán de dar soporte técnico a certificados o firmas basados en
SHA-1 en 2017.
TPM 2.0 permite mayor agilidad criptográfica , ya que es más flexible con respecto a los algoritmos
criptográficos.
TPM 2.0 admite algoritmos más recientes, lo que puede mejorar el rendimiento del inicio de
sesión y la generación de claves. Para obtener la lista completa de algoritmos admitidos, consulta
TCG Algorithm Registry (Registro de algoritmos de TCG). Algunos TPMs no admiten todos los
algoritmos.
Para obtener la lista de algoritmos que Windows admite en el proveedor de almacenamiento
criptográfico de la plataforma, consulta CNG Cryptographic Algorithm Providers (Proveedores de
algoritmos criptográficos de CNG).
TPM 2.0 logró la estandarización ISO (ISO/IEC 11889:2015.
El uso de TPM 2.0 puede ayudar a eliminar la necesidad que tienen los OEM de hacer excepciones
en configuraciones estándar para determinados países y regiones.
TPM 2.0 ofrece una experiencia más coherente en las diferentes implementaciones.
Las implementaciones de TPM 1.2 varían en la configuración de directivas. Esto podría causar
problemas de compatibilidad, ya que varían las directivas de bloqueo.
Windows configura la directiva de bloqueo de TPM 2.0, lo que asegura una garantía de protección
coherente frente a ataques de diccionario.
Aunque las partes de TPM 1.2 son componentes discretos de silicio, que normalmente se solda en la
placa base, TPM 2.0 está disponible como un componente de silicio discreto (dTPM) en un único
paquete semiconductor, un componente integrado incorporado en uno o más paquetes
semiconductores, junto con otras unidades lógicas en los mismos paquetes y como un componente
basado en firmware (fTPM) que se ejecuta en un entorno de ejecución de confianza (TEE) en un SoC de
uso general.
 NOTE
TPM 2.0 no se admite en los modos heredados y CSM de la BIOS. Los dispositivos con TPM 2.0 deben tener configurado
su modo BIOS solo como UEFI nativa. Las opciones del Módulo de soporte de compatibilidad (CSM) y del Módulo
heredado deben deshabilitarse. Para mayor seguridad, habilite la característica de arranque seguro.
El sistema operativo instalado en el hardware en modo heredado impedirá que el sistema operativo arranque cuando el
modo BIOS se cambie a UEFI. Use la herramienta MBR2GPT antes de cambiar el modo BIOS que preparará el sistema
operativo y el disco para admitir UEFI.

¿TPM discreto, integrado o de firmware?

Existen tres opciones de implementación para TPM:
Chip TPM discreto como componente independiente en su propio paquete de semiconductores
Solución TPM integrada, con hardware dedicado integrado en uno o varios paquetes de
semiconductores, junto con otros componentes, pero lógicamente separado de estos
Solución TPM de firmware, que ejecuta el TPM de firmware en un modo de ejecución de confianza de una
unidad de cálculo de propósito general
Windows usa cualquier TPM compatible de la misma manera. Microsoft no toma una posición sobre cómo se
debe implementar un TPM y hay un amplio ecosistema de soluciones de TPM disponibles, que deben satisfacer
todas las necesidades.

¿Hay algo importante en TPM para los consumidores?

Para los consumidores finales, TPM está en segundo plano, pero sigue siendo relevante. TPM se usa para
Windows Hello, Windows Hello para empresas y, en el futuro, será un componente de muchas otras
características clave de seguridad en Windows. TPM protege el PIN, ayuda a cifrar las contraseñas y se basa en
nuestra historia general de la experiencia de Windows para la seguridad como pilar fundamental. El uso de
Windows en un sistema con un TPM permite un nivel más profundo y más amplio de cobertura de seguridad.

Cumplimiento de TPM 2.0 para Windows

Windows para ediciones de escritorio (Home, Pro, Enterprise y Education)
Desde el 28 de julio de 2016, todos los modelos, líneas o series de dispositivos nuevos (o si está actualizando
la configuración de hardware de un modelo, línea o serie existente con una actualización principal, como
CPU, tarjetas gráficas) deben implementar y habilitar de forma predeterminada TPM 2.0 (detalles de la
sección 3.7 de la página Requisitos mínimos de hardware ). El requisito de habilitar TPM 2.0 solo se aplica a
la fabricación de nuevos dispositivos. Para conocer las recomendaciones de TPM para características
específicas de Windows, consulta TPM y características de Windows.
IoT Core
TPM es opcional en IoT Core.
Windows Server 2016
TPM es opcional para las SKU de Windows Server a menos que la SKU cumpla los demás criterios de
calificación (AQ) para el escenario de servicios de protección de host en cuyo caso se requiere TPM 2.0.

TPM y características de Windows

En la siguiente tabla se define qué características de Windows requieren compatibilidad con el TPM.
C A RA C T ERÍST IC A S
DE W IN DO W S SE REQ UIERE T P M A DM IT E T P M 1. 2 A DM IT E T P M 2. 0 DETA L L ES

Arranque medido Sí Sí Sí El arranque medido

requiere TPM 1.2 o
2.0 y arranque
seguro de UEFI. Se
recomienda TPM 2.0,
ya que admite
algoritmos
criptográficos más
recientes. TPM 1.2
solo admite el
algoritmo SHA-1 que
está en desuso.

BitLocker No Sí Sí Se admiten TPM 1.2

o 2.0, pero se
recomienda TPM 2.0.
El cifrado automático
de dispositivos
requiere un modo de
espera moderno ,
incluida la
compatibilidad con
TPM 2.0

Cifrado de dispositivo Sí N/D Sí El cifrado de

dispositivo requiere
la certificación
Modern
Standby/Connected
Standby, que requiere
TPM 2.0.

Windows Defender No Sí Sí
Control de
aplicaciones (Device
Guard)

Windows Defender Sí No Sí Se requiere tpm 2.0 y

Protección del firmware UEFI.
sistema (DRTM)
C A RA C T ERÍST IC A S
DE W IN DO W S SE REQ UIERE T P M A DM IT E T P M 1. 2 A DM IT E T P M 2. 0 DETA L L ES

Credential Guard No Sí Sí Windows 10, versión

1507 (final del ciclo
de vida a partir de
mayo de 2017) solo
compatible con TPM
2.0 para Credential
Guard. A partir de
Windows 10, versión
1511, TPM 1.2 y 2.0
son compatibles.
Emparejado con
Windows Defender
Protección del
sistema, TPM 2.0
proporciona
seguridad mejorada
para Credential
Guard. Windows 11
requiere TPM 2.0 de
forma
predeterminada para
facilitar la habilitación
de esta seguridad
mejorada para los
clientes.

Atestación de estado Sí Sí Sí Se recomienda TPM

del dispositivo 2.0, ya que admite
algoritmos
criptográficos más
recientes. TPM 1.2
solo admite el
algoritmo SHA-1 que
está en desuso.

Windows No Sí Sí Azure AD Join admite

Hello/Windows Hello ambas versiones de
para empresas TPM, pero requiere
TPM con código de
autenticación de
mensajes de hash
con claves (HMAC) y
certificado de clave
de aprobación (EK)
para la
compatibilidad con
atestación de clave.
Tpm 2.0 se
recomienda sobre
TPM 1.2 para
mejorar el
rendimiento y la
seguridad. Windows
Hello como
autenticador de
plataforma FIDO
aprovechará TPM 2.0
para el
almacenamiento de
claves.
 C A RA C T ERÍST IC A S
DE W IN DO W S SE REQ UIERE T P M A DM IT E T P M 1. 2 A DM IT E T P M 2. 0 DETA L L ES

Arranque seguro de No Sí Sí
la UEFI

Proveedor de Sí Sí Sí
almacenamiento de
claves del proveedor
criptográfico de la
plataforma TPM

Tarjeta inteligente Sí Sí Sí
virtual

Almacenamiento de No Sí Sí TPM solo es

certificados necesario cuando el
certificado está
almacenado en el
TPM.

Piloto automático No N/D Sí Si tiene previsto

implementar un
escenario que
requiera TPM (como
guante blanco y
modo de
implementación
automática), se
requiere tpm 2.0 y
firmware UEFI.

SecureBIO Sí No Sí Se requiere tpm 2.0 y

firmware UEFI.

Estado de OEM en la disponibilidad del sistema y las piezas

certificadas de TPM 2.0
Los clientes del gobierno y los clientes empresariales de sectores regulados pueden aplicar estándares de
adquisición que requieran el uso de piezas comunes certificadas del TPM. Por este motivo, puede que sea
necesario que los OEM que proporcionan los dispositivos usen solamente los componentes de TPM certificados
en sus sistemas de clase comercial. Para obtener más información, ponte en contacto con el OEM o el proveedor
de hardware.

Temas relacionados
Módulo de plataforma segura (lista de temas)
 Windows Defender Protección del sistema: Cómo
una raíz de confianza basada en hardware ayuda a
proteger Windows 10
08/11/2022 • 12 minutes to read

Para proteger recursos críticos como la pila de autenticación de Windows, los tokens de inicio de sesión único, la
pila biométrica Windows Hello y el módulo de plataforma de confianza virtual, el firmware y el hardware de un
sistema deben ser de confianza.
Windows Defender Protección del sistema reorganiza las características de integridad del sistema Windows 10
existentes bajo un mismo techo y configura el siguiente conjunto de inversiones en seguridad de Windows. Está
diseñado para garantizar estas garantías de seguridad:
Proteger y mantener la integridad del sistema a medida que se inicia
Validar que la integridad del sistema se ha mantenido realmente a través de la atestación local y remota

Mantener la integridad del sistema a medida que se inicia

Raíz estática de confianza para la medición (SRTM )
Con Windows 7, uno de los medios que usarían los atacantes para conservar y evitar la detección era instalar lo
que a menudo se conoce como bootkit o rootkit en el sistema. Este software malintencionado se iniciaría antes
de que Windows se iniciara, o durante el propio proceso de arranque, lo que le permitiría empezar con el mayor
nivel de privilegios.
Con Windows 10 que se ejecutan en hardware moderno (es decir, certificado Windows 8 o superior) una raíz de
confianza basada en hardware ayuda a garantizar que ningún firmware o software no autorizado (como un
bootkit) pueda iniciarse antes del cargador de arranque de Windows. Esta raíz de confianza basada en hardware
procede de la característica de arranque seguro del dispositivo, que forma parte de la interfaz de firmware
extensible unificada (UEFI). Esta técnica de medición de los componentes de UEFI de arranque temprano estático
se denomina raíz estática de confianza para la medición (SRTM).
Como hay miles de proveedores de PC que producen muchos modelos con diferentes versiones de BIOS UEFI,
se convierte en un número increíblemente grande de medidas SRTM al arrancar. Existen dos técnicas para
establecer la confianza aquí: mantener una lista de medidas SRTM "malas" conocidas (también conocidas como
lista de bloqueos) o una lista de medidas SRTM "buenas" conocidas (también conocidas como listas de
permitidos).
Cada opción tiene un inconveniente:
Una lista de medidas SRTM "incorrectas" conocidas permite a un hacker cambiar solo 1 bit en un
componente para crear un hash SRTM completamente nuevo que se debe enumerar. Esto significa que el
flujo SRTM es inherentemente quebradizo: un cambio menor puede invalidar toda la cadena de confianza.
Una lista de medidas SRTM "buenas" conocidas requiere que cada nueva medición de combinación de
BIOS/PC se agregue cuidadosamente, lo que es lento. Además, una corrección de errores para el código UEFI
puede tardar mucho tiempo en diseñar, compilar, volver a probar, validar y volver a implementar.
Inicio seguro: raíz dinámica de confianza para la medición (DRTM )
Windows Defender Protección del sistema Secure Launch, introducido por primera vez en Windows 10 versión
1809, tiene como objetivo mitigar estos problemas aprovechando una tecnología conocida como raíz dinámica
de confianza para la medición (DRTM). DRTM permite al sistema arrancar libremente en código que no es de
confianza inicialmente, pero poco después inicia el sistema en un estado de confianza al tomar el control de
todas las CPU y forzarlas a una ruta de acceso de código bien conocida y medida. Esto tiene la ventaja de
permitir que el código UEFI temprano que no es de confianza arranque el sistema, pero luego ser capaz de
realizar la transición de forma segura a un estado de confianza y medido.

El inicio seguro simplifica la administración de las medidas de SRTM porque el código de inicio ahora no está
relacionado con una configuración de hardware específica. Esto significa que el número de medidas de código
válidas es pequeño y que las actualizaciones futuras se pueden implementar de forma más amplia y rápida.
Protección del modo de administración del sistema (SMM )
El modo de administración del sistema (SMM) es un modo de CPU de uso especial en microcontroladores x86
que controla la administración de energía, la configuración de hardware, la supervisión térmica y cualquier otra
cosa que el fabricante considere útil. Cada vez que se solicita una de estas operaciones del sistema, se invoca
una interrupción no enmascarable (SMI) en tiempo de ejecución, que ejecuta el código SMM instalado por el
BIOS. El código SMM se ejecuta en el nivel de privilegios más alto y es invisible para el sistema operativo, lo que
lo convierte en un destino atractivo para la actividad malintencionada. Incluso si se usa Protección del sistema
inicio seguro para el inicio tardío, el código SMM puede acceder a la memoria del hipervisor y cambiar el
hipervisor.
Para defenderse de esto, se usan dos técnicas:
Protección de paginación para evitar el acceso inadecuado al código y a los datos
Supervisión y atestación de hardware de SMM
La protección de paginación se puede implementar para bloquear determinadas tablas de código para que sean
de solo lectura para evitar alteraciones. Esto impide el acceso a cualquier memoria que no se haya asignado.
Una característica de procesador aplicada por hardware conocida como controlador SMI de supervisor puede
supervisar el SMM y asegurarse de que no tiene acceso a ninguna parte del espacio de direcciones a la que se
supone que no tiene acceso.
La protección SMM se basa en la tecnología Secure Launch y requiere que funcione. En el futuro, Windows 10
también medirá el comportamiento de este controlador SMI y atestiguará que no se ha manipulado ninguna
memoria propiedad del sistema operativo.

Validación de la integridad de la plataforma después de que Windows

se esté ejecutando (tiempo de ejecución)
Si bien Windows Defender Protección del sistema proporciona protección avanzada que ayudará a proteger y
mantener la integridad de la plataforma durante el arranque y en tiempo de ejecución, la realidad es que
debemos aplicar una mentalidad de "asumir vulneración" incluso a nuestras tecnologías de seguridad más
sofisticadas. Podemos confiar en que las tecnologías están realizando correctamente sus trabajos, pero también
necesitamos la capacidad de comprobar que han tenido éxito en el logro de sus objetivos. Para la integridad de
la plataforma, no solo podemos confiar en la plataforma, que podría verse comprometida, para dar fe de su
estado de seguridad. Por lo tanto, Windows Defender Protección del sistema incluye una serie de tecnologías
que permiten el análisis remoto de la integridad del dispositivo.
Como Windows 10 arranques, Windows Defender Protección del sistema toman una serie de medidas de
integridad mediante el módulo de plataforma segura 2.0 (TPM 2.0) del dispositivo. Protección del sistema Inicio
seguro no admitirá versiones anteriores de TPM, como TPM 1.2. Este proceso y los datos están aislados por
hardware de Windows para ayudar a garantizar que los datos de medición no estén sujetos al tipo de
manipulación que podría producirse si la plataforma estuviera en peligro. Desde aquí, las medidas se pueden
usar para determinar la integridad del firmware del dispositivo, el estado de configuración de hardware y los
componentes relacionados con el arranque de Windows, solo por nombrar algunos.

Después de iniciar el sistema, Windows Defender Protección del sistema firma y sella estas medidas mediante el
TPM. A petición, un sistema de administración como Intune o Microsoft Configuration Manager puede
adquirirlos para su análisis remoto. Si Windows Defender Protección del sistema indica que el dispositivo no
tiene integridad, el sistema de administración puede realizar una serie de acciones, como denegar el acceso del
dispositivo a los recursos.

Requisitos del sistema para Protección del sistema

PA RA P RO C ESA DO RES IN T EL ® VP RO ™ A PA RT IR DE
IN T EL ® C O F F EEL A K E, W H ISK Y L A K E O P O ST ERIO R DESC RIP C IÓ N

CPU de 64 bits Se requiere un equipo de 64 bits con un mínimo de cuatro

núcleos (procesadores lógicos) para la seguridad basada en
hipervisor y virtualización (VBS). Para obtener más
información sobre Hyper-V, consulte Hyper-V en Windows
Server 2016 o Introducción a Hyper-V en Windows 10. Para
obtener más información sobre el hipervisor, vea
Especificaciones del hipervisor.
PA RA P RO C ESA DO RES IN T EL ® VP RO ™ A PA RT IR DE
IN T EL ® C O F F EEL A K E, W H ISK Y L A K E O P O ST ERIO R DESC RIP C IÓ N

Módulo de plataforma segura (TPM) 2.0 Las plataformas deben admitir un TPM 2.0 discreto. No se
admiten los TPMs integrados o de firmware, excepto los
chips intel que admiten la tecnología de confianza de
plataforma (PTT), que es un tipo de TPM de hardware
integrado que cumple la especificación de TPM 2.0.

Protección contra DMA de Windows Las plataformas deben cumplir la especificación de

protección de DMA de Windows (todos los puertos DMA
externos deben estar desactivados de forma predeterminada
hasta que el sistema operativo los encienda explícitamente).

Búferes de comunicación SMM Todos los búferes de comunicación SMM deben

implementarse en los tipos de memoria
EfiRuntimeServicesData, EfiRuntimeServicesCode,
EfiACPIMemoryNVS o EfiReservedMemoryType.

Tablas de páginas SMM NO debe contener ninguna asignación a

EfiConventionalMemory (por ejemplo, ninguna memoria
propiedad del sistema operativo o VMM).
NO debe contener ninguna asignación a secciones de código
dentro de EfiRuntimeServicesCode.
NO debe tener permisos de ejecución y escritura para la
misma página
Solo debe permitir que las páginas TSEG se puedan marcar
como ejecutables y que el mapa de memoria informe de
TSEG EfiReservedMemoryType.
El controlador SMI de BIOS debe implementarse de forma
que las tablas de páginas SMM estén bloqueadas en cada
entrada de SMM.

Modo de espera moderno o conectado Las plataformas deben admitir el modo de espera moderno
o conectado.
PA RA P RO C ESA DO RES IN T EL ® VP RO ™ A PA RT IR DE
IN T EL ® C O F F EEL A K E, W H ISK Y L A K E O P O ST ERIO R DESC RIP C IÓ N

Índice AUXILIAR de TPM La plataforma debe configurar un índice AUX con índices,
atributos y directivas que se correspondan exactamente con
el índice AUX especificado en txt dg con un tamaño de datos
de exactamente 104 bytes (para datos AUX SHA256).
(NameAlg = SHA256)
Las plataformas deben configurar un índice de PS (proveedor
de plataforma) con:
Exactamente los atributos de estilo "TXT PS2" en la
creación como se indica a continuación:
AuthWrite
PolicyDelete
WriteLocked
WriteDefine
AuthRead
WriteDefine
Noda
Escrito
PlatformCreate
Una directiva exactamente PolicyCommandCode(CC
= TPM2_CC_UndefineSpaceSpecial) (SHA256
NameAlg and Policy)
Tamaño de exactamente 70 bytes
NameAlg = SHA256
Además, debe haberse inicializado y bloqueado
(TPMA_NV_WRITTEN = 1, TPMA_NV_WRITELOCKED
= 1) en el momento del inicio del sistema operativo.
Los datos de índice de PS DataRevocationCounters,
SINITMinVersion y PolicyControl deben estar 0x00

Directiva AUX La directiva AUX necesaria debe ser la siguiente:

A = TPM2_PolicyLocality (localidad 3 & localidad 4)
B = TPM2_PolicyCommandCode
(TPM_CC_NV_UndefineSpecial)
authPolicy = {A} OR {{A} AND {B}}
authPolicy digest = 0xef, 0x9a, 0x26, 0xfc, 0x22, 0xd1,
0xae, 0x8c, 0xec, 0xff, 0x59, 0xe9, 0x48, 0x1a, 0xc1,
0xec, 0x53, 0x3d, 0xbe, 0x22, 0x8b, 0xec, 0x6d, 0x17,
0x93, 0x0f, 0x4c, 0xb2, 0xcc, 0x5b, 0x97, 0x24
PA RA P RO C ESA DO RES IN T EL ® VP RO ™ A PA RT IR DE
IN T EL ® C O F F EEL A K E, W H ISK Y L A K E O P O ST ERIO R DESC RIP C IÓ N

Índice de NV de TPM El firmware de la plataforma debe configurar un índice de NV

de TPM para que lo use el sistema operativo con:
Identificador: 0x01C101C0
Atributos:
TPMA_NV_POLICYWRITE
TPMA_NV_PPREAD
TPMA_NV_OWNERREAD
TPMA_NV_AUTHREAD
TPMA_NV_POLICYREAD
TPMA_NV_NO_DA
TPMA_NV_PLATFORMCREATE
TPMA_NV_POLICY_DELETE
Una directiva de:
A=
TPM2_PolicyAuthorize(MSFT_DRTM_AUTH_BLOB
_SigningKey)
B=
TPM2_PolicyCommandCode(TPM_CC_NV_Undefi
neSpaceSpecial)
authPolicy = {A} OR {{A} AND {B}}
Valor de resumen de 0xcb, 0x45, 0xc8, 0x1f, 0xf3,
0x4b, 0xcf, 0x0a, 0xfb, 0x9e, 0x1a, 0x80, 0x29,
0xfa, 0x23, 0x1c, 0x87, 0x27, 0x30, 0x3c, 0x09,
0x22, 0xdc, 0xce, 0x68, 0x4b, 0xe3, 0xdb, 0x81,
0x7c, 0x20, 0xe1

Firmware de la plataforma El firmware de la plataforma debe llevar todo el código

necesario para ejecutar un inicio seguro de Intel® Trusted
Execution Technology:
Intel® SINIT ACM debe transportarse en el BIOS
oem
Las plataformas deben enviarse con un ACM de
producción firmado por el firmante de producción
correcto de Intel® ACM para la plataforma.

Actualización del firmware de la plataforma Se recomienda actualizar el firmware del sistema a través de
UpdateCapsule en Windows Update.

PA RA P RO C ESA DO RES A M D® A PA RT IR DE Z EN 2 O
P O ST ERIO R DESC RIP C IÓ N

CPU de 64 bits Se requiere un equipo de 64 bits con un mínimo de cuatro

núcleos (procesadores lógicos) para la seguridad basada en
hipervisor y virtualización (VBS). Para obtener más
información sobre Hyper-V, consulte Hyper-V en Windows
Server 2016 o Introducción a Hyper-V en Windows 10. Para
obtener más información sobre el hipervisor, vea
Especificaciones del hipervisor.

Módulo de plataforma segura (TPM) 2.0 Las plataformas deben admitir un TPM 2.0 discreto o tpm de
Microsoft Pluton.
PA RA P RO C ESA DO RES A M D® A PA RT IR DE Z EN 2 O
P O ST ERIO R DESC RIP C IÓ N

Protección contra DMA de Windows Las plataformas deben cumplir la especificación de

protección de DMA de Windows (todos los puertos DMA
externos deben estar desactivados de forma predeterminada
hasta que el sistema operativo los encienda explícitamente).

Búferes de comunicación SMM Todos los búferes de comunicación SMM deben

implementarse en los tipos de memoria
EfiRuntimeServicesData, EfiRuntimeServicesCode,
EfiACPIMemoryNVS o EfiReservedMemoryType.

Tablas de páginas SMM NO debe contener ninguna asignación a

EfiConventionalMemory (por ejemplo, ninguna memoria
propiedad del sistema operativo o VMM).
NO debe contener ninguna asignación a secciones de código
dentro de EfiRuntimeServicesCode.
NO debe tener permisos de ejecución y escritura para la
misma página
El controlador SMI de BIOS debe implementarse de forma
que las tablas de páginas SMM estén bloqueadas en cada
entrada de SMM.

Modo de espera moderno o conectado Las plataformas deben admitir el modo de espera moderno
o conectado.

Índice de NV de TPM El firmware de la plataforma debe configurar un índice de NV

de TPM para que lo use el sistema operativo con:
Identificador: 0x01C101C0
Atributos:
TPMA_NV_POLICYWRITE
TPMA_NV_PPREAD
TPMA_NV_OWNERREAD
TPMA_NV_AUTHREAD
TPMA_NV_POLICYREAD
TPMA_NV_NO_DA
TPMA_NV_PLATFORMCREATE
TPMA_NV_POLICY_DELETE
Una directiva de:
A=
TPM2_PolicyAuthorize(MSFT_DRTM_AUTH_BLOB
_SigningKey)
B=
TPM2_PolicyCommandCode(TPM_CC_NV_Undefi
neSpaceSpecial)
authPolicy = {A} OR {{A} AND {B}}
Valor de resumen de 0xcb, 0x45, 0xc8, 0x1f, 0xf3,
0x4b, 0xcf, 0x0a, 0xfb, 0x9e, 0x1a, 0x80, 0x29,
0xfa, 0x23, 0x1c, 0x87, 0x27, 0x30, 0x3c, 0x09,
0x22, 0xdc, 0xce, 0x68, 0x4b, 0xe3, 0xdb, 0x81,
0x7c, 0x20, 0xe1
PA RA P RO C ESA DO RES A M D® A PA RT IR DE Z EN 2 O
P O ST ERIO R DESC RIP C IÓ N

Firmware de la plataforma El firmware de la plataforma debe llevar todo el código

necesario para ejecutar El inicio seguro:
Las plataformas de inicio seguro de AMD® deben
enviarse con el nodo de desarrollo del controlador
AMD® DRTM expuesto y el controlador AMD®
DRTM instalado

La plataforma debe tener habilitada la protección contra

reversión de firmware del procesador seguro AMD® .
La plataforma debe tener AMD® Memory Guard
habilitado.

Actualización del firmware de la plataforma Se recomienda actualizar el firmware del sistema a través de
UpdateCapsule en Windows Update.

PA RA P RO C ESA DO RES Q UA L C O M M ® C O N C H IP SET S

SD850 O P O ST ERIO RES DESC RIP C IÓ N

Supervisión de la comunicación en modo Todos los búferes de comunicación del modo de supervisión
deben implementarse en las secciones de datos
EfiRuntimeServicesData (recomendado) de
EfiRuntimeServicesCode, tal como se describe en los tipos de
memoria Tabla de atributos de memoria,
EfiACPIMemoryNVS o EfiReservedMemoryType.

Supervisión de tablas de páginas en modo Todas las tablas de páginas Modo de supervisión deben:
NO contiene ninguna asignación a
EfiConventionalMemory (por ejemplo, ninguna
memoria propiedad del sistema operativo o VMM)
NO deben tener permisos de ejecución y escritura
para la misma página
Las plataformas solo deben permitir páginas de
modo de supervisión marcadas como ejecutables
La asignación de memoria debe notificar el modo de
supervisión como EfiReservedMemoryType.
Las plataformas deben proporcionar un mecanismo
para proteger las tablas de página Modo de
supervisión frente a modificaciones

Modo de espera moderno o conectado Las plataformas deben admitir el modo de espera moderno
o conectado.

Firmware de la plataforma El firmware de la plataforma debe llevar todo el código

necesario para iniciarse.

Actualización del firmware de la plataforma Se recomienda actualizar el firmware del sistema a través de
UpdateCapsule en Windows Update.
 Inicio seguro de protección del sistema y protección
SMM
08/11/2022 • 2 minutes to read

Se aplica a:
Windows11
Windows10
En este tema se explica cómo configurar Protección del sistema protección del modo de inicio seguro y
administración del sistema (SMM) para mejorar la seguridad de inicio de los dispositivos Windows 10 y
Windows 11. La información siguiente se presenta desde la perspectiva del cliente.

Habilitación de Protección del sistema inicio seguro

Puede habilitar Protección del sistema inicio seguro mediante cualquiera de estas opciones:
Administración de dispositivos móviles (MDM)
Directiva de grupo
Seguridad de Windows aplicación
Registro
Administración de dispositivos móviles
Protección del sistema Secure Launch se puede configurar para Mobile Administración de dispositivos (MDM)
mediante directivas deviceguard en policy CSP, DeviceGuard/ConfigureSystemGuardLaunch.
Directiva de grupo
1. Haga clic en Iniciar > tipo y, a continuación, haga clic en Editar directiva de grupo .
2. Haga clic en Configuración > del equipoPlantillas > administrativasSystem > Device Guard >
Active Virtualization Based SecuritySecure Launch Configuration (Configuración de inicio seguro
de seguridad > basada en virtualización).
Seguridad de Windows aplicación
Haga clic en Star t > Settings > Update & Security > Seguridad de Windows > Open Seguridad de
Windows > Dispositivo security Coreisolation Firmware protection (Protección de firmware
deaislamiento > del núcleo de seguridad > del dispositivo).

Registro
1. Abra el editor del Registro.
2. Haga clic en HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet Control DeviceGuardScenarios
(Escenarios de DeviceGuard > delcontrol > System CurrentControlSet > ).
3. Haga clic con el botón derecho en Escenarios > Nueva > clave y asigne a la nueva clave el nombre
SystemGuard .
4. Haga clic con el botón derecho en SystemGuard > New****DWORD (32 bits) Value (Valor de
 DWORD nuevo > de 32 bits) y asigne al nuevo nombre DWORD Enabled (Habilitado para DWORD).
5. Haga doble clic en Habilitado , cambie el valor a 1 y haga clic en Aceptar .

Cómo comprobar Protección del sistema inicio seguro está

configurado y en ejecución
Para comprobar que se está ejecutando el inicio seguro, use Información del sistema (MSInfo32). Haga clic en
Inicio , busque Información del sistema y busque en Ser vicios de seguridad basados en vir tualización
Que se ejecutan y Ser vicios de seguridad basados en vir tualización configurados .
NOTE
Para habilitar Protección del sistema inicio seguro, la plataforma debe cumplir todos los requisitos de línea base para
Protección del sistema, Device Guard, Credential Guard y Virtualization Based Security.

NOTE
Para obtener más información sobre los procesadores AMD, vea Blog de seguridad de Microsoft: Forzar que el código de
firmware se mida y atestigua mediante el inicio seguro en Windows 10.
 Habilitar la protección basada en virtualización de
integridad de código
08/11/2022 • 10 minutes to read

Se aplica a
Windows10
Windows11
En este tema se tratan diferentes formas de habilitar la integridad de código protegido por hipervisor (HVCI) en
Windows 10 y Windows 11. Algunas aplicaciones, incluyendo los controladores de dispositivo, pueden ser
incompatibles con HVCI. Esta incompatibilidad puede hacer que los dispositivos o el software no funcionen
correctamente y, en raras ocasiones, puede dar lugar a una pantalla azul. Estos problemas pueden producirse
después de haber activado HVCI o durante el propio proceso de activación. Si se producen estos problemas,
consulte Solución de problemas para ver los pasos de corrección.

NOTE
Dado que hace uso del control de ejecución basado en modo, HVCI funciona mejor con cpu Intel Kaby Lake o AMD Zen 2
y versiones más recientes. Los procesadores sin MBEC se basarán en una emulación de esta característica, denominada
Modo de usuario restringido, que tiene un mayor impacto en el rendimiento.

Características de HVCI
HVCI protege la modificación del mapa de bits de Control Flow Guard (CFG).
HVCI también garantiza que otros procesos de confianza, como Credential Guard, tengan un certificado
válido.
Los controladores de dispositivos modernos también deben tener un certificado EV (validación extendida) y
deben admitir HVCI.

Cómo activar HVCI en Windows 10 y Windows 11

Para habilitar HVCI en dispositivos Windows 10 y Windows 11 con hardware compatible en toda una empresa,
use cualquiera de estas opciones:
Seguridad de Windows aplicación
Microsoft Intune (u otro proveedor de MDM)
Directiva de grupo
Microsoft Configuration Manager
Registro
Seguridad de Windows aplicación
HVCI tiene la etiqueta Integridad de memoria en la aplicación de Seguridad de Windows y se puede acceder
a ella a través de la actualización de configuración > & seguridad > Seguridad de Windows >
Dispositivos detalles > deaislamiento del núcleo de seguridad > memoria . Para obtener más información,
vea KB4096339.
Habilitación de HVCI mediante Intune
La habilitación en Intune requiere el uso del nodo Integridad de código en el CSP de AppLocker.
Habilitación de HVCI mediante directiva de grupo
1. Use directiva de grupo Editor ([Link]) para editar un GPO existente o crear uno nuevo.
2. Vaya a Configuración > del equipoPlantillas > administrativasSystem > Device Guard .
3. Haga doble clic en Activar seguridad basada en vir tualización .
4. Haga clic en Habilitado y, en Protección basada en vir tualización de integridad de código ,
seleccione Habilitado con bloqueo UEFI para asegurarse de que HVCI no se puede deshabilitar de
forma remota o seleccione Habilitado sin bloqueo UEFI .

5. Haga clic en Aceptar para cerrar el editor.

Para aplicar la nueva directiva en un equipo unido a un dominio, reinicie o ejecute gpupdate /force en un
símbolo del sistema con privilegios elevados.
Usar claves de registro para habilitar la protección basada en virtualización de la integridad de código
Establece las siguientes claves de registro para habilitar HVCI. Estas claves proporcionan exactamente el mismo
conjunto de opciones de configuración proporcionadas por directiva de grupo.
 IMPORTANT
Entre los comandos que siguen, puedes elegir la configuración para Arranque seguro y Arranque seguro con
DMA . En la mayoría de los casos, recomendamos elegir Arranque seguro . Esta opción proporciona un arranque
seguro con tanta protección como permita el hardware de un determinado equipo. Un equipo con unidades de
administración de memoria de entrada y salida (IOMMU) tendrá arranque seguro con protección de DMA. Un
equipo sin las IOMMU simplemente tendrá habilitado el arranque seguro.
En cambio, con Arranque seguro con DMA , la configuración habilitará el arranque seguro, y VBS en sí,
solamente en un equipo que admita DMA, es decir, un equipo con IOMMU. Con esta configuración, cualquier
equipo sin IOMMU no tendrá protección VBS o HVCI, aunque todavía puede tener habilitado Windows Defender
Control de aplicaciones.
Todos los controladores del sistema deben ser compatibles con la protección basada en la virtualización de la
integridad de código; en caso contrario, el sistema puede presentar errores. Recomendamos habilitar estas
características en un grupo de equipos de prueba antes de habilitarlas en los equipos de los usuarios.

Para Windows 10 versión 1607 y posteriores y para Windows 11 versión 21H2

Configuración recomendada (para habilitar la protección basada en virtualización de las directivas de integridad
de código, sin bloqueo UEFI):

reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t

REG_DWORD /d 1 /f

reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t

REG_DWORD /d 1 /f

reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /t REG_DWORD /d 0 /f

reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v

"Enabled" /t REG_DWORD /d 1 /f

reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v

"Locked" /t REG_DWORD /d 0 /f

Si quieres personalizar la configuración recomendada anterior, usa la siguiente configuración.

Para habilitar VBS

reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t

REG_DWORD /d 1 /f

Para habilitar VBS y requerir solo Arranque seguro (valor 1)

reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t

REG_DWORD /d 1 /f

Para habilitar VBS con arranque seguro y DMA (valor 3)

reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t

REG_DWORD /d 3 /f

Para habilitar VBS sin bloqueo UEFI (valor 0)

reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /t REG_DWORD /d 0 /f

Para habilitar VBS con bloqueo UEFI (valor 1)

reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /t REG_DWORD /d 1 /f

Para habilitar las directivas de protección basada en vir tualización de integridad de código

reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v

"Enabled" /t REG_DWORD /d 1 /f

Para habilitar las directivas de protección basada en vir tualización de integridad de código sin
bloqueo UEFI (valor 0)

reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v

"Locked" /t REG_DWORD /d 0 /f

Para habilitar la protección basada en vir tualización de directivas de integridad de código con
bloqueo UEFI (valor 1)

reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v

"Locked" /t REG_DWORD /d 1 /f

Para Windows 10 versión 1511 y anteriores

Configuración recomendada (para habilitar la protección basada en virtualización de las directivas de integridad
de código, sin bloqueo UEFI):

reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t

REG_DWORD /d 1 /f

reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t

REG_DWORD /d 1 /f

reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "HypervisorEnforcedCodeIntegrity" /t

REG_DWORD /d 1 /f

reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Unlocked" /t REG_DWORD /d 1 /f

Si quieres personalizar la configuración recomendada anterior, usa la siguiente configuración.

Para habilitar VBS (siempre está bloqueado para UEFI)

reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t

REG_DWORD /d 1 /f

Para habilitar VBS y requerir solo Arranque seguro (valor 1)

reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t

REG_DWORD /d 1 /f

Para habilitar VBS con arranque seguro y DMA (valor 3)

reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t

REG_DWORD /d 3 /f
Para habilitar las directivas de protección basada en vir tualización de integridad de código (con el
bloqueo UEFI predeterminado)

reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "HypervisorEnforcedCodeIntegrity" /t

REG_DWORD /d 1 /f

Para habilitar las directivas de protección basada en vir tualización de integridad de código sin
bloqueo UEFI

reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Unlocked" /t REG_DWORD /d 1 /f

Validar características habilitadas de seguridad basada en hardware de Device Guard de Windows Defender
Windows 10, Windows 11 y Windows Server 2016 tienen una clase WMI para las propiedades y características
relacionadas: Win32_DeviceGuard. Esta clase puede consultarse desde una sesión de Windows PowerShell con
privilegios elevados mediante el siguiente comando:

Get-CimInstance –ClassName Win32_DeviceGuard –Namespace root\Microsoft\Windows\DeviceGuard

NOTE
La clase WMI Win32_DeviceGuard solo está disponible en la edición Enterprise de Windows 10 y Windows 11.

NOTE
La propiedad Control de ejecución basada en modo solo se mostrará como disponible a partir de Windows 10 versión
1803 y Windows 11 versión 21H2.

La salida de este comando proporciona detalles de las características de seguridad basadas en hardware
disponibles y las características que están habilitadas actualmente.
AvailableSecurityProperties
Este campo ayuda a enumerar las propiedades de seguridad pertinentes de Device Guard de Windows
Defender, así como notificar su estado.

VA LO R DESC RIP C IÓ N

0. Si se encuentra presente, no hay ninguna propiedad

pertinente en el dispositivo.

1. Si se encuentra presente, existe compatibilidad con el

hipervisor.

2. Si se encuentra presente, el arranque seguro está disponible.

3. Si se encuentra presente, la protección de DMA está

disponible.

4. Si se encuentra presente, la sobrescritura de memoria segura

está disponible.
 VA LO R DESC RIP C IÓ N

5. Si se encuentra presente, las protecciones NX están

disponibles.

6. Si se encuentra presente, las mitigaciones de SMM están

disponibles.

7. Si está presente, MBEC/GMET está disponible.

8. Si está presente, la virtualización de APIC está disponible.

InstanceIdentifier
Una cadena que es exclusiva para un dispositivo concreto. Los valores válidos viene determinados por WMI.
RequiredSecurityProperties
Este campo describe las propiedades de seguridad necesarias para habilitar la seguridad basada en la
virtualización.

VA LO R DESC RIP C IÓ N

0. No se necesita nada.

1. Si se encuentra presente, se necesita la compatibilidad con el

hipervisor.

2. Si se encuentra presente, se necesita el arranque seguro.

3. Si se encuentra presente, se necesita la protección de DMA.

4. Si se encuentra presente, se necesita la sobrescritura de

memoria segura.

5. Si está presente, se necesitan las protecciones NX.

6. Si está presente, se necesitan las mitigaciones de SMM.

7. Si está presente, se necesita MBEC/GMET.

SecurityServicesConfigured
Este campo indica si se ha configurado el servicio de HVCI o Credential Guard de Windows Defender.

VA LO R DESC RIP C IÓ N

0. No se configura ningún servicio.

1. Si se encuentra presente, Credential Guard de Windows

Defender se ha configurado.

2. Si se encuentra presente, HVCI se ha configurado.

3. Si está presente, se configura Protección del sistema inicio

seguro.
 VA LO R DESC RIP C IÓ N

4. Si está presente, se configura la medición de firmware de

SMM.

SecurityServicesRunning
Este campo indica si se está ejecutando el servicio de HVCI o Credential Guard de Windows Defender.

VA LO R DESC RIP C IÓ N

0. No se está ejecutando ningún servicio.

1. Si se encuentra presente, Credential Guard de Windows

Defender está en ejecución.

2. Si se encuentra presente, HVCI está en ejecución.

3. Si está presente, se está ejecutando Protección del sistema

inicio seguro.

4. Si está presente, se está ejecutando la medición de firmware

de SMM.

Version
Este campo muestra la versión de esta clase de WMI. Actualmente, el único valor válido es 1.0 .
VirtualizationBasedSecurityStatus
Este campo indica si VBS está habilitado y en ejecución.

VA LO R DESC RIP C IÓ N

0. VBS no está habilitado.

1. VBS está habilitado, pero no en ejecución.

2. VBS está habilitado y en ejecución.

PSComputerName
En este campo se muestra el nombre del equipo. Todos los valores válidos para el nombre del equipo.
Otro método para determinar las características de Device Guard de Windows Defender disponibles y
habilitadas consiste en ejecutar [Link] desde una sesión de PowerShell con privilegios elevados. Al
ejecutar este programa, las propiedades Windows Defender Device Guard se muestran en la parte inferior de la
sección Resumen del sistema .
Solución de problemas
A. Si un controlador de dispositivo no se carga o se bloquea en tiempo de ejecución, es posible que puedas
actualizar el controlador usando Administrador de dispositivos .
B. Si experimenta un error de funcionamiento del software o del dispositivo después de usar el procedimiento
anterior para activar HVCI, pero puede iniciar sesión en Windows, puede desactivar HVCI cambiando el nombre
o eliminando el archivo SIPolicy.p7b y <OS Volume>\Windows\System32\CodeIntegrity\ , a continuación, reiniciar el
dispositivo.
C. Si experimentas un error crítico durante el arranque o el sistema no es estable después de usar el
procedimiento anterior para activar HVCI, puedes recuperar mediante el entorno de recuperación de Windows
(Windows RE). Para arrancar con Windows RE, consulta Referencia técnica de Windows RE. Después de iniciar
sesión en Windows RE, puede desactivar HVCI cambiando el nombre o eliminando el archivo SIPolicy.p7b de
<OS Volume>\Windows\System32\CodeIntegrity\ y, a continuación, reinicie el dispositivo.

Cómo desactivar HVCI

1. Ejecute el siguiente comando desde un símbolo del sistema con privilegios elevados para establecer la
clave del Registro HVCI en off:

reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity"

/v "Enabled" /t REG_DWORD /d 0 /f

2. Reinicia el dispositivo.
3. Para confirmar que HVCI se ha desactivado correctamente, abre Información del sistema y comprueba
Ser vicios de seguridad basada en vir tualización en ejecución , que ahora no debería mostrar
ningún valor.

Implementación de HVCI en máquinas virtuales

HVCI puede proteger una máquina virtual de Hyper-V, igual que lo haría con una máquina física. Los pasos para
habilitar Windows Defender Application Control son los mismos desde dentro de la máquina virtual.
WDAC protege contra el malware que se ejecuta en la máquina virtual invitada. No proporciona protección
adicional del administrador del host. Desde el host, puede deshabilitar WDAC para una máquina virtual:

Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true

Requisitos para ejecutar HVCI en máquinas virtuales de Hyper-V

El host de Hyper-V debe ejecutar al menos Windows Server 2016 o Windows 10, versión 1607.
La máquina virtual de Hyper-V debe ser de la generación 2 y ejecutar como mínimo Windows Server 2016 o
Windows 10.
HVCI y la virtualización anidada se pueden habilitar al mismo tiempo. Para habilitar el rol de Hyper-V en la
máquina virtual, primero debe instalar el rol de Hyper-V en un entorno de virtualización anidada de
Windows.
Canal de fibra virtual adaptadores no son compatibles con HVCI. Antes de conectar un adaptador de canal de
fibra virtual a una máquina virtual, primero debe optar por no participar en la seguridad basada en
virtualización mediante Set-VMSecurity .
La opción AllowFullSCSICommandSet para discos de paso a través no es compatible con HVCI. Antes de
configurar un disco de paso a través con AllowFullSCSICommandSet, primero debe optar por no participar
en la seguridad basada en virtualización mediante Set-VMSecurity .
 Protección de DMA para kernel
08/11/2022 • 9 minutes to read

Se aplica a
Windows10
Windows11
En Windows 10 versión 1803, Microsoft introdujo una nueva característica denominada Kernel DMA Protection
para proteger los equipos contra ataques de acceso directo a memoria (DMA) mediante unidades mediante
dispositivos pci hot plug conectados a puertos PCIe accesibles externamente (por ejemplo, puertos
Thunderbolt™ 3 y CFexpress). En Windows 10 versión 1903, Microsoft expandió la compatibilidad con Kernel
DMA Protection para cubrir los puertos PCIe internos (por ejemplo, ranuras M.2)
Los ataques de DMA drive-by pueden dar lugar a la divulgación de información confidencial que reside en un
equipo, o incluso a la inyección de malware que permite a los atacantes omitir la pantalla de bloqueo o controlar
equipos de forma remota.
Esta característica no protege contra ataques DMA a través de 1394/FireWire, PCMCIA, CardBus, ExpressCard,
etc.

Segundo plano
Los dispositivos PCI son compatibles con DMA, lo que les permite leer y escribir en la memoria del sistema a
voluntad, sin tener que interactuar con el procesador del sistema en estas operaciones. La funcionalidad DMA es
lo que hace que los dispositivos PCI estén disponibles hoy en día. Estos dispositivos han existido históricamente
sólo dentro del chasis del PC, ya sea conectado como tarjeta o soldado en la placa base. El acceso a estos
dispositivos requería que el usuario apagara el sistema y desensamblase el chasis.
Hoy en día, este ya no es el caso con los puertos PCIe de conexión activa (por ejemplo, Thunderbolt™ y
CFexpress).
Los puertos PCIe de conexión activa, como la tecnología Thunderbolt™, han proporcionado equipos modernos
con extensibilidad que no estaba disponible antes para los equipos. Permite a los usuarios conectar nuevas
clases de periféricos externos, como tarjetas gráficas u otros dispositivos PCI, a sus pc con una experiencia de
conexión activa idéntica a USB. Tener puertos pci hot plug de forma externa y de fácil acceso hace que los
equipos sean susceptibles a ataques de DMA por unidad.
Los ataques de DMA por unidad son ataques que se producen mientras el propietario del sistema no está
presente y normalmente tardan menos de 10 minutos, con herramientas de ataque sencillas a moderadas
(hardware y software asequibles y fuera de serie) que no requieren el desensamblado del equipo. Un ejemplo
sencillo sería que un propietario del EQUIPO deja el equipo para un breve descanso de café y, dentro de la
interrupción, un atacante entra, conecta un dispositivo similar a USB y se aleja con todos los secretos de la
máquina, o inserta un malware que les permite tener control total sobre el equipo de forma remota.

Cómo Windows protege frente a ataques de unidad DMA

Windows aprovecha la unidad de administración de memoria de entrada y salida (IOMMU) del sistema para
impedir que los periféricos externos inicien y realicen DMA a menos que los controladores de estos periféricos
admitan el aislamiento de memoria (como la reasignación de DMA). Los periféricos con controladores
compatibles con la reasignación de DMA se enumeran, inician y permiten realizar DMA automáticamente en sus
regiones de memoria asignadas.
De forma predeterminada, los periféricos con controladores incompatibles con la reasignación de DMA se
bloquearán para que no inicien y realicen DMA hasta que un usuario autorizado inicie sesión en el sistema o
desbloquee la pantalla. Los administradores de TI pueden modificar el comportamiento predeterminado
aplicado a los dispositivos con controladores incompatibles con la reasignación de DMA mediante las directivas
mdm de DmaGuard.

Experiencia del usuario

De forma predeterminada, los periféricos con controladores de dispositivo compatibles con reasignación de
DMA se enumerarán e iniciarán automáticamente. Los periféricos con controladores incompatibles con la
reasignación de DMA no podrán iniciarse si el periférico se enchufó antes de que un usuario autorizado inicie
sesión o mientras la pantalla esté bloqueada. Una vez desbloqueado el sistema, el sistema operativo iniciará el
controlador periférico y el periférico seguirá funcionando con normalidad hasta que se reinicie el sistema o se
desconecte el periférico. El periférico seguirá funcionando normalmente si el usuario bloquea la pantalla o cierra
la sesión del sistema.

Compatibilidad del sistema

Kernel DMA Protection requiere compatibilidad con el firmware UEFI. Esta compatibilidad solo se prevé en los
sistemas basados en Intel recién introducidos que se envían con Windows 10 versión 1803 (no todos los
sistemas). La seguridad basada en virtualización (VBS) no es necesaria.
Para ver si un sistema admite kernel DMA Protection, compruebe la aplicación de escritorio de Información del
sistema (MSINFO32). Los sistemas publicados antes de Windows 10 versión 1803 no admiten kernel DMA
Protection, pero pueden aprovechar otras mitigaciones de ataqueSMA, como se describe en Contramedidas de
BitLocker.

NOTE
Kernel DMA Protection no es compatible con otras contramedidas de ataques DMA de BitLocker. Se recomienda
deshabilitar las contramedidas de ataques DMA de BitLocker si el sistema admite protección contra DMA de kernel. Kernel
DMA Protection proporciona una barra de seguridad más alta para el sistema a través de las contramedidas de
ataqueSMA de BitLocker, a la vez que mantiene la facilidad de uso de periféricos externos.

Cómo comprobar si la protección contra DMA del kernel está

habilitada
Los sistemas que ejecutan Windows 10 versión 1803 que admiten Protección contra DMA de kernel tienen esta
característica de seguridad habilitada automáticamente por el sistema operativo sin que sea necesaria ninguna
configuración de usuario o administrador de TI.
Uso de la aplicación Seguridad de Windows
A partir de Windows 10 versión 1809, puede usar la aplicación Seguridad de Windows para comprobar si
Kernel DMA Protection está habilitado. Haga clic en Iniciar > configuración > Actualizar & seguridad >
Seguridad de Windows > Abrir Seguridad de Windows > Dispositivos****detalles de > aislamiento
del núcleo de seguridad > Protección de acceso a la memoria .

Uso de información del sistema

1. Inicie [Link] en un símbolo del sistema o en la barra de búsqueda de Windows.
2. Compruebe el valor de Kernel DMA Protection .

3. Si el estado actual de Kernel DMA Protection es OFF y Hyper-V - Vir tualization Enabled en
firmware es NO:
Reinicio en la configuración del BIOS
Active la tecnología intel virtualización.
 Active la tecnología intel virtualización para E/S (VT-d). En Windows 10 versión 1803, solo se admite
Intel VT-d. Otras plataformas pueden usar mitigaciones de ataqueSMA descritas en Contramedidas de
BitLocker.
Reinicie el sistema en Windows.

NOTE
Si la característica De Windows de Hyper-V está habilitada, se ocultarán todas las características relacionadas
con Hyper-V y se detectará un hiper visor. Las características necesarias para Hyper-V no se
mostrarán en la parte inferior de la lista. Significa que Hyper-V - Vir tualization Enabled in Firmware
(Hyper-V: vir tualización habilitada en firmware ) está establecido en SÍ.

NOTE
La habilitación de la virtualización de Hyper-V en firmware (IOMMU) es necesaria para habilitar la protección de
DMA del kernel, incluso cuando el firmware tiene la marca "Indicadores de protección de DMA del kernel ACPI"
descrito en Protección de DMA del kernel (protección de acceso a memoria) para OEM.

4. Si el estado de Kernel DMA Protection permanece desactivado, el sistema no admite esta

característica.
Para los sistemas que no admiten kernel DMA Protection, consulte las contramedidas de BitLocker o
Thunderbolt™ 3 y Seguridad en el sistema operativo Microsoft Windows® 10 para obtener otros
medios de protección contra DMA.

Preguntas más frecuentes

¿Los sistemas del mercado admiten kernel DMA Protection para Thunderbolt™ 3?
Los sistemas en el mercado, publicados con Windows 10 versión 1709 o anterior, no admitirán kernel DMA
Protection para Thunderbolt™ 3 después de actualizar a Windows 10 versión 1803, ya que esta característica
requiere los cambios de firmware de BIOS/plataforma y garantías que no se pueden volver a usar en
dispositivos publicados anteriormente. Para estos sistemas, consulte las contramedidas de BitLocker o
Thunderbolt™ 3 y Seguridad en el sistema operativo Microsoft Windows® 10 para obtener otros medios de
protección contra DMA.
¿La protección DMA del kernel evita ataques de DMA por unidad durante el arranque?
No, kernel DMA Protection solo protege contra ataques DMA por unidad después de cargar el sistema
operativo. Es responsabilidad del firmware/BIOS del sistema protegerse contra ataques a través de los puertos
Thunderbolt™ 3 durante el arranque.
¿Cómo puedo comprobar si un controlador determinado admite la reasignación de DMA?
La reasignación de DMA es compatible con controladores de dispositivos específicos y no es compatible
universalmente con todos los dispositivos y controladores de una plataforma. Para comprobar si un controlador
específico está optado por la reasignación de DMA, compruebe los valores correspondientes a la propiedad
Directiva de reasignación de DMA en la pestaña Detalles de un dispositivo en Administrador de dispositivos*.
Un valor de 0 o 1 significa que el controlador del dispositivo no admite la reasignación de DMA. Un valor de dos
significa que el controlador de dispositivo admite la reasignación de DMA. Si la propiedad no está disponible, el
controlador de dispositivo no establece la directiva (es decir, el controlador de dispositivo no admite la
reasignación de DMA). Compruebe la instancia del controlador para el dispositivo que está probando. Algunos
controladores pueden tener valores variables en función de la ubicación del dispositivo (interno frente a
externo).
*Para Windows 10 versiones 1803 y 1809, el campo de propiedad de Administrador de dispositivos usa un
GUID, como se resalta en la siguiente imagen.

¿Cuando los controladores para periféricos PCI o Thunderbolt™ 3 no admiten la reasignación de DMA?
Si los periféricos tienen controladores de clase proporcionados por Windows, use estos controladores en los
sistemas. Si Windows no proporciona controladores de clase para los periféricos, póngase en contacto con el
proveedor de periféricos o controladores para actualizar el controlador para admitir la reasignación de DMA.
La protección DMA del kernel de mi sistema está desactivada. ¿Se puede activar la reasignación de DMA
para un dispositivo específico?
Sí. La reasignación de DMA para un dispositivo específico se puede activar independientemente de kernel DMA
Protection. Por ejemplo, si el controlador opta por participar y VT-d (Tecnología de virtualización para E/S
dirigida) está activado, la reasignación de DMA se habilitará para el controlador de dispositivos incluso si kernel
DMA Protection está desactivado.
Kernel DMA Protection es una directiva que permite o bloquea que los dispositivos realicen DMA, en función de
su estado y funcionalidades de reasignación.
¿Los controladores de Microsoft admiten la reasignación de DMA?
En Windows 10 1803 y versiones posteriores, los controladores de bandeja de entrada de Microsoft para
controladores USB XHCI (3.x), controladores AHCI/SATA de almacenamiento y controladores NVMe de
almacenamiento admiten la reasignación de DMA.
¿Los controladores para dispositivos que no son PCI deben ser compatibles con la reasignación de DMA?
No. Los dispositivos para periféricos que no son PCI, como los dispositivos USB, no realizan DMA, por lo que no
es necesario que el controlador sea compatible con DMA Remapping.
¿Cómo puede una empresa habilitar la directiva de enumeración de dispositivos externos?
La directiva de enumeración de dispositivos externos controla si se van a enumerar periféricos externos que no
son compatibles con la reasignación de DMA. Los periféricos compatibles con la reasignación de DMA siempre
se enumeran. Los periféricos que no son, se pueden bloquear, permitir o permitir solo después de que el usuario
inicie sesión (valor predeterminado).
La directiva se puede habilitar mediante:
directiva de grupo: Plantillas administrativas\System\Kernel DMA Protection\Enumeration policy for external
devices incompatible with Kernel DMA Protection
Mobile Administración de dispositivos (MDM): directivas de DmaGuard

Temas relacionados
Contramedidas de BitLocker
Directivas MDM de DmaGuard
 Seguridad del sistema operativo Windows
08/11/2022 • 8 minutes to read

La seguridad y la privacidad dependen de un sistema operativo que protege el sistema y la información desde el
momento en que se inicia, lo que proporciona una protección fundamental de chip a nube. Windows 11 es el
windows más seguro, pero con amplias medidas de seguridad diseñadas para ayudarte a mantenerte a salvo.
Estas medidas incluyen cifrado avanzado integrado y protección de datos, una sólida seguridad de red y
sistema, y medidas de seguridad inteligentes frente a amenazas en constante evolución.
Vea el vídeo de seguridad más reciente de Microsoft Mechanics Windows 11 que muestra algunas de las
tecnologías de seguridad de Windows 11 más recientes.
Use los vínculos de la tabla siguiente para obtener más información sobre las características y funcionalidades
de seguridad del sistema operativo en Windows 11.

M EDIDA S DE SEGURIDA D C A RA C T ERÍST IC A S & F UN C IO N A L IDA DES

Arranque seguro y arranque de confianza El arranque seguro y el arranque de confianza ayudan a

evitar que el malware y los componentes dañados se
carguen cuando se inicia un dispositivo Windows. El
arranque seguro comienza con la protección de arranque
inicial y, a continuación, el arranque de confianza recoge el
proceso. Juntos, el arranque seguro y el arranque de
confianza ayudan a garantizar que el sistema Windows se
inicie de forma segura y segura.

Obtenga más información sobre el arranque seguro y el

arranque de confianza.

Criptografía y administración de certificados La criptografía usa código para convertir datos de modo que
solo un destinatario específico pueda leerlos mediante una
clave. La criptografía exige privacidad para impedir que
cualquier persona excepto el destinatario previsto lea datos,
integridad para asegurarse de que los datos están libres de
alteraciones y autenticación que comprueba la identidad
para asegurarse de que la comunicación es segura.

Obtenga más información sobre la criptografía y la

administración de certificados.

Seguridad de Windows aplicación La aplicación de seguridad integrada de Windows que se

encuentra en la configuración proporciona una vista general
del estado de seguridad y el estado del dispositivo. Estas
conclusiones le ayudan a identificar problemas y a tomar
medidas para asegurarse de que está protegido. Puede ver
rápidamente el estado de la protección contra virus y
amenazas, el firewall y la seguridad de red, los controles de
seguridad de dispositivos, etc.

Obtenga más información sobre la aplicación Seguridad de

Windows.
M EDIDA S DE SEGURIDA D C A RA C T ERÍST IC A S & F UN C IO N A L IDA DES

Protección y cifrado de datos Siempre que se almacenen datos confidenciales, deben

protegerse contra el acceso no autorizado, ya sea mediante
el robo de dispositivos físicos o desde aplicaciones
malintencionadas. Windows proporciona soluciones sólidas
de protección de datos en reposo que protegen contra
atacantes nefastos.

Más información sobre el cifrado.

BitLocker Cifrado de unidad BitLocker es una característica de

protección de datos que se integra en el sistema operativo y
soluciona las amenazas de robo o exposición de datos de
equipos perdidos, sustraídos o retirados inadecuadamente.
BitLocker ofrece la máxima protección cuando se usa con un
módulo de plataforma segura (TPM) 1.2 o posterior.

Más información sobre BitLocker.

Unidad de disco duro cifrada El disco duro cifrado usa el cifrado rápido que proporciona el
cifrado de unidad BitLocker para mejorar la seguridad y la
administración de los datos.
Al descargar las operaciones criptográficas al hardware, las
unidades de disco duro cifradas aumentan el rendimiento de
BitLocker y reducen el consumo de energía y el uso de CPU.
Como los datos se cifran rápidamente en las unidades de
disco duro cifradas, los dispositivos empresariales pueden
expandir la implementación de BitLocker con un impacto
mínimo en la productividad.

Más información sobre las unidades de disco duro cifradas.

Líneas base de seguridad Un línea base de seguridad es un grupo de opciones de

configuración recomendadas por Microsoft que explica su
impacto de seguridad. Estas opciones de configuración se
basan en comentarios de los equipos de ingeniería de
seguridad de Microsoft, los grupos de productos, los
partners y los clientes.

Las líneas base de seguridad se incluyen en el kit de

herramientas de cumplimiento de seguridad que puede
descargar desde el Centro de descarga de Microsoft.

Obtenga más información sobre las líneas base de

seguridad.

Red privada virtual Las redes privadas virtuales (VPN) son conexiones de punto
a punto en una red pública o privada, como Internet. Un
cliente VPN usa protocolos especiales TCP/IP o basados en
UDP, denominados protocolos de túnel, para realizar una
llamada virtual a un puerto virtual en un servidor VPN.

Obtenga más información sobre las redes privadas virtuales.

M EDIDA S DE SEGURIDA D C A RA C T ERÍST IC A S & F UN C IO N A L IDA DES

Firewall de Windows Defender Windows Defender Firewall es un firewall de host con estado
que ayuda a proteger el dispositivo, ya que permite crear
reglas que determinan qué tráfico de red puede entrar en el
dispositivo desde la red y qué tráfico de red puede enviar el
dispositivo a la red. Windows Defender Firewall también
admite la seguridad del protocolo de Internet (IPsec), que
puede usar para requerir la autenticación de cualquier
dispositivo que intente comunicarse con el dispositivo.

Obtenga más información sobre Windows Defender Firewall

con seguridad avanzada.

Antivirus & protección antimalware Microsoft Defender Antivirus se incluye en todas las
versiones de Windows 10, Windows Server 2016 y versiones
posteriores y Windows 11. Si tiene otra aplicación antivirus
instalada y activada, Microsoft Defender Antivirus se
desactivará automáticamente. Si desinstala la otra aplicación,
Microsoft Defender Antivirus volverá a activarse.

Desde el momento en que arranque Windows, Microsoft

Defender Antivirus supervisa continuamente el malware, los
virus y las amenazas de seguridad. Novedades se descargan
automáticamente para ayudar a proteger el dispositivo
frente a amenazas. Microsoft Defender Antivirus examina
continuamente el malware y las amenazas, y también
detecta y bloquea aplicaciones potencialmente no deseadas
(aplicaciones que pueden afectar negativamente al
dispositivo aunque no se consideren malware).

Microsoft Defender Antivirus se integra con la protección

proporcionada en la nube, lo que ayuda a garantizar la
detección y el bloqueo casi instantáneos de amenazas
nuevas y emergentes.

Obtenga más información sobre la protección de última

generación y Microsoft Defender Antivirus.

Reglas de reducción de la superficie expuesta a ataques Las superficies expuestas a ataques son los lugares y formas
en que eres vulnerable a un ciberataque. Las reglas de
reducción de superficie expuesta a ataques están integradas
en Windows y Windows Server para evitar y bloquear
determinados comportamientos que a menudo se abusan
para poner en peligro el dispositivo o la red. Estos
comportamientos pueden incluir el inicio de scripts o
ejecutables que intentan descargar o ejecutar otros archivos,
ejecutar scripts sospechosos o realizar otros
comportamientos que las aplicaciones no suelen iniciar
durante el trabajo normal. Puede configurar las reglas de
reducción de la superficie expuesta a ataques para
protegerse frente a estos comportamientos de riesgo.

Más información sobre las reglas de reducción de superficie

expuesta a ataques
M EDIDA S DE SEGURIDA D C A RA C T ERÍST IC A S & F UN C IO N A L IDA DES

Protección contra alteraciones Durante los ciberataques (como los intentos de

ransomware), los actores malintencionados intentan
deshabilitar las características de seguridad, como la
protección antivirus en dispositivos de destino. A los actores
incorrectos les gusta deshabilitar las características de
seguridad para obtener un acceso más fácil a los datos del
usuario, instalar malware o, de lo contrario, aprovechar los
datos, la identidad y los dispositivos del usuario sin miedo a
que se bloqueen. La protección contra alteraciones ayuda a
evitar este tipo de actividades.

Con la protección contra alteraciones, se impide que el

malware realice acciones como las siguientes:
- Deshabilitación de la protección contra amenazas y virus
- Deshabilitación de la protección en tiempo real
- Desactivar la supervisión del comportamiento
- Deshabilitar antivirus (como IOfficeAntivirus (IOAV))
- Deshabilitación de la protección entregada en la nube
- Eliminación de actualizaciones de inteligencia de seguridad

Obtenga más información sobre la protección contra

alteraciones.

Protección de red La protección de red en Windows ayuda a evitar que los

usuarios accedan a direcciones IP y dominios peligrosos que
pueden hospedar estafas de suplantación de identidad
(phishing), vulnerabilidades de seguridad y otro contenido
malintencionado en Internet. La protección de red forma
parte de la reducción de la superficie expuesta a ataques y
ayuda a proporcionar una capa adicional de protección para
un usuario. Con los servicios basados en la reputación, la
protección de red bloquea el acceso a dominios
potencialmente dañinos y de baja reputación y direcciones IP.

En entornos empresariales, la protección de red funciona

mejor con Microsoft Defender para punto de conexión, que
proporciona informes detallados sobre eventos de
protección como parte de escenarios de investigación más
grandes.

Más información sobre la protección de red.

Acceso controlado a carpetas Con el acceso controlado a carpetas, puede proteger su

información valiosa en carpetas específicas mediante la
administración del acceso de las aplicaciones a carpetas
específicas. Solo las aplicaciones de confianza pueden acceder
a carpetas protegidas, que se especifican cuando se
configura el acceso controlado a carpetas. Normalmente, las
carpetas que se usan normalmente, como las que se usan
para documentos, imágenes, descargas, se incluyen en la
lista de carpetas controladas. El acceso controlado a carpetas
ayuda a proteger datos valiosos frente a aplicaciones y
amenazas malintencionadas, como ransomware.

Obtenga más información sobre el acceso controlado a

carpetas.
M EDIDA S DE SEGURIDA D C A RA C T ERÍST IC A S & F UN C IO N A L IDA DES

Protección contra vulnerabilidades La protección contra vulnerabilidades de seguridad,

disponible en Windows 10, versión 1709 y posteriores, aplica
automáticamente varias técnicas de mitigación de
vulnerabilidades de seguridad a procesos y aplicaciones del
sistema operativo. La protección contra vulnerabilidades de
seguridad funciona mejor con Microsoft Defender para
punto de conexión, lo que proporciona a las organizaciones
informes detallados sobre eventos y bloques de protección
contra vulnerabilidades como parte de escenarios típicos de
investigación de alertas.

Puede habilitar la protección contra vulnerabilidades de

seguridad en un dispositivo individual y, a continuación, usar
directiva de grupo para distribuir el archivo XML a varios
dispositivos simultáneamente. Cuando se encuentra una
mitigación en el equipo, se mostrará una notificación del
Centro de actividades. Puede personalizar la notificación con
los detalles y la información de contacto de su empresa.
También puede habilitar las reglas individualmente para
personalizar las técnicas que supervisan las características.

Más información sobre protección contra vulnerabilidades de

seguridad.

Microsoft Defender para punto de conexión Los clientes de Windows E5 se benefician de Microsoft
Defender para punto de conexión, una funcionalidad de
detección y respuesta de puntos de conexión empresariales
que ayuda a los equipos de seguridad empresariales a
detectar, investigar y responder a amenazas avanzadas. Con
datos de eventos enriquecidos e información sobre ataques,
Defender for Endpoint permite al equipo de seguridad
investigar incidentes y realizar acciones de corrección de
forma eficaz y eficaz.

Defender para punto de conexión también forma parte de

Microsoft 365 Defender, un conjunto de defensa empresarial
unificado previo y posterior a la vulneración que coordina de
forma nativa la detección, la prevención, la investigación y la
respuesta entre puntos de conexión, identidades, correo
electrónico y aplicaciones para proporcionar protección
integrada contra ataques sofisticados.

Obtenga más información sobre Microsoft Defender para

punto de conexión y Microsoft 365 Defender.
 Proteger el proceso de arranque de Windows
08/11/2022 • 12 minutes to read

Se aplica a:
Windows11
Windows10
Windows 8.1
El sistema operativo Windows tiene muchas características que le ayudarán a protegerse del malware y hace un
trabajo increíblemente bueno. Excepto en aplicaciones que las empresas desarrollan y usan internamente, todas
las aplicaciones de Microsoft Store deben cumplir una serie de requisitos para obtener la certificación e incluirse
en Microsoft Store. Este proceso de certificación examina varios criterios, como la seguridad, y constituye un
medio eficaz para impedir que malware entre en Microsoft Store. Incluso si una aplicación malintencionada
pasa, el sistema operativo Windows 10 incluye una serie de características de seguridad que pueden mitigar el
efecto. Por ejemplo, las aplicaciones de Microsoft Store están en espacios aislados y no tienen los privilegios
necesarios para acceder a datos de usuario o cambiar la configuración del sistema.
Windows también tiene varios niveles de protección para aplicaciones de escritorio y datos. Windows Defender
Antivirus usa la detección en tiempo real con tecnología de nube para identificar y poner en cuarentena las
aplicaciones que se sabe que son malintencionadas. Windows Defender SmartScreen advierte a los usuarios
antes de permitirles ejecutar una aplicación poco confiable, incluso si se reconoce como malware. Antes de que
una aplicación pueda cambiar la configuración del sistema, el usuario tendría que conceder privilegios de
administración de la aplicación mediante el Control de cuentas de usuario.
Estos componentes son solo algunas de las maneras en que Windows le protege frente al malware. Sin
embargo, esas características de seguridad solo te protegen después de que se inicie Windows. El malware
moderno, y los bootkits en concreto, son capaces de iniciarse antes de Windows, omitir completamente la
seguridad del sistema operativo y permanecer ocultos.
Cuando ejecutas Windows 10 o Windows 11 en un equipo o en cualquier pc que admita unified Extensible
Firmware Interface (UEFI), Trusted Boot protege tu PC de malware desde el momento en que enciendes el
equipo hasta que se inicia el antimalware. En el improbable caso de que el malware infecte un EQUIPO, no
puede permanecer oculto; El arranque de confianza puede demostrar la integridad del sistema en la
infraestructura de una manera que el malware no puede disimular. Incluso en equipos sin UEFI, Windows
proporciona una seguridad de inicio aún mejor que las versiones anteriores de Windows.
En primer lugar, vamos a examinar qué son los rootkits y cómo funcionan. A continuación, te mostraremos
cómo Windows puede protegerte.

La amenaza: rootkits
Los rootkits son un tipo sofisticado y peligroso de malware. Se ejecutan en modo kernel, con los mismos
privilegios que el sistema operativo. Dado que los rootkits tienen los mismos derechos que el sistema operativo
y comienzan antes, pueden ocultarse completamente a sí mismos y a otras aplicaciones. A menudo, los rootkits
forman parte de un conjunto completo de software malintencionado que puede burlar los inicios de sesión
locales, grabar las contraseñas y pulsaciones de teclas, transferir archivos privados y capturar datos
criptográficos.
Diferentes tipos de rootkits se cargan durante distintas fases del proceso de inicio:
Rootkits de firmware. Estos kits sobrescriben el firmware del sistema básico de entrada/salida del equipo
 u otro hardware para que el rootkit pueda iniciarse antes de Windows.
Bootkits. Estos kits reemplazan al cargador de arranque del sistema operativo (la pequeña pieza de software
que inicia el sistema operativo) para que el equipo cargue el bootkit antes del sistema operativo.
Rootkits de kernel. Estos kits reemplazan una parte del kernel del sistema operativo para que el rootkit
pueda iniciarse automáticamente cuando se cargue el sistema operativo.
Rootkits de controlador. Estos kits se hacen pasar por uno de los controladores de confianza que
Windows usa para comunicarse con el hardware del equipo.

Las contramedidas
Windows admite cuatro características para ayudar a evitar que los rootkits y bootkits se carguen durante el
proceso de inicio:
Arranque seguro. Los equipos con firmware UEFI y un módulo de plataforma segura (TPM) se pueden
configurar para cargar solo cargadores de arranque de sistema operativo de confianza.
Arranque de confianza. Windows comprueba la integridad de cada componente del proceso de inicio
antes de cargarlo.
Antimalware de inicio temprano (EL AM). ELAM prueba todos los controladores antes de que se
carguen e impide que se carguen controladores no aprobados.
Arranque medido. El firmware del equipo registra el proceso de arranque y Windows puede enviarlo a un
servidor de confianza que pueda evaluar objetivamente el estado del equipo.
En la figura 1 se muestra el proceso de inicio de Windows.
Figura 1. El arranque seguro, arranque de confianza y arranque medido bloquean el malware en todas las fases
El arranque seguro y arranque medido solo son posibles en equipos con UEFI 2.3.1 y un chip TPM.
Afortunadamente, todos los equipos Windows 10 y Windows 11 que cumplen los requisitos del Programa de
compatibilidad de hardware de Windows tienen estos componentes y muchos equipos diseñados para
versiones anteriores de Windows también los tienen.
En las secciones siguientes se describen el arranque seguro, arranque de confianza, ELAM y arranque medido.

Arranque seguro
Cuando se inicia un equipo, encuentra por primera vez el cargador de arranque del sistema operativo. Los
equipos sin arranque seguro ejecutan cualquier cargador de arranque que esté en el disco duro del equipo. No
hay forma de que el equipo indique si es un sistema operativo de confianza o un rootkit.
Cuando un equipo con UEFI inicia, primero comprueba que el firmware está firmado digitalmente, lo que reduce
el riesgo de rootkits de firmware. Si el arranque seguro está habilitado, el firmware examina la firma digital del
cargador de arranque para comprobar que no se ha modificado. Si el cargador de arranque está intacto, el
firmware lo inicia solo si se cumple alguna de las siguientes condiciones:
El cargador de arranque se firmó con un cer tificado de confianza. En el caso de los equipos
certificados para Windows, el certificado de Microsoft es de confianza.
 El usuario ha aprobado manualmente la firma digital del cargador de arranque. Esta acción
permite al usuario cargar sistemas operativos que no son de Microsoft.
Todos los equipos windows certificados basados en x86 deben cumplir varios requisitos relacionados con el
arranque seguro:
Deben tener el arranque seguro habilitado de manera predeterminada.
Deben confiar en el certificado de Microsoft (y, por tanto, cualquier cargador de arranque que Microsoft haya
firmado).
Deben permitir al usuario configurar el arranque seguro para que confíe en otros cargadores de arranque.
Deben permitir al usuario deshabilitar completamente el arranque seguro.
Estos requisitos le ayudan a protegerse de los rootkits, a la vez que le permiten ejecutar cualquier sistema
operativo que desee. De hecho, tienes tres opciones para ejecutar sistemas operativos que no sean de Microsoft:
Use un sistema operativo con un cargador de arranque cer tificado. Dado que todos los equipos
certificados para Windows deben confiar en el certificado de Microsoft, Microsoft ofrece un servicio para
analizar y firmar cualquier cargador de arranque que no sea de Microsoft, de modo que todos los equipos
certificados para Windows puedan confiar en él. De hecho, ya hay disponible un cargador de arranque de
código abierto capaz de cargar Linux. Para comenzar el proceso de obtención de un certificado, vaya a
[Link]
Configurar UEFI para que confíe en el cargador de arranque personalizado. Todos los equipos
certificados para Windows le permiten confiar en un cargador de arranque no certificado agregando una
firma a la base de datos UEFI, lo que le permite ejecutar cualquier sistema operativo, incluidos los sistemas
operativos caseros.
Desactivar el arranque seguro. Todos los equipos certificados para Windows te permiten desactivar el
arranque seguro para que puedas ejecutar cualquier software. Sin embargo, esta acción no le ayuda a
protegerse de bootkits.
Para evitar que el malware abuse de estas opciones, el usuario debe configurar manualmente el firmware de
UEFI para que confíe en un cargador de arranque no certificado o desactivar el arranque seguro. El software no
puede cambiar la configuración de arranque seguro.
El estado predeterminado de Arranque seguro tiene un amplio círculo de confianza que puede dar lugar a que
los clientes confíen en los componentes de arranque que tal vez no necesiten. Dado que el certificado de CA
UEFI de terceros de Microsoft firma los cargadores de arranque para todas las distribuciones de Linux, confiar
en la firma de CA UEFI de Terceros de Microsoft en la base de datos UEFI aumenta la superficie de ataque de los
sistemas. Un cliente que solo tenía la intención de confiar y arrancar una única distribución de Linux confiará en
todas las distribuciones, mucho más que en su configuración deseada. Una vulnerabilidad en cualquiera de los
cargadores de arranque expone el sistema y coloca al cliente en riesgo de vulnerabilidad de seguridad para un
cargador de arranque que nunca ha pensado usar, como se ve en las vulnerabilidades recientes, por ejemplo ,
con el cargador de arranque grub o el rootkit de nivel de firmware que afectan a los componentes de arranque.
Los equipos de núcleo protegido requieren que arranque seguro esté habilitado y configurado para desconfiar
de la firma de CA UEFI de Microsoft 3rd Party, de forma predeterminada, para proporcionar a los clientes la
configuración más segura posible de sus equipos.
Para confiar en los sistemas operativos y arrancar, como Linux, y los componentes firmados por la firma UEFI,
los equipos de núcleo protegido se pueden configurar en el menú del BIOS para agregar la firma en la base de
datos UEFI siguiendo estos pasos:
1. Abra el menú firmware, ya sea:
Arranque el equipo y presione la tecla del fabricante para abrir los menús. Claves comunes usadas: Esc,
Delete, F1, F2, F10, F11 o F12. En las tabletas, los botones comunes son Subir volumen o Bajar volumen.
Durante el inicio, a menudo hay una pantalla que menciona la clave. Si no hay una, o si la pantalla pasa
 demasiado rápido para verla, compruebe el sitio del fabricante.
O bien, si Windows ya está instalado, en la pantalla Inicio o en el menú Inicio, seleccione Power ( ) >
mantenga presionada la tecla Mayús mientras selecciona Reiniciar. Seleccione Solución de problemas >
opciones avanzadas > configuración de firmware de UEFI.
2. En el menú firmware, vaya a Seguridad > Arranque seguro y seleccione la opción para confiar en la
"ENTIDAD de certificación de terceros".
3. Guarde los cambios y salga.
Microsoft continúa colaborando con asociados del ecosistema de Linux e IHV para diseñar características con
privilegios mínimos que le ayudarán a mantener la seguridad y a participar en la confianza solo para los
publicadores y componentes en los que confía.
Al igual que la mayoría de los dispositivos móviles, los dispositivos basados en Arm, como el dispositivo
Microsoft Surface RT, están diseñados para ejecutarse solo Windows 8.1. Por lo tanto, el arranque seguro no se
puede desactivar y no se puede cargar un sistema operativo diferente. Afortunadamente, hay un gran mercado
de dispositivos de procesador arm diseñados para ejecutar otros sistemas operativos.

Arranque seguro
El arranque de confianza se hace cargo de dónde finaliza el arranque seguro. El cargador de arranque
comprueba la firma digital del kernel de Windows 10 antes de cargarlo. A su vez, el kernel de Windows 10
comprueba el resto de los componentes del proceso de inicio de Windows, incluidos los controladores de
arranque, los archivos de inicio y el componente antimalware de inicio temprano. Si un archivo se ha
modificado, el cargador de arranque detecta el problema y se niega a cargar el componente dañado. A menudo,
Windows puede reparar automáticamente el componente dañado, restaurando la integridad de Windows y
permitiendo que el equipo se inicie con normalidad.

Antimalware de inicio temprano

Dado que el arranque seguro ha protegido el cargador de arranque y el arranque de confianza ha protegido el
kernel de Windows, la siguiente oportunidad de inicio de malware es la infección de un controlador de arranque
que no es de Microsoft. Las aplicaciones antimalware tradicionales no se inician hasta que se han cargado los
controladores de arranque, lo que da a un rootkit disfrazado de controlador la oportunidad de trabajar.
El componente antimalware de inicio temprano (ELAM) puede cargar un controlador de antimalware de
Microsoft o que no sea de Microsoft antes de todas las aplicaciones y los controladores de arranque que no son
de Microsoft, y continuar así la cadena de confianza establecida por el arranque seguro y el arranque de
confianza. Dado que el sistema operativo aún no se ha iniciado y que Windows necesita arrancar lo antes
posible, ELAM tiene una tarea sencilla: examinar todos los controladores de arranque y determinar si está en la
lista de controladores de confianza. Si no es de confianza, Windows no lo cargará.
Un controlador ELAM no es una solución antimalware completa; que se carga más adelante en el proceso de
arranque. Windows Defender (incluido con Windows) admite ELAM, al igual que varias aplicaciones
antimalware que no son de Microsoft.

Arranque medido
Si un equipo de la organización resulta infectado con un rootkit, debes saberlo. Las aplicaciones antimalware
empresariales pueden notificar infecciones de malware al departamento de TI, pero eso no funciona con rootkits
que ocultan su presencia. En otras palabras, no puede confiar en que el cliente le indique si está en buen estado.
Como resultado, los equipos infectados con rootkits parecen tener un estado bueno, incluso con antimalware en
ejecución. Los equipos infectados se siguen conectando a la red de empresa, por lo que el rootkit obtiene acceso
a una gran cantidad de datos confidenciales y se puede expandir en toda la red interna.
El arranque medido funciona con tpm y software que no es de Microsoft en Windows. Permite que un servidor
de confianza de la red compruebe la integridad del proceso de inicio de Windows. El arranque medido usa el
siguiente proceso:
1. El firmware UEFI del equipo almacena en el TPM un hash del firmware, el cargador de arranque, los
controladores de arranque y todo lo que se cargará antes de la aplicación antimalware.
2. Al final del proceso de inicio, Windows inicia el cliente de atestación remota que no es de Microsoft. El
servidor de atestación de confianza envía al cliente una clave única.
3. El TPM usa la clave única para firmar digitalmente el registro grabado por la UEFI.
4. El cliente envía el registro al servidor, posiblemente con otra información de seguridad.
En función de la implementación y configuración, el servidor ahora puede determinar si el cliente está en buen
estado. Puede conceder al cliente acceso a una red de cuarentena limitada o a la red completa.
En la Figura 2 se muestra el proceso de atestación remota y arranque medido.

Figura 2. El arranque medido demuestra el estado del equipo en un servidor remoto

Windows incluye las interfaces de programación de aplicaciones para admitir el arranque medido, pero
necesitará herramientas que no sean de Microsoft para implementar un cliente de atestación remota y un
servidor de atestación de confianza para aprovecharlo. Por ejemplo, consulte las siguientes herramientas de
Microsoft Research:
TPM Platform Crypto-Provider Toolkit
Tss. Msr
El arranque medido usa la eficacia de UEFI, TPM y Windows para proporcionar una manera de evaluar con
confianza la confiabilidad de un equipo cliente en toda la red.

Resumen
El arranque seguro, arranque de confianza y arranque medido crean una arquitectura que es fundamentalmente
resistente a bootkits y rootkits. En Windows, estas características pueden eliminar el malware de nivel de kernel
de la red. Con Windows, puede confiar en la integridad del sistema operativo.
 Arranque seguro y arranque de confianza
08/11/2022 • 2 minutes to read

En este artículo se describen el arranque seguro y el arranque de confianza, medidas de seguridad integradas en
Windows 11.
El arranque seguro y el arranque de confianza ayudan a evitar que el malware y los componentes dañados se
carguen cuando se inicia un dispositivo Windows 11. El arranque seguro comienza con la protección de
arranque inicial y, a continuación, el arranque de confianza recoge el proceso. Juntos, el arranque seguro y el
arranque de confianza ayudan a garantizar que el sistema de Windows 11 arranque de forma segura y segura.

Arranque seguro
El primer paso para proteger el sistema operativo es asegurarse de que arranca de forma segura después de
que las secuencias de arranque iniciales de hardware y firmware hayan terminado de forma segura sus
secuencias de arranque tempranas. El arranque seguro crea una ruta de acceso segura y de confianza desde la
interfaz de firmware extensible unificada (UEFI) a través de la secuencia de arranque de confianza del kernel de
Windows. Los protocolos de enlace de cumplimiento de firmas bloquean los ataques de malware en la
secuencia de arranque de Windows a lo largo de la secuencia de arranque entre los entornos UEFI, bootloader,
kernel y aplicación.
A medida que el equipo comienza el proceso de arranque, primero comprobará que el firmware está firmado
digitalmente, lo que reduce el riesgo de rootkits de firmware. A continuación, arranque seguro comprueba todo
el código que se ejecuta antes del sistema operativo y comprueba la firma digital del cargador de arranque del
sistema operativo para asegurarse de que es de confianza para la directiva de arranque seguro y no se ha
alterado.

Arranque seguro
El arranque de confianza recoge el proceso que comenzó con el arranque seguro. El cargador de arranque de
Windows comprueba la firma digital del kernel de Windows antes de cargarlo. El kernel de Windows, a su vez,
comprueba todos los demás componentes del proceso de inicio de Windows, incluidos los controladores de
arranque, los archivos de inicio y el controlador antimalware de inicio anticipado del producto (ELAM). Si alguno
de estos archivos se manipuló, el cargador de arranque detecta el problema y se niega a cargar el componente
dañado. Los protocolos de enlace de cumplimiento de firmas entre uefi, cargador de arranque, kernel y
aplicación bloquean los ataques de manipulación o malware en la secuencia de arranque de Windows.
A menudo, Windows puede reparar automáticamente el componente dañado, restaurando la integridad de
Windows y permitiendo que el dispositivo Windows 11 se inicie con normalidad.

Ver también
Proteger el proceso de arranque de Windows
 Criptografía y administración de certificados
08/11/2022 • 3 minutes to read

Criptografía
La criptografía usa código para convertir datos de modo que solo un destinatario específico pueda leerlos
mediante una clave. La criptografía exige privacidad para impedir que cualquier persona excepto el destinatario
previsto lea datos, integridad para asegurarse de que los datos están libres de alteraciones y autenticación que
comprueba la identidad para asegurarse de que la comunicación es segura. La pila de criptografía de Windows
se extiende desde el chip hasta la nube, lo que permite que Windows, las aplicaciones y los servicios protejan los
secretos del sistema y del usuario.
La criptografía en Windows está certificada por los Estándares Federales de Procesamiento de Información
(FIPS) 140. La certificación FIPS 140 garantiza que se usan algoritmos aprobados por el gobierno de EE. UU.
(RSA para la firma, ECDH con curvas NIST para el acuerdo de clave, AES para cifrado simétrico y SHA2 para
hash), prueba la integridad del módulo para demostrar que no se ha producido ninguna alteración y demuestra
la aleatoriedad de los orígenes de entropía.
Los módulos criptográficos de Windows proporcionan primitivos de bajo nivel, como:
Generadores de números aleatorios (RNG)
Cifrado simétrico y asimétrico (compatibilidad con AES 128/256 y RSA 512 a 16384, en incrementos de 64
bits y ECDSA sobre curvas prime estándar NIST P-256, P-384, P-521)
Hash (compatibilidad con SHA-256, SHA-384 y SHA-512)
Firma y comprobación (compatibilidad de relleno para OAEP, PSS, PKCS1)
Acuerdo clave y derivación de claves (compatibilidad con ECDH sobre curvas prime estándar nist P-256, P-
384, P-521 y HKDF)
Estos módulos se exponen de forma nativa en Windows a través de Crypto API (CAPI) y cryptography next
generation API (CNG), que funciona con la biblioteca criptográfica de código abierto de Microsoft SymCrypt. Los
desarrolladores de aplicaciones pueden usar estas API para realizar operaciones criptográficas de bajo nivel
(BCrypt), operaciones de almacenamiento de claves (NCrypt), proteger datos estáticos (DPAPI) y compartir
secretos de forma segura (DPAPI-NG).

Administración de certificados
Windows ofrece varias API para operar y administrar certificados. Los certificados son fundamentales para la
infraestructura de clave pública (PKI), ya que proporcionan los medios para proteger y autenticar la información.
Los certificados son documentos electrónicos que se usan para reclamar la propiedad de una clave pública. Las
claves públicas se usan para probar la identidad del servidor y del cliente, validar la integridad del código y
usarse en correos electrónicos seguros. Windows ofrece a los usuarios la posibilidad de inscribir
automáticamente y renovar certificados en Active Directory con directiva de grupo para reducir el riesgo de
posibles interrupciones debido a la expiración o la configuración incorrecta del certificado. Windows valida los
certificados a través de un mecanismo de actualización automática que descarga las listas de confianza de
certificados (CTL) diariamente. Las aplicaciones usan certificados raíz de confianza como referencia para
jerarquías PKI de confianza y certificados digitales. La lista de certificados de confianza y que no son de
confianza se almacena en el CTL y los pueden actualizar los administradores. En el caso de revocación de
certificados, se agrega un certificado como un certificado que no es de confianza en el CTL, lo que hace que se
revoque globalmente en todos los dispositivos de usuario inmediatamente.
Windows también ofrece anclaje de certificados empresariales para ayudar a reducir los ataques man-in-the-
middle al permitir que los usuarios protejan sus nombres de dominio internos del encadenamiento a
certificados no deseados. Se comprueba la cadena de certificados de autenticación de servidor de una
aplicación web para asegurarse de que coincide con un conjunto restringido de certificados. Cualquier
aplicación web que desencadene una falta de coincidencia de nombres iniciará el registro de eventos e impedirá
el acceso del usuario desde Edge o Internet Explorer.
 Aplicación de Seguridad de Windows
08/11/2022 • 4 minutes to read

Se aplica a
Windows10
Windows11
En esta biblioteca se describe la aplicación Seguridad de Windows y se proporciona información sobre la
configuración de determinadas características, entre las que se incluyen:

Mostrar y personalizar información de contacto en la aplicación y en las notificaciones

Ocultar notificaciones
En Windows 10, versión 1709 y posteriores, la aplicación también muestra información de aplicaciones de
firewall y antivirus de terceros.
En Windows 10, versión 1803, la aplicación tiene dos áreas nuevas: Protección de cuentas y Seguridad del
dispositivo .
 NOTE
La aplicación Seguridad de Windows es una interfaz de cliente en Windows 10, versión 1703 y posteriores. No es la
consola del portal web Centro de seguridad de Microsoft Defender la que se usa para revisar y administrar Microsoft
Defender para punto de conexión.

No puede desinstalar la aplicación Seguridad de Windows, pero puede realizar una de las siguientes acciones:
Deshabilite la interfaz en Windows Server 2016.
Oculte todas las secciones en los equipos cliente.
Deshabilite Microsoft Defender Antivirus, si es necesario. Para obtener más información, vea Habilitar y
configurar Microsoft Defender protección always-on antivirus en la directiva de grupo.
Para obtener más información sobre cada sección, las opciones para configurar las secciones y cómo ocultar
cada una de ellas, consulte los artículos siguientes:
Virus & protección contra amenazas, que tiene información y acceso a la configuración y las notificaciones
 de protección contra ransomware antivirus, incluido el acceso controlado a carpetas, e inicio de sesión en
Microsoft OneDrive.
Protección de cuentas, que tiene información y acceso a la configuración de inicio de sesión y protección de
cuentas.
Firewall & protección de red, que tiene información y acceso a la configuración del firewall, incluido
Windows Defender Firewall.
App & control del explorador, que cubre Windows Defender configuración de SmartScreen y mitigaciones
de protección contra vulnerabilidades de seguridad.
Seguridad del dispositivo, que proporciona acceso a la configuración de seguridad de dispositivos integrada.
El rendimiento del dispositivo & el estado, que tiene información sobre los controladores, el espacio de
almacenamiento y los problemas generales de Windows Update.
Opciones familiares, que incluyen acceso a los controles parentales junto con consejos e información para
mantener a los niños seguros en línea.

NOTE
Si ocultas todas las secciones, la aplicación mostrará una interfaz restringida, al igual que en la siguiente captura de
pantalla:

Abrir la aplicación Seguridad de Windows

Seleccione el icono en el área de notificación de la barra de tareas.

Busque Seguridad de Windows en el menú Inicio.

Abra un área desde Configuración de Windows.
 NOTE
La configuración configurada con herramientas de administración, como la directiva de grupo, Microsoft Intune o
Microsoft Configuration Manager, generalmente tendrá prioridad sobre la configuración de la Seguridad de Windows.

Funcionamiento de la aplicación Seguridad de Windows con las

características de seguridad de Windows
 IMPORTANT
Microsoft Defender Antivirus y la aplicación de Seguridad de Windows usan servicios con nombre similar para fines
específicos.
La aplicación Seguridad de Windows usa el servicio Seguridad de Windows (SecurityHealthService o Seguridad de
Windows Health Service), que a su vez usa el servicio Seguridad de Windows Center (wscsvc). Este servicio garantiza que
la aplicación proporciona la información más actualizada sobre el estado de protección en el punto de conexión. Esta
información incluye la protección ofrecida por productos antivirus de terceros, Windows Defender Firewall, firewalls de
terceros y otra protección de seguridad.
Estos servicios no afectan al estado de Microsoft Defender Antivirus. Deshabilitar o modificar estos servicios no
deshabilitará Microsoft Defender Antivirus. Dará lugar a un estado de protección reducido en el punto de conexión,
incluso si usa un producto antivirus de terceros.
Microsoft Defender Antivirus se deshabilitará automáticamente cuando se instale y mantenga actualizado un producto
antivirus de terceros.
Deshabilitar el servicio Seguridad de Windows Center no deshabilitará Microsoft Defender Antivirus ni Windows Defender
Firewall.

WARNING
Si deshabilita el servicio Seguridad de Windows Center o configura sus opciones de directiva de grupo asociadas para
evitar que se inicie o ejecute, la aplicación Seguridad de Windows puede mostrar información obsoleta o inexacta sobre
cualquier antivirus o producto de firewall que haya instalado en el dispositivo.
También puede impedir que Microsoft Defender Antivirus se habilite si tiene un antivirus de terceros antiguo o obsoleto, o
si desinstala cualquier producto antivirus de terceros que haya instalado anteriormente.
Esto reducirá considerablemente la protección del dispositivo y podría provocar una infección por malware.

La aplicación Seguridad de Windows funciona como una aplicación o proceso independiente de cada una de las
características individuales y mostrará notificaciones a través del Centro de acciones.
Actúa como recopilador o punto único para ver el estado y realizar parte de la configuración de cada una de las
características.
Si deshabilita cualquiera de las características individuales, impedirá que esa característica informe de su estado
en la aplicación Seguridad de Windows. Por ejemplo, si deshabilita una característica mediante la directiva de
grupo u otras herramientas de administración, como Microsoft Configuration Manager. La propia aplicación
Seguridad de Windows seguirá ejecutándose y mostrará el estado de las otras características de seguridad.

IMPORTANT
Si deshabilita individualmente cualquiera de los servicios, no deshabilitará los demás servicios ni la aplicación Seguridad de
Windows.

Por ejemplo, el uso de un antivirus de terceros deshabilitará Microsoft Defender Antivirus. Sin embargo, la
aplicación Seguridad de Windows seguirá ejecutándose, mostrará su icono en la barra de tareas y mostrará
información sobre las otras características, como Windows Defender SmartScreen y Windows Defender
Firewall.
 Protección contra virus y amenazas
08/11/2022 • 3 minutes to read

Aplicación
Windows10
Windows11
La sección Protección contra amenazas de Virus & contiene información y configuración para la protección
antivirus de Microsoft Defender Antivirus y productos antivirus de terceros.
En Windows 10, versión 1803, esta sección también contiene información y configuración para la protección y
recuperación de ransomware. Estas opciones incluyen la configuración de acceso controlado a carpetas para
evitar que aplicaciones desconocidas cambien archivos en carpetas protegidas, además de la configuración de
Microsoft OneDrive para ayudarle a recuperarse de un ataque de ransomware. Esta área también notifica a los
usuarios y proporciona instrucciones de recuperación si hay un ataque de ransomware.
Los administradores de TI y los profesionales de TI pueden obtener más información de configuración de estos
artículos:
Microsoft Defender Antivirus en la aplicación Seguridad de Windows
biblioteca de documentación de Microsoft Defender Antivirus
Proteger las carpetas importantes con Acceso controlado a carpetas
Defenderse del cibercrimen con nuevas funcionalidades de Office 365
Microsoft Defender para Office 365
Detección de ransomware y recuperación de archivos
Puede ocultar la sección Protección contra amenazas de Virus & o el área de protección contra
ransomware de los usuarios de la máquina. Esta opción puede ser útil si no desea que los empleados de su
organización vean o tengan acceso a las opciones configuradas por el usuario para estas características.

Ocultar la sección de protección contra virus y amenazas

Puedes ocultar la sección completa mediante la directiva de grupo. La sección no aparecerá en la página
principal de la aplicación Seguridad de Windows y su icono no se mostrará en la barra de navegación del lado
de la aplicación.
Esta sección solo se puede ocultar mediante directiva de grupo.

IMPORTANT
Requisitos
Debe tener Windows 10, versión 1709 o posterior. Los archivos de plantilla ADMX/ADML para versiones anteriores de
Windows no incluyen estas opciones de configuración de directiva de grupo.

1. En la máquina de administración de directivas de grupo, abre la Consola de administración de directivas

de grupo, haz clic con el botón derecho en el objeto de directiva de grupo que quieras configurar y haz
clic en Editar .
2. En directiva de grupo Editor de administración , vaya a Configuración del equipo y haga clic en
Plantillas administrativas .
3. Expanda el árbol a componentes de Windows > Seguridad de Windows > protección contra
virus y amenazas .
4. Abre la opción Ocultar el área de protección contra virus y amenazas y establécela en Habilitado .
Haz clic en Aceptar .
5. Implementa el GPO actualizado como lo harías normalmente.

NOTE
Si ocultas todas las secciones, la aplicación mostrará una interfaz restringida, al igual que en la siguiente captura de
pantalla:

Ocultar el área de protección contra ransomware

Puede optar por ocultar el área de protección contra ransomware mediante el uso de directiva de grupo. El
área no aparecerá en la sección Protección contra amenazas de Virus & de la aplicación Seguridad de
Windows.
Esta área solo se puede ocultar mediante directiva de grupo.

IMPORTANT
Requisitos
Debe tener Windows 10, versión 1709 o posterior. Los archivos de plantilla ADMX/ADML para versiones anteriores de
Windows no incluyen estas opciones de configuración de directiva de grupo.

1. En la máquina de administración de directivas de grupo, abre la Consola de administración de directivas

de grupo, haz clic con el botón derecho en el objeto de directiva de grupo que quieras configurar y haz
clic en Editar .
2. En directiva de grupo Editor de administración , vaya a Configuración del equipo y haga clic en
Plantillas administrativas .
3. Expanda el árbol a componentes de Windows > Seguridad de Windows > protección contra
virus y amenazas .
4. Abra la opción Ocultar el área de recuperación de datos ransomware y establézcala en
Habilitado . Haz clic en Aceptar .
5. Implementa el GPO actualizado como lo harías normalmente.
 Protección de cuentas
08/11/2022 • 2 minutes to read

Se aplica a
Windows10
Windows11
La sección Protección de la cuenta contiene información y configuración para la protección de cuentas y el
inicio de sesión. Puede obtener más información sobre estas funcionalidades en la lista siguiente:
Cuenta de Microsoft
Windows Hello para empresas
Bloquea el equipo con Windows10 automáticamente cuando te alejes
También puede ocultar la sección a los usuarios del dispositivo. Esto es útil si no desea que los empleados
accedan a estas características o vean las opciones configuradas por el usuario.

Ocultar la sección Protección de la cuenta

Puedes ocultar la sección completa mediante la directiva de grupo. La sección no aparecerá en la página
principal de la aplicación Seguridad de Windows y su icono no se mostrará en la barra de navegación del lado
de la aplicación.
Solo puede configurar estas opciones mediante directiva de grupo.

IMPORTANT
Requisitos
Debe tener Windows 10, versión 1803 o posterior. Los archivos de plantilla ADMX/ADML para versiones anteriores de
Windows no incluyen estas opciones de configuración de directiva de grupo.

1. En la máquina de administración de directiva de grupo, abra la consola de administración de directiva de

grupo, haga clic con el botón derecho en el objeto de directiva de grupo que desea configurar y
seleccione Editar .
2. En directiva de grupo Editor de administración , vaya a Configuración del equipo y seleccione
Plantillas administrativas .
3. Expanda el árbol a Componentes de Windows > Seguridad de Windows > Protección de la
cuenta .
4. Abra la opción Ocultar el área de protección de la cuenta y establézcalo en Habilitado . Seleccione
Aceptar .
5. Implementa el GPO actualizado como lo harías normalmente.
NOTE
Si ocultas todas las secciones, la aplicación mostrará una interfaz restringida, al igual que en la siguiente captura de
pantalla:
 Protección de firewall y redes
08/11/2022 • 2 minutes to read

Aplicación
Windows10
Windows11
La sección Protección de firewall y de redes contiene información sobre los firewalls y las conexiones de
red usadas por la máquina, incluyendo el estado de Firewall de Windows Defender y el resto de firewalls de
terceros. Los administradores de TI y los profesionales de TI pueden obtener instrucciones de configuración en
la biblioteca de documentación Firewall de Windows con seguridad avanzada.
En Windows 10, versión 1709 y posteriores, la sección se puede ocultar a los usuarios de la máquina. Esta
información es útil si no desea que los empleados de su organización vean o tengan acceso a las opciones
configuradas por el usuario para las características que se muestran en la sección.

Ocultar la sección Firewall y protección de redes

Puedes ocultar la sección completa mediante la directiva de grupo. La sección no aparecerá en la página
principal de la aplicación Seguridad de Windows y su icono no se mostrará en la barra de navegación del lado
de la aplicación.
Esta sección solo se puede ocultar mediante directiva de grupo.

IMPORTANT
Requisitos
Debe tener Windows 10, versión 1709 o posterior. Los archivos de plantilla ADMX/ADML para versiones anteriores de
Windows no incluyen estas opciones de configuración de directiva de grupo.

1. En la máquina de administración de directiva de grupo, abra la consola de administración de directiva de

grupo, haga clic con el botón derecho en el objeto directiva de grupo que desea configurar y haga clic en
Editar .
2. En directiva de grupo Editor de administración , vaya a Configuración del equipo y haga clic en
Plantillas administrativas .
3. Expanda el árbol a componentes de Windows > Seguridad de Windows > Firewall y protección
de red .
4. Abre la opción Ocultar el área de protección de firewall y protección de redes y establécela en
Habilitado . Haz clic en Aceptar .
5. Implementa el GPO actualizado como lo harías normalmente.
NOTE
Si ocultas todas las secciones, la aplicación mostrará una interfaz restringida, al igual que en la siguiente captura de
pantalla:
 Control de aplicaciones y navegadores
08/11/2022 • 2 minutes to read

Se aplica a
Windows10
Windows11
La sección Control de aplicaciones y navegadores contiene información y configuraciones de SmartScreen
de Windows Defender. Los administradores y profesionales de TI pueden obtener instrucciones de configuración
en la biblioteca de documentación de SmartScreen de Windows Defender.
En Windows 10, versión 1709 y posteriores, la sección también proporciona opciones de configuración para
protección contra vulnerabilidades de seguridad. Puedes impedir que los usuarios modifiquen estas opciones
específicas con la directiva de grupo. Los administradores de TI pueden obtener más información en Protección
contra vulnerabilidades de seguridad.
También puedes optar por ocultar la sección a los usuarios del equipo. Esta opción puede ser útil si no desea que
los empleados de su organización vean o tengan acceso a las opciones configuradas por el usuario para las
características que se muestran en la sección.

Impedir que los usuarios realicen cambios en el área Protección

contra vulnerabilidades de la sección de control de aplicaciones y
navegadores
Puedes impedir que los usuarios modifiquen la configuración en el área Protección contra vulnerabilidades. La
configuración estará en gris tenue o no aparecerá si habilitas esta opción. Los usuarios seguirán teniendo acceso
a otras configuraciones en la sección App & control del explorador, como la configuración de Windows
Defender SmartScreen, a menos que esas opciones se hayan configurado por separado.
Solo puedes impedir a los usuarios modificar la configuración de Protección contra vulnerabilidades mediante
la directiva de grupo.

IMPORTANT
Debe tener Windows 10, versión 1709 o posterior. Los archivos de plantilla ADMX/ADML para versiones anteriores de
Windows no incluyen estas opciones de configuración de directiva de grupo.

1. En la máquina de administración de directivas de grupo, abre la Consola de administración de directivas

de grupo, haz clic con el botón derecho en el objeto de directiva de grupo que quieras configurar y haz
clic en Editar .
2. En el Editor de administración de directiva de grupo vaya a Configuración del equipo ,
seleccione Directivas y, a continuación, Plantillas administrativas .
3. Expanda el árbol a componentes de Windows > Seguridad de Windows > protección de
aplicaciones y exploradores .
4. Abre la opción Impedir que los usuarios modifiquen la configuración y establécela en Habilitado .
Haz clic en Aceptar .
5. Implementa el GPO actualizado como lo harías normalmente.
Ocultar la sección de control de aplicaciones y navegadores
Puedes ocultar la sección completa mediante la directiva de grupo. La sección no aparecerá en la página
principal de la aplicación Seguridad de Windows y su icono no se mostrará en la barra de navegación del lado
de la aplicación.
Esta sección solo se puede ocultar mediante directiva de grupo.

IMPORTANT
Debe tener Windows 10, versión 1709 o posterior. Los archivos de plantilla ADMX/ADML para versiones anteriores de
Windows no incluyen estas opciones de configuración de directiva de grupo.

1. En la máquina de administración de directivas de grupo, abre la Consola de administración de directivas

de grupo, haz clic con el botón derecho en el objeto de directiva de grupo que quieras configurar y haz
clic en Editar .
2. En el Editor de administración de directiva de grupo vaya a Configuración del equipo ,
seleccione Directivas y, a continuación, Plantillas administrativas .
3. Expanda el árbol a componentes de Windows > Seguridad de Windows > protección de
aplicaciones y exploradores .
4. Abre la opción Ocultar el área de protección de aplicaciones y navegadores y establécela en
Habilitado . Haz clic en Aceptar .
5. Implementa el GPO actualizado como lo harías normalmente.

NOTE
Si ocultas todas las secciones, la aplicación mostrará una interfaz restringida, al igual que en la siguiente captura de
pantalla:
 Seguridad del dispositivo
08/11/2022 • 2 minutes to read

Se aplica a
Windows10
Windows11
La sección Seguridad del dispositivo contiene información y configuración para la seguridad integrada del
dispositivo.
Puede optar por ocultar la sección a los usuarios de la máquina. Esta opción puede ser útil si no desea que los
empleados de su organización vean o tengan acceso a las opciones configuradas por el usuario para las
características que se muestran en la sección.

Ocultar la sección Seguridad del dispositivo

Puedes ocultar la sección completa mediante la directiva de grupo. La sección no aparecerá en la página
principal de la aplicación Seguridad de Windows y su icono no se mostrará en la barra de navegación del lado
de la aplicación. Para ocultar la sección de seguridad del dispositivo, use solo directiva de grupo.

IMPORTANT
Debe tener Windows 10, versión 1803 o posterior. Los archivos de plantilla ADMX/ADML para versiones anteriores de
Windows no incluyen estas opciones de configuración de directiva de grupo.

1. En la máquina de administración de directivas de grupo, abre la Consola de administración de directivas

de grupo, haz clic con el botón derecho en el objeto de directiva de grupo que quieras configurar y haz
clic en Editar .
2. En directiva de grupo Editor de administración , vaya a Configuración del equipo y, a
continuación, seleccione Plantillas administrativas .
3. Expanda el árbol a Componentes > de Windows Seguridad de Windows > Seguridad del
dispositivo .
4. Abra la opción Ocultar el área de seguridad del dispositivo y establézcalo en Habilitado .
Seleccione Aceptar .
5. Implementa el GPO actualizado como lo harías normalmente.
 NOTE
Si ocultas todas las secciones, la aplicación mostrará una interfaz restringida, al igual que en la siguiente captura de
pantalla:

Deshabilitar el botón Borrar TPM

Si no desea que los usuarios puedan hacer clic en el botón Borrar TPM de la aplicación Seguridad de Windows,
puede deshabilitarlo.

IMPORTANT
Debe tener Windows 10, versión 1809 o posterior. Los archivos de plantilla ADMX/ADML para versiones anteriores de
Windows no incluyen estas opciones de configuración de directiva de grupo.

1. En el equipo de administración de directivas de grupo, abre la Consola de administración de directivas de

grupo, haz clic con el botón secundario en el objeto de directiva de grupo que desees configurar y haz clic
en Editar .
2. En directiva de grupo Editor de administración , vaya a Configuración del equipo y, a
continuación, seleccione Plantillas administrativas .
3. Expanda el árbol a Componentes > de Windows Seguridad de Windows > Seguridad del
dispositivo .
4. Abra la opción Deshabilitar el botón Borrar TPM y establézcalo en Habilitado . Seleccione Aceptar .
5. Implementa el GPO actualizado como lo harías normalmente.

Ocultar la recomendación de actualización de firmware de TPM

Si no quiere que los usuarios vean la recomendación de actualizar el firmware de TPM, puede deshabilitarlo.
1. En el equipo de administración de directivas de grupo, abre la Consola de administración de directivas de
grupo, haz clic con el botón secundario en el objeto de directiva de grupo que desees configurar y haz clic
en Editar .
2. En directiva de grupo Editor de administración , vaya a Configuración del equipo y, a
continuación, seleccione Plantillas administrativas .
3. Expanda el árbol a Componentes > de Windows Seguridad de Windows > Seguridad del
dispositivo .
4. Abra la opción Ocultar la recomendación de actualización de firmware de TPM y establézcala en
Habilitado . Seleccione Aceptar .
5. Implementa el GPO actualizado como lo harías normalmente.
 Rendimiento y estado de dispositivos
08/11/2022 • 2 minutes to read

Se aplica a
Windows10
Windows11
La sección Rendimiento y estado de dispositivos contiene información sobre el hardware, los dispositivos y
los controladores relacionados con el equipo. Los administradores de TI y los profesionales de TI deben hacer
referencia a la biblioteca de documentación adecuada para conocer los problemas que están viendo, como la
configuración de la directiva de seguridad Cargar y descargar controladores de dispositivo y cómo implementar
controladores durante Windows 10 implementación mediante Microsoft Configuration Manager.
El tema de solución de problemas para profesionales de TI de Windows 10 y la biblioteca principal de
documentación de Windows 10 también pueden ser útiles para resolver problemas.
En Windows 10, versión 1709 y posteriores, la sección se puede ocultar a los usuarios de la máquina. Esta
opción puede ser útil si no desea que los empleados de su organización vean o tengan acceso a las opciones
configuradas por el usuario para las características que se muestran en la sección.

Ocultar la sección Rendimiento y estado del dispositivo

Puedes ocultar la sección completa mediante la directiva de grupo. La sección no aparecerá en la página
principal de la aplicación Seguridad de Windows y su icono no se mostrará en la barra de navegación del lado
de la aplicación.
Esta sección solo se puede ocultar mediante directiva de grupo.

IMPORTANT
Requisitos
Debe tener Windows 10, versión 1709 o posterior. Los archivos de plantilla ADMX/ADML para versiones anteriores de
Windows no incluyen estas opciones de configuración de directiva de grupo.

1. En la máquina de administración de directivas de grupo, abre la Consola de administración de directivas

de grupo, haz clic con el botón derecho en el objeto de directiva de grupo que quieras configurar y haz
clic en Editar .
2. En directiva de grupo Editor de administración , vaya a Configuración del equipo y haga clic en
Plantillas administrativas .
3. Expanda el árbol a componentes de Windows > Seguridad de Windows > rendimiento y estado
del dispositivo .
4. Abre la opción Ocultar el área de rendimiento y estado de dispositivos y establécela en
Habilitado . Haz clic en Aceptar .
5. Implementa el GPO actualizado como lo harías normalmente.
NOTE
Si ocultas todas las secciones, la aplicación mostrará una interfaz restringida, al igual que en la siguiente captura de
pantalla:
 Opciones de familia
08/11/2022 • 2 minutes to read

Se aplica a
Windows10
Windows11
La sección Opciones de familia contiene vínculos a la configuración e información adicional para padres con
un PC con Windows 10. No está pensado para entornos empresariales o empresariales.
Los usuarios domésticos pueden obtener más información en el tema Ayuda para la protección de su familia en
línea en Seguridad de Windows en [Link]
En Windows 10, versión 1709, puede ocultarse la sección a los usuarios del equipo. Esta opción puede ser útil si
no desea que los empleados de su organización vean o tengan acceso a esta sección.

Ocultar la sección Opciones de la familia

Puedes ocultar la sección completa mediante la directiva de grupo. La sección no aparecerá en la página
principal de la aplicación Seguridad de Windows y su icono no se mostrará en la barra de navegación del lado
de la aplicación.
Esta sección solo se puede ocultar mediante directiva de grupo.

IMPORTANT
Requisitos
Debe tener Windows 10, versión 1709 o posterior. Los archivos de plantilla ADMX/ADML para versiones anteriores de
Windows no incluyen estas opciones de configuración de directiva de grupo.

1. En la máquina de administración de directivas de grupo, abre la Consola de administración de directivas

de grupo, haz clic con el botón derecho en el objeto de directiva de grupo que quieras configurar y haz
clic en Editar .
2. En directiva de grupo Editor de administración , vaya a Configuración del equipo y haga clic en
Plantillas administrativas .
3. Expanda el árbol a componentes de Windows > Seguridad de Windows > opciones de familia .
4. Abre la opción Ocultar el área de opciones de familia y establécela en Habilitado . Haz clic en
Aceptar .
5. Implementa el GPO actualizado como lo harías normalmente.
NOTE
Si ocultas todas las secciones, la aplicación mostrará una interfaz restringida, al igual que en la siguiente captura de
pantalla:
 Configuración de las directivas de seguridad
08/11/2022 • 28 minutes to read

Se aplica a
Windows10
Windows11
En este tema de referencia se describen los escenarios, la arquitectura y los procesos comunes para la
configuración de seguridad.
La configuración de directivas de seguridad son reglas que los administradores configuran en un equipo o
varios dispositivos para proteger los recursos en un dispositivo o red. La extensión Configuración de seguridad
del complemento Editor de directiva de grupo local permite definir configuraciones de seguridad como parte de
un objeto directiva de grupo (GPO). Los GPO están vinculados a contenedores de Active Directory, como sitios,
dominios o unidades organizativas, y permiten administrar la configuración de seguridad de varios dispositivos
desde cualquier dispositivo unido al dominio. Las directivas de configuración de seguridad se usan como parte
de la implementación de seguridad general para ayudar a proteger los controladores de dominio, los
servidores, los clientes y otros recursos de la organización.
La configuración de seguridad puede controlar:
Autenticación de usuario en una red o dispositivo.
Los recursos a los que los usuarios pueden tener acceso.
Si se deben registrar las acciones de un usuario o grupo en el registro de eventos.
Pertenencia a un grupo.
Para administrar configuraciones de seguridad para varios dispositivos, puede usar una de las siguientes
opciones:
Edite la configuración de seguridad específica en un GPO.
Use el complemento Plantillas de seguridad para crear una plantilla de seguridad que contenga las directivas
de seguridad que desea aplicar y, a continuación, importe la plantilla de seguridad en un objeto de directiva
de grupo. Una plantilla de seguridad es un archivo que representa una configuración de seguridad y se
puede importar a un GPO, aplicar a un dispositivo local o usarse para analizar la seguridad.
Para obtener más información sobre la administración de configuraciones de seguridad, consulte
Administración de la configuración de directivas de seguridad.
La extensión Configuración de seguridad del Editor de directiva de grupo local incluye los siguientes tipos de
directivas de seguridad:
Directivas de cuenta. Estas directivas se definen en los dispositivos; afectan a cómo las cuentas de
usuario pueden interactuar con el equipo o dominio. Las directivas de cuenta incluyen los siguientes tipos
de directivas:
Directiva de contraseñas. Estas directivas determinan la configuración de las contraseñas, como la
aplicación y la duración. Las directivas de contraseña se usan para las cuentas de dominio.
Directiva de bloqueo de cuenta. Estas directivas determinan las condiciones y el tiempo durante el
que se bloqueará una cuenta del sistema. Las directivas de bloqueo de cuentas se usan para cuentas
de usuario locales o de dominio.
Directiva kerberos. Estas directivas se usan para cuentas de usuario de dominio; determinan la
 configuración relacionada con Kerberos, como la duración de los vales y la aplicación.
Directivas locales. Estas directivas se aplican a un equipo e incluyen los siguientes tipos de
configuración de directiva:
Directiva de auditoría. Especifique la configuración de seguridad que controle el registro de
eventos de seguridad en el registro de seguridad del equipo y especifica qué tipos de eventos de
seguridad se van a registrar (correcto, error o ambos).

NOTE
En el caso de los dispositivos que ejecutan Windows 7 y versiones posteriores, se recomienda usar la
configuración en Configuración de directiva de auditoría avanzada en lugar de la configuración directiva de
auditoría en Directivas locales.

Asignación de derechos de usuario. Especificar los usuarios o grupos que tienen derechos o
privilegios de inicio de sesión en un dispositivo
Opciones de seguridad. Especifique la configuración de seguridad para el equipo, como los
nombres de administrador e cuenta de invitado; acceso a unidades de disco duro y unidades de
CD-ROM; instalación de controladores; solicitudes de inicio de sesión; y así sucesivamente.
Firewall de Windows con seguridad avanzada. Especifique la configuración para proteger el
dispositivo en la red mediante un firewall con estado que le permita determinar qué tráfico de red puede
pasar entre el dispositivo y la red.
Directivas de Network List Manager. Especifique la configuración que puede usar para configurar
diferentes aspectos de la forma en que las redes se enumeran y se muestran en un dispositivo o en
muchos dispositivos.
Directivas de clave pública. Especifique la configuración para controlar el cifrado del sistema de
archivos, la protección de datos y el cifrado de unidad bitlocker, además de ciertas rutas de acceso de
certificado y la configuración de servicios.
Directivas de restricción de software. Especifique la configuración para identificar el software y
controlar su capacidad de ejecución en el dispositivo local, la unidad organizativa, el dominio o el sitio.
Directivas de control de aplicaciones. Especifique la configuración para controlar qué usuarios o
grupos pueden ejecutar aplicaciones concretas en su organización en función de identidades únicas de
archivos.
Directivas de seguridad ip en el equipo local. Especifique la configuración para garantizar
comunicaciones privadas y seguras a través de redes IP mediante servicios de seguridad criptográficos.
IPsec establece la confianza y la seguridad de una dirección IP de origen a una dirección IP de destino.
Configuración de directiva de auditoría avanzada. Especifique la configuración que controla el
registro de eventos de seguridad en el registro de seguridad del dispositivo. La configuración de
Configuración avanzada de directivas de auditoría proporciona un control más preciso sobre las
actividades que se van a supervisar en lugar de la configuración de directiva de auditoría en Directivas
locales.

Administración de la configuración de seguridad basada en directivas

La extensión Configuración de seguridad para directiva de grupo proporciona una infraestructura de
administración integrada basada en directivas para ayudarle a administrar y aplicar las directivas de seguridad.
Puede definir y aplicar directivas de configuración de seguridad a usuarios, grupos y servidores de red y clientes
a través de directiva de grupo y Servicios de dominio de Active Directory (AD DS). Se puede crear un grupo de
servidores con la misma funcionalidad (por ejemplo, un servidor De Microsoft Web (IIS) y, a continuación, se
puede usar directiva de grupo Objetos para aplicar la configuración de seguridad común al grupo. Si más
adelante se agregan más servidores a este grupo, muchos de los valores de seguridad comunes se aplican
automáticamente, lo que reduce la implementación y el trabajo administrativo.
Escenarios comunes para usar directivas de configuración de seguridad
Las directivas de configuración de seguridad se usan para administrar los siguientes aspectos de seguridad:
directiva de cuentas, directiva local, asignación de derechos de usuario, valores del Registro, listas de Access
Control de archivo y registro (ACL), modos de inicio del servicio, etc.
Como parte de la estrategia de seguridad, puede crear GPO con directivas de configuración de seguridad
configuradas específicamente para los distintos roles de la organización, como controladores de dominio,
servidores de archivos, servidores miembros, clientes, etc.
Puede crear una estructura de unidad organizativa (UO) que agreda los dispositivos según sus roles. El uso de
unidades organizativas es el mejor método para separar requisitos de seguridad específicos para los distintos
roles de la red. Este enfoque también permite aplicar plantillas de seguridad personalizadas a cada clase de
servidor o equipo. Después de crear las plantillas de seguridad, crea un nuevo GPO para cada una de las
unidades organizativas y, a continuación, importa la plantilla de seguridad (archivo .inf) en el nuevo GPO.
La importación de una plantilla de seguridad a un GPO garantiza que las cuentas a las que se aplica el GPO
reciban automáticamente la configuración de seguridad de la plantilla cuando se actualice la configuración de
directiva de grupo. En una estación de trabajo o servidor, la configuración de seguridad se actualiza a intervalos
regulares (con un desplazamiento aleatorio de como máximo 30 minutos) y, en un controlador de dominio, este
proceso se produce cada pocos minutos si se han producido cambios en cualquiera de las configuraciones de
GPO que se aplican. La configuración también se actualiza cada 16 horas, independientemente de si se han
producido o no cambios.

NOTE
Esta configuración de actualización varía entre las versiones del sistema operativo y se puede configurar.

Mediante el uso de configuraciones de seguridad basadas en directiva de grupo junto con la delegación de
administración, puede asegurarse de que la configuración de seguridad, los derechos y el comportamiento
específicos se aplican a todos los servidores y equipos dentro de una unidad organizativa. Este enfoque facilita
la actualización de muchos servidores con cualquier otro cambio necesario en el futuro.
Dependencias en otras tecnologías del sistema operativo
En el caso de los dispositivos que son miembros de un dominio de Windows Server 2008 o posterior, las
directivas de configuración de seguridad dependen de las siguientes tecnologías:
Ser vicios de dominio de Active Director y (AD DS)
El servicio de directorio basado en Windows, AD DS, almacena información sobre objetos en una red y
hace que esta información esté disponible para administradores y usuarios. Con AD DS, puede ver y
administrar objetos de red en la red desde una única ubicación, y los usuarios pueden acceder a los
recursos de red permitidos mediante un inicio de sesión único.
Directiva de grupo
La infraestructura de AD DS que permite la administración de configuración basada en directorios de la
configuración de usuario y equipo en dispositivos que ejecutan Windows Server. Mediante directiva de
grupo, puede definir configuraciones para grupos de usuarios y equipos, incluida la configuración de
directivas, las directivas basadas en el Registro, la instalación de software, los scripts, el
redireccionamiento de carpetas, los servicios de instalación remota, el mantenimiento de Internet
Explorer y la seguridad.
Sistema de nombres de dominio (DNS)
Un sistema de nomenclatura jerárquico que se usa para localizar nombres de dominio en Internet y en
redes TCP/IP privadas. DNS proporciona un servicio para asignar nombres de dominio DNS a direcciones
IP y direcciones IP a nombres de dominio. Este servicio permite a los usuarios, equipos y aplicaciones
consultar DNS para especificar sistemas remotos por nombres de dominio completos en lugar de por
direcciones IP.
Winlogon
Parte del sistema operativo Windows que proporciona compatibilidad con el inicio de sesión interactivo.
Winlogon está diseñado en torno a un modelo de inicio de sesión interactivo que consta de tres
componentes: el ejecutable de Winlogon, un proveedor de credenciales y cualquier número de
proveedores de red.
Programa de instalación
La configuración de seguridad interactúa con el proceso de instalación del sistema operativo durante una
instalación o actualización limpia desde versiones anteriores de Windows Server.
Administrador de cuentas de seguridad (SAM)
Un servicio de Windows que se usa durante el proceso de inicio de sesión. SAM mantiene la información
de la cuenta de usuario, incluidos los grupos a los que pertenece un usuario.
Autoridad de seguridad local (LSA)
Subsistema protegido que autentica e inicia sesión en los usuarios en el sistema local. LSA también
mantiene información sobre todos los aspectos de la seguridad local en un sistema, conocido
colectivamente como directiva de seguridad local del sistema.
Instrumental de administración de Windows (WMI)
Una característica del sistema operativo Microsoft Windows, WMI es la implementación de Microsoft de
Web-Based Enterprise Management (WBEM), que es una iniciativa del sector para desarrollar una
tecnología estándar para acceder a la información de administración en un entorno empresarial. WMI
proporciona acceso a información sobre objetos en un entorno administrado. A través de WMI y la
interfaz de programación de aplicaciones (API) WMI, las aplicaciones pueden consultar y realizar cambios
en la información estática en el repositorio de Common Information Model (CIM) e información dinámica
mantenida por los distintos tipos de proveedores.
Conjunto resultante de directivas (RSoP)
Una infraestructura de directiva de grupo mejorada que usa WMI para facilitar la planeación y
depuración de la configuración de directivas. RSoP proporciona métodos públicos que exponen lo que
una extensión a directiva de grupo haría en una situación de hipótesmos y lo que la extensión ha hecho
en una situación real. Estos métodos públicos permiten a los administradores determinar fácilmente la
combinación de la configuración de directiva que se aplica a un usuario o dispositivo o se aplicará a él.
Administrador de control de ser vicios (SCM)
Se usa para la configuración de los modos de inicio del servicio y la seguridad.
Registro
Se usa para la configuración de los valores del Registro y la seguridad.
 Sistema de archivos
Se usa para la configuración de seguridad.
Conversiones del sistema de archivos
La seguridad se establece cuando un administrador convierte un sistema de archivos de FAT a NTFS.
Microsoft Management Console (MMC)
La interfaz de usuario de la herramienta Configuración de seguridad es una extensión del complemento
MMC Editor de directiva de grupo local.
Directivas de configuración de seguridad y directiva de grupo
La extensión Configuración de seguridad del Editor de directiva de grupo local forma parte del conjunto de
herramientas Seguridad Configuration Manager. Los siguientes componentes están asociados a la configuración
de seguridad: un motor de configuración; un motor de análisis; una plantilla y una capa de interfaz de base de
datos; configuración de la lógica de integración; y la herramienta de línea de comandos [Link]. El motor de
configuración de seguridad es responsable de controlar las solicitudes de seguridad relacionadas con el editor
de configuración de seguridad para el sistema en el que se ejecuta. El motor de análisis analiza la seguridad del
sistema para una configuración determinada y guarda el resultado. La capa de interfaz de plantilla y base de
datos controla las solicitudes de lectura y escritura desde y hacia la plantilla o la base de datos (para el
almacenamiento interno). La extensión Configuración de seguridad del Editor de directiva de grupo local
controla directiva de grupo desde un dispositivo local o basado en dominio. La lógica de configuración de
seguridad se integra con la configuración y administra la seguridad del sistema para una instalación limpia o
una actualización a un sistema operativo Windows más reciente. La información de seguridad se almacena en
plantillas (archivos .inf) o en la base de datos [Link].
En el diagrama siguiente se muestra la configuración de seguridad y las características relacionadas.
Directivas de configuración de seguridad y características relacionadas

Scesr [Link]
Proporciona la funcionalidad principal del motor de seguridad.
[Link]
Proporciona las interfaces del lado cliente al motor de configuración de seguridad y proporciona datos al
conjunto resultante de directivas (RSoP).
 [Link]
La extensión Configuración de seguridad del Editor de directiva de grupo local. [Link] se carga en
[Link] para admitir la interfaz de usuario configuración de seguridad.
[Link]
Complemento MMC del Editor de directiva de grupo local.

Arquitectura de la extensión configuración de seguridad

La extensión Configuración de seguridad del Editor de directiva de grupo local forma parte de las herramientas
de seguridad Configuration Manager, como se muestra en el diagrama siguiente.
Arquitectura de configuración de seguridad

Las herramientas de configuración y análisis de configuración de seguridad incluyen un motor de configuración

de seguridad, que proporciona un equipo local (miembro que no es de dominio) y una configuración basada en
directiva de grupo y análisis de directivas de configuración de seguridad. El motor de configuración de
seguridad también admite la creación de archivos de directiva de seguridad. Las características principales del
motor de configuración de seguridad son [Link] y [Link].
En la lista siguiente se describen estas características principales del motor de configuración de seguridad y
otras características relacionadas con la configuración de seguridad.
scesr [Link]
Este archivo .dll se hospeda en [Link] y se ejecuta en el contexto del sistema local. [Link]
proporciona una funcionalidad básica de seguridad Configuration Manager, como la importación,
configuración, análisis y propagación de directivas.
[Link] realiza la configuración y el análisis de varios parámetros del sistema relacionados con la
seguridad mediante una llamada a las API del sistema correspondientes, como LSA, SAM y el registro.
[Link] expone api como importar, exportar, configurar y analizar. Comprueba que la solicitud se realiza
a través de LRPC (Windows XP) y produce un error en la llamada si no lo es.
La comunicación entre partes de la extensión Configuración de seguridad se produce mediante los
métodos siguientes:
Llamadas al modelo de objetos componentes (COM)
Llamada a procedimiento remoto local (LRPC)
Protocolo ligero de acceso a directorios (LDAP)
Interfaces de servicio de Active Directory (ADSI)
Bloque de mensajes del servidor (SMB)
API de Win32
Llamadas a Instrumental de administración de Windows (WMI)
En los controladores de dominio, [Link] recibe notificaciones de los cambios realizados en SAM y LSA
que deben sincronizarse entre controladores de dominio. [Link] incorpora esos cambios en el GPO de
directiva de controlador de dominio predeterminado mediante las API de modificación de plantilla
[Link] en proceso. [Link] también realiza operaciones de configuración y análisis.
[Link]
Esta [Link] es la interfaz del lado cliente o el contenedor que se va a [Link]. [Link] se carga en
[Link] para admitir complementos MMC. El programa de instalación lo usa para configurar la
seguridad y la seguridad predeterminadas del sistema de los archivos, las claves del Registro y los
servicios instalados por los archivos .inf de la API de instalación.
La versión de la línea de comandos de las interfaces de usuario de análisis y configuración de seguridad,
[Link], usa [Link].
[Link] implementa la extensión del lado cliente para directiva de grupo.
[Link] usa [Link] para descargar los archivos de directiva de grupo aplicables de SYSVOL con el fin
de aplicar directiva de grupo configuración de seguridad al dispositivo local.
[Link] registra la aplicación de la directiva de seguridad en WMI (RSoP).
[Link] filtro de directiva usa [Link] para actualizar el GPO de directiva de controlador de dominio
predeterminado cuando se realizan cambios en SAM y LSA.
[Link]
La extensión Configuración de seguridad del complemento Editor de objetos directiva de grupo. Esta
herramienta se usa para configurar las opciones de seguridad en un objeto directiva de grupo para un
sitio, dominio o unidad organizativa. También puede usar configuración de seguridad para importar
plantillas de seguridad a un GPO.
[Link]
Esta [Link] es una base de datos del sistema permanente que se usa para la propagación de
directivas, incluida una tabla de configuración persistente con fines de reversión.
Bases de datos de usuario
Una base de datos de usuario es cualquier base de datos distinta de la base de datos del sistema creada
por los administradores con fines de configuración o análisis de seguridad.
. Plantillas de inf
Estas plantillas son archivos de texto que contienen la configuración de seguridad declarativa. Se cargan
en una base de datos antes de la configuración o el análisis. directiva de grupo directivas de seguridad se
almacenan en archivos .inf en la carpeta SYSVOL de los controladores de dominio, donde se descargan
(mediante copia de archivos) y se combinan en la base de datos del sistema durante la propagación de
 directivas.

Procesos e interacciones de directivas de configuración de seguridad

Para un dispositivo unido a un dominio, donde se administra directiva de grupo, la configuración de seguridad
se procesa junto con directiva de grupo. No todas las opciones son configurables.
procesamiento de directiva de grupo
Cuando se inicia un equipo y un usuario inicia sesión, la directiva de equipo y la directiva de usuario se aplican
según la siguiente secuencia:
1. Se inicia la red. Se inician el servicio de sistema de llamadas a procedimiento remoto (RPCSS) y el
proveedor de convenciones de nomenclatura universal (MUP) múltiples.
2. Se obtiene una lista ordenada de directiva de grupo Objects para el dispositivo. La lista puede depender
de estos factores:
Si el dispositivo forma parte de un dominio y, por lo tanto, está sujeto a directiva de grupo a través de
Active Directory.
Ubicación del dispositivo en Active Directory.
Si la lista de objetos de directiva de grupo ha cambiado. Si la lista de objetos directiva de grupo no ha
cambiado, no se realiza ningún procesamiento.
3. Se aplica la directiva de equipo. Estas opciones son las que se encuentran en Configuración del equipo de
la lista recopilada. Este proceso es sincrónico de forma predeterminada y se produce en el orden
siguiente: local, sitio, dominio, unidad organizativa, unidad organizativa secundaria, etc. No aparece
ninguna interfaz de usuario mientras se procesan las directivas de equipo.
4. Se ejecutan scripts de inicio. Estos scripts están ocultos y sincrónicos de forma predeterminada; cada
script debe completarse o agotar el tiempo de espera antes de que se inicie el siguiente. El tiempo de
espera predeterminado es de 600 segundos. Puede usar varias opciones de configuración de directiva
para modificar este comportamiento.
5. El usuario presiona CTRL+ALT+SUPR para iniciar sesión.
6. Una vez validado el usuario, se carga el perfil de usuario; se rige por la configuración de directiva que
está en vigor.
7. Se obtiene una lista ordenada de objetos directiva de grupo para el usuario. La lista puede depender de
estos factores:
Si el usuario forma parte de un dominio y, por lo tanto, está sujeto a directiva de grupo a través de
Active Directory.
Si el procesamiento de directivas de bucle invertido está habilitado y, si es así, el estado (Combinar o
Reemplazar) de la configuración de directiva de bucle invertido.
Ubicación del usuario en Active Directory.
Si la lista de objetos de directiva de grupo ha cambiado. Si la lista de objetos directiva de grupo no ha
cambiado, no se realiza ningún procesamiento.
8. Se aplica la directiva de usuario. Estas opciones son las que se encuentran en Configuración de usuario
de la lista recopilada. Esta configuración es sincrónica de forma predeterminada y en el orden siguiente:
local, sitio, dominio, unidad organizativa, unidad organizativa secundaria, etc. No aparece ninguna
interfaz de usuario mientras se procesan las directivas de usuario.
9. Se ejecutan scripts de inicio de sesión. los scripts de inicio de sesión basados en directiva de grupo están
ocultos y asincrónicos de forma predeterminada. El script de objeto de usuario se ejecuta en último lugar.
10. Aparece la interfaz de usuario del sistema operativo prescrita por directiva de grupo.
almacenamiento de objetos directiva de grupo
Un objeto directiva de grupo (GPO) es un objeto virtual que se identifica mediante un identificador único global
(GUID) y se almacena en el nivel de dominio. La información de configuración de directiva de un GPO se
almacena en las dos ubicaciones siguientes:
directiva de grupo contenedores en Active Director y.
El contenedor directiva de grupo es un contenedor de Active Directory que contiene propiedades de GPO,
como información de versión, estado de GPO, además de una lista de otras configuraciones de
componentes.
directiva de grupo plantillas en la carpeta de volumen del sistema de un dominio (SYSVOL).
La plantilla de directiva de grupo es una carpeta del sistema de archivos que incluye los datos de directiva
especificados por los archivos .admx, la configuración de seguridad, los archivos de script y la
información sobre las aplicaciones que están disponibles para la instalación. La plantilla de directiva de
grupo se encuentra en la carpeta SYSVOL de la <domain>subcarpeta \Policies.
La estructura GROUP_POLICY_OBJECT proporciona información sobre un GPO en una lista de GPO, incluido
el número de versión del GPO, un puntero a una cadena que indica la parte de Active Directory del GPO y un
puntero a una cadena que especifica la ruta de acceso a la parte del sistema de archivos del GPO.
directiva de grupo orden de procesamiento
directiva de grupo configuración se procesa en el orden siguiente:
1. Objeto directiva de grupo local.
Cada dispositivo que ejecuta un sistema operativo Windows a partir de Windows XP tiene exactamente
un objeto directiva de grupo almacenado localmente.
2. Sitio.
Los objetos directiva de grupo que se han vinculado al sitio se procesan a continuación. El procesamiento
es sincrónico y en un orden especificado.
3. Dominio.
El procesamiento de varios objetos de directiva de grupo vinculados a dominio es sincrónico y en un
orden especificado.
4. Unidades organizativas.
directiva de grupo los objetos vinculados a la unidad organizativa más alta de la jerarquía de Active
Directory se procesan primero, después directiva de grupo objetos vinculados a su unidad organizativa
secundaria, etc. Por último, se procesan los objetos directiva de grupo vinculados a la unidad organizativa
que contiene el usuario o dispositivo.
En el nivel de cada unidad organizativa de la jerarquía de Active Directory, se pueden vincular uno, varios o
ningún objeto directiva de grupo. Si varios objetos directiva de grupo están vinculados a una unidad
organizativa, su procesamiento es sincrónico y en un orden especificado.
Este orden significa que el objeto de directiva de grupo local se procesa primero y directiva de grupo objetos
vinculados a la unidad organizativa de la que el equipo o usuario es un miembro directo se procesan por última
vez, lo que sobrescribe los objetos directiva de grupo anteriores.
Este pedido es el orden de procesamiento predeterminado y los administradores pueden especificar
excepciones a este pedido. Un objeto directiva de grupo vinculado a un sitio, dominio o unidad organizativa (no
a un objeto de directiva de grupo local) se puede establecer en Aplicado con respecto a ese sitio, dominio o
unidad organizativa, de modo que no se pueda invalidar ninguna de sus configuraciones de directiva. En
cualquier sitio, dominio o unidad organizativa, puede marcar directiva de grupo herencia de forma selectiva
como Herencia de bloques . directiva de grupo los vínculos de objeto que se establecen en Aplicado siempre
se aplican, sin embargo, y no se pueden bloquear. Para obtener más información, vea directiva de grupo
Conceptos básicos: Parte 2: Descripción de qué GPO se deben aplicar.
Procesamiento de directivas de configuración de seguridad
En el contexto del procesamiento de directiva de grupo, la directiva de configuración de seguridad se procesa en
el orden siguiente.
1. Durante directiva de grupo procesamiento, el motor de directiva de grupo determina qué directivas de
configuración de seguridad se aplicarán.
2. Si existen directivas de configuración de seguridad en un GPO, directiva de grupo invoca la extensión del
lado cliente Configuración de seguridad.
3. La extensión Configuración de seguridad descarga la directiva desde la ubicación adecuada, como un
controlador de dominio específico.
4. La extensión Configuración de seguridad combina todas las directivas de configuración de seguridad
según las reglas de precedencia. El procesamiento se realiza según el orden de procesamiento directiva
de grupo de la unidad organizativa (OU) local, de sitio, dominio y organizativa, tal como se describió
anteriormente en la sección "directiva de grupo orden de procesamiento". Si hay varios GPO en vigor
para un dispositivo determinado y no hay directivas en conflicto, las directivas son acumulativas y se
combinan.
En este ejemplo se usa la estructura de Active Directory que se muestra en la ilustración siguiente. Un
equipo determinado es miembro de OU2, al que está vinculado el GPO GroupMembershipPolGPO .
Este equipo también está sujeto al GPO UserRightsPolGPO , que está vinculado a OU1, superior en la
jerarquía. En este caso, no existen directivas en conflicto, por lo que el dispositivo recibe todas las
directivas contenidas en los GPO UserRightsPolGPO y GroupMembershipPolGPO .
Varios GPO y combinación de directivas de seguridad

5. Las directivas de seguridad resultantes se almacenan en [Link], la base de datos de configuración de

seguridad. El motor de seguridad obtiene los archivos de plantilla de seguridad e los importa a
[Link].
6. Las directivas de configuración de seguridad se aplican a los dispositivos. En la ilustración siguiente se
muestra el procesamiento de la directiva de configuración de seguridad.
Procesamiento de directivas de configuración de seguridad
Combinación de directivas de seguridad en controladores de dominio
Las directivas de contraseña, Kerberos y algunas opciones de seguridad solo se combinan a partir de GPO que
están vinculados en el nivel raíz del dominio. Esta combinación se realiza para mantener esa configuración
sincronizada entre todos los controladores de dominio del dominio. Se combinan las siguientes opciones de
seguridad:
Seguridad de red: forzar el cierre de sesión cuando expiren las horas de inicio de sesión
Cuentas: estado de la cuenta de administrador
Cuentas: estado de la cuenta de invitado
Cuentas: cambiar el nombre de la cuenta de administrador
Cuentas: cambiar el nombre de la cuenta de invitado
Existe otro mecanismo que permite que los cambios de directiva de seguridad realizados por los
administradores mediante cuentas netas se combinen en el GPO de directiva de dominio predeterminado. Los
cambios de derechos de usuario que se realizan mediante las API de autoridad de seguridad local (LSA) se
filtran en el GPO de directiva de controladores de dominio predeterminado.
Consideraciones especiales para los controladores de dominio
Si una aplicación está instalada en un controlador de dominio principal (PDC) con el rol de maestro de
operaciones (también conocido como operaciones maestras únicas flexibles o FSMO) y la aplicación realiza
cambios en los derechos de usuario o la directiva de contraseña, estos cambios deben comunicarse para
asegurarse de que se produce la sincronización entre controladores de dominio. [Link] recibe una
notificación de los cambios realizados en el administrador de cuentas de seguridad (SAM) y LSA que deben
sincronizarse entre controladores de dominio y, a continuación, incorpora los cambios en el GPO de directiva de
controlador de dominio predeterminado mediante [Link] API de modificación de plantilla.
Cuando se aplica la configuración de seguridad
Después de editar las directivas de configuración de seguridad, la configuración se actualiza en los equipos de la
unidad organizativa vinculados a la directiva de grupo Object en las instancias siguientes:
Cuando se reinicia un dispositivo.
Cada 90 minutos en una estación de trabajo o servidor y cada 5 minutos en un controlador de dominio. Este
intervalo de actualización es configurable.
De forma predeterminada, la configuración de directiva de seguridad proporcionada por directiva de grupo
también se aplica cada 16 horas (960 minutos), incluso si un GPO no ha cambiado.
Persistencia de la directiva de configuración de seguridad
La configuración de seguridad puede persistir incluso si ya no se define una configuración en la directiva que la
aplicó originalmente.
La configuración de seguridad puede persistir en los casos siguientes:
La configuración no se ha definido previamente para el dispositivo.
La configuración es para un objeto de seguridad del Registro.
La configuración es para un objeto de seguridad del sistema de archivos.
Toda la configuración aplicada a través de la directiva local o a través de un objeto directiva de grupo se
almacena en una base de datos local en el equipo. Cada vez que se modifica una configuración de seguridad, el
equipo guarda el valor de configuración de seguridad en la base de datos local, que conserva un historial de
todas las configuraciones que se han aplicado al equipo. Si una directiva define primero una configuración de
seguridad y, a continuación, ya no la define, la configuración toma el valor anterior en la base de datos. Si no
existe un valor anterior en la base de datos, la configuración no vuelve a ningún punto anterior y permanece
definida tal como está. Este comportamiento a veces se conoce como "tatuaje".
La configuración de seguridad del Registro y del archivo mantendrá los valores aplicados a través de directiva
de grupo hasta que esa configuración se establezca en otros valores.
Permisos necesarios para que se aplique la directiva
Los permisos Aplicar directiva de grupo y Leer son necesarios para que la configuración de un objeto directiva
de grupo se aplique a usuarios o grupos y equipos.
Filtrado de directivas de seguridad
De forma predeterminada, todos los GPO tienen lectura y aplicación directiva de grupo ambos permitidos para
el grupo Usuarios autenticados. El grupo Usuarios autenticados incluye usuarios y equipos. Las directivas de
configuración de seguridad se basan en equipos. Para especificar qué equipos cliente tendrán o no un objeto de
directiva de grupo aplicado, puede denegarles el permiso Aplicar directiva de grupo o Leer en ese objeto
directiva de grupo. Cambiar estos permisos permite limitar el ámbito del GPO a un conjunto específico de
equipos dentro de un sitio, dominio o unidad organizativa.

NOTE
No use el filtrado de directivas de seguridad en un controlador de dominio, ya que esto impediría que la directiva de
seguridad se aplique a él.

Migración de GPO que contiene la configuración de seguridad

En algunas situaciones, es posible que quiera migrar GPO de un entorno de dominio a otro. Los dos escenarios
más comunes son la migración de prueba a producción y la migración de producción a producción. El proceso
de copia de GPO tiene implicaciones para algunos tipos de configuración de seguridad.
Los datos de un solo GPO se almacenan en varias ubicaciones y en varios formatos; algunos datos están
contenidos en Active Directory y otros datos se almacenan en el recurso compartido SYSVOL en los
controladores de dominio. Algunos datos de directiva pueden ser válidos en un dominio, pero podrían no ser
válidos en el dominio en el que se está copiando el GPO. Por ejemplo, los identificadores de seguridad (SID)
almacenados en la configuración de la directiva de seguridad suelen ser específicos del dominio. Por lo tanto,
copiar GPO no es tan sencillo como tomar una carpeta y copiarla de un dispositivo a otro.
Las siguientes directivas de seguridad pueden contener entidades de seguridad y pueden requerir más trabajo
para moverlas correctamente de un dominio a otro.
Asignación de derechos de usuario
Grupos restringidos
 Servicios
Sistema de archivos
Registro
DACL de GPO, si decide conservarla durante una operación de copia
Para asegurarse de que los datos se copian correctamente, puede usar directiva de grupo Consola de
administración (GPMC). Cuando hay una migración de un GPO de un dominio a otro, GPMC garantiza que
todos los datos pertinentes se copien correctamente. GPMC también ofrece tablas de migración, que se pueden
usar para actualizar datos específicos del dominio a nuevos valores como parte del proceso de migración.
GPMC oculta gran parte de la complejidad que implica la migración de las operaciones de GPO y proporciona
mecanismos sencillos y confiables para realizar operaciones como la copia y copia de seguridad de GPO.

En esta sección
T EM A DESC RIP C IÓ N

Administrar la Configuración de las directivas de seguridad En este artículo se de abordan diferentes métodos para
administrar la configuración de la directiva de seguridad en
un dispositivo local o en una organización pequeña o
mediana.

Configuración de las directivas de seguridad Describe los pasos para configurar las opciones de directiva
de seguridad en el dispositivo local, en un dispositivo unido
a un dominio y en un controlador de dominio.

Referencia de Configuración de las directivas de seguridad Esta referencia de configuración de seguridad proporciona
información sobre cómo implementar y administrar
directivas de seguridad, incluidas las opciones de
configuración y las consideraciones de seguridad.
 Auditoría de seguridad
08/11/2022 • 2 minutes to read

Los temas de esta sección son para profesionales de TI y describen las características de auditoría de seguridad
de Windows y cómo su organización puede beneficiarse del uso de estas tecnologías para mejorar la seguridad
y la capacidad de administración de la red.

La auditoría de seguridad es una de las herramientas más eficaces que puede usar para mantener la integridad
del sistema. Como parte de la estrategia de seguridad general, debe determinar el nivel de auditoría adecuado
para su entorno. La auditoría debe identificar los ataques (correctos o no) que suponen una amenaza para la red
y los ataques contra los recursos que ha determinado que son valiosos en la evaluación de riesgos.

En esta sección
T EM A DESC RIP C IÓ N

Directivas de auditoría de seguridad básica Antes de implementar la auditoría, debe decidir una directiva
de auditoría. Una directiva de auditoría básica especifica
categorías de eventos relacionados con la seguridad que
desea auditar. Cuando se instala por primera vez esta versión
de Windows, se deshabilitan todas las categorías de
auditoría. Al habilitar varias categorías de eventos de
auditoría, puede implementar una directiva de auditoría que
se adapte a las necesidades de seguridad de su organización.

Directivas de auditoría de seguridad avanzada La configuración de directiva de auditoría de seguridad

avanzada se encuentra en Configuración de
seguridad\Configuración de directiva de auditoría
avanzada\Directivas de auditoría del sistema y parece
superponerse con directivas de auditoría de seguridad
básicas, pero se registran y se aplican de forma diferente.
 Cifrado y protección de datos en el cliente De
Windows
08/11/2022 • 3 minutes to read

Cuando las personas viajan con sus ordenadores y dispositivos, su información confidencial viaja con ellos.
Siempre que se almacenen datos confidenciales, deben protegerse contra el acceso no autorizado, ya sea
mediante el robo de dispositivos físicos o desde aplicaciones malintencionadas. Las características de cifrado y
protección de datos incluyen:
Unidad de disco duro cifrada
BitLocker

Unidad de disco duro cifrada

El disco duro cifrado usa el cifrado rápido proporcionado por el cifrado de unidad BitLocker para mejorar la
seguridad y la administración de los datos. Al descargar las operaciones criptográficas en hardware, las
unidades de disco duro cifradas aumentan el rendimiento de BitLocker y reducen el uso de CPU y el consumo
de energía. Dado que las unidades de disco duro cifradas cifran los datos rápidamente, los dispositivos
empresariales pueden expandir la implementación de BitLocker con un impacto mínimo en la productividad.
Las unidades de disco duro cifradas proporcionan:
Mejor rendimiento: el hardware de cifrado, integrado en el controlador de unidad, permite que la unidad
funcione a una velocidad de datos completa sin degradación del rendimiento.
Seguridad segura basada en hardware: el cifrado siempre está "activado" y las claves de cifrado nunca salen
del disco duro. La unidad realiza la autenticación de usuario antes de que se desbloquee,
independientemente del sistema operativo.
Facilidad de uso: el cifrado es transparente para el usuario y el usuario no necesita habilitarlo. Las unidades
de disco duro cifradas se borran fácilmente mediante la clave de cifrado a bordo; no es necesario volver a
cifrar los datos en la unidad.
Menor costo de propiedad: no es necesario que la nueva infraestructura administre las claves de cifrado, ya
que BitLocker usa la infraestructura existente para almacenar información de recuperación. El dispositivo
funciona de una forma más eficaz porque no es necesario usar ciclos del procesador para el proceso de
cifrado.
Las unidades de disco duro cifradas son una nueva clase de unidades de disco duro que se cifran
automáticamente a nivel de hardware y permiten el cifrado de hardware de disco completo.

BitLocker
Cifrado de unidad BitLocker es una característica de protección de datos que se integra en el sistema operativo y
soluciona las amenazas de robo o exposición de datos de equipos perdidos, sustraídos o retirados
inadecuadamente.
BitLocker proporciona cifrado para el sistema operativo, los datos fijos y las unidades de datos extraíbles,
mediante tecnologías como la interfaz de prueba de seguridad de hardware (HSTI), modern standby, UEFI
Secure Boot y TPM.
Windows mejora de forma coherente la protección de datos al mejorar las opciones existentes y proporcionar
nuevas estrategias.
Cifrado de datos personales (PDE)
(Se aplica a: Windows 11, versión 22H2 y posteriores)
El cifrado de datos personales (PDE) es una característica de seguridad introducida en Windows 11, versión
22H2, que proporciona características de cifrado adicionales a Windows. PDE difiere de BitLocker en que cifra
archivos individuales en lugar de discos y volúmenes enteros. PDE se produce además de otros métodos de
cifrado como BitLocker.
PDE utiliza Windows Hello para empresas para vincular claves de cifrado de datos con credenciales de usuario.
Esta característica puede minimizar el número de credenciales que el usuario tiene que recordar para obtener
acceso a los archivos. Por ejemplo, al usar BitLocker con PIN, un usuario tendría que autenticarse dos veces, una
con el PIN de BitLocker y otra con las credenciales de Windows. Este requisito requiere que los usuarios
recuerden dos credenciales diferentes. Con PDE, los usuarios solo necesitan escribir un conjunto de credenciales
a través de Windows Hello para empresas.
PDE también es accesible. Por ejemplo, la pantalla de entrada del PIN de BitLocker no tiene opciones de
accesibilidad. Sin embargo, PDE usa Windows Hello para empresas, que tiene características de accesibilidad.
A diferencia de BitLocker que libera claves de cifrado de datos en el arranque, PDE no libera las claves de cifrado
de datos hasta que un usuario inicia sesión con Windows Hello para empresas. Los usuarios solo podrán
acceder a sus archivos cifrados PDE una vez que hayan iniciado sesión en Windows mediante Windows Hello
para empresas. Además, PDE tiene la capacidad de descartar también las claves de cifrado cuando el dispositivo
está bloqueado.

NOTE
Actualmente, PDE solo está disponible para los desarrolladores a través de las API de PDE. No hay ninguna interfaz de
usuario en Windows para habilitar PDE o cifrar archivos a través de PDE. Además, aunque hay una directiva MDM que
puede habilitar PDE, no hay directivas MDM que se puedan usar para cifrar archivos a través de PDE.

Ver también
Unidad de disco duro cifrada
BitLocker
Cifrado de datos personales (PDE)
 Unidad de disco duro cifrada
08/11/2022 • 7 minutes to read

Se aplica a
Windows10
Windows11
Windows Server 2022
Windows Server 2019
Windows Server 2016
HCI de Azure Stack
El disco duro cifrado usa el cifrado rápido proporcionado por el cifrado de unidad bitlocker para mejorar la
seguridad y la administración de los datos.
Al descargar las operaciones criptográficas en un hardware, las unidades de disco duro cifradas aumentan el
rendimiento de BitLocker y reducen el uso de CPU y el consumo de energía. Dado que las unidades de disco
duro cifradas cifran los datos rápidamente, los dispositivos empresariales pueden expandir la implementación
de BitLocker con un impacto mínimo en la productividad.
Las unidades de disco duro cifradas son una nueva clase de unidades de disco duro que se cifran
automáticamente a nivel de hardware y permiten el cifrado de hardware de disco completo. Puede instalar
Windows en unidades de disco duro cifradas sin modificaciones adicionales, empezando por Windows 8 y
Windows Server 2012.
Las unidades de disco duro cifradas proporcionan:
Mejor rendimiento : el hardware de cifrado, integrado en el controlador de unidad, permite que la unidad
funcione a una velocidad de datos completa sin degradación del rendimiento.
Seguridad segura basada en hardware : el cifrado siempre está "activado" y las claves de cifrado nunca
salen del disco duro. La unidad realiza la autenticación del usuario antes de desbloquearse,
independientemente del sistema operativo
Facilidad de uso : el cifrado es transparente para el usuario y el usuario no necesita habilitarlo. Las unidades
de disco duro cifradas se borran fácilmente mediante la clave de cifrado a bordo; no es necesario volver a
cifrar los datos en la unidad.
Menor costo de propiedad : no es necesario que la nueva infraestructura administre las claves de cifrado,
ya que BitLocker aprovecha la infraestructura existente para almacenar información de recuperación. El
dispositivo funciona de una forma más eficaz porque no es necesario usar ciclos del procesador para el
proceso de cifrado.
Las unidades de disco duro cifradas se admiten de forma nativa en el sistema operativo mediante los siguientes
mecanismos:
Identificación : el sistema operativo identifica que la unidad es un tipo de dispositivo de disco duro cifrado.
Activación : la utilidad de administración de discos del sistema operativo activa, crea y asigna volúmenes a
rangos o bandas según corresponda.
Configuración : el sistema operativo crea y asigna volúmenes a intervalos o bandas según corresponda.
API : compatibilidad con la API para que las aplicaciones administren unidades de disco duro cifradas
independientemente del cifrado de unidad de BitLocker (BDE).
Compatibilidad con BitLocker : la integración con la Panel de control de BitLocker proporciona una
 experiencia de usuario final de BitLocker sin problemas.

WARNING
Las unidades de disco duro autocifres y las unidades de disco duro cifradas para Windows no son el mismo tipo de
dispositivos. Las unidades de disco duro cifradas para Windows requieren el cumplimiento de protocolos TCG específicos,
así como el cumplimiento de IEEE 1667; Los discos duros auto-cifrados no tienen estos requisitos. Es importante
confirmar que el tipo de dispositivo es un disco duro cifrado para Windows al planear la implementación.

Si es un proveedor de dispositivos de almacenamiento que busca más información sobre cómo implementar el
disco duro cifrado, consulte la Guía del dispositivo de disco duro cifrado.

Requisitos del sistema

Para usar unidades de disco duro cifradas, se aplican los siguientes requisitos del sistema:
Para una unidad de disco duro cifrada usada como unidad de datos :
La unidad debe estar en un estado sin inicializar.
La unidad debe estar en un estado inactivo de seguridad.
Para una unidad de disco duro cifrada usada como unidad de inicio :
La unidad debe estar en un estado sin inicializar.
La unidad debe estar en un estado inactivo de seguridad.
El equipo debe estar basado en UEFI 2.3.1 y tener definido EFI_STORAGE_SECURITY_COMMAND_PROTOCOL.
(Este protocolo se usa para permitir que los programas que se ejecutan en el entorno de servicios de
arranque EFI envíen comandos de protocolo de seguridad a la unidad).
El equipo debe tener deshabilitado el módulo de compatibilidad (CSM) en UEFI.
El equipo siempre debe arrancar de forma nativa desde UEFI.

WARNING
Todas las unidades de disco duro cifradas deben estar conectadas a controladores que no sean RAID para que funcionen
correctamente.

Información general técnica

El cifrado rápido en BitLocker aborda directamente las necesidades de seguridad de las empresas, a la vez que
ofrece un rendimiento significativamente mejorado. En versiones de Windows anteriores a Windows Server
2012, BitLocker requería un proceso de dos pasos para completar las solicitudes de lectura y escritura. En
Windows Server 2012, Windows 8 o versiones posteriores, las unidades de disco duro cifradas descargan las
operaciones criptográficas en el controlador de unidad para lograr una eficacia mucho mayor. Cuando el
sistema operativo identifica un disco duro cifrado, activa el modo de seguridad. Esta activación permite al
controlador de unidad generar una clave multimedia para cada volumen que crea el equipo host. Esta clave
multimedia, que nunca se expone fuera del disco, se usa para cifrar o descifrar rápidamente cada byte de datos
que se envían o reciben desde el disco.

Configuración de unidades de disco duro cifradas como unidades de

inicio
La configuración de unidades de disco duro cifradas como unidades de inicio se realiza con los mismos
métodos que las unidades de disco duro estándar. Estos métodos incluyen:
 Implementación desde medios : la configuración de las unidades de disco duro cifradas se realiza
automáticamente a través del proceso de instalación.
Implementación desde la red : este método de implementación implica el arranque de un entorno de
Windows PE y el uso de herramientas de creación de imágenes para aplicar una imagen de Windows desde
un recurso compartido de red. Con este método, el componente opcional Almacenamiento mejorado debe
incluirse en la imagen de Windows PE. Puede habilitar este componente mediante Administrador del
servidor, Windows PowerShell o la herramienta de línea de comandos DISM. Si este componente no está
presente, la configuración de unidades de disco duro cifradas no funcionará.
Implementación desde el ser vidor : este método de implementación implica el arranque PXE de un
cliente con unidades de disco duro cifradas presentes. La configuración de las unidades de disco duro
cifradas se produce automáticamente en este entorno cuando se agrega el componente Almacenamiento
mejorado a la imagen de arranque PXE. Durante la implementación, la configuración
TCGSecurityActivationDisabled de [Link] controla el comportamiento de cifrado de las unidades de
disco duro cifradas.
Duplicación de disco : este método de implementación implica el uso de un dispositivo configurado
anteriormente y herramientas de duplicación de disco para aplicar una imagen de Windows a una unidad de
disco duro cifrada. Los discos deben crear particiones mediante al menos Windows 8 o Windows Server
2012 para que esta configuración funcione. Las imágenes realizadas con duplicadores de disco no
funcionarán.

Configuración del cifrado basado en hardware con la directiva de

grupo
Hay tres configuraciones de directiva de grupo relacionadas que le ayudan a administrar cómo BitLocker usa el
cifrado basado en hardware y qué algoritmos de cifrado usar. Si esta configuración no está configurada o
deshabilitada en sistemas equipados con unidades cifradas, BitLocker usa el cifrado basado en software:
Configuración del uso del cifrado basado en hardware para unidades de datos fijas
Configuración del uso del cifrado basado en hardware para unidades de datos extraíbles
Configuración del uso del cifrado basado en hardware para unidades de sistema operativo

Arquitectura de disco duro cifrado

Las unidades de disco duro cifradas usan dos claves de cifrado en el dispositivo para controlar el bloqueo y
desbloqueo de datos en la unidad. Se trata de la clave de cifrado de datos (DEK) y la clave de autenticación (AK).
La clave de cifrado de datos es la clave que se usa para cifrar todos los datos de la unidad. La unidad genera la
DEK y nunca sale del dispositivo. Se almacena en un formato cifrado en una ubicación aleatoria en la unidad. Si
la DEK se cambia o se borra, los datos cifrados mediante la DEK son irrecuperables.
Ak es la clave que se usa para desbloquear datos en la unidad. Un hash de la clave se almacena en la unidad y
requiere confirmación para descifrar la DEK.
Cuando un equipo con un disco duro cifrado está en estado apagado, la unidad se bloquea automáticamente. A
medida que un equipo se enciende, el dispositivo permanece en un estado bloqueado y solo se desbloquea
después de que ak descifra la DEK. Una vez que AK descifra la DEK, se pueden realizar operaciones de lectura y
escritura en el dispositivo.
Al escribir datos en la unidad, pasa a través de un motor de cifrado antes de que se complete la operación de
escritura. Del mismo modo, la lectura de datos de la unidad requiere que el motor de cifrado descifre los datos
antes de devolverlos al usuario. En caso de que sea necesario cambiar o borrar la DEK, no es necesario volver a
cifrar los datos de la unidad. Debe crearse una nueva clave de autenticación y volverá a cifrar la DEK. Una vez
completada, la DEK ahora se puede desbloquear con el nuevo AK y las lecturas y escrituras en el volumen
pueden continuar.
Reconfiguración de unidades de disco duro cifradas
Muchos dispositivos de disco duro cifrados están preconfigurados para su uso. Si se requiere la reconfiguración
de la unidad, use el procedimiento siguiente después de quitar todos los volúmenes disponibles y revertir la
unidad a un estado sin inicializar:
1. Abra Administración de discos ([Link])
2. Inicialice el disco y seleccione el estilo de partición adecuado (MBR o GPT)
3. Cree uno o varios volúmenes en el disco.
4. Use el Asistente para la instalación de BitLocker para habilitar BitLocker en el volumen.
 BitLocker
08/11/2022 • 8 minutes to read

Se aplica a
Windows10
Windows11
Windows Server2016 y superior
Este tema proporciona una descripción general de alto nivel de BitLocker, incluida una lista de requisitos del
sistema, aplicaciones prácticas y características en desuso.

Introducción a BitLocker
Cifrado de unidad BitLocker es una característica de protección de datos que se integra en el sistema operativo y
soluciona las amenazas de robo o exposición de datos de equipos perdidos, sustraídos o retirados
inadecuadamente.
BitLocker proporciona la máxima protección cuando se usa con un módulo de plataforma segura (TPM) versión
1.2 o versiones posteriores. El TPM es un componente de hardware instalado en muchos equipos nuevos por los
fabricantes de equipos. Funciona con BitLocker para ayudar a proteger los datos de usuario y para garantizar
que un equipo no se haya manipulado mientras el sistema estaba sin conexión.
En los equipos que no tienen una versión 1.2 de TPM o versiones posteriores, todavía puede usar BitLocker para
cifrar la unidad del sistema operativo Windows. Sin embargo, esta implementación requiere que el usuario
inserte una clave de inicio USB para iniciar el equipo o reanudarse desde la hibernación. A partir de Windows 8,
puedes usar una contraseña de volumen del sistema operativo para proteger el volumen del sistema operativo
en un equipo sin TPM. Ambas opciones no proporcionan la comprobación de integridad del sistema previa al
inicio ofrecida por BitLocker con un TPM.
Además del TPM, BitLocker ofrece la opción de bloquear el proceso de inicio normal hasta que el usuario
proporcione un número de identificación personal (PIN) o inserte un dispositivo extraíble, como una unidad
flash USB, que contenga una clave de inicio. Estas medidas de seguridad adicionales proporcionan autenticación
multifactor y la garantía de que el equipo no se inicia o reanuda desde la hibernación hasta que se ofrezca el PIN
o la clave de inicio correctos.

Aplicaciones prácticas
Los datos de un equipo perdido o robado son vulnerables a un acceso no autorizado, mediante la ejecución de
una herramienta de ataques de software contra ellos o mediante la transferencia del disco duro del equipo a
otro equipo. BitLocker ayuda a mitigar el acceso a datos no autorizados mejorando las protecciones de archivo y
de sistema. BitLocker también ayuda a convertir los datos en inaccesibles cuando se retiran o reciclan equipos
protegidos con BitLocker.
Hay dos herramientas adicionales en las Herramientas de administración remota del servidor que puede usar
para administrar BitLocker.
Visor de contraseñas de recuperación de BitLocker . El Visor de contraseñas de recuperación de
BitLocker te permite buscar y ver las contraseñas de recuperación de cifrado de unidad BitLocker a las
que se haya hecho una copia de seguridad en los servicios de dominio de Active Directory (AD DS).
Puedes usar esta herramienta para ayudar a recuperar datos que están almacenados en una unidad
cifrada mediante el uso de BitLocker. La herramienta Visor de contraseñas de recuperación de BitLocker
 es una extensión del complemento Microsoft Management Console (MMC) de Usuarios y equipos de
Active Directory. Con esta herramienta, puedes examinar el cuadro de diálogo Propiedades de un objeto
del equipo para ver las contraseñas de recuperación de BitLocker correspondientes. Además, puedes
hacer clic con el botón derecho en un contenedor de dominio y, a continuación, buscar una contraseña de
recuperación de BitLocker en todos los dominios del bosque de Active Directory. Para ver las contraseñas
de recuperación, debes ser un administrador de dominio o debes tener delegados los permisos de
administrador de dominio.
Herramientas de cifrado de unidad de BitLocker . Las herramientas de cifrado de unidad BitLocker
incluyen las herramientas de línea de comandos manage-bde y repair-bde, y los cmdlets de BitLocker
para Windows PowerShell. Tanto manage-bde como los cmdlets de BitLocker se pueden usar para
realizar cualquier tarea que se pueda realizar a través del panel de control de BitLocker, y son adecuados
para usarse para implementaciones automatizadas y otros escenarios de scripting. Repair-bde se
proporciona para escenarios de recuperación ante desastres en los que una unidad protegida por
BitLocker no se puede desbloquear normalmente ni mediante la consola de recuperación.

Funcionalidad nueva y modificada

Para descubrir las novedades de BitLocker para Windows, como la compatibilidad con el algoritmo de cifrado
XTS-AES, consulta la sección BitLocker de "Novedades de Windows°10".

Requisitos del sistema

BitLocker presenta los siguientes requisitos de hardware:
Para que BitLocker use la comprobación de integridad del sistema proporcionada por un TPM, el equipo debe
tener TPM 1.2 o versiones posteriores. Si el equipo no tiene un TPM, habilitar BitLocker hace que sea obligatorio
guardar una clave de inicio en un dispositivo extraíble, como una unidad flash USB.
Un equipo con un TPM también debe tener un firmware de BIOS o UEFI compatible con Trusted Computing
Group (TCG). El firmware de BIOS o UEFI establece una cadena de confianza para el inicio del sistema
preoperativo, y debe incluir compatibilidad con la raíz estática de Trust Measurement especificada por TCG. Un
equipo sin un TPM no requiere firmware compatible con TCG.
El firmware de BIOS o UEFI del sistema (para equipos TPM y no TPM) debe admitir la clase de dispositivo de
almacenamiento masivo USB, lo que incluye la lectura de pequeños archivos de una unidad flash USB en el
entorno de sistema preoperativo.

IMPORTANT
Desde Windows 7, puede cifrar una unidad de disco del sistema operativo sin módulo de plataforma segura ni unidad
flash USB. Para este procedimiento, consulte Sugerencia del día: Bitlocker sin TPM o USB.

NOTE
TPM 2.0 no se admite en los modos heredado y de módulo de compatibilidad (CSM) del BIOS. Los dispositivos con TPM
2.0 deben tener su modo BIOS configurado solo como UEFI nativo. Las opciones Heredada y CSM deben estar
deshabilitadas. Para mayor seguridad, habilite la característica de arranque seguro.

El sistema operativo instalado en hardware en modo heredado impide que el sistema operativo arranque
cuando el modo BIOS cambia a UEFI. Use la herramienta MBR2GPT antes de cambiar el modo BIOS, que
prepara el sistema operativo y el disco para admitir UEFI.
El disco duro debe particionarse con al menos dos unidades:
La unidad del sistema operativo (o la unidad de arranque) contiene el sistema operativo y sus archivos de
compatibilidad. Debe estar formateada con el sistema de archivos NTFS.
La unidad del sistema contiene los archivos que son necesarios para cargar Windows después de que el
firmware haya preparado el hardware del sistema. BitLocker no está habilitado en esta unidad. Para que
funcione BitLocker, la unidad del sistema no debe estar cifrada, debe ser diferente de la unidad del sistema
operativo y debe estar formateada con el sistema de archivos FAT32 en equipos que usan firmware basado
en UEFI o con el sistema de archivos NTFS en equipos que usan firmware BIOS. Recomendamos que la
unidad del sistema tenga un tamaño aproximado de 350 MB. Una vez activado BitLocker, debería tener
aproximadamente 250 MB de espacio libre.
Cuando se instala en un equipo nuevo, Windows crea automáticamente las particiones necesarias para
BitLocker.
Una partición sujeta al cifrado no se puede marcar como una partición activa (esto se aplica al sistema
operativo, a los datos fijos y a las unidades de datos extraíbles).
Al instalar el componente opcional de BitLocker en un servidor, también deberá instalar la característica
Almacenamiento mejorado, que se usa para admitir unidades cifradas de hardware.

En esta sección
T EM A DESC RIP C IÓ N

Descripción general del cifrado de dispositivo de BitLocker en En este tema se proporciona información general sobre las
Windows 10 formas en que El cifrado de dispositivos BitLocker puede
ayudar a proteger los datos de los dispositivos que ejecutan
Windows 10.

Preguntas frecuentes de BitLocker Este tema responde a las preguntas más frecuentes sobre
los requisitos para usar, actualizar, implementar y administrar
directivas de administración de claves para BitLocker.

Preparar la organización para BitLocker: planificación y En este tema se explica el procedimiento que puede usar
directivas para planear la implementación de BitLocker.

Implementación básica de BitLocker En este tema se explica cómo se pueden usar las
características de BitLocker para proteger los datos a través
del cifrado de unidad.

BitLocker: cómo implementar en Windows Server En este tema se explica cómo implementar BitLocker en
Windows Server.

BitLocker: Cómo habilitar el desbloqueo en red En este tema se describe cómo funciona el desbloqueo de
red de BitLocker y cómo configurarlo.

BitLocker: Usar herramientas de cifrado de unidad BitLocker En este tema se describe cómo usar herramientas para
para administrar BitLocker administrar BitLocker.

BitLocker: Usar el Visor de contraseñas de recuperación de En este tema se describe cómo usar el Visor de contraseñas
BitLocker de recuperación de BitLocker.

Configuración de las directivas de grupo de BitLocker En este tema se describe la función, la ubicación y el efecto
de cada configuración de directiva de grupo que se usa para
administrar BitLocker.
T EM A DESC RIP C IÓ N

Configuraciones de BCD y BitLocker En este tema se describe la configuración de BCD que usa
BitLocker.

Guía de recuperación de BitLocker En este tema se describe cómo recuperar claves de BitLocker
de AD DS.

Proteger BitLocker frente a ataques de prearranque Esta guía detallada le ayuda a comprender las circunstancias
en las que se recomienda el uso de la autenticación previa al
arranque para los dispositivos que ejecutan Windows 10,
Windows 8.1, Windows 8 o Windows 7; y cuándo se puede
omitir de forma segura desde la configuración de un
dispositivo.

Solucionar problemas de BitLocker En esta guía se describen los recursos que pueden ayudarle
a solucionar problemas de BitLocker y proporciona
soluciones para varios problemas comunes de BitLocker.

Protección de volúmenes compartidos de clúster y redes de En este tema se describe cómo proteger los CSP y los SAN
área de almacenamiento con BitLocker con BitLocker.

Habilitar el arranque seguro y el cifrado de dispositivo de En este tema se describe cómo usar BitLocker con Windows
BitLocker en Windows IoT Core IoT Core
 Descripción general del cifrado de dispositivos de
BitLocker en Windows
08/11/2022 • 16 minutes to read

Se aplica a
Windows10
Windows11
Windows Server 2016 y versiones posteriores
En este artículo se explica cómo BitLocker Device Encryption puede ayudar a proteger los datos en dispositivos
que ejecutan Windows. Para obtener información general y una lista de artículos sobre BitLocker, consulte
BitLocker.
Cuando los usuarios viajan, los datos confidenciales de su organización van con ellos. Cualquier lugar en el que
se almacenen los datos confidenciales debe estar protegido contra el acceso no autorizado. Windows tiene una
larga historia de proporción de soluciones de protección de datos en reposo que protegen frente a atacantes
malintencionados, empezando por el sistema de archivo cifrado en el sistema operativo Windows 2000. Más
recientemente, BitLocker ha proporcionado cifrado para unidades completas y unidades portátiles. Windows
mejora de forma coherente la protección de datos al mejorar las opciones existentes y proporcionar nuevas
estrategias.
En la tabla 2 se enumeran los problemas específicos de protección de datos y cómo se abordan en Windows 11,
Windows 10 y Windows 7.
Tabla 2. Protección de datos en Windows 11, Windows 10 y Windows 7

W IN DO W S 7 W IN DO W S 11 Y W IN DO W S 10

Cuando se usa BitLocker con un PIN para proteger el inicio, Los dispositivos Windows modernos están cada vez más
los equipos como quioscos no se pueden reiniciar de forma protegidos con El cifrado de dispositivos BitLocker de fábrica
remota. y admiten el inicio de sesión único para proteger sin
problemas las claves de cifrado de BitLocker frente a ataques
de arranque en frío.

El desbloqueo en red permite que los equipos se inicien

automáticamente cuando estén conectados a la red interna.

Cuando BitLocker está habilitado, el proceso de El aprovisionamiento previo de BitLocker previamente, las
aprovisionamiento puede tardar varias horas. unidades de disco duro cifradas y el cifrado solo en espacio
utilizado permite a los administradores habilitar BitLocker
rápidamente en equipos nuevos.

No se admite el uso de BitLocker con unidades de cifrado BitLocker admite el cifrado de descarga para las unidades de
automático (SED). disco duro cifradas.

Los administradores deben usar herramientas BitLocker admite unidades de disco duro cifradas con
independientes para administrar las unidades de disco duro hardware integrado de cifrado incorporado, que permite a
cifradas. los administradores usar las herramientas administrativas de
BitLocker con las que están familiarizados para
administrarlas.
 W IN DO W S 7 W IN DO W S 11 Y W IN DO W S 10

El cifrado de una nueva unidad flash puede tardar más de 20 El cifrado de solo espacio usado en BitLocker To Go permite
minutos. a los usuarios cifrar las unidades de datos extraíbles en
segundos.

BitLocker puede requerir que los usuarios escriban una clave BitLocker requiere que el usuario escriba una clave de
de recuperación cuando se producen cambios de recuperación solo cuando se produzcan daños en el disco o
configuración del sistema. cuando se pierda el PIN o la contraseña.

Los usuarios deben especificar un PIN para iniciar el equipo y Los dispositivos Windows modernos están cada vez más
luego su contraseña para iniciar sesión en Windows. protegidos con BitLocker Device Encryption de forma
inmediata y admiten el inicio de sesión único para ayudar a
proteger las claves de cifrado de BitLocker frente a ataques
de arranque en frío.

Prepararse para el cifrado de unidades y archivos

El mejor tipo de medidas de seguridad es transparente para el usuario durante la implementación y el uso. Cada
vez que se produce un posible retraso o dificultad debido a una característica de seguridad, es muy probable
que los usuarios intenten omitir la seguridad. Esta situación es especialmente cierta en el caso de la protección
de datos y es un escenario que las organizaciones deben evitar. Ya sea que planee cifrar volúmenes completos,
dispositivos extraíbles o archivos individuales, Windows 11 y Windows 10 satisfacer sus necesidades
proporcionando soluciones simplificadas y utilizables. De hecho, puedes realizar varios pasos de antemano para
preparar el cifrado de datos y hacer que la implementación sea rápida y fluida.
Aprovisionamiento previo de TPM
En Windows 7, preparar el uso de TPM supone un par de desafíos:
Puedes activar el TPM en el BIOS, lo que requiere que alguien vaya a la configuración del BIOS para activarlo,
o instalar un controlador para activarlo desde Windows.
Al habilitar el TPM, puede que requiera uno o varios reinicios.
Básicamente, fue una molestia. Si el personal de TI aprovisiona nuevos equipos, podrían controlar todo esto,
pero si quisiera agregar BitLocker a dispositivos que ya estaban en manos de los usuarios, esos usuarios
habrían tenido problemas con los desafíos técnicos y llamarían a TI para obtener soporte técnico o dejarían
BitLocker deshabilitado.
Microsoft incluye instrumentación en Windows 11 y Windows 10 que permiten al sistema operativo administrar
completamente el TPM. No es necesario entrar en el BIOS y se han eliminado todos los escenarios que
requerían un reinicio.

Implementar el cifrado de unidad de disco duro

BitLocker es capaz de cifrar unidades de disco duro completas,como las unidades de datos y de sistema. El
aprovisionamiento previo de BitLocker puede reducir considerablemente el tiempo necesario para aprovisionar
nuevos equipos con BitLocker habilitado. Con Windows 11 y Windows 10, los administradores pueden activar
BitLocker y el TPM desde el entorno de preinstalación de Windows antes de instalar Windows o como parte de
una secuencia de tareas de implementación automatizada sin ninguna interacción del usuario. Combinado con
el cifrado solo de espacio en disco usado y una unidad principalmente vacía (porque Windows aún no está
instalado), solo tarda unos segundos en habilitar BitLocker.
Con las versiones anteriores de Windows, los administradores tenían que habilitar BitLocker después de instalar
Windows. Aunque este proceso podría automatizarse, BitLocker tendría que cifrar toda la unidad, un proceso
que podría tardar entre varias horas y más de un día en función del tamaño y el rendimiento de la unidad, lo
que retrasaba la implementación. Microsoft ha mejorado este proceso a través de varias características de
Windows 11 y Windows 10.

Cifrado de dispositivo de BitLocker

A partir de Windows 8.1, Windows habilita automáticamente el cifrado de dispositivos BitLocker en dispositivos
que admiten el modo de espera moderno. Con Windows 11 y Windows 10, Microsoft ofrece compatibilidad con
cifrado de dispositivos BitLocker en una gama mucho más amplia de dispositivos, incluidos los que son en
espera moderna, y los dispositivos que ejecutan Windows 10 Home edición o Windows 11.
Microsoft espera que la mayoría de los dispositivos en el futuro superen los requisitos de prueba, lo que hace
que el cifrado de dispositivos BitLocker sea generalizado en los dispositivos Windows modernos. El cifrado de
dispositivos BitLocker protege aún más el sistema mediante la implementación transparente del cifrado de
datos en todo el dispositivo.
A diferencia de una implementación estándar de BitLocker, el cifrado de dispositivos BitLocker se habilita
automáticamente para que el dispositivo siempre esté protegido. La siguiente lista describe cómo sucede:
Cuando se completa una instalación limpia de Windows 11 o Windows 10 y finaliza la experiencia integrada,
el equipo se prepara para su primer uso. Como parte de esta preparación, el cifrado de dispositivos BitLocker
se inicializa en la unidad del sistema operativo y en las unidades de datos fijas del equipo con una clave clara
(es el equivalente al estado de suspensión estándar de BitLocker). En este estado, la unidad se muestra con
un icono de advertencia en el Explorador de Windows. El icono de advertencia amarillo se quita después de
crear el protector de TPM y se realiza una copia de seguridad de la clave de recuperación, como se explica en
los siguientes puntos de viñetas.
Si el dispositivo no está unido a un dominio, se requiere una cuenta Microsoft a la que se hayan concedido
privilegios administrativos en el dispositivo. Cuando el administrador usa una cuenta de Microsoft para
iniciar sesión, se quita la clave sin cifrar, se carga una clave de recuperación en la cuenta de Microsoft online y
se crea un protector TPM. Si un dispositivo requiere la clave de recuperación, el usuario le guiará para usar
un dispositivo alternativo y navegar a una dirección URL de acceso a la clave de recuperación para recuperar
la clave de recuperación mediante sus credenciales de cuenta de Microsoft.
Si el usuario usa una cuenta de dominio para iniciar sesión, la clave sin cifrar no se quita hasta que el usuario
une el dispositivo a un dominio y se realiza una copia de seguridad correcta de la clave de recuperación en
Servicios de dominio de Active Directory (AD DS). Debes habilitar la configuración de directiva de grupo
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de
unidad BitLocker\Unidades del sistema operativo y seleccionar la opción No habilitar BitLocker
hasta que se almacene la información de recuperación en AD DS para las unidades del sistema
operativo . Con esta configuración, la contraseña de recuperación se crea automáticamente cuando el
equipo se une al dominio y luego la clave de recuperación se guarda en AD DS, se crea el protector de TPM y
se quita la clave sin cifrar.
De forma similar al inicio de sesión con una cuenta de dominio, la clave sin cifrar se quita cuando el usuario
inicia sesión en una cuenta de Azure AD en el dispositivo. Como se describe en la viñeta anterior, la
contraseña de recuperación se crea automáticamente cuando el usuario se autentica en Azure AD. A
continuación, la clave de recuperación se guarda en Azure AD, se crea el protector de TPM y se quita la clave
sin cifrar.
Microsoft recomienda que el cifrado de dispositivos BitLocker esté habilitado en cualquier sistema que lo
admita, pero el proceso automático de cifrado de dispositivos BitLocker se puede evitar cambiando la siguiente
configuración del Registro:
Subclave : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker
Valor : PreventDeviceEncryption igual a True (1)
Tipo : REG_DWORD
Los administradores pueden administrar dispositivos unidos a un dominio que tengan habilitado el cifrado de
dispositivos BitLocker a través de Administración y supervisión de Microsoft BitLocker (MBAM). En este caso, el
cifrado de dispositivos BitLocker hace que las opciones adicionales de BitLocker estén disponibles
automáticamente. No se requiere ninguna conversión o cifrado y MBAM puede administrar la directiva de
BitLocker completa si se requiere algún cambio de configuración.

NOTE
El cifrado de dispositivos BitLocker usa el método de cifrado de 128 bits XTS-AES. En caso de que necesite usar un
método de cifrado o una intensidad de cifrado diferentes, primero debe configurar y descifrar el dispositivo (si ya está
cifrado). Después de eso, se puede aplicar una configuración de BitLocker diferente.

Cifrado de espacio en disco usado

BitLocker en versiones anteriores de Windows podría tardar mucho tiempo en cifrar una unidad, ya que cifraba
todos los bytes del volumen (incluidos los elementos que no tenían datos). Esa sigue siendo la forma más
segura de cifrar una unidad, especialmente si una unidad ha contenido previamente datos confidenciales que se
han movido o eliminado. En ese caso, los seguimientos de los datos confidenciales podrían permanecer en
partes de la unidad marcadas como no utilizadas. Pero, ¿por qué cifrar una nueva unidad cuando se pueden
cifrar los datos a medida que se escriben? Para reducir el tiempo de cifrado, BitLocker en Windows 11 y
Windows 10 permitir que los usuarios decidan cifrar solo sus datos. Según la cantidad de datos en la unidad,
esta opción puede reducir el tiempo de cifrado más de un 99 %. Tenga cuidado al cifrar solo el espacio usado en
un volumen existente en el que es posible que los datos confidenciales ya se hayan almacenado en un estado no
cifrado, ya que esos sectores se pueden recuperar a través de herramientas de recuperación de disco hasta que
se sobrescriban por nuevos datos cifrados. Por el contrario, cifrar solo el espacio usado en un volumen nuevo
puede reducir significativamente el tiempo de implementación sin el riesgo de seguridad, ya que todos los datos
nuevos se cifrarán a medida que se escriben en el disco.

Compatibilidad con unidad de disco duro cifrado

Los SED han estado disponibles durante años, pero Microsoft no admite su uso con versiones anteriores de
Windows porque las unidades carecían de características de administración de claves importantes. Microsoft
trabajó con proveedores de almacenamiento para mejorar las funcionalidades del hardware y ahora BitLocker
admite la próxima generación de SED, que se denominan unidades de disco duro cifradas. Las unidades de disco
duro cifradas proporcionan funcionalidades criptográficas incorporadas para cifrar datos en unidades, lo que
mejora el rendimiento del disco y el sistema al descargar cálculos criptográficos desde el procesador del equipo
a la misma unidad y rápidamente cifrar la unidad mediante hardware dedicado y específico. Si tiene previsto
usar el cifrado de unidad completa con Windows 11 o Windows 10, Microsoft recomienda investigar los
fabricantes y modelos de discos duros para determinar si alguno de sus discos duros cifrados cumple los
requisitos de seguridad y presupuesto. Para obtener más información sobre las unidades de disco duro cifradas,
consulta Unidad de disco duro cifrada.

Protección de la información de arranque

Una implementación eficaz de la protección de la información, como la mayoría de los controles de seguridad,
considera la facilidad de uso y la seguridad. Por lo general, los usuarios prefieren una experiencia de seguridad
simple. De hecho, cuanto más transparente se vuelve una solución de seguridad, más probable es que los
usuarios cumplan con ella. Es fundamental que las organizaciones protejan la información en sus equipos
independientemente del estado del equipo o de la intención de los usuarios. Esta protección no debe ser
complicada para los usuarios. Una situación indeseable y anteriormente común es cuando se solicita al usuario
la entrada durante el arranque previo y, después, de nuevo durante el inicio de sesión de Windows. Debe
evitarse complicar a los usuarios para que escriban más de una vez. Windows 11 y Windows 10 pueden
habilitar una verdadera experiencia de SSO desde el entorno de arranque previo en dispositivos modernos y, en
algunos casos, incluso en dispositivos más antiguos cuando existen configuraciones sólidas de protección de la
información. El TPM de manera aislada es capaz de proteger la clave de cifrado de BitLocker de forma segura
mientras que esté en reposo, y puede desbloquear la unidad del sistema operativo. Cuando la clave está en uso
y, por consiguiente, en la memoria, una combinación de hardware y las funcionalidades de Windows puede
proteger la clave e impedir el acceso no autorizado a través de ataques de arranque en frío. Aunque hay
disponibles otras contramedidas como el desbloqueo basado en PIN, no son tan fáciles de usar; dependiendo de
la configuración de los dispositivos, es posible que no ofrezcan seguridad adicional en lo que respecta a la
protección de claves. Para obtener más información, vea Contramedidas de BitLocker.

Administrar contraseñas y PIN

Cuando se habilite BitLocker en una unidad del sistema y el equipo tenga un TPM, puedes requerir que los
usuarios escriban un código PIN antes de que BitLocker desbloquee la unidad. Este requisito de PIN puede
impedir que un atacante que tenga acceso físico a un equipo incluso acceda al inicio de sesión de Windows, lo
que hace que sea prácticamente imposible que el atacante acceda o modifique los datos de usuario y los
archivos del sistema.
Requerir un PIN en el inicio es una característica de seguridad útil, ya que actúa como un segundo factor de
autenticación (un segundo "algo que sabes"). Sin embargo, esta configuración incluye algunos costes. Uno de
los más importantes es la necesidad de cambiar el PIN con regularidad. En las empresas que usaban BitLocker
con Windows 7 y el sistema operativo Windows Vista, los usuarios tenían que ponerse en contacto con los
administradores de sistemas para actualizar su PIN o contraseña de BitLocker. Este requisito no solo aumentó
los costos de administración, sino que hizo que los usuarios no quisieran cambiar su PIN o contraseña de
BitLocker con regularidad. Windows 11 y Windows 10 los usuarios pueden actualizar sus PIN y contraseñas de
BitLocker por sí mismos, sin credenciales de administrador. Esta característica no solo reduce los costos de
soporte técnico, sino que podría mejorar también la seguridad, ya que anima a los usuarios a cambiar su PIN y
las contraseñas más a menudo. Además, los dispositivos en espera moderna no requieren un PIN para el inicio:
están diseñados para iniciarse con poca frecuencia y tener otras mitigaciones en su lugar que reduzcan aún más
la superficie expuesta a ataques del sistema. Para obtener más información sobre cómo funciona la seguridad
de inicio y las contramedidas que proporcionan Windows 11 y Windows 10, consulte Protección de BitLocker
frente a ataques anteriores al arranque.

Configurar desbloqueo en red

Algunas organizaciones tienen requisitos de seguridad de datos específicos de la ubicación. Esto es más común
en entornos donde se almacenan los datos de gran valor en los equipos. El entorno de red puede proporcionar
una protección de datos crucial y aplicar la autenticación obligatoria; por lo tanto, la directiva indica que esos
equipos no deben salir del edificio ni desconectarse de la red corporativa. Las protecciones como los bloqueos
de seguridad física y las geovallas pueden ayudar a reforzar esta directiva como controles reactivos. Además de
estas, es necesario un control de seguridad proactiva que conceda acceso a datos únicamente cuando el equipo
esté conectado a la red corporativa.
El desbloqueo de red permite a los equipos protegidos con BitLocker iniciarse automáticamente cuando estén
conectados a una red corporativa con cable en el que se ejecutan los servicios de implementación de Windows.
Cada vez que el equipo no esté conectado a la red corporativa, un usuario debe escribir un PIN para
desbloquear la unidad (si el desbloqueo basado en PIN está habilitado). El desbloqueo de la red requiere la
infraestructura siguiente:
Los equipos cliente que tienen Unified Extensible Firmware Interface (UEFI) versión de firmware 2.3.1 o
posterior, que admiten el Protocolo de configuración dinámica de host (DHCP)
Un servidor que ejecuta al menos Windows Server 2012 con el rol de servicios de implementación de
Windows
 Un servidor con el rol de servidor DHCP instalado
Para obtener más información sobre cómo configurar la característica de desbloqueo de red, vea BitLocker:
Cómo habilitar el desbloqueo de red.

Administración y supervisión de Microsoft BitLocker

Parte del Paquete de optimización de escritorio de Microsoft, Administración y supervisión de Microsoft
BitLocker (MBAM) facilita la administración y compatibilidad con BitLocker y BitLocker To Go. MBAM 2.5 con
Service Pack 1, la versión más reciente, tiene las siguientes características clave:
Permite a los administradores automatizar el proceso de cifrado de volúmenes en los equipos cliente en toda
la empresa.
Permite que los responsables de seguridad determinen rápidamente el estado de cumplimiento de equipos
individuales o incluso de la empresa.
Proporciona informes centralizados y administración de hardware con Microsoft Configuration Manager.
Reduce la carga de trabajo en el servicio de asistencia para ayudar a los usuarios finales con las solicitudes
de recuperación de BitLocker.
Permite a los usuarios finales recuperar dispositivos cifrados de forma independiente mediante el Portal de
autoservicio.
Permite que los agentes de seguridad auditen fácilmente el acceso a información clave de recuperación.
Permite a los usuarios de Windows Enterprise continuar trabajando en cualquier lugar con la garantía de que
sus datos de la empresa están protegidos.
Aplica las opciones de directiva de cifrado de BitLocker que estableces para tu empresa.
Se integra con herramientas de administración existentes, como Microsoft Configuration Manager.
Ofrece una experiencia de usuario de recuperación de TI personalizable.
Admite Windows 11 y Windows 10.

IMPORTANT
Las empresas pueden usar MBAM para administrar equipos cliente con BitLocker unidos a un dominio local hasta que
finalice la compatibilidad estándar en julio de 2019, o bien podrían recibir soporte extendido hasta abril de 2026.

En el futuro, la funcionalidad de MBAM se incorporará a Configuration Manager. Para obtener más información,
vea Características en Configuration Manager versión 1909 de Technical Preview.
Las empresas que no usan Configuration Manager pueden usar las características integradas de Azure AD y
Microsoft Intune para la administración y supervisión. Para obtener más información, consulte Supervisión del
cifrado de dispositivos con Intune.
 Preparar la organización para BitLocker:
planificación y directivas
08/11/2022 • 16 minutes to read

Se aplica a
Windows10
Windows11
Windows Server2016 y superior
En este artículo para profesionales de TI se explica cómo planear la implementación de BitLocker.
Al diseñar la estrategia de implementación de BitLocker, defina las directivas y los requisitos de configuración
adecuados en función de los requisitos empresariales de su organización. Las secciones siguientes le ayudarán a
recopilar información. Use esta información para ayudar con el proceso de toma de decisiones sobre la
implementación y administración de sistemas BitLocker.

Auditoría del entorno

Para planear la implementación de BitLocker, comprenda el entorno actual. Realice una auditoría informal para
definir las directivas, los procedimientos y el entorno de hardware actuales. Revise las directivas de seguridad
corporativas del software de cifrado de disco existente. Si su organización no usa software de cifrado de disco,
no existirá ninguna de estas directivas. Si usa software de cifrado de disco, es posible que tenga que cambiar las
directivas de su organización para usar las características de BitLocker.
Para ayudarle a documentar las directivas de seguridad de cifrado de disco actuales de su organización,
responda a las siguientes preguntas:
1. ¿Hay directivas para determinar qué equipos usarán BitLocker y qué equipos no usarán BitLocker?
2. ¿Qué directivas existen para controlar la contraseña de recuperación y el almacenamiento de claves de
recuperación?
3. ¿Cuáles son las directivas para validar la identidad de los usuarios que necesitan realizar la recuperación de
BitLocker?
4. ¿Qué directivas existen para controlar quién de la organización tiene acceso a los datos de recuperación?
5. ¿Qué directivas existen para controlar la retirada o retirada del equipo?

Claves de cifrado y autenticación

BitLocker ayuda a evitar el acceso no autorizado a los datos en equipos perdidos o robados por:
Cifrado de todo el volumen del sistema operativo Windows en el disco duro.
Comprobación de la integridad del proceso de arranque.
El módulo de plataforma de confianza (TPM) es un componente de hardware instalado en muchos equipos más
recientes por los fabricantes de equipos. Funciona con BitLocker para ayudar a proteger los datos de usuario.
Además, asegúrese de que un equipo no se ha alterado mientras el sistema estaba sin conexión.
Además, BitLocker puede bloquear el proceso de inicio normal hasta que el usuario proporciona un número de
identificación personal (PIN) o inserta un dispositivo USB extraíble, como una unidad flash, que contiene una
clave de inicio. Estas medidas de seguridad adicionales proporcionan autenticación multifactor. También se
aseguran de que el equipo no se inicie ni se reanude desde la hibernación hasta que se presente el PIN o la clave
de inicio correctos.
En equipos que no tienen una versión de TPM 1.2 o posterior, todavía puede usar BitLocker para cifrar el
volumen del sistema operativo Windows. Sin embargo, esta implementación requiere que el usuario inserte una
clave de inicio USB para iniciar el equipo o reanudarse desde la hibernación. No proporciona la comprobación
de integridad del sistema previa al inicio ofrecida por BitLocker que trabaja con un TPM.
Protectores de claves de BitLocker
P ROT EC TO R DE C L AVE DESC RIP C IÓ N

TPM Dispositivo de hardware que se usa para ayudar a establecer

una raíz de confianza segura. BitLocker solo admite TPM 1.2
o versiones posteriores.

PIN Protector de clave numérica especificado por el usuario que

solo se puede usar además del TPM.

PIN mejorado Protector de clave alfanumérica escrito por el usuario que

solo se puede usar además del TPM.

Clave de inicio Una clave de cifrado que se puede almacenar en la mayoría

de los medios extraíbles. Este protector de claves se puede
usar solo en equipos que no son tpm o junto con un TPM
para mayor seguridad.

Contraseña de recuperación Número de 48 dígitos que se usa para desbloquear un

volumen cuando está en modo de recuperación. Los
números a menudo se pueden escribir en un teclado normal.
Si los números del teclado normal no responden, siempre
puede usar las teclas de función (F1-F10) para introducir los
números.

Clave de recuperación Una clave de cifrado almacenada en medios extraíbles que se

puede usar para recuperar datos cifrados en un volumen de
BitLocker.

Métodos de autenticación de BitLocker

REQ UIERE L A IN T ERA C C IÓ N DEL
M ÉTO DO DE A UT EN T IC A C IÓ N USUA RIO DESC RIP C IÓ N

Solo TPM No TPM valida los componentes de

arranque anticipado.

TPM + PIN Sí TPM valida los componentes de

arranque anticipado. El usuario debe
escribir el PIN correcto antes de que
pueda continuar el proceso de inicio y
antes de que se pueda desbloquear la
unidad. El TPM entra en bloqueo si el
PIN incorrecto se escribe
repetidamente, para proteger el PIN de
ataques por fuerza bruta. El número de
intentos repetidos que
desencadenarán un bloqueo es
variable.
 REQ UIERE L A IN T ERA C C IÓ N DEL
M ÉTO DO DE A UT EN T IC A C IÓ N USUA RIO DESC RIP C IÓ N

TPM + Clave de red No El TPM valida correctamente los

componentes de arranque anticipado y
se ha proporcionado una clave de red
cifrada válida desde el servidor WDS.
Este método de autenticación
proporciona desbloqueo automático
de los volúmenes del sistema
operativo al reiniciar el sistema
mientras se mantiene la autenticación
multifactor.

TPM y clave de inicio Sí El TPM valida correctamente los

componentes de arranque anticipado y
se ha insertado una unidad flash USB
que contiene la clave de inicio.

Solo clave de inicio Sí Se solicita al usuario la unidad flash

USB que tiene la clave de recuperación
o la clave de inicio y, a continuación,
reinicie el equipo.

¿Admitirá equipos sin TPM 1.2 o versiones posteriores?

Determine si admitirá equipos que no tengan un TPM 1.2 o versiones posteriores en su entorno. Si decide
admitir BitLocker en este tipo de equipo, un usuario debe usar una clave de inicio USB para arrancar el sistema.
Esta clave de inicio requiere procesos de soporte técnico adicionales similares a la autenticación multifactor.
¿Qué áreas de su organización necesitan un nivel de base de referencia de protección de datos?
El método de autenticación solo TPM proporciona la experiencia de usuario más transparente para las
organizaciones que necesitan un nivel de base de referencia de protección de datos para cumplir las directivas
de seguridad. Tiene el costo total de propiedad más bajo. Es posible que solo TPM sea más adecuado para los
equipos desatendidos o que deben reiniciarse desatendidos.
Sin embargo, el método de autenticación solo TPM ofrece el nivel más bajo de protección de datos. Este método
de autenticación protege contra ataques que modifican componentes de arranque anticipado. Sin embargo, el
nivel de protección puede verse afectado por posibles debilidades en el hardware o en los componentes de
arranque temprano. Los métodos de autenticación multifactor de BitLocker aumentan significativamente el nivel
general de protección de datos.
¿Qué áreas de su organización necesitan un nivel de protección de datos más seguro?
Si hay equipos de usuario con datos altamente confidenciales, implemente BitLocker con autenticación
multifactor en esos sistemas. Requerir que el usuario introduzca un PIN aumenta significativamente el nivel de
protección del sistema. También puede usar El desbloqueo de red de BitLocker para permitir que estos equipos
se desbloqueen automáticamente cuando estén conectados a una red cableada de confianza que pueda
proporcionar la clave de desbloqueo de red.
¿Qué método de autenticación multifactor prefiere su organización?
Las diferencias de protección proporcionadas por los métodos de autenticación multifactor no se pueden
cuantificar fácilmente. Tenga en cuenta el impacto de cada método de autenticación en el soporte técnico del
departamento de soporte técnico, la educación de los usuarios, la productividad del usuario y los procesos de
administración de sistemas automatizados.
Configuraciones de hardware de TPM
En el plan de implementación, identifique qué plataformas de hardware basadas en TPM se admitirán.
Documente los modelos de hardware de un OEM de su elección para que sus configuraciones se puedan probar
y admitir. El hardware tpm requiere una consideración especial durante todos los aspectos de planeamiento e
implementación.
Estados e inicialización de TPM 1.2
Para TPM 1.2, hay varios estados posibles. Windows inicializa automáticamente el TPM, lo que lo lleva a un
estado habilitado, activado y de propiedad. Este estado es el estado que BitLocker requiere para poder usar el
TPM.
Claves de aprobación
Para que BitLocker pueda usar un TPM, debe contener una clave de aprobación, que es un par de claves RSA. La
mitad privada del par de claves se mantiene dentro del TPM y nunca se revela ni se puede acceder a ella fuera
del TPM. Si el TPM no tiene una clave de aprobación, BitLocker obligará al TPM a generar uno automáticamente
como parte de la instalación de BitLocker.
Se puede crear una clave de aprobación en varios puntos del ciclo de vida del TPM, pero debe crearse solo una
vez durante la vigencia del TPM. Si no existe una clave de aprobación para el TPM, debe crearse antes de que se
pueda tomar la propiedad del TPM.
Para obtener más información sobre tpm y TCG, vea Trusted Computing Group: Trusted Platform Module (TPM)
Specifications (Grupo de computación de confianza: Especificaciones del módulo de plataforma segura (TPM)
([Link]

Configuraciones de hardware que no son tpm

Los dispositivos que no incluyen un TPM todavía pueden protegerse mediante el cifrado de unidad. Las áreas de
trabajo de Windows To Go se pueden proteger con BitLocker mediante una contraseña de inicio y los equipos
sin TPM pueden usar una clave de inicio.
Use las siguientes preguntas para identificar los problemas que podrían afectar a la implementación en una
configuración que no es de TPM:
¿Existen reglas de complejidad de contraseñas?
¿Tiene presupuesto para las unidades flash USB para cada uno de estos equipos?
¿Los dispositivos que no son TPM existentes admiten dispositivos USB en el momento del arranque?
Pruebe las plataformas de hardware individuales con la opción de comprobación del sistema de BitLocker
mientras habilita BitLocker. La comprobación del sistema garantiza que BitLocker pueda leer la información de
recuperación de un dispositivo USB y las claves de cifrado correctamente antes de cifrar el volumen. Las
unidades de CD y DVD no pueden actuar como un dispositivo de almacenamiento en bloque y no se pueden
usar para almacenar el material de recuperación de BitLocker.

Consideraciones sobre la configuración del disco

Para funcionar correctamente, BitLocker requiere una configuración de disco específica. BitLocker requiere dos
particiones que cumplan los siguientes requisitos:
La partición del sistema operativo contiene el sistema operativo y sus archivos de soporte técnico; debe
tener formato con el sistema de archivos NTFS.
La partición del sistema (o partición de arranque) incluye los archivos necesarios para cargar Windows
después de que el firmware del BIOS o UEFI haya preparado el hardware del sistema. BitLocker no está
habilitado en esta partición. Para que BitLocker funcione, la partición del sistema no debe cifrarse y debe
 estar en una partición diferente a la del sistema operativo. En las plataformas UEFI, la partición del sistema
debe tener formato con el sistema de archivos FAT 32. En las plataformas BIOS, la partición del sistema debe
tener formato con el sistema de archivos NTFS. Debe tener al menos 350 MB de tamaño.
El programa de instalación de Windows configura automáticamente las unidades de disco del equipo para
admitir el cifrado de BitLocker.
Windows Recovery Environment (Windows RE) es una plataforma de recuperación extensible basada en el
entorno de preinstalación de Windows (Windows PE). Cuando el equipo no se inicia, Windows pasa
automáticamente a este entorno y la herramienta Reparación de inicio de Windows RE automatiza el
diagnóstico y la reparación de una instalación de Windows que no se puede iniciar. Windows RE también
contiene los controladores y herramientas necesarios para desbloquear un volumen protegido por BitLocker
proporcionando una clave de recuperación o una contraseña de recuperación. Para usar Windows RE con
BitLocker, la imagen de arranque de Windows RE debe estar en un volumen que no esté protegido por BitLocker.
Windows RE también se puede usar desde medios de arranque distintos del disco duro local. Si no instala
Windows RE en el disco duro local de los equipos habilitados para BitLocker, puede usar métodos de arranque
diferentes. Por ejemplo, puede usar Servicios de implementación de Windows, CD-ROM o unidad flash USB
para la recuperación.

Aprovisionamiento de BitLocker
En Windows Vista y Windows 7, BitLocker se aprovisionó después de la instalación para volúmenes de datos y
del sistema. Usó la interfaz de manage-bde línea de comandos o la interfaz de usuario Panel de control. Con los
sistemas operativos más recientes, BitLocker se puede aprovisionar antes de instalar el sistema operativo. La
preaprovisionamiento requiere que el equipo tenga un TPM.
Para comprobar el estado de BitLocker de un volumen determinado, los administradores pueden examinar el
estado de la unidad en el applet del panel de control de BitLocker o en el Explorador de Windows. El estado
"Esperando activación" con un icono de exclamación amarillo significa que la unidad se preaprovisionó para
BitLocker. Este estado significa que solo se usó un protector claro al cifrar el volumen. En este caso, el volumen
no está protegido y debe tener una clave segura agregada al volumen antes de que la unidad se considere
totalmente protegida. Los administradores pueden usar las opciones del panel de control, manage-bde la
herramienta o las API wmi para agregar un protector de clave adecuado. Se actualizará el estado del volumen.
Al usar las opciones del panel de control, los administradores pueden optar por activar BitLocker y seguir los
pasos del asistente para agregar un protector, como un PIN para un volumen de sistema operativo (o una
contraseña si no existe tpm), o una contraseña o protector de tarjeta inteligente a un volumen de datos. A
continuación, se muestra la ventana de seguridad de la unidad antes de cambiar el estado del volumen.
Los administradores pueden habilitar BitLocker antes de la implementación del sistema operativo desde el
entorno de preinstalación de Windows (WinPE). Este paso se realiza con un protector de clave clara generado
aleatoriamente aplicado al volumen con formato. Cifra el volumen antes de ejecutar el proceso de instalación de
Windows. Si el cifrado usa la opción Solo espacio en disco usado, este paso tarda solo unos segundos. Además,
se incorpora a los procesos de implementación normales.

Cifrado de espacio en disco usado

El Asistente para la instalación de BitLocker proporciona a los administradores la capacidad de elegir el método
Solo espacio en disco usado o Cifrado completo al habilitar BitLocker para un volumen. Los administradores
pueden usar la nueva configuración de directiva de grupo de BitLocker para aplicar solo espacio en disco usado
o cifrado de disco completo.
Al iniciar el Asistente para la instalación de BitLocker, se solicita el método de autenticación que se va a usar (la
contraseña y la tarjeta inteligente están disponibles para los volúmenes de datos). Una vez que se elige el
método y se guarda la clave de recuperación, se le pedirá que elija el tipo de cifrado de unidad. Seleccione Solo
espacio en disco usado o Cifrado de unidad completa.
Con Solo espacio en disco usado, solo se cifrará la parte de la unidad que contiene datos. El espacio no utilizado
permanecerá sin cifrar. Este comportamiento hace que el proceso de cifrado sea mucho más rápido,
especialmente para nuevos equipos y unidades de datos. Cuando BitLocker está habilitado con este método, a
medida que se agregan datos a la unidad, se cifra la parte de la unidad usada. Por lo tanto, nunca hay datos sin
cifrar almacenados en la unidad.
Con el cifrado de unidad completa, se cifra toda la unidad, independientemente de si los datos se almacenan en
ella o no. Esta opción es útil para las unidades que se han reutilizado y pueden contener restos de datos de su
uso anterior.

consideraciones Servicios de dominio de Active Directory

BitLocker se integra con Servicios de dominio de Active Directory (AD DS) para proporcionar administración
centralizada de claves. De forma predeterminada, no se realiza una copia de seguridad de ninguna información
de recuperación en Active Directory. Los administradores pueden configurar la siguiente configuración de
directiva de grupo para cada tipo de unidad para habilitar la copia de seguridad de la información de
recuperación de BitLocker:
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad
BitLocker\tipo de unidad\Elija cómo se pueden recuperar las unidades protegidas por BitLocker.
De forma predeterminada, solo los administradores de dominio tienen acceso a la información de recuperación
de BitLocker, pero el acceso se puede delegar a otros usuarios.
Los siguientes datos de recuperación se guardan para cada objeto de equipo:
Contraseña de recuperación
Contraseña de recuperación de 48 dígitos usada para recuperar un volumen protegido por BitLocker. Los
usuarios escriben esta contraseña para desbloquear un volumen cuando BitLocker entra en modo de
recuperación.
Datos clave del paquete
Con este paquete de claves y la contraseña de recuperación, podrá descifrar partes de un volumen
protegido con BitLocker si el disco está gravemente dañado. Cada paquete de claves solo funciona con el
volumen en el que se creó, que se identifica mediante el identificador de volumen correspondiente.

Compatibilidad con FIPS para el protector de contraseñas de

recuperación
La funcionalidad introducida en Windows Server 2012 R2 y Windows 8.1 permite que BitLocker sea totalmente
funcional en modo FIPS.
 NOTE
El estándar federal de procesamiento de información (FIPS) de Estados Unidos define los requisitos de seguridad e
interoperabilidad para los sistemas informáticos utilizados por el Gobierno Federal de ee. UU. El estándar FIPS-140 define
algoritmos criptográficos aprobados. El estándar FIPS-140 también establece los requisitos para la generación de claves y
para la administración de claves. El Instituto Nacional de Estándares y Tecnología (NIST) usa el Programa de validación de
módulos criptográficos (CMVP) para determinar si una implementación determinada de un algoritmo criptográfico es
compatible con el estándar FIPS-140. Una implementación de un algoritmo criptográfico se considera compatible con
FIPS-140 solo si se ha enviado para y ha pasado la validación de NIST. Un algoritmo que no se ha enviado no se puede
considerar compatible con FIPS aunque la implementación genere datos idénticos como una implementación validada del
mismo algoritmo.

Antes de estas versiones compatibles de Windows, cuando Windows estaba en modo FIPS, BitLocker impidió la
creación o el uso de contraseñas de recuperación y, en su lugar, obligó al usuario a usar claves de recuperación.
Para obtener más información sobre estos problemas, consulte el artículo de soporte técnico kb947249.
Pero en equipos que ejecutan estos sistemas compatibles con BitLocker habilitado:
Los protectores de contraseñas de recuperación compatibles con FIPS se pueden crear cuando Windows está
en modo FIPS. Estos protectores usan el algoritmo FIPS-140 NIST SP800-132.
Las contraseñas de recuperación creadas en modo FIPS en Windows 8.1 se pueden distinguir de las
contraseñas de recuperación creadas en otros sistemas.
El desbloqueo de recuperación mediante el protector de contraseñas de recuperación basado en algoritmos
compatible con FIPS funciona en todos los casos que actualmente funcionan para las contraseñas de
recuperación.
Cuando las contraseñas de recuperación compatibles con FIPS desbloquean volúmenes, el volumen se
desbloquea para permitir el acceso de lectura y escritura incluso en el modo FIPS.
Los protectores de contraseñas de recuperación compatibles con FIPS se pueden exportar y almacenar en AD
un tiempo en modo FIPS.
La configuración de directiva de grupo de BitLocker para las contraseñas de recuperación funciona igual para
todas las versiones de Windows que admiten BitLocker, ya sea en modo FIPS o no.
En Windows Server 2012 R2 y Windows 8.1 y versiones anteriores, no se pueden usar contraseñas de
recuperación generadas en un sistema en modo FIPS. Las contraseñas de recuperación creadas en Windows
Server 2012 R2 y Windows 8.1 no son compatibles con BitLocker en sistemas operativos anteriores a Windows
Server 2012 R2 y Windows 8.1. Por lo tanto, las claves de recuperación se deben usar en su lugar.

Más información
Módulo de plataforma segura
Configuración de directiva de grupo del TPM
Preguntas frecuentes de BitLocker
BitLocker
Configuración de las directivas de grupo de BitLocker
Implementación básica de BitLocker
 Comparación de implementación de BitLocker
08/11/2022 • 2 minutes to read

Se aplica a
Windows10
Windows11
Windows Server2016 y superior
En este artículo se describe el gráfico de comparación de implementación de BitLocker.

Gráfico de comparación de implementación de BitLocker

M IC RO SO F T M IC RO SO F T B IT LO C K ER
C O N F IGURAT IO N A DM IN IST RAT IO N A N D
REQ UISITO S M IC RO SO F T IN T UN E M A N A GER M O N ITO RIN G ( M B A M )

Versión mínima del sistema Windows 11 y Windows 10 Windows 11, Windows 10 y Windows 7, Windows 8,
operativo cliente Windows 8.1 Windows 8.1, Windows 10,
Windows 10 IoT y Windows
11

SKU de Windows admitidas Enterprise, Pro, Education Enterprise, Pro, Education Empresa

Versión mínima de 1909 Ninguno Ninguno

Windows

Estado admitido unido a un unido a Azure AD híbrido Unido a Azure AD híbrido Unido a Active Directory
dominio unido a Microsoft Azure unido a Active Directory
Active Directory (Azure AD)

Permisos necesarios para Administrador de seguridad Administrador completo o Acceso de GPO delegado o
administrar directivas de puntos de conexión o personalizado de Administración de
personalizado dominio

En la nube o en el entorno Nube Local Local

local

¿Se requieren componentes

de servidor?

¿Se requiere un agente No (solo inscripción de Configuration Manager Cliente de MBAM

adicional? dispositivos) cliente

Plano administrativo Centro de administración consola de Configuration sitios de MBAM y consola

de Microsoft Endpoint Manager de administración de
Manager directiva de grupo

Se requiere la instalación del

portal administrativo
 M IC RO SO F T M IC RO SO F T B IT LO C K ER
C O N F IGURAT IO N A DM IN IST RAT IO N A N D
REQ UISITO S M IC RO SO F T IN T UN E M A N A GER M O N ITO RIN G ( M B A M )

Funcionalidades de
informes de cumplimiento

Forzar el cifrado

Cifrado de tarjetas de
almacenamiento (móvil)

Permitir contraseña de
recuperación

Administración de la
autenticación de inicio

Selección de la intensidad
del cifrado y algoritmos
para unidades fijas

Selección de la intensidad
del cifrado y algoritmos
para las unidades extraíbles

Selección de la intensidad
del cifrado y algoritmos
para las unidades de
entorno operativo

Ubicación de Azure AD o Active Directory Configuration Manager Base de datos MBAM

almacenamiento de base de datos de sitio
contraseñas de
recuperación estándar

Almacenamiento de la Sí (Active Directory y Azure Sí (solo Active Directory) Sí (solo Active Directory)
contraseña de recuperación AD)
para el sistema operativo y
las unidades fijas en Azure
AD o Active Directory

Personalización del mensaje

de arranque previo y el
vínculo de recuperación

Permitir o denegar la
creación de archivos de
clave

Denegar el permiso de
escritura a unidades
desprotegidas

Se puede administrar fuera

de la red de la empresa
 M IC RO SO F T M IC RO SO F T B IT LO C K ER
C O N F IGURAT IO N A DM IN IST RAT IO N A N D
REQ UISITO S M IC RO SO F T IN T UN E M A N A GER M O N ITO RIN G ( M B A M )

Compatibilidad con
identificadores únicos de la
organización

Recuperación de Sí (a través de Azure AD o

autoservicio Portal de empresa
aplicación)

Rotación de contraseñas de Sí (Windows 10, versión

recuperación para unidades 1909 y posteriores o
de entorno fijo y operativo Windows 11)

Espere a completar el
cifrado hasta que se haga
una copia de seguridad de
la información de
recuperación en Azure AD.

Espere a completar el
cifrado hasta que se haga
una copia de seguridad de
la información de
recuperación en Active
Directory.

Permitir o denegar el
agente de recuperación de
datos

Desbloqueo de un volumen
mediante un certificado con
identificador de objeto
personalizado

Impedir la sobrescritura de
memoria al reiniciar

Configuración de perfiles
personalizados de registro
de la plataforma del módulo
de plataforma segura

Administración de la
funcionalidad de
desbloqueo automático
 Implementación básica de BitLocker
08/11/2022 • 24 minutes to read

Se aplica a
Windows10
Windows11
Windows Server2016 y superior
En este artículo para el profesional de TI se explica cómo se pueden usar las características de BitLocker para
proteger los datos a través del cifrado de unidad.

Uso de BitLocker para cifrar volúmenes

BitLocker proporciona cifrado de volumen completo (FVE) para volúmenes de sistema operativo y unidades de
datos fijas y extraíbles. Para admitir unidades de sistema operativo totalmente cifradas, BitLocker usa una
partición de sistema sin cifrar para los archivos necesarios para arrancar, descifrar y cargar el sistema operativo.
Este volumen se crea automáticamente durante una nueva instalación de sistemas operativos cliente y servidor.
Si la unidad se preparó como un único espacio contiguo, BitLocker requiere un nuevo volumen para contener
los archivos de arranque. [Link] puede crear estos volúmenes.

NOTE
Para obtener más información sobre el uso de esta herramienta, consulte Bdehdcfg en la referencia de Command-Line.

El cifrado de BitLocker se puede realizar mediante los métodos siguientes:

Panel de control de BitLocker
Explorador de Windows
manage-bde interfaz de línea de comandos
Cmdlets de Windows PowerShell de BitLocker
Cifrado de volúmenes mediante el panel de control de BitLocker
Cifrar volúmenes con el panel de control de BitLocker (seleccione Inicio , escriba Bitlocker, seleccione
Administrar BitLocker ) es cuántos usuarios usarán BitLocker. El nombre del panel de control de BitLocker es
Cifrado de unidad BitLocker. El panel de control de BitLocker admite el cifrado del sistema operativo, los datos
fijos y los volúmenes de datos extraíbles. El panel de control de BitLocker organizará las unidades disponibles en
la categoría adecuada en función de cómo se informe el dispositivo a Windows. Solo los volúmenes con
formato con letras de unidad asignadas aparecerán correctamente en el applet del panel de control de BitLocker.
Para iniciar el cifrado de un volumen, seleccione Activar BitLocker para la unidad adecuada para inicializar el
Asistente para cifrado de unidades de BitLocker. Las opciones del Asistente para cifrado de unidad BitLocker
varían según el tipo de volumen (volumen del sistema operativo o volumen de datos).
Volumen del sistema operativo
Cuando se inicia el Asistente para cifrado de unidad BitLocker, comprueba que el equipo cumple los requisitos
del sistema de BitLocker para cifrar un volumen de sistema operativo. De forma predeterminada, los requisitos
del sistema son:
 REQ UISITO S DESC RIP C IÓ N

Configuración de hardware El equipo debe cumplir los requisitos mínimos para las
versiones compatibles de Windows.

Sistema operativo BitLocker es una característica opcional que Administrador

del servidor puede instalar en Windows Server 2012 y
versiones posteriores.

Hardware TPM TPM versión 1.2 o 2.0.

No se requiere un TPM para BitLocker; sin embargo,
solo un equipo con TPM puede proporcionar la
seguridad adicional de la comprobación de la integridad
del sistema previa al inicio y la autenticación multifactor.

Configuración del BIOS Firmware UEFI o BIOS compatible con un grupo de

computación de confianza (TCG).
El orden de arranque debe establecerse para iniciarse
primero desde el disco duro y no desde las unidades USB o
CD.
El firmware debe ser capaz de leer desde una unidad flash
USB durante el inicio.

Sistema de archivos Una partición FAT32 para la unidad del sistema y una
partición NTFS para la unidad del sistema operativo. Esto es
aplicable a los equipos que arrancan de forma nativa con
firmware UEFI.
En el caso de los equipos con firmware de BIOS heredado, al
menos dos particiones de disco NTFS, una para la unidad del
sistema y otra para la unidad del sistema operativo.
Para cualquiera de los firmwares, la partición de unidad del
sistema debe tener al menos 350 megabytes (MB) y
establecerse como partición activa.

Requisitos previos de la unidad cifrada de hardware Para usar una unidad cifrada por hardware como unidad de
(opcional) arranque, la unidad debe estar en estado no inicializado y en
estado inactivo de seguridad. Además, el sistema siempre
debe arrancar con la versión 2.3.1 o posterior de UEFI nativa
y el CSM (si existe) deshabilitado.

Al pasar la configuración inicial, los usuarios deben escribir una contraseña para el volumen. Si el volumen no
pasa la configuración inicial de BitLocker, se muestra al usuario un cuadro de diálogo de error que describe las
acciones adecuadas que se deben realizar. Una vez creada una contraseña segura para el volumen, se generará
una clave de recuperación. El Asistente para cifrado de unidad BitLocker solicitará una ubicación para guardar
esta clave. Una clave de recuperación de BitLocker es una clave especial que puede crear al activar el cifrado de
unidad bitlocker por primera vez en cada unidad que cifre. Puede usar la clave de recuperación para obtener
acceso al equipo si la unidad en la que está instalada Windows (la unidad del sistema operativo) está cifrada
mediante el cifrado de unidad bitlocker y BitLocker detecta una condición que impide que se desbloquee la
unidad cuando se inicia el equipo. También se puede usar una clave de recuperación para obtener acceso a los
archivos y carpetas en una unidad de datos extraíble (como un disco duro externo o una unidad flash USB) que
se cifra mediante BitLocker To Go, si por alguna razón olvida la contraseña o el equipo no puede acceder a la
unidad.
Debe almacenar la clave de recuperación imprimiendola, guardándola en medios extraíbles o guardándola
como un archivo en una carpeta de red o en onedrive o en otra unidad del equipo que no esté cifrando. No se
puede guardar la clave de recuperación en el directorio raíz de una unidad no extraíble y no se puede almacenar
en el volumen cifrado. No se puede guardar la clave de recuperación de una unidad de datos extraíble (como
una unidad flash USB) en medios extraíbles. Lo ideal es almacenar la clave de recuperación independientemente
del equipo. Después de crear una clave de recuperación, puede usar el panel de control de BitLocker para
realizar copias adicionales.
Cifrar solo el espacio en disco usado: cifra solo el espacio en disco que contiene datos.
Cifrar toda la unidad: cifra todo el volumen, incluido el espacio libre.
Se recomienda que las unidades con pocos o ningún dato usen la opción de cifrado solo de espacio en disco
usado y que las unidades con datos o un sistema operativo usen la opción cifrar toda la unidad .

NOTE
Los archivos eliminados aparecen como espacio libre en el sistema de archivos, que no se cifra solo mediante el
espacio en disco usado . Hasta que se borren o sobrescriban, los archivos eliminados contienen información que se
podría recuperar con herramientas forenses de datos comunes.

Al seleccionar un tipo de cifrado y elegir Siguiente , el usuario tendrá la opción de ejecutar una comprobación
del sistema de BitLocker (seleccionada de forma predeterminada) que garantizará que BitLocker pueda acceder
correctamente a las claves de recuperación y cifrado antes de que comience el cifrado del volumen. Se
recomienda ejecutar esta comprobación del sistema antes de iniciar el proceso de cifrado. Si la comprobación
del sistema no se ejecuta y se encuentra un problema cuando el sistema operativo intenta iniciarse, el usuario
deberá proporcionar la clave de recuperación para iniciar Windows.
Después de completar la comprobación del sistema (si está seleccionada), el Asistente para cifrado de unidad
BitLocker reinicia el equipo para comenzar el cifrado. Tras el reinicio, los usuarios deben escribir la contraseña
elegida para arrancar en el volumen del sistema operativo. Los usuarios pueden comprobar el estado del cifrado
comprobando el área de notificación del sistema o el panel de control de BitLocker.
Hasta que se complete el cifrado, las únicas opciones disponibles para administrar BitLocker implican la
manipulación de la contraseña que protege el volumen del sistema operativo, la copia de seguridad de la clave
de recuperación y la desactivación de BitLocker.
Volumen de datos
El cifrado de volúmenes de datos mediante la interfaz del panel de control de BitLocker funciona de forma
similar al cifrado de los volúmenes del sistema operativo. Los usuarios seleccionan Activar BitLocker en el
panel de control para iniciar el Asistente para cifrado de unidad BitLocker. A diferencia de los volúmenes del
sistema operativo, no es necesario que los volúmenes de datos pasen ninguna prueba de configuración para
que el asistente continúe. Al iniciar el asistente, aparece una selección de métodos de autenticación para
desbloquear la unidad. Las opciones disponibles son la contraseña y la tarjeta inteligente y desbloquean
automáticamente esta unidad en este equipo . Deshabilitada de forma predeterminada, esta última opción
desbloqueará el volumen de datos sin la entrada del usuario cuando se desbloquee el volumen del sistema
operativo.
Después de seleccionar el método de autenticación deseado y elegir Siguiente , el asistente presenta opciones
para el almacenamiento de la clave de recuperación. Estas opciones son las mismas que para los volúmenes del
sistema operativo. Con la clave de recuperación guardada, al seleccionar Siguiente en el asistente se mostrarán
las opciones disponibles para el cifrado. Estas opciones son las mismas que para los volúmenes del sistema
operativo; solo espacio en disco usado y cifrado de unidad completa . Si el volumen cifrado es nuevo o
está vacío, se recomienda seleccionar solo el cifrado de espacio usado.
Con un método de cifrado elegido, se muestra una pantalla de confirmación final antes de que comience el
proceso de cifrado. Al seleccionar Iniciar cifrado , comienza el cifrado.
El estado de cifrado se muestra en el área de notificación o en el panel de control de BitLocker.
Opción de OneDrive
Hay una nueva opción para almacenar la clave de recuperación de BitLocker mediante OneDrive. Esta opción
requiere que los equipos no sean miembros de un dominio y que el usuario use una cuenta microsoft. Las
cuentas locales no ofrecen la opción de usar OneDrive. El uso de la opción OneDrive es el método de
almacenamiento de clave de recuperación recomendado predeterminado para los equipos que no están unidos
a un dominio.
Los usuarios pueden comprobar si la clave de recuperación se guardó correctamente comprobando su instancia
de OneDrive para la carpeta BitLocker que se crea automáticamente durante el proceso de guardado. La carpeta
contendrá dos archivos, un [Link] y la clave de recuperación. Para los usuarios que almacenan más de una
contraseña de recuperación en su OneDrive, pueden identificar la clave de recuperación necesaria examinando
el nombre de archivo. El identificador de clave de recuperación se anexa al final del nombre de archivo.
Uso de BitLocker en el Explorador de Windows
El Explorador de Windows permite a los usuarios iniciar el Asistente para cifrado de unidad BitLocker haciendo
clic con el botón derecho en un volumen y seleccionando Activar BitLocker . Esta opción está disponible en los
equipos cliente de forma predeterminada. En los servidores, primero debe instalar BitLocker y Desktop-
Experience características para que esta opción esté disponible. Después de seleccionar Activar BitLocker , el
asistente funciona exactamente igual que cuando se inicia mediante el panel de control de BitLocker.

Compatibilidad de nivel inferior

En la tabla siguiente se muestra la matriz de compatibilidad de los sistemas que han sido habilitados para
BitLocker y, a continuación, se presentan a una versión diferente de Windows.
Tabla 1: Compatibilidad cruzada para volúmenes cifrados de Windows 11, Windows 10, Windows 8.1, Windows
8 y Windows 7

W IN DO W S 11, W IN DO W S 10
T IP O DE C IF RA DO Y W IN DO W S 8. 1 W IN DO W S 8 W IN DO W S 7

Totalmente cifrado en Se presenta como N/D Se presenta como

Windows 8 totalmente cifrado totalmente cifrado

Espacio en disco usado Solo Se presenta como cifrado N/D Se presenta como
se cifra en Windows 8 en escritura totalmente cifrado

Volumen totalmente cifrado Se presenta como Se presenta como N/D

de Windows 7 totalmente cifrado totalmente cifrado

Volumen parcialmente Windows 11, Windows 10 y Windows 8 completará el N/D

cifrado de Windows 7 Windows 8.1 completarán cifrado independientemente
el cifrado de la directiva
independientemente de la
directiva

Cifrado de volúmenes mediante la interfaz de línea de comandos

manage-bde
Manage-bde es una utilidad de línea de comandos que se puede usar para scripting de operaciones de
BitLocker. Manage-bde ofrece opciones adicionales que no se muestran en el panel de control de BitLocker. Para
obtener una lista completa de las opciones, consulte Manage-bde.
Manage-bde ofrece una multitud de opciones más amplias para configurar BitLocker. Por lo tanto, el uso de la
sintaxis de comandos puede requerir cuidado y posiblemente una personalización posterior por parte del
usuario. Por ejemplo, el uso de solo el manage-bde -on comando en un volumen de datos cifrará completamente
el volumen sin ningún protector de autenticación. Un volumen cifrado de esta manera todavía requiere la
interacción del usuario para activar la protección de BitLocker, aunque el comando se haya completado
correctamente porque es necesario agregar un método de autenticación al volumen para que esté totalmente
protegido.
Los usuarios de la línea de comandos deben determinar la sintaxis adecuada para una situación determinada. En
la sección siguiente se trata el cifrado general para volúmenes de sistema operativo y volúmenes de datos.
Volumen del sistema operativo
A continuación se muestran ejemplos de comandos válidos básicos para los volúmenes del sistema operativo.
En general, el uso solo del manage-bde -on <drive letter> comando cifra el volumen del sistema operativo con
un protector de solo TPM y sin clave de recuperación. Sin embargo, muchos entornos requieren protectores
más seguros, como contraseñas o PIN, y esperan poder recuperar información con una clave de recuperación.
Determinación del estado del volumen
Una buena práctica cuando se usa manage-bde es determinar el estado del volumen en el sistema de destino.
Use el siguiente comando para determinar el estado del volumen:
manage-bde -status

Este comando devuelve los volúmenes del destino, el estado de cifrado actual y el tipo de volumen (sistema
operativo o datos) de cada volumen. Con esta información, los usuarios pueden determinar el mejor método de
cifrado para su entorno.
Habilitación de BitLocker sin TPM
Por ejemplo, supongamos que desea habilitar BitLocker en un equipo sin un chip TPM. Para habilitar
correctamente BitLocker para el volumen del sistema operativo, deberá usar una unidad flash USB como clave
de inicio (en este ejemplo, la letra de unidad E). Primero crearía la clave de inicio necesaria para BitLocker
mediante la opción –protectores y la guardaría en la unidad USB en E: y, a continuación, comenzaría el proceso
de cifrado. Tendrá que reiniciar el equipo cuando se le pida que complete el proceso de cifrado.

manage-bde –protectors -add C: -startupkey E:

manage-bde -on C:

Habilitación de BitLocker solo con un TPM

Es posible cifrar el volumen del sistema operativo sin ningún protector definido mediante manage-bde. Use este
comando:
manage-bde -on C:

Esto cifrará la unidad mediante tpm como protector. Si los usuarios no están seguros del protector de un
volumen, pueden usar la opción -protectores en manage-bde para enumerar esta información ejecutando el
siguiente comando:
manage-bde -protectors -get <volume>

Aprovisionamiento de BitLocker con dos protectores

Otro ejemplo es un usuario de un hardware que no es tpm que desea agregar una contraseña y un protector
basado en SID al volumen del sistema operativo. En esta instancia, el usuario agrega primero los protectores.
Esto se hace con el comando :
manage-bde -protectors -add C: -pw -sid <user or group>

Este comando requiere que el usuario escriba y, a continuación, confirme los protectores de contraseña antes de
agregarlos al volumen. Con los protectores habilitados en el volumen, el usuario solo necesita activar BitLocker.
Volumen de datos
Los volúmenes de datos usan la misma sintaxis para el cifrado que los volúmenes del sistema operativo, pero
no requieren protectores para que se complete la operación. El cifrado de volúmenes de datos se puede realizar
mediante el comando base: manage-bde -on <drive letter> o los usuarios pueden elegir agregar protectores al
volumen. Se recomienda agregar al menos un protector principal y un protector de recuperación a un volumen
de datos.
Habilitación de BitLocker con una contraseña
Un protector común para un volumen de datos es el protector de contraseñas. En el ejemplo siguiente,
agregamos un protector de contraseña al volumen y activamos BitLocker.

manage-bde -protectors -add -pw C:

manage-bde -on C:

Cifrado de volúmenes mediante los cmdlets de Windows PowerShell

de BitLocker
Windows PowerShell cmdlets proporcionan una manera alternativa de trabajar con BitLocker. Con las
funcionalidades de scripting de Windows PowerShell, los administradores pueden integrar las opciones de
BitLocker en scripts existentes con facilidad. En la lista siguiente se muestran los cmdlets de BitLocker
disponibles.

N O M B RE PA RA M ET ERS

Add-BitLockerKeyProtector ADAccountOrGroup
ADAccountOrGroupProtector
Confirmar
Mountpoint
Contraseña
PasswordProtector
Anclar
RecoveryKeyPath
RecoveryKeyProtector
RecoveryPassword
RecoveryPasswordProtector
Servicio
StartupKeyPath
StartupKeyProtector
TpmAndPinAndStartupKeyProtector
TpmAndPinProtector
TpmAndStartupKeyProtector
TpmProtector
WhatIf

Backup-BitLockerKeyProtector Confirmar
KeyProtectorId
Mountpoint
WhatIf

Disable-BitLocker Confirmar
Mountpoint
WhatIf
N O M B RE PA RA M ET ERS

Disable-BitLockerAutoUnlock Confirmar
Mountpoint
WhatIf

Enable-BitLocker AdAccountOrGroup
AdAccountOrGroupProtector
Confirmar
EncryptionMethod
HardwareEncryption
Contraseña
PasswordProtector
Anclar
RecoveryKeyPath
RecoveryKeyProtector
RecoveryPassword
RecoveryPasswordProtector
Servicio
SkipHardwareTest
StartupKeyPath
StartupKeyProtector
TpmAndPinAndStartupKeyProtector
TpmAndPinProtector
TpmAndStartupKeyProtector
TpmProtector
UsedSpaceOnly
WhatIf

Enable-BitLockerAutoUnlock Confirmar
Mountpoint
WhatIf

Get-BitLockerVolume Mountpoint

Lock-BitLocker Confirmar
ForceDismount
Mountpoint
WhatIf

Remove-BitLockerKeyProtector Confirmar
KeyProtectorId
Mountpoint
WhatIf

Resume-BitLocker Confirmar
Mountpoint
WhatIf

Suspend-BitLocker Confirmar
Mountpoint
RebootCount
WhatIf
 N O M B RE PA RA M ET ERS

Unlock-BitLocker AdAccountOrGroup
Confirmar
Mountpoint
Contraseña
RecoveryKeyPath
RecoveryPassword
RecoveryPassword
WhatIf

De forma similar a manage-bde, los cmdlets de Windows PowerShell permiten la configuración más allá de las
opciones que se ofrecen en el panel de control. Al igual que con manage-bde, los usuarios deben tener en
cuenta las necesidades específicas del volumen que cifran antes de ejecutar cmdlets de Windows PowerShell.
Un buen paso inicial es determinar el estado actual de los volúmenes en el equipo. Puede hacerlo mediante el
cmdlet de Get-BitLocker volumen. La salida de este cmdlet muestra información sobre el tipo de volumen, los
protectores, el estado de protección y otra información útil.
En ocasiones, es posible que no se muestren todos los protectores al usar Get-BitLockerVolume debido a la
falta de espacio en la pantalla de salida. Si no ve todos los protectores de un volumen, puede usar el comando
de canalización de Windows PowerShell (|) para dar formato a una lista de los protectores.

NOTE
En el caso de que haya más de cuatro protectores para un volumen, el comando de canalización puede que se quede sin
espacio para mostrar. Para volúmenes con más de cuatro protectores, use el método descrito en la sección siguiente para
generar una lista de todos los protectores con identificador de protector.

Get-BitLockerVolume C: | fl

Si desea quitar los protectores existentes antes de aprovisionar BitLocker en el volumen, puede usar el
Remove-BitLockerKeyProtector cmdlet . Para ello, es necesario quitar el GUID asociado al protector. Un script
simple puede canalizar los valores de cada valor de Get-BitLockerVolume a otra variable como se muestra a
continuación:

$vol = Get-BitLockerVolume
$keyprotectors = $[Link]

Con este script, podemos mostrar la información en la variable $keyprotectors para determinar el GUID de
cada protector. Con esta información, podemos quitar el protector de clave de un volumen específico mediante
el comando :

Remove-BitLockerKeyProtector <volume>: -KeyProtectorID "{GUID}"

NOTE
El cmdlet bitlocker requiere que se ejecute el GUID del protector de claves (entre comillas). Asegúrese de que todo el
GUID, con llaves, se incluye en el comando .

Volumen del sistema operativo

El uso de los cmdlets de Windows PowerShell de BitLocker es similar a trabajar con la herramienta manage-bde
para cifrar los volúmenes del sistema operativo. Windows PowerShell ofrece a los usuarios una gran flexibilidad.
Por ejemplo, los usuarios pueden agregar el protector deseado como comando part para cifrar el volumen. A
continuación se muestran ejemplos de escenarios de usuario comunes y pasos para realizarlos mediante los
cmdlets de BitLocker para Windows PowerShell.
Para habilitar BitLocker solo con el protector de TPM, use este comando:

Enable-BitLocker C:

En el ejemplo siguiente se agrega un protector adicional, los protectores StartupKey, y se elige omitir la prueba
de hardware de BitLocker. En este ejemplo, el cifrado se inicia inmediatamente sin necesidad de reiniciar.

Enable-BitLocker C: -StartupKeyProtector -StartupKeyPath <path> -SkipHardwareTest

Volumen de datos
El cifrado de volúmenes de datos mediante Windows PowerShell es el mismo que para los volúmenes del
sistema operativo. Debe agregar los protectores deseados antes de cifrar el volumen. En el ejemplo siguiente se
agrega un protector de contraseña al volumen E: mediante la variable $pw como contraseña. La variable $pw se
mantiene como un valor SecureString para almacenar la contraseña definida por el usuario. Por último,
comienza el cifrado.

$pw = Read-Host -AsSecureString

<user inputs password>
Enable-BitLockerKeyProtector E: -PasswordProtector -Password $pw

Uso de un protector basado en SID en Windows PowerShell

El protector ADAccountOrGroup es un protector basado en SID de Active Directory. Este protector se puede
agregar tanto al sistema operativo como a los volúmenes de datos, aunque no desbloquea los volúmenes del
sistema operativo en el entorno previo al arranque. El protector requiere el SID para que la cuenta de dominio o
el grupo se vinculen con el protector. BitLocker puede proteger un disco compatible con el clúster agregando un
protector basado en SID para el objeto de nombre de clúster (CNO) que permite que el disco conmuta por error
correctamente y se desbloquee en cualquier equipo miembro del clúster.

WARNING
El protector basado en SID requiere el uso de un protector adicional (como TPM, PIN, clave de recuperación, etc.) cuando
se usa en volúmenes del sistema operativo.

Para agregar un protector ADAccountOrGroup a un volumen, necesita el SID de dominio real o el nombre de
grupo precedido por el dominio y una barra diagonal inversa. En el ejemplo siguiente, la cuenta
CONTOSO\Administrator se agrega como protector al volumen de datos G.

Enable-BitLocker G: -AdAccountOrGroupProtector -AdAccountOrGroup CONTOSO\Administrator

Para los usuarios que desean usar el SID para la cuenta o el grupo, el primer paso es determinar el SID asociado
a la cuenta. Para obtener el SID específico de una cuenta de usuario en Windows PowerShell, use el siguiente
comando:

Get-ADUser -filter {samaccountname -eq "administrator"}

 NOTE
El uso de este comando requiere la característica RSAT-AD-PowerShell.

TIP
Además del comando Windows PowerShell anterior, puede encontrar información sobre la pertenencia al usuario y al
grupo que ha iniciado sesión localmente mediante: WHOAMI /ALL. Esto no requiere el uso de características adicionales.

En el ejemplo siguiente, el usuario desea agregar un protector basado en SID de dominio al volumen del
sistema operativo cifrado anteriormente. El usuario conoce el SID de la cuenta de usuario o grupo que desea
agregar y usa el siguiente comando:

Add-BitLockerKeyProtector C: -ADAccountOrGroupProtector -ADAccountOrGroup "<SID>"

NOTE
Los protectores basados en Active Directory se usan normalmente para desbloquear volúmenes habilitados para clústeres
de conmutación por error.

Comprobación del estado de BitLocker

Para comprobar el estado de BitLocker de un volumen determinado, los administradores pueden examinar el
estado de la unidad en el applet del panel de control de BitLocker, el Explorador de Windows, la herramienta de
línea de comandos manage-bde o Windows PowerShell cmdlets. Cada opción ofrece diferentes niveles de
detalle y facilidad de uso. Examinaremos cada uno de los métodos disponibles en la sección siguiente.
Comprobación del estado de BitLocker con el panel de control
Comprobar el estado de BitLocker con el panel de control es el método más común que usan la mayoría de los
usuarios. Una vez abierto, el estado de cada volumen se muestra junto a la descripción del volumen y la letra de
unidad. Los valores devueltos de estado disponibles con el panel de control incluyen:

ESTA DO DESC RIP C IÓ N

Activado BitLocker está habilitado para el volumen

Desactivado BitLocker no está habilitado para el volumen

Suspended BitLocker se suspende y no protege activamente el volumen

Esperando activación BitLocker está habilitado con una clave de protector clara y
requiere una acción adicional para estar totalmente
protegido.

Si una unidad se aprovisiona previamente con BitLocker, se muestra un estado de "Esperando activación" con un
icono de exclamación amarillo en el volumen. Este estado significa que solo se usó un protector claro al cifrar el
volumen. En este caso, el volumen no está en un estado protegido y debe tener una clave segura agregada al
volumen antes de que la unidad esté totalmente protegida. Los administradores pueden usar el panel de
control, la herramienta manage-bde o las API wmi para agregar un protector de clave adecuado. Una vez
completado, el panel de control se actualizará para reflejar el nuevo estado.
Con el panel de control, los administradores pueden elegir Activar BitLocker para iniciar el Asistente para
cifrado de unidades de BitLocker y agregar un protector, como el PIN para un volumen del sistema operativo (o
la contraseña si no existe tpm), o un protector de contraseña o tarjeta inteligente a un volumen de datos. La
ventana de seguridad de la unidad se muestra antes de cambiar el estado del volumen. Al seleccionar Activar
BitLocker , se completará el proceso de cifrado.
Una vez completada la activación del protector de BitLocker, se muestra el aviso de finalización.
Comprobación del estado de BitLocker con manage -bde
Los administradores que prefieren una interfaz de línea de comandos pueden usar manage-bde para
comprobar el estado del volumen. Manage-bde es capaz de devolver más información sobre el volumen que las
herramientas gráficas de la interfaz de usuario en el panel de control. Por ejemplo, manage-bde puede mostrar
la versión de BitLocker en uso, el tipo de cifrado y los protectores asociados a un volumen.
Para comprobar el estado de un volumen mediante manage-bde, use el siguiente comando:

manage-bde -status <volume>

NOTE
Si no hay ninguna letra de volumen asociada al comando -status, todos los volúmenes del equipo muestran su estado.

Comprobación del estado de BitLocker con Windows PowerShell

Windows PowerShell comandos ofrecen otra manera de consultar el estado de BitLocker para los volúmenes. Al
igual que manage-bde, Windows PowerShell incluye la ventaja de poder comprobar el estado de un volumen en
un equipo remoto.
Con el cmdlet Get-BitLockerVolume, cada volumen del sistema muestra su estado actual de BitLocker. Para
obtener información más detallada sobre un volumen específico, use el siguiente comando:

Get-BitLockerVolume <volume> -Verbose | fl

Este comando muestra información sobre el método de cifrado, el tipo de volumen, los protectores de clave, etc.
Aprovisionamiento de BitLocker durante la implementación del sistema operativo
Los administradores pueden habilitar BitLocker antes de la implementación del sistema operativo desde el
entorno de preinstalación de Windows. Esto se hace con un protector de clave clara generado aleatoriamente
aplicado al volumen con formato y mediante el cifrado del volumen antes de ejecutar el proceso de instalación
de Windows. Si el cifrado usa la opción Solo espacio en disco usado que se describe más adelante en este
documento, este paso tarda solo unos segundos y se incorpora bien a los procesos de implementación
normales.
Descifrado de volúmenes de BitLocker
Al descifrar volúmenes, se quita BitLocker y los protectores asociados de los volúmenes. El descifrado debe
producirse cuando ya no se requiere protección. El descifrado de BitLocker no debe producirse como un paso de
solución de problemas. BitLocker se puede quitar de un volumen mediante los cmdlets applet, manage-bde o
Windows PowerShell del panel de control de BitLocker. Analizaremos cada método más adelante.
Descifrado de volúmenes mediante el applet del panel de control de BitLocker
El descifrado de BitLocker mediante el panel de control se realiza mediante un asistente. Se puede llamar al
panel de control desde el Explorador de Windows o abrirlo directamente. Después de abrir el panel de control
de BitLocker, los usuarios seleccionarán la opción Desactivar BitLocker para comenzar el proceso. Después de
seleccionar la opción Desactivar BitLocker , el usuario elige continuar haciendo clic en el cuadro de diálogo de
confirmación. Con Desactivar BitLocker confirmado, comienza el proceso de descifrado de la unidad y notifica
el estado al panel de control.
El panel de control no notifica el progreso del descifrado, pero lo muestra en el área de notificación de la barra
de tareas. Al seleccionar el icono del área de notificación, se abrirá un cuadro de diálogo modal con progreso.
Una vez completado el descifrado, la unidad actualiza su estado en el panel de control y está disponible para el
cifrado.
Descifrado de volúmenes mediante la interfaz de línea de comandos manage -bde
Descifrar volúmenes mediante manage-bde es sencillo. El descifrado con manage-bde ofrece la ventaja de no
requerir confirmación del usuario para iniciar el proceso. Manage-bde usa el comando -off para iniciar el
proceso de descifrado. Un comando de ejemplo para el descifrado es:

manage-bde -off C:

Este comando deshabilita los protectores mientras descifra el volumen y quita todos los protectores cuando se
completa el descifrado. Si los usuarios desean comprobar el estado del descifrado, pueden usar el siguiente
comando:

manage-bde -status C:

Descifrado de volúmenes mediante los cmdlets de Windows PowerShell de BitLocker

El descifrado con cmdlets de Windows PowerShell es sencillo, similar a manage-bde. Windows PowerShell
ofrece la capacidad de descifrar varias unidades en un solo paso. En el ejemplo siguiente, el usuario tiene tres
volúmenes cifrados, que desea descifrar.
Con el comando Disable-BitLocker, pueden quitar todos los protectores y el cifrado al mismo tiempo sin
necesidad de más comandos. Un ejemplo de este comando es:

Disable-BitLocker

Si un usuario no quería introducir cada punto de montaje individualmente, el uso del -MountPoint parámetro
en una matriz puede secuenciar el mismo comando en una línea sin necesidad de una entrada adicional del
usuario. Un comando de ejemplo es:

Disable-BitLocker -MountPoint E:,F:,G:

Ver también
Preparar la organización para BitLocker: planificación y directivas
Guía de recuperación de BitLocker
BitLocker: Cómo habilitar el desbloqueo en red
Introducción a BitLocker
 BitLocker: cómo implementarlo en Windows Server
2012 y versiones posteriores
08/11/2022 • 5 minutes to read

Se aplica a: Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019

En este artículo se explica cómo implementar BitLocker en Windows Server 2012 y versiones posteriores. Para
todas las ediciones de Windows Server, BitLocker se puede instalar mediante cmdlets de Administrador del
servidor o Windows PowerShell. BitLocker requiere privilegios de administrador en el servidor en el que se va a
instalar.

Instalación de BitLocker
Para instalar BitLocker mediante el administrador del servidor
1. Abra el administrador del servidor seleccionando el icono del administrador del servidor o ejecutando
[Link].
2. Seleccione Administrar en la barra de navegación de Administrador del ser vidor y seleccione
Agregar roles y características para iniciar el Asistente para agregar roles y características.
3. Con el Asistente para agregar roles y características abierto, seleccione Siguiente en el panel Antes
de comenzar (si se muestra).
4. Seleccione Instalación basada en rol o basada en características en el panel Tipo de instalación
del Asistente para agregar roles y características y seleccione Siguiente para continuar.
5. Seleccione la opción Seleccionar un ser vidor del grupo de ser vidores en el panel Selección de
servidor y confirme el servidor en el que se va a instalar la característica BitLocker.
6. Seleccione Siguiente en el panel Roles de ser vidor del Asistente para agregar roles y
características para continuar con el panel Características . Nota : Los roles y características del
servidor se instalan mediante el mismo asistente en Administrador del servidor.
7. Active la casilla situada junto a Cifrado de unidad bitLocker en el panel Características del Asistente
para agregar roles y características . El asistente muestra las características de administración
adicionales disponibles para BitLocker. Si no desea instalar estas características, anule la selección de
**Incluir herramientas de administración ** y seleccione Agregar características . Una vez completada
la selección de características opcionales, seleccione Siguiente para continuar en el asistente.

Nota: La característica Almacenamiento mejorado es una característica necesaria para habilitar

BitLocker. Esta característica permite la compatibilidad con unidades de disco duro cifradas en
sistemas compatibles.

8. Seleccione Instalar en el panel Confirmación del Asistente para agregar roles y características para
iniciar la instalación de características de BitLocker. La característica BitLocker requiere un reinicio para
que se complete su instalación. Al seleccionar la opción Reiniciar automáticamente el ser vidor de
destino si es necesario en el panel Confirmación , se fuerza un reinicio del equipo una vez
completada la instalación.
9. Si la casilla Reiniciar el ser vidor de destino automáticamente si es necesario no está
 seleccionada, el panel Resultados del Asistente para agregar roles y características muestra el éxito
o error de la instalación de la característica de BitLocker. Si es necesario, se mostrará en el texto de los
resultados una notificación de otra acción necesaria para completar la instalación de la característica,
como el reinicio del equipo.
Para instalar BitLocker mediante Windows PowerShell
Windows PowerShell ofrece a los administradores otra opción para la instalación de características de BitLocker.
Windows PowerShell instala características mediante el servermanager módulo o dism ; sin embargo, los
servermanager módulos y dism no siempre comparten paridad de nombres de característica. Por este motivo,
es aconsejable confirmar el nombre de la característica o el rol antes de la instalación.

Nota: Debe reiniciar el servidor para completar la instalación de BitLocker.

Uso del módulo servermanager para instalar BitLocker

El servermanager módulo Windows PowerShell puede usar o Install-WindowsFeature Add-WindowsFeature para
instalar la característica BitLocker. El Add-WindowsFeature cmdlet es simplemente un código auxiliar de
Install-WindowsFeature . En este ejemplo se usa el Install-WindowsFeature cmdlet . El nombre de la
característica de BitLocker en el servermanager módulo es BitLocker .
De forma predeterminada, la instalación de características en Windows PowerShell no incluye sub-
características o herramientas de administración opcionales como parte del proceso de instalación. Esto se
puede ver mediante la -WhatIf opción en Windows PowerShell.

Install-WindowsFeature BitLocker -WhatIf

Los resultados de este comando muestran que solo se instala la característica cifrado de unidad BitLocker
mediante este comando.
Para ver lo que se instalaría con la característica BitLocker, incluidas todas las herramientas de administración y
sub-características disponibles, use el siguiente comando:

Install-WindowsFeature BitLocker -IncludeAllSubFeature -IncludeManagementTools -WhatIf | fl

El resultado de este comando muestra la siguiente lista de todas las herramientas de administración de
BitLocker, que se instalarían junto con la característica, incluidas las herramientas para su uso con Servicios de
dominio de Active Directory (AD DS) y Active Directory Lightweight Directory Services (AD LDS).
Cifrado de unidad BitLocker
Herramientas de cifrado de unidad BitLocker
Utilidades de administración de cifrado de unidad BitLocker
Visor de contraseñas de recuperación de BitLocker
Herramientas de Snap-Ins y Command-Line de AD DS
Herramientas de AD DS
Herramientas de AD DS y AD LDS
El comando para completar una instalación completa de la característica de BitLocker con todas las sub-
características disponibles y, a continuación, reiniciar el servidor al finalizar es:

Install-WindowsFeature BitLocker -IncludeAllSubFeature -IncludeManagementTools -Restart

Impor tante: La instalación de la característica BitLocker mediante Windows PowerShell no instala la

 característica Almacenamiento mejorado. Los administradores que deseen admitir unidades de disco duro
cifradas en su entorno tendrán que instalar la característica Almacenamiento mejorado por separado.

Uso del módulo dism para instalar BitLocker

El dism módulo Windows PowerShell usa el Enable-WindowsOptionalFeature cmdlet para instalar características.
El nombre de la característica de BitLocker para BitLocker es BitLocker . El dism módulo no admite caracteres
comodín al buscar nombres de características. Para enumerar los nombres de características del dism módulo,
use el Get-WindowsOptionalFeatures cmdlet . El siguiente comando enumerará todas las características
opcionales de un sistema operativo en línea (en ejecución).

Get-WindowsOptionalFeature -Online | ft

En esta salida, podemos ver que hay tres nombres de características opcionales relacionados con BitLocker:
BitLocker, BitLocker-Utilities y BitLocker-NetworkUnlock. Para instalar la característica de BitLocker, las
características de BitLocker y BitLocker-Utilities son los únicos elementos necesarios.
Para instalar BitLocker mediante el dism módulo, use el siguiente comando:

Enable-WindowsOptionalFeature -Online -FeatureName BitLocker -All

Este comando solicita al usuario un reinicio. El cmdlet Enable-WindowsOptionalFeature no ofrece

compatibilidad para forzar un reinicio del equipo. Este comando no incluye la instalación de las herramientas de
administración de BitLocker. Para una instalación completa de BitLocker y todas las herramientas de
administración disponibles, use el siguiente comando:

Enable-WindowsOptionalFeature -Online -FeatureName BitLocker, BitLocker-Utilities -All

Más información
Introducción a BitLocker
Preguntas más frecuentes (P+F) de BitLocker
Prepara tu organización para BitLocker: planificación y directivas
BitLocker: Cómo habilitar el desbloqueo en red
 Administración de BitLocker para empresas
08/11/2022 • 6 minutes to read

La solución ideal para la administración de BitLocker es eliminar la necesidad de que los administradores de TI
establezcan directivas de administración mediante herramientas u otros mecanismos haciendo que Windows
realice tareas más prácticas para automatizar. Esta visión aprovecha los desarrollos modernos de hardware. El
crecimiento de TPM 2.0, el arranque seguro y otras mejoras de hardware, por ejemplo, han ayudado a aliviar la
carga de soporte técnico en el departamento de soporte técnico, y estamos viendo una consiguiente
disminución en los volúmenes de llamadas de soporte técnico, lo que produce una mayor satisfacción del
usuario. Windows sigue siendo el foco de las nuevas características y mejoras para la administración de cifrado
integrada, como habilitar automáticamente el cifrado en dispositivos que admiten el modo de espera moderno
a partir de Windows 8.1.
Aunque se ha publicado mucha documentación de Windows BitLocker, los clientes suelen pedir
recomendaciones y punteros a documentación específica orientada a tareas que es fácil de digerir y centrada en
cómo implementar y administrar BitLocker. En este artículo se vinculan a la documentación, los productos y los
servicios pertinentes para ayudar a responder a esta y otras preguntas más frecuentes relacionadas, y también
se proporcionan recomendaciones de BitLocker para diferentes tipos de equipos.

IMPORTANT
Las funcionalidades de administración y supervisión de Microsoft BitLocker (MBAM) se ofrecerán desde ConfigMgr en
escenarios locales en el futuro.

Administración de equipos unidos a un dominio y traslado a la nube

Las empresas que crean imágenes de sus propios equipos mediante Configuration Manager pueden usar una
secuencia de tareas existente para aprovisionar previamente el cifrado de BitLocker mientras se encuentra en el
entorno de preinstalación de Windows (WinPE) y, a continuación, pueden habilitar la protección. Esto puede
ayudar a garantizar que los equipos se cifran desde el principio, incluso antes de que los usuarios los reciban.
Como parte del proceso de creación de imágenes, una empresa también podría decidir usar Configuration
Manager para establecer previamente cualquier directiva de grupo de BitLocker deseada.
Las empresas pueden usar Microsoft BitLocker Administration and Monitoring (MBAM) para administrar
equipos cliente con BitLocker unidos a un dominio local hasta que finalice el soporte técnico estándar en julio de
2019 o puedan recibir soporte extendido hasta abril de 2026. Por lo tanto, en los próximos años, una buena
estrategia para las empresas será planear y pasar a la administración basada en la nube para BitLocker. Consulte
los ejemplos de PowerShell para ver cómo almacenar claves de recuperación en Azure Active Directory (Azure
AD).

Administración de dispositivos unidos a Azure Active Directory

Los dispositivos unidos a Azure AD se administran mediante la directiva de mobile Administración de
dispositivos (MDM) desde una solución MDM, como Microsoft Intune. Sin Windows 10, versión 1809 o
Windows 11, solo los administradores locales pueden habilitar BitLocker a través de Intune directiva. A partir de
Windows 10, versión 1809 o Windows 11, Intune puede habilitar BitLocker para los usuarios estándar. El estado
de Cifrado de dispositivos BitLocker se puede consultar desde máquinas administradas a través del Proveedor
de configuración de directivas (CSP), que informa de si el cifrado de dispositivos BitLocker está habilitado en el
dispositivo. El cumplimiento de la política de cifrado de dispositivo de BitLocker puede ser un requisito para
Acceso condicional para servicios como Exchange Online y SharePoint Online.
A partir de Windows 10 versión 1703 (también conocida como Windows Creators Update) o Windows 11, la
habilitación de BitLocker se puede desencadenar a través de MDM mediante el CSP de directiva o el CSP de
BitLocker. El CSP de BitLocker agrega opciones de directiva que van más allá de asegurarse de que se ha
producido el cifrado y está disponible en equipos que ejecutan Windows 11, Windows 10 y en teléfonos
Windows.
En el caso del hardware compatible con Modern Standby y HSTI, al usar cualquiera de estas características, el
cifrado de dispositivos BitLocker se activa automáticamente cada vez que el usuario une un dispositivo a Azure
AD. Azure AD proporciona un portal en el que también se realizan copias de seguridad de las claves de
recuperación, para que los usuarios puedan recuperar su propia clave de recuperación para autoservicio, si es
necesario. En el caso de los dispositivos anteriores que aún no están cifrados, a partir de Windows 10 versión
1703 (el Windows 10 Creators Update) o Windows 11, los administradores pueden usar el CSP de BitLocker
para desencadenar el cifrado y almacenar la clave de recuperación en Azure AD.
Esto también se aplica a Azure Hybrid AD.

Administración de equipos y teléfonos unidos al área de trabajo

En el caso de los equipos Windows y teléfonos Windows inscritos mediante La conexión a una cuenta
profesional o educativa , El cifrado de dispositivos BitLocker se administra a través de MDM, igual que los
dispositivos unidos a Azure AD.

Administración de servidores
A menudo, los servidores se instalan, configuran e implementan mediante PowerShell; por lo tanto, la
recomendación es también usar PowerShell para habilitar BitLocker en un servidor, idealmente como parte de
la configuración inicial. BitLocker es un componente opcional (OC) en Windows Server; por lo tanto, siga las
instrucciones de BitLocker: Cómo implementar en Windows Server 2012 y versiones posteriores para agregar
el OC de BitLocker.
La interfaz mínima de servidor es un requisito previo para algunas de las herramientas de administración de
BitLocker. En una instalación de Server Core, primero debes agregar los componentes de GUI necesarios. Los
pasos para agregar componentes de shell a Server Core se describen en Usar características a petición con
sistemas actualizados e imágenes revisadas y Cómo actualizar medios de origen locales para agregar roles y
características.
Si estás instalando un servidor manualmente, como un servidor independiente, elegir Servidor con Experiencia
de escritorio es la manera más sencilla porque puede evitar realizar los pasos para agregar una GUI a Server
Core.
Además, los centros de datos que apagan las luces pueden aprovechar la seguridad mejorada de un segundo
factor, a la vez que evitan la necesidad de intervención del usuario durante los reinicios si, opcionalmente, usan
una combinación de BitLocker (TPM+PIN) y Desbloqueo de red de BitLocker. El desbloqueo de BitLocker en red
reúne lo mejor de la protección del hardware, la dependencia de ubicación y el desbloqueo automático,
mientras está en la ubicación de confianza. Para conocer los pasos de configuración, consulta BitLocker: cómo
habilitar el desbloqueo en red.
Para obtener más información, consulta el artículo de preguntas más frecuentes (P+F) y otros vínculos útiles en
Artículos relacionados.  

Ejemplos de PowerShell
En el caso de los equipos unidos a Azure AD, incluidas las máquinas virtuales, la contraseña de recuperación
debe almacenarse en Azure AD.
Ejemplo: Use PowerShell para agregar una contraseña de recuperación y hacer una copia de seguridad de ella
en Azure AD antes de habilitar BitLocker.

Add-BitLockerKeyProtector -MountPoint "C:" -RecoveryPasswordProtector

$BLV = Get-BitLockerVolume -MountPoint "C:"

BackupToAAD-BitLockerKeyProtector -MountPoint "C:" -KeyProtectorId $[Link][0].KeyProtectorId

Para los equipos conectados al dominio, incluidos los servidores, la contraseña de recuperación debe
almacenarse en Servicios de dominio de Active Directory (AD DS).
Ejemplo: Usar PowerShell para agregar una contraseña de recuperación y la copia de seguridad en AD DS antes
de habilitar BitLocker

Add-BitLockerKeyProtector -MountPoint "C:" -RecoveryPasswordProtector

$BLV = Get-BitLockerVolume -MountPoint "C:"

Backup-BitLockerKeyProtector -MountPoint "C:" -KeyProtectorId $[Link][0].KeyProtectorId

Posteriormente, puedes usar PowerShell para habilitar BitLocker.

Ejemplo: Usa PowerShell para habilitar BitLocker con un protector TPM.

Enable-BitLocker -MountPoint "D:" -EncryptionMethod XtsAes256 -UsedSpaceOnly -TpmProtector

Ejemplo: Usa PowerShell para habilitar BitLocker con un protector TPM + PIN, en este caso con un PIN
configurado como 123456.

$SecureString = ConvertTo-SecureString "123456" -AsPlainText -Force

Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 -UsedSpaceOnly -Pin $SecureString -

TPMandPinProtector

Artículos relacionados
BitLocker: Preguntas más frecuentes (P+F)
Microsoft BitLocker Administration and Management (MBAM)
Descripción general del cifrado de dispositivos de BitLocker en Windows
Referencia de directiva de grupo de BitLocker
Microsoft Intune (Introducción)
Proveedores de servicios de configuración (CSP) (CSP de directivas: consulta Security-RequireDeviceEncryption)
CSP de BitLocker
Herramientas de configuración de Windows Ser ver
Opciones de instalación de Windows Server
Cómo actualizar los medios de origen locales para agregar roles y funciones
Cómo agregar o quitar componentes opcionales en Server Core (Características a petición)
BitLocker: Cómo realizar implementaciones en Windows Server 2012 y versiones posteriores
BitLocker: Cómo habilitar el desbloqueo en red
Máquinas virtuales blindadas y tejido protegido
PowerShell
Cmdlets de BitLocker para Windows PowerShell
Especificaciones de Surface Pro
 BitLocker: Cómo habilitar el desbloqueo de red
08/11/2022 • 24 minutes to read

Se aplica a
Windows10
Windows11
Windows Server2016 y superior
En este tema se describe cómo funciona el desbloqueo de red de BitLocker y cómo configurarlo.
El desbloqueo de red se introdujo en Windows 8 y Windows Server 2012 como una opción de protector de
BitLocker para los volúmenes del sistema operativo. El desbloqueo de red permite una administración más
sencilla para los servidores y escritorios habilitados para BitLocker en un entorno de dominio al proporcionar
desbloqueo automático de los volúmenes del sistema operativo al reiniciar el sistema cuando se conecta a una
red corporativa cableada. Esta característica requiere que el hardware del cliente tenga un controlador DHCP
implementado en su firmware UEFI. Sin desbloqueo de red, los volúmenes del sistema operativo protegidos por
protectores TPM+PIN requieren que se escriba un PIN cuando un equipo se reinicie o se reanude de la
hibernación (por ejemplo, mediante Wake on LAN). Esto puede dificultar a las empresas implementar revisiones
de software en escritorios desatendidos y servidores administrados de forma remota.
El desbloqueo de red permite que los sistemas habilitados para BitLocker que tengan un TPM+PIN y que
cumplan los requisitos de hardware arranquen en Windows sin intervención del usuario. El desbloqueo de red
funciona de forma similar a TPM+StartupKey en el arranque. Sin embargo, en lugar de tener que leer
StartupKey desde un medio USB, la característica Desbloqueo de red necesita que la clave se compona a partir
de una clave almacenada en el TPM y una clave de red cifrada que se envía al servidor, se descifra y se devuelve
al cliente en una sesión segura.

Requisitos principales de desbloqueo de red

El desbloqueo de red debe cumplir los requisitos obligatorios de hardware y software antes de que la
característica pueda desbloquear automáticamente los sistemas unidos a un dominio. Estos requisitos incluyen:
Windows 8 o Windows Server 2012 como sistema operativo actual.
Cualquier sistema operativo compatible con controladores DHCP UEFI que puedan servir como clientes de
desbloqueo de red.
Desbloqueo de red de clientes con un chip TPM y al menos un protector de TPM.
Servidor que ejecuta el rol servicios de implementación de Windows (WDS) en cualquier sistema operativo
de servidor compatible.
Característica opcional de desbloqueo de red de BitLocker instalada en cualquier sistema operativo de
servidor compatible.
Un servidor DHCP, independiente del servidor WDS.
Emparejamiento de claves públicas y privadas configuradas correctamente.
Configuración de directiva de grupo de desbloqueo de red configurada.
La pila de red debe estar habilitada para usar la característica Desbloqueo de red. Los fabricantes de equipos
entregan sus productos en diversos estados y con diferentes menús bios; por lo tanto, debe confirmar que la
pila de red se ha habilitado en el BIOS antes de iniciar el equipo.
 NOTE
Para admitir correctamente DHCP dentro de UEFI, el sistema basado en UEFI debe estar en modo nativo y no debe tener
habilitado un módulo de compatibilidad (CSM).

En los equipos que ejecutan Windows 8 y versiones posteriores, el primer adaptador de red del equipo,
normalmente el adaptador incorporado, debe configurarse para admitir DHCP. Este adaptador debe usarse para
el desbloqueo de red.
Para que el desbloqueo de red funcione de forma confiable en equipos que ejecutan Windows 8 y versiones
posteriores, el primer adaptador de red del equipo, normalmente el adaptador incorporado, debe configurarse
para admitir DHCP y debe usarse para el desbloqueo de red. Esto merece especialmente la pena tener en cuenta
cuando tiene varios adaptadores y desea configurar uno sin DHCP, por ejemplo, para un protocolo de
administración de luces apagadas. Esta configuración es necesaria porque el desbloqueo de red deja de
enumerar adaptadores cuando llega a uno con un error de puerto DHCP por cualquier motivo. Por lo tanto, si el
primer adaptador enumerado no admite DHCP, no está conectado a la red o no informa de la disponibilidad del
puerto DHCP por cualquier motivo, se produce un error en el desbloqueo de red.
El componente de servidor Desbloqueo de red se instala en versiones compatibles de Windows Server 2012 y
versiones posteriores como una característica de Windows que usa cmdlets de Administrador del servidor o
Windows PowerShell. El nombre de la característica es Desbloqueo de red de BitLocker en Administrador del
servidor y BitLocker-NetworkUnlock en Windows PowerShell. Esta característica es un requisito básico.
El desbloqueo de red requiere Servicios de implementación de Windows (WDS) en el entorno donde se usará la
característica. No se requiere la configuración de la instalación de WDS; sin embargo, el servicio WDS debe
ejecutarse en el servidor.
La clave de red se almacena en la unidad del sistema junto con una clave de sesión AES 256 y se cifra con la
clave pública RSA de 2048 bits del certificado de servidor de desbloqueo. La clave de red se descifra con la
ayuda de un proveedor en una versión compatible de Windows Server que ejecuta WDS y se devuelve cifrada
con su clave de sesión correspondiente.

Secuencia de desbloqueo de red

La secuencia de desbloqueo se inicia en el lado cliente cuando el administrador de arranque de Windows
detecta la existencia del protector de desbloqueo de red. Aprovecha el controlador DHCP de UEFI para obtener
una dirección IP para IPv4 y, a continuación, difunde una solicitud DHCP específica del proveedor que contiene
la clave de red y una clave de sesión para la respuesta, todo cifrado por el certificado de desbloqueo de red del
servidor, como se describió anteriormente. El proveedor de desbloqueo de red del servidor WDS compatible
reconoce la solicitud específica del proveedor, la descifra con la clave privada RSA y devuelve la clave de red
cifrada con la clave de sesión a través de su propia respuesta DHCP específica del proveedor.
En el lado servidor, el rol de servidor WDS tiene un componente de complemento opcional, como un proveedor
PXE, que es lo que controla las solicitudes de desbloqueo de red entrantes. También puede configurar el
proveedor con restricciones de subred, lo que requeriría que la dirección IP proporcionada por el cliente en la
solicitud de desbloqueo de red pertenezca a una subred permitida para liberar la clave de red al cliente. En los
casos en los que el proveedor de desbloqueo de red no está disponible, BitLocker conmuta por error al siguiente
protector disponible para desbloquear la unidad. En una configuración típica, esto significa que se presenta la
pantalla de desbloqueo estándar de TPM+PIN para desbloquear la unidad.
La configuración del lado servidor para habilitar el desbloqueo de red también requiere el aprovisionamiento de
un par de claves públicas y privadas RSA de 2048 bits en forma de certificado X.509 y la distribución del
certificado de clave pública a los clientes. Este certificado debe administrarse e implementarse mediante el
editor de directiva de grupo directamente en un controlador de dominio con al menos un nivel funcional de
dominio de Windows Server 2012. Este certificado es la clave pública que cifra la clave de red intermedia (que
es uno de los dos secretos necesarios para desbloquear la unidad; el otro secreto se almacena en el TPM).
Administre e implemente este certificado mediante el editor de directiva de grupo directamente en un
controlador de dominio que tenga un nivel funcional de dominio de al menos Windows Server 2012. Este
certificado es la clave pública que cifra la clave de red intermedia. La clave de red intermedia es uno de los dos
secretos necesarios para desbloquear la unidad; el otro secreto se almacena en el TPM.

El proceso de desbloqueo de red sigue estas fases:

1. El administrador de arranque de Windows detecta un protector de desbloqueo de red en la configuración de
BitLocker.
2. El equipo cliente usa su controlador DHCP en UEFI para obtener una dirección IP IPv4 válida.
3. El equipo cliente difunde una solicitud DHCP específica del proveedor que contiene:
a. Una clave de red (una clave intermedia de 256 bits) cifrada mediante la clave pública RSA de 2048 bits
del certificado de desbloqueo de red desde el servidor WDS.
b. Una clave de sesión AES-256 para la respuesta.
4. El proveedor de desbloqueo de red en el servidor WDS reconoce la solicitud específica del proveedor.
5. El proveedor descifra la solicitud mediante la clave privada RSA del certificado de desbloqueo de red de
BitLocker del servidor WDS.
6. El proveedor WDS devuelve la clave de red cifrada con la clave de sesión mediante su propia respuesta
DHCP específica del proveedor al equipo cliente. Esta clave es una clave intermedia.
7. La clave intermedia devuelta se combina con otra clave intermedia local de 256 bits. Esta clave solo se puede
descifrar mediante el TPM.
8. Esta clave combinada se usa para crear una clave AES-256 que desbloquea el volumen.
9. Windows continúa la secuencia de arranque.

Configuración del desbloqueo de red

Los pasos siguientes permiten a un administrador configurar el desbloqueo de red en un dominio donde el
nivel funcional del dominio es al menos Windows Server 2012.
Instalación del rol de servidor WDS
La característica de desbloqueo de red de BitLocker instala el rol WDS si aún no está instalado. Si desea
instalarlo por separado antes de instalar el desbloqueo de red de BitLocker, puede usar Administrador del
servidor o Windows PowerShell. Para instalar el rol mediante Administrador del servidor, seleccione el rol
Ser vicios de implementación de Windows en Administrador del servidor.
Para instalar el rol mediante Windows PowerShell, use el siguiente comando:

Install-WindowsFeature WDS-Deployment

Debe configurar el servidor WDS para que pueda comunicarse con DHCP (y, opcionalmente, AD DS) y el equipo
cliente. Puede configurar mediante la herramienta de administración wds, [Link], que inicia el Asistente
para configuración de Servicios de implementación de Windows.
Confirmación de que el servicio WDS se está ejecutando
Para confirmar que el servicio WDS se está ejecutando, use la Consola de administración de servicios o
Windows PowerShell. Para confirmar que el servicio se ejecuta en la consola de administración de servicios,
abra la consola mediante ser [Link] y compruebe el estado del servicio Servicios de implementación de
Windows.
Para confirmar que el servicio se está ejecutando mediante Windows PowerShell, use el siguiente comando:

Get-Service WDSServer

Instalación de la característica Desbloqueo de red

Para instalar la característica de desbloqueo de red, use Administrador del servidor o Windows PowerShell. Para
instalar la característica mediante Administrador del servidor, seleccione la característica Desbloqueo de red
de BitLocker en la consola de Administrador del servidor.
Para instalar la característica mediante Windows PowerShell, use el siguiente comando:

Install-WindowsFeature BitLocker-NetworkUnlock

Creación de la plantilla de certificado para desbloqueo de red

Una entidad de certificación de Servicios de Active Directory configurada correctamente puede usar esta
plantilla de certificado para crear y emitir certificados de desbloqueo de red.
1. Abra el complemento Plantilla de certificados ([Link]).
2. Busque la plantilla Usuario, haga clic con el botón derecho en el nombre de la plantilla y seleccione
Duplicar plantilla .
3. En la pestaña Compatibilidad , cambie los campos Entidad de cer tificación y Destinatario de
cer tificado a Windows Server 2012 y Windows 8, respectivamente. Asegúrese de que el cuadro de
diálogo Mostrar cambios resultantes está seleccionado.
4. Seleccione la pestaña General de la plantilla. El nombre para mostrar de la plantilla y el nombre de
la plantilla deben identificar claramente que la plantilla se usará para el desbloqueo de red. Desactive la
casilla de la opción Publicar cer tificado en Active Director y .
5. Seleccione la pestaña Control de solicitudes . Seleccione Cifrado en el menú desplegable Propósito .
Asegúrese de que la opción Permitir expor tación de clave privada esté seleccionada.
6. Seleccione la pestaña Criptografía . Establezca el tamaño mínimo de la clave en 2048. (Cualquier
proveedor criptográfico de Microsoft que admita RSA se puede usar para esta plantilla, pero por motivos
de simplicidad y compatibilidad directa, se recomienda usar el proveedor de almacenamiento de
claves de software de Microsoft ).
 7. Seleccione la opción Solicitudes debe usar uno de los siguientes proveedores y borrar todas las
opciones excepto el proveedor de criptografía seleccionado, como Proveedor de almacenamiento de
claves de software de Microsoft .
8. Seleccione la pestaña Nombre del firmante . Seleccione Suministrar en la solicitud . Haga clic en
Aceptar si aparece el cuadro de diálogo emergente plantillas de certificado.
9. Seleccione la pestaña Requisitos de emisión . Seleccione tanto la aprobación del administrador de
cer tificados de CA como las opciones de cer tificado existente válido .
10. Seleccione la pestaña Extensiones . Seleccione Directivas de aplicación y elija Editar....
11. En el cuadro de diálogo Editar extensión de directivas de aplicación , seleccione Autenticación de
cliente , Sistema de cifrado de archivos y Proteger Email y elija Quitar .
12. En el cuadro de diálogo Editar extensión de directivas de aplicación , seleccione Agregar .
13. En el cuadro de diálogo Agregar directiva de aplicación , seleccione Nuevo . En el cuadro de diálogo
Nueva directiva de aplicación , escriba la siguiente información en el espacio proporcionado y, a
continuación, haga clic en Aceptar para crear la directiva de aplicación Desbloqueo de red de BitLocker:
Nombre: Desbloqueo de red de BitLocker
Identificador de objeto: [Link].[Link].1.1
14. Seleccione la directiva de aplicación de desbloqueo de red de BitLocker recién creada y haga clic en
Aceptar .
15. Con la pestaña Extensiones todavía abierta, seleccione el cuadro de diálogo Editar extensión de uso
de clave . Seleccione la opción Permitir intercambio de claves solo con cifrado de claves
(cifrado de claves). Seleccione la opción Hacer que esta extensión sea crítica .
16. Seleccione la pestaña Seguridad . Confirme que se ha concedido permiso de inscripción al grupo
Administradores de dominio.
17. Haga clic en Aceptar para completar la configuración de la plantilla.
Para agregar la plantilla Desbloqueo de red a la entidad de certificación, abra el complemento de entidad de
certificación ( [Link] ). Haga clic con el botón derecho en Plantillas de cer tificado y, a continuación ,
elija Nuevo, Plantilla de cer tificado que se va a emitir . Seleccione el certificado de desbloqueo de red de
BitLocker creado anteriormente.
Después de agregar la plantilla Desbloqueo de red a la entidad de certificación, puede usar este certificado para
configurar el desbloqueo de red de BitLocker.
Creación del certificado de desbloqueo de red
Network Unlock puede usar certificados importados de una infraestructura de clave pública (PKI) existente. O
bien, puede usar un certificado autofirmado.
Para inscribir un certificado de una entidad de certificación existente:
1. En el servidor WDS, abra el Administrador de certificados mediante [Link] .
2. En Cer tificados: usuario actual , haga clic con el botón derecho en Personal .
3. Seleccione Todas las tareas > Solicitar nuevo cer tificado .
4. Cuando se abra el Asistente para inscripción de certificados, seleccione Siguiente .
5. Seleccione Directiva de inscripción de Active Director y .
6. Elija la plantilla de certificado que se creó para Desbloqueo de red en el controlador de dominio. A
 continuación, seleccione Inscribir .
7. Cuando se le pida más información, seleccione Nombre del firmante y proporcione un valor de
nombre descriptivo. El nombre descriptivo debe incluir información para el dominio o la unidad
organizativa del certificado. Este es un ejemplo: Certificado de desbloqueo de red de BitLocker para el
dominio contoso.
8. Cree el certificado. Asegúrese de que el certificado aparece en la carpeta Personal .
9. Exporte el certificado de clave pública para desbloqueo de red:
a. Cree un archivo .cer haciendo clic con el botón derecho en el certificado creado anteriormente,
seleccionando Todas las tareas y, a continuación, seleccionando Expor tar .
b. Seleccione No, no expor te la clave privada .
c. Seleccione ELR binario codificado X.509 y complete la exportación del certificado a un archivo.
d. Asigne al archivo un nombre como [Link].
10. Exporte la clave pública con una clave privada para desbloqueo de red.
a. Cree un archivo .pfx haciendo clic con el botón derecho en el certificado creado anteriormente,
seleccionando Todas las tareas y, a continuación, seleccionando Expor tar .
b. Selecciona Sí, expor tar la clave privada .
c. Complete los pasos para crear el archivo .pfx .
Para crear un certificado autofirmado, use el New-SelfSignedCertificate cmdlet en Windows PowerShell o use
certreq .

Este es un ejemplo Windows PowerShell:

New-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\My -Subject "CN=BitLocker Network Unlock

certificate" -Provider "Microsoft Software Key Storage Provider" -KeyUsage KeyEncipherment -KeyUsageProperty
Decrypt,Sign -KeyLength 2048 -HashAlgorithm sha512 -TextExtension @("[Link].[Link].10=
{text}OID=[Link].[Link].1.1","[Link]={text}[Link].[Link].1.1")

Este es un certreq ejemplo:

1. Cree un archivo de texto con una extensión .inf, por ejemplo, [Link] [Link].
2. Agregue el siguiente contenido al archivo creado anteriormente:

[NewRequest]
Subject="CN=BitLocker Network Unlock certificate"
ProviderType=0
MachineKeySet=True
Exportable=true
RequestType=Cert
KeyUsage="CERT_KEY_ENCIPHERMENT_KEY_USAGE"
KeyUsageProperty="NCRYPT_ALLOW_DECRYPT_FLAG | NCRYPT_ALLOW_SIGNING_FLAG"
KeyLength=2048
SMIME=FALSE
HashAlgorithm=sha512
[Extensions]
[Link].[Link].10 = "{text}"
_continue_ = "OID=[Link].[Link].1.1"
[Link] = "{text}"
_continue_ = "[Link].[Link].1.1"

3. Abra un símbolo del sistema con privilegios elevados y use la certreq herramienta para crear un nuevo
certificado. Use el siguiente comando, especificando la ruta de acceso completa al archivo que creó
 anteriormente. Especifique también el nombre de archivo.

certreq -new [Link] [Link]

4. Compruebe que el comando anterior creó correctamente el certificado confirmando que existe el archivo
.cer.
5. Iniciar certificados: máquina local mediante la ejecución de cer [Link] .
6. Cree un archivo .pfx abriendo la ruta de acceso Cer tificates – Local
Computer\Personal\Cer tificates en el panel de navegación, haciendo clic con el botón derecho en el
certificado importado anteriormente, seleccionando Todas las tareas y, a continuación, seleccionando
Expor tar . Siga el asistente para crear el archivo .pfx.
Implementación de la clave privada y el certificado en el servidor WDS
Ahora que ha creado el certificado y la clave, impleméntelos en la infraestructura para desbloquear
correctamente los sistemas. Para implementar los certificados:
1. En el servidor WDS, abra una nueva MMC y agregue el complemento de certificados. Seleccione la cuenta de
equipo y el equipo local cuando se le den las opciones.
2. Haga clic con el botón derecho en el elemento Certificados (equipo local) - Desbloqueo de red de cifrado de
unidad BitLocker , seleccione Todas las tareas y, a continuación, seleccione Impor tar .
3. En el cuadro de diálogo Archivo para impor tar , elija el archivo .pfx creado anteriormente.
4. Escriba la contraseña usada para crear .pfx y completar el asistente.
Configuración de la directiva de grupo para el desbloqueo de red
Con el certificado y la clave implementados en el servidor WDS para desbloqueo de red, el paso final es usar la
configuración de directiva de grupo para implementar el certificado de clave pública en los equipos que desea
poder desbloquear mediante la clave de desbloqueo de red. La configuración de directiva de grupo de BitLocker
se puede encontrar en \Configuración del equipo\Plantillas administrativas\Componentes de
Windows\Cifrado de unidad bitLocker mediante el Editor de directiva de grupo local o la Consola de
administración de Microsoft.
En los pasos siguientes se describe cómo habilitar la configuración de directiva de grupo que es un requisito
para configurar el desbloqueo de red.
1. Abra directiva de grupo Consola de administración ( [Link] ).
2. Habilite la directiva Requerir autenticación adicional en el inicio y, a continuación, seleccione Requerir
PIN de inicio con TPM o Permitir PIN de inicio con TPM .
3. Active BitLocker con protectores TPM+PIN en todos los equipos unidos a un dominio.
En los pasos siguientes se describe cómo implementar la configuración de directiva de grupo necesaria:

NOTE
La configuración de directiva de grupo Permitir desbloqueo de red al iniciar y Agregar cer tificado de
desbloqueo de red se introdujo en Windows Server 2012.

1. Copie el archivo .cer que creó para Desbloqueo de red en el controlador de dominio.
2. En el controlador de dominio, abra directiva de grupo Consola de administración ( [Link] ).
3. Cree un nuevo objeto directiva de grupo o modifique un objeto existente para habilitar la configuración
Permitir desbloqueo de red al iniciar .
4. Implemente el certificado público en los clientes:
a. En la consola de administración de directivas de grupo, vaya a la siguiente ubicación: Configuración
del equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas
de clave pública\Cer tificado de desbloqueo de red de cifrado de unidad BitLocker .
b. Haga clic con el botón derecho en la carpeta y seleccione Agregar cer tificado de desbloqueo de
red .
c. Siga los pasos del asistente e importe el archivo .cer que se copió anteriormente.

NOTE
Solo puede haber un certificado de desbloqueo de red disponible a la vez. Si necesita un nuevo certificado, elimine
el certificado actual antes de implementar uno nuevo. El certificado de desbloqueo de red se encuentra en la clave
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE_NKP del equipo cliente.

5. Reinicie los clientes después de implementar el directiva de grupo.

NOTE
El protector de red (basado en cer tificados) se agregará solo después de un reinicio, con la directiva habilitada
y un certificado válido presente en el almacén de FVE_NKP.

Archivos de configuración de directivas de subred en el servidor WDS (opcional)

De forma predeterminada, el servidor desbloquea todos los clientes con el certificado de desbloqueo de red
correcto y los protectores de desbloqueo de red válidos que tienen acceso conectado a un servidor WDS
habilitado para desbloqueo de red a través de DHCP. Se puede crear un archivo de configuración de directiva de
subred en el servidor WDS para limitar cuáles son las subredes que los clientes de desbloqueo de red pueden
usar para desbloquear.
El archivo de configuración, denominado [Link], debe encontrarse en el mismo directorio que
el archivo DLL del proveedor de desbloqueo de red (%windir%\System32\[Link]) y se aplica a las
implementaciones DHCP de IPv6 e IPv4. Si la directiva de configuración de subred se daña, se produce un error
en el proveedor y deja de responder a las solicitudes.
El archivo de configuración de directiva de subred debe usar una sección "[SUBNETS]" para identificar las
subredes específicas. A continuación, se pueden usar las subredes con nombre para especificar restricciones en
las subsecciones de certificado. Las subredes se definen como pares nombre-valor simples, en el formato INI
común, donde cada subred tiene su propia línea, con el nombre a la izquierda del signo igual, y la subred
identificada a la derecha del signo igual como una dirección o intervalo de enrutamiento de Inter-Domain sin
clase (CIDR). No se permite la palabra clave "ENABLED" para los nombres de subred.

[SUBNETS]
SUBNET1=[Link]/24 ; a comment about this subrange could be here, after the semicolon
SUBNET2=[Link]/28
SUBNET3= [Link]/64 ; an IPv6 subnet
SUBNET4=[Link]/64; in production, the admin would likely give more useful names, like BUILDING9-
EXCEPT-RECEP.

Después de la sección [SUBNETS], puede haber secciones para cada certificado de desbloqueo de red,
identificado por la huella digital del certificado con formato sin espacios, que definen los clientes de subredes
que se pueden desbloquear desde ese certificado.
 NOTE
Al especificar la huella digital del certificado, no incluya espacios. Si se incluyen espacios en la huella digital, se produce un
error en la configuración de subred porque la huella digital no se reconocerá como válida.

Las restricciones de subred se definen dentro de cada sección de certificado al indicar la lista permitida de
subredes permitidas. Si alguna subred aparece en una sección de certificado, solo se permiten esas subredes
para ese certificado. Si no se muestra ninguna subred en una sección de certificado, se permiten todas las
subredes para ese certificado. Si un certificado no tiene una sección en el archivo de configuración de directiva
de subred, no se aplican restricciones de subred para desbloquear con ese certificado. Esto significa que para
que las restricciones se apliquen a cada certificado, debe haber una sección de certificado para cada certificado
de desbloqueo de red en el servidor y una lista explícita permitida establecida para cada sección de certificado.
Las listas de subredes se crean colocando el nombre de una subred de la sección [SUBNETS] en su propia línea
debajo del encabezado de sección del certificado. A continuación, el servidor solo desbloqueará los clientes con
este certificado en las subredes especificadas como en la lista. Para solucionar problemas, una subred se puede
excluir rápidamente sin eliminarla de la sección simplemente comentándola con un punto y coma antepuesto.

[2158a767e1c14e88e27a4c0aee111d2de2eafe60]
;Comments could be added here to indicate when the cert was issued, which Group Policy should get it, and so
on.
;This list shows this cert is allowed to unlock clients only on the SUBNET1 and SUBNET3 subnets. In this
example, SUBNET2 is commented out.
SUBNET1
;SUBNET2
SUBNET3

Para no permitir por completo el uso de un certificado, agregue una DISABLED línea a su lista de subredes.

Desactivar desbloqueo de red

Para desactivar el servidor de desbloqueo, el proveedor PXE se puede anular el registro del servidor WDS o
desinstalarse por completo. Sin embargo, para impedir que los clientes creen protectores de desbloqueo de red,
se debe deshabilitar la configuración de directiva Permitir desbloqueo de red al iniciar grupo. Cuando esta
configuración de directiva se actualiza a deshabilitada en los equipos cliente, se elimina cualquier protector de
clave de desbloqueo de red en el equipo. Como alternativa, la directiva de certificado de desbloqueo de red de
BitLocker se puede eliminar en el controlador de dominio para realizar la misma tarea para todo un dominio.

NOTE
La eliminación del almacén de certificados FVE_NKP que contiene el certificado de desbloqueo de red y la clave en el
servidor WDS también deshabilitará eficazmente la capacidad del servidor para responder a las solicitudes de desbloqueo
de ese certificado. Sin embargo, esto se ve como una condición de error y no es un método compatible o recomendado
para desactivar el servidor de desbloqueo de red.

Actualización de certificados de desbloqueo de red

Para actualizar los certificados que usa el desbloqueo de red, los administradores deben importar o generar el
nuevo certificado para el servidor y, a continuación, actualizar la configuración de directiva de grupo de
certificados de desbloqueo de red en el controlador de dominio.
 NOTE
Los servidores que no reciben el objeto directiva de grupo (GPO) requerirán un PIN cuando arranquen. En tales casos,
averigüe por qué el servidor no recibió el GPO para actualizar el certificado.

Solución de problemas de desbloqueo de red

La solución de problemas de desbloqueo de red comienza comprobando el entorno. Muchas veces, un pequeño
problema de configuración puede ser la causa principal del error. Los elementos que se van a comprobar
incluyen:
Compruebe que el hardware del cliente está basado en UEFI y que se encuentra en la versión de firmware
2.3.1 y que el firmware UEFI está en modo nativo sin un módulo de compatibilidad (CSM) para el modo
BIOS habilitado. Para ello, compruebe que el firmware no tiene una opción habilitada, como "Modo
heredado" o "Modo de compatibilidad", o que el firmware no parece estar en un modo similar a bios.
Todos los roles y servicios necesarios se instalan e inician.
Los certificados públicos y privados se han publicado y se encuentran en los contenedores de certificados
adecuados. La presencia del certificado de desbloqueo de red se puede comprobar en Microsoft
Management Console ([Link]) en el servidor WDS con los complementos de certificado para el
equipo local habilitado. El certificado de cliente se puede comprobar comprobando la clave del Registro
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCer tificates\FVE_NKP en el
equipo cliente.
La directiva de grupo para el desbloqueo de red está habilitada y vinculada a los dominios adecuados.
Compruebe si la directiva de grupo está llegando correctamente a los clientes. Esto se puede hacer con
las utilidades [Link] o [Link].
Compruebe si los clientes se reiniciaron después de aplicar la directiva.
Compruebe si el protector de red (basado en cer tificados) aparece en el cliente. Esto se puede hacer
mediante cmdlets manage-bde o Windows PowerShell. Por ejemplo, el siguiente comando enumerará los
protectores de clave configurados actualmente en la unidad C: del equipo local:

manage-bde -protectors -get C:

NOTE
Use la salida de junto con el registro de manage-bde depuración de WDS para determinar si se usa la huella
digital del certificado adecuada para el desbloqueo de red.

Recopile los siguientes archivos para solucionar problemas de desbloqueo de red de BitLocker.
Registros de eventos de Windows. En concreto, obtenga los registros de eventos de BitLocker y el registro
Microsoft-Windows-Deployment-Services-Diagnostics-Debug.
El registro de depuración está desactivado de forma predeterminada para el rol de servidor WDS, por lo
que debe habilitarlo para poder recuperarlo. Use cualquiera de los dos métodos siguientes para activar el
registro de depuración de WDS.
Inicie un símbolo del sistema con privilegios elevados y ejecute el siguiente comando:
 wevtutil sl Microsoft-Windows-Deployment-Services-Diagnostics/Debug /e:true

Abra Visor de eventos en el servidor WDS:

1. En el panel izquierdo, seleccione Registros de aplicaciones y ser vicios > Microsoft > Windows
> Deployment-Ser vices-Diagnostics > Debug .
2. En el panel derecho, seleccione Habilitar registro .
El archivo de configuración de subred DHCP (si existe).
Salida del estado de BitLocker en el volumen. Recopile esta salida en un archivo de texto mediante
manage-bde -status . O bien, en Windows PowerShell, use Get-BitLockerVolume .

Captura del Monitor de red en el servidor que hospeda el rol WDS, filtrado por la dirección IP del cliente.

Configuración de la directiva de grupo de desbloqueo de red en

versiones anteriores
El desbloqueo de red y la configuración de directiva de grupo adjunta se introdujeron en Windows Server 2012.
Pero puede implementarlos mediante sistemas operativos que ejecutan Windows Server 2008 R2 y Windows
Server 2008.
El sistema debe cumplir estos requisitos:
El servidor que hospeda WDS debe ejecutar un sistema operativo de servidor designado en la lista "Se aplica
a" al principio de este artículo.
Los equipos cliente deben ejecutar un sistema operativo cliente designado en la lista "Se aplica a" al principio
de este artículo.
Siga estos pasos para configurar el desbloqueo de red en estos sistemas anteriores.
1. Instalar el rol de servidor WDS
2. Confirmación de que el servicio WDS se está ejecutando
3. Instalación de la característica Desbloqueo de red
4. Creación del certificado de desbloqueo de red
5. Implementación de la clave privada y el certificado en el servidor WDS
6. Configuración de la configuración del Registro para el desbloqueo de red:
Aplique la configuración del Registro ejecutando el siguiente certutil script (suponiendo que el archivo
de certificado de desbloqueo de red se llame [Link]) en cada equipo que ejecute
un sistema operativo cliente designado en la lista "Se aplica a" al principio de este artículo.

certutil -f -grouppolicy -addstore FVE_NKP [Link]

reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v OSManageNKP /t REG_DWORD /d 1 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseAdvancedStartup /t REG_DWORD /d 1 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UsePIN /t REG_DWORD /d 2 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPMPIN /t REG_DWORD /d 2 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPM /t REG_DWORD /d 2 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPMKey /t REG_DWORD /d 2 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPMKeyPIN /t REG_DWORD /d 2 /f

7. Configure un protector de TPM en los clientes.

8. Reinicie los clientes para agregar el protector de red (basado en certificados).
Ver también
Introducción a BitLocker
Preguntas más frecuentes (P+F) de BitLocker
Prepara tu organización para BitLocker: planificación y directivas
 BitLocker: Usar herramientas de cifrado de unidad
BitLocker para administrar BitLocker
08/11/2022 • 11 minutes to read

Se aplica a
Windows10
Windows11
Windows Server2016 y superior
En este artículo para profesionales de TI se describe cómo usar herramientas para administrar BitLocker.
Las herramientas de cifrado de unidad bitLocker incluyen las herramientas de línea de comandos manage-bde y
repair-bde y los cmdlets de BitLocker para Windows PowerShell.
Tanto manage-bde como los cmdlets de BitLocker se pueden usar para realizar cualquier tarea que se pueda
realizar a través del panel de control de BitLocker y que sean adecuadas para usarse para implementaciones
automatizadas y otros escenarios de scripting.
Repair-bde es una herramienta de circunstancias especial que se proporciona para escenarios de recuperación
ante desastres en los que una unidad protegida de BitLocker no se puede desbloquear normalmente ni
mediante la consola de recuperación.
1. Manage-bde
2. Repair-bde
3. Cmdlets de BitLocker para Windows PowerShell

Manage-bde
Manage-bde es una herramienta de línea de comandos que se puede usar para scripting de operaciones de
BitLocker. Manage-bde ofrece opciones adicionales que no se muestran en el panel de control de BitLocker. Para
obtener una lista completa de las opciones de manage-bde, consulte la referencia de la línea de comandos
Manage-bde .
Manage-bde incluye menos opciones predeterminadas y requiere una mayor personalización para configurar
BitLocker. Por ejemplo, el uso de solo el manage-bde -on comando en un volumen de datos cifrará
completamente el volumen sin ningún protector de autenticación. Un volumen cifrado de esta manera todavía
requiere la interacción del usuario para activar la protección de BitLocker, aunque el comando se haya
completado correctamente porque es necesario agregar un método de autenticación al volumen para que esté
totalmente protegido. En las secciones siguientes se proporcionan ejemplos de escenarios de uso comunes para
manage-bde.
Uso de manage -bde con volúmenes de sistema operativo
A continuación se muestran ejemplos de comandos válidos básicos para los volúmenes del sistema operativo.
En general, el uso de solo el manage-bde -on <drive letter> comando cifrará el volumen del sistema operativo
con un protector de solo TPM y sin clave de recuperación. Sin embargo, muchos entornos requieren protectores
más seguros, como contraseñas o PIN, y esperan poder recuperar información con una clave de recuperación.
Se recomienda agregar al menos un protector principal y un protector de recuperación a un volumen de
sistema operativo.
Una buena práctica cuando se usa manage-bde es determinar el estado del volumen en el sistema de destino.
Use el siguiente comando para determinar el estado del volumen:

manage-bde -status

Este comando devuelve los volúmenes del destino, el estado de cifrado actual, el método de cifrado y el tipo de
volumen (sistema operativo o datos) de cada volumen:

En el ejemplo siguiente se muestra cómo habilitar BitLocker en un equipo sin un chip TPM. Antes de comenzar
el proceso de cifrado, debe crear la clave de inicio necesaria para BitLocker y guardarla en la unidad USB.
Cuando BitLocker está habilitado para el volumen del sistema operativo, BitLocker tendrá que acceder a la
unidad flash USB para obtener la clave de cifrado (en este ejemplo, la letra de unidad E representa la unidad
USB). Se le pedirá que reinicie para completar el proceso de cifrado.

manage-bde –protectors -add C: -startupkey E:

manage-bde -on C:

NOTE
Una vez completado el cifrado, se debe insertar la clave de inicio USB para poder iniciar el sistema operativo.

Una alternativa al protector de clave de inicio en hardware que no es TPM es usar una contraseña y un protector
ADaccountorgroup para proteger el volumen del sistema operativo. En este escenario, agregaría primero los
protectores. Para agregarlos, use este comando:

manage-bde -protectors -add C: -pw -sid <user or group>

Este comando requerirá que escriba y, a continuación, confirme el protector de contraseña antes de agregarlos
al volumen. Con los protectores habilitados en el volumen, puede activar BitLocker.
En los equipos con un TPM, es posible cifrar el volumen del sistema operativo sin ningún protector definido
mediante manage-bde. Use este comando:

manage-bde -on C:
Este comando cifra la unidad mediante tpm como protector predeterminado. Si no está seguro de si hay un
protector de TPM disponible, para enumerar los protectores disponibles para un volumen, ejecute el siguiente
comando:

manage-bde -protectors -get <volume>

Uso de manage -bde con volúmenes de datos

Los volúmenes de datos usan la misma sintaxis para el cifrado que los volúmenes del sistema operativo, pero
no requieren protectores para que se complete la operación. El cifrado de volúmenes de datos se puede realizar
mediante el comando base: manage-bde -on <drive letter> o puede optar por agregar protectores adicionales al
volumen primero. Se recomienda agregar al menos un protector principal y un protector de recuperación a un
volumen de datos.
Un protector común para un volumen de datos es el protector de contraseñas. En el ejemplo siguiente,
agregamos un protector de contraseña al volumen y activamos BitLocker.

manage-bde -protectors -add -pw C:

manage-bde -on C:

Repair-bde
Puede experimentar un problema que daña un área de un disco duro en el que BitLocker almacena información
crítica. Este tipo de problema puede deberse a un error en el disco duro o si Windows se cierra
inesperadamente.
La herramienta de reparación de BitLocker (Repair-bde) se puede usar para acceder a datos cifrados en un disco
duro gravemente dañado si la unidad se cifró mediante BitLocker. Repair-bde puede reconstruir partes críticas
de la unidad y recuperar los datos recuperables siempre y cuando se use una contraseña de recuperación o una
clave de recuperación válidas para descifrar los datos. Si los datos de metadatos de BitLocker de la unidad se
han dañado, debe poder proporcionar un paquete de claves de copia de seguridad además de la contraseña de
recuperación o la clave de recuperación. Se realiza una copia de seguridad de este paquete de claves en
Servicios de dominio de Active Directory (AD DS) si usó la configuración predeterminada para la copia de
seguridad de AD DS. Con este paquete de claves y la contraseña de recuperación o la clave de recuperación,
puede descifrar partes de una unidad protegida por BitLocker si el disco está dañado. Cada paquete de claves
funcionará solo para una unidad que tenga el identificador de unidad correspondiente. Puede usar el Visor de
contraseñas de recuperación de BitLocker para obtener este paquete de claves de AD DS.

TIP
Si no está haciendo una copia de seguridad de la información de recuperación en AD DS o si desea guardar paquetes de
claves como alternativa, puede usar el comando manage-bde -KeyPackage para generar un paquete de claves para un
volumen.

La herramienta de línea de comandos Repair-bde está pensada para su uso cuando el sistema operativo no se
inicia o cuando no se puede iniciar la consola de recuperación de BitLocker. Use Repair-bde si se cumplen las
condiciones siguientes:
Ha cifrado la unidad mediante el cifrado de unidad BitLocker.
Windows no se inicia o no se puede iniciar la consola de recuperación de BitLocker.
No tiene una copia de los datos contenidos en la unidad cifrada.
 NOTE
Es posible que los daños en la unidad no estén relacionados con BitLocker. Por lo tanto, se recomienda probar otras
herramientas para ayudar a diagnosticar y resolver el problema con la unidad antes de usar la herramienta de reparación
de BitLocker. El entorno de recuperación de Windows (Windows RE) proporciona opciones adicionales para reparar
equipos.

Existen las limitaciones siguientes para Repair-bde:

La herramienta de línea de comandos Repair-bde no puede reparar una unidad con errores durante el
proceso de cifrado o descifrado.
La herramienta de línea de comandos Repair-bde supone que, si la unidad tiene algún cifrado, la unidad se
ha cifrado por completo.
Para obtener más información sobre el uso de repair-bde, vea Repair-bde.

Cmdlets de BitLocker para Windows PowerShell

Windows PowerShell cmdlets proporcionan una nueva forma de usar a los administradores al trabajar con
BitLocker. Con las funcionalidades de scripting de Windows PowerShell, los administradores pueden integrar las
opciones de BitLocker en scripts existentes con facilidad. En la lista siguiente se muestran los cmdlets de
BitLocker disponibles.

N O M B RE PA RA M ET ERS

Add-BitLockerKeyProtector ADAccountOrGroup
ADAccountOrGroupProtector
Confirmar
Mountpoint
Contraseña
PasswordProtector
Anclar
RecoveryKeyPath
RecoveryKeyProtector
RecoveryPassword
RecoveryPasswordProtector
Servicio
StartupKeyPath
StartupKeyProtector
TpmAndPinAndStartupKeyProtector
TpmAndPinProtector
TpmAndStartupKeyProtector
TpmProtector
WhatIf

Backup-BitLockerKeyProtector Confirmar
KeyProtectorId
Mountpoint
WhatIf

Disable-BitLocker Confirmar
Mountpoint
WhatIf

Disable-BitLockerAutoUnlock Confirmar
Mountpoint
WhatIf
 N O M B RE PA RA M ET ERS

Enable-BitLocker AdAccountOrGroup
AdAccountOrGroupProtector
Confirmar
EncryptionMethod
HardwareEncryption
Contraseña
PasswordProtector
Anclar
RecoveryKeyPath
RecoveryKeyProtector
RecoveryPassword
RecoveryPasswordProtector
Servicio
SkipHardwareTest
StartupKeyPath
StartupKeyProtector
TpmAndPinAndStartupKeyProtector
TpmAndPinProtector
TpmAndStartupKeyProtector
TpmProtector
UsedSpaceOnly
WhatIf

Enable-BitLockerAutoUnlock Confirmar
Mountpoint
WhatIf

Get-BitLockerVolume Mountpoint

Lock-BitLocker Confirmar
ForceDismount
Mountpoint
WhatIf

Remove-BitLockerKeyProtector Confirmar
KeyProtectorId
Mountpoint
WhatIf

Resume-BitLocker Confirmar
Mountpoint
WhatIf

Suspend-BitLocker Confirmar
Mountpoint
RebootCount
WhatIf

Unlock-BitLocker AdAccountOrGroup
Confirmar
Mountpoint
Contraseña
RecoveryKeyPath
RecoveryPassword
RecoveryPassword
WhatIf

De forma similar a manage-bde, los cmdlets de Windows PowerShell permiten la configuración más allá de las
opciones que se ofrecen en el panel de control. Al igual que con manage-bde, los usuarios deben tener en
cuenta las necesidades específicas del volumen que cifran antes de ejecutar cmdlets de Windows PowerShell.
Un buen paso inicial es determinar el estado actual de los volúmenes en el equipo. Puede hacerlo mediante el
Get-BitLockerVolume cmdlet .

La Get-BitLockerVolume salida del cmdlet proporciona información sobre el tipo de volumen, los protectores, el
estado de protección y otros detalles.

TIP
En ocasiones, es posible que no se muestren todos los protectores cuando se usan Get-BitLockerVolume debido a la
falta de espacio en la pantalla de salida. Si no ve todos los protectores de un volumen, puede usar el comando de
canalización de Windows PowerShell (|) para dar formato a una lista completa de los protectores.
Get-BitLockerVolume C: | fl

Si desea quitar los protectores existentes antes de aprovisionar BitLocker en el volumen, podría usar el
Remove-BitLockerKeyProtector cmdlet . Para ello, es necesario quitar el GUID asociado al protector.

Un script simple puede canalizar los valores de cada Get-BitLockerVolume volver a otra variable como se
muestra a continuación:

$vol = Get-BitLockerVolume
$keyprotectors = $[Link]

Con este script, puede mostrar la información en la variable $keyprotectors para determinar el GUID de cada
protector.
Con esta información, puede quitar el protector de clave de un volumen específico mediante el comando :

Remove-BitLockerKeyProtector <volume>: -KeyProtectorID "{GUID}"

NOTE
El cmdlet de BitLocker requiere que se ejecute el GUID del protector de claves entre comillas. Asegúrese de que todo el
GUID, con llaves, se incluye en el comando .

Uso de los cmdlets de Windows PowerShell de BitLocker con volúmenes de sistema operativo
El uso de los cmdlets de Windows PowerShell de BitLocker es similar a trabajar con la herramienta manage-bde
para cifrar los volúmenes del sistema operativo. Windows PowerShell ofrece a los usuarios una gran flexibilidad.
Por ejemplo, los usuarios pueden agregar el protector deseado como comando part para cifrar el volumen. A
continuación se muestran ejemplos de escenarios de usuario comunes y pasos para realizarlos en BitLocker
Windows PowerShell.
En el ejemplo siguiente se muestra cómo habilitar BitLocker en una unidad del sistema operativo con solo el
protector de TPM:

Enable-BitLocker C:

En el ejemplo siguiente, agrega un protector adicional, el protector StartupKey y elige omitir la prueba de
hardware de BitLocker. En este ejemplo, el cifrado se inicia inmediatamente sin necesidad de reiniciar.
 Enable-BitLocker C: -StartupKeyProtector -StartupKeyPath <path> -SkipHardwareTest

Uso de los cmdlets de Windows PowerShell de BitLocker con volúmenes de datos

El cifrado de volúmenes de datos mediante Windows PowerShell es el mismo que para los volúmenes del
sistema operativo. Agregue los protectores deseados antes de cifrar el volumen. En el ejemplo siguiente se
agrega un protector de contraseña al volumen E: mediante la variable $pw como contraseña. La variable $pw se
mantiene como un valor SecureString para almacenar la contraseña definida por el usuario.

$pw = Read-Host -AsSecureString

<user inputs password>
Enable-BitLockerKeyProtector E: -PasswordProtector -Password $pw

Uso de una cuenta de AD o un protector de grupo en Windows PowerShell

El protector ADAccountOrGroup , introducido en Windows 8 y Windows Server 2012, es un protector basado
en SID de Active Directory. Este protector se puede agregar tanto al sistema operativo como a los volúmenes de
datos, aunque no desbloquea los volúmenes del sistema operativo en el entorno previo al arranque. El protector
requiere el SID para que la cuenta de dominio o el grupo se vinculen con el protector. BitLocker puede proteger
un disco compatible con el clúster agregando un protector basado en SID para el objeto de nombre de clúster
(CNO) que permite que cualquier equipo miembro del clúster realice la conmutación por error correctamente
en el disco y lo desbloquee.

WARNING
El protector ADAccountOrGroup requiere el uso de un protector adicional para su uso (como TPM, PIN o clave de
recuperación) cuando se usa en volúmenes del sistema operativo.

Para agregar un protector ADAccountOrGroup a un volumen, use el SID de dominio real o el nombre de
grupo precedido por el dominio y una barra diagonal inversa. En el ejemplo siguiente, la cuenta
CONTOSO\Administrator se agrega como protector al volumen de datos G.

Enable-BitLocker G: -AdAccountOrGroupProtector -AdAccountOrGroup CONTOSO\Administrator

Para los usuarios que desean usar el SID para la cuenta o el grupo, el primer paso es determinar el SID asociado
a la cuenta. Para obtener el SID específico de una cuenta de usuario en Windows PowerShell, use el siguiente
comando:

NOTE
El uso de este comando requiere la característica RSAT-AD-PowerShell.

get-aduser -filter {samaccountname -eq "administrator"}

TIP
Además del comando de PowerShell anterior, puede encontrar información sobre la pertenencia al usuario y al grupo que
ha iniciado sesión localmente mediante: WHOAMI /ALL. Esto no requiere el uso de características adicionales.

En el ejemplo siguiente se agrega un protector ADAccountOrGroup al volumen del sistema operativo

previamente cifrado mediante el SID de la cuenta:
 Add-BitLockerKeyProtector C: -ADAccountOrGroupProtector -ADAccountOrGroup S-1-5-21-3651336348-8937238915-
291003330-500

NOTE
Los protectores basados en Active Directory se usan normalmente para desbloquear volúmenes habilitados para clústeres
de conmutación por error.

Más información
Introducción a BitLocker
Preguntas más frecuentes (P+F) de BitLocker
Prepara tu organización para BitLocker: planificación y directivas
BitLocker: cómo habilitar el desbloqueo en red
BitLocker: cómo implementar en Windows Server 2012
 BitLocker: Usar el Visor de contraseñas de
recuperación de BitLocker
08/11/2022 • 2 minutes to read

Se aplica a
Windows10
Windows11
Windows Server2016 y superior
En este tema se describe cómo usar el Visor de contraseñas de recuperación de BitLocker.
La herramienta Visor de contraseñas de recuperación de BitLocker es una herramienta opcional incluida con las
Herramientas de administración remota del servidor (RSAT). Permite buscar y ver contraseñas de recuperación
de BitLocker almacenadas en Servicios de dominio de Active Directory (AD DS). Puedes usar esta herramienta
para ayudar a recuperar datos que están almacenados en una unidad cifrada mediante el uso de BitLocker. La
herramienta Visor de contraseñas de recuperación de Active Directory de BitLocker es una extensión para el
complemento Usuarios y equipos de Active Directory Microsoft Management Console (MMC). Con esta
herramienta, puede examinar el cuadro de diálogo Propiedades de un objeto de equipo para ver las
contraseñas de recuperación de BitLocker correspondientes. Además, puede hacer clic con el botón derecho en
un contenedor de dominio y, a continuación, buscar una contraseña de recuperación de BitLocker en todos los
dominios del bosque de Active Directory. También puede buscar una contraseña por identificador de contraseña
(ID).

Antes de empezar
Para completar los procedimientos de este escenario:
Debe tener credenciales de administrador de dominio.
Los equipos de prueba deben estar unidos al dominio.
En los equipos de prueba unidos a un dominio, BitLocker debe estar activado.
En los procedimientos siguientes se describen las tareas más comunes realizadas mediante el Visor de
contraseñas de recuperación de BitLocker.
Para ver las contraseñas de recuperación de un equipo
1. En Usuarios y equipos de Active Director y , busque y haga clic en el contenedor en el que se encuentra
el equipo.
2. Haga clic con el botón derecho en el objeto de equipo y, a continuación, haga clic en Propiedades .
3. En el cuadro de diálogo Propiedades , haga clic en la pestaña Recuperación de BitLocker para ver las
contraseñas de recuperación de BitLocker asociadas al equipo.
Para copiar las contraseñas de recuperación de un equipo
1. Siga los pasos del procedimiento anterior para ver las contraseñas de recuperación de BitLocker.
2. En la pestaña Recuperación de BitLocker del cuadro de diálogo Propiedades , haga clic con el botón
derecho en la contraseña de recuperación de BitLocker que desea copiar y, a continuación, haga clic en
Copiar detalles .
3. Presione CTRL+V para pegar el texto copiado en una ubicación de destino, como un archivo de texto o una
hoja de cálculo.
Para buscar una contraseña de recuperación mediante un identificador de contraseña
1. En Usuarios y equipos de Active Directory, haga clic con el botón derecho en el contenedor de dominio y, a
continuación, haga clic en Buscar contraseña de recuperación de BitLocker .
2. En el cuadro de diálogo Buscar contraseña de recuperación de BitLocker , escriba los ocho primeros
caracteres de la contraseña de recuperación en el cuadro Id. de contraseña (primeros 8 caracteres) y, a
continuación, haga clic en Buscar . Al completar los procedimientos de este escenario, ha visto y copiado las
contraseñas de recuperación de un equipo y ha usado un identificador de contraseña para buscar una
contraseña de recuperación.

Más información
Información general de BitLocker
Preguntas más frecuentes (P+F) de BitLocker
Prepara tu organización para BitLocker: planificación y directivas
BitLocker: cómo implementar en Windows Server 2012
BitLocker: usar herramientas de cifrado de unidad BitLocker para administrar BitLocker
 Configuración de directiva de grupo de BitLocker
08/11/2022 • 97 minutes to read

Se aplica a:
Windows 10, Windows 11, Windows Server 2019, Windows Server 2016, Windows 8.1 y Windows Server
2012 R2
En este artículo para profesionales de TI se describe la función, la ubicación y el efecto de cada configuración de
directiva de grupo que se usa para administrar el cifrado de unidad bitlocker.
Para controlar las tareas de cifrado de unidad que el usuario puede realizar desde windows Panel de control o
para modificar otras opciones de configuración, puede usar directiva de grupo plantillas administrativas o la
configuración de directivas de equipo local. La forma de configurar estas opciones de directiva depende de
cómo implemente BitLocker y de qué nivel de interacción del usuario se permitirá.

NOTE
Un conjunto independiente de configuraciones de directiva de grupo admite el uso del módulo de plataforma segura
(TPM). Para obtener más información acerca de esa configuración, consulte Trusted Platform Module directiva de grupo
settings (Configuración del módulo de plataforma segura directiva de grupo).

Se puede acceder a la configuración de directiva de grupo de BitLocker mediante el Editor de directiva de grupo
local y la Consola de administración de directiva de grupo (GPMC) en Configuración del equipo\Plantillas
administrativas\Componentes de Windows\Cifrado de unidad BitLocker . La mayoría de la
configuración de directiva de grupo de BitLocker se aplica cuando BitLocker está activado inicialmente para una
unidad. Si un equipo no es compatible con la configuración de directiva de grupo existente, es posible que
BitLocker no esté activado ni modificado hasta que el equipo esté en un estado conforme. Cuando una unidad
no cumple con directiva de grupo configuración (por ejemplo, si se cambió una configuración de directiva de
grupo después de la implementación inicial de BitLocker en su organización y, a continuación, la configuración
se aplicó a unidades previamente cifradas), no se puede realizar ningún cambio en la configuración de BitLocker
de esa unidad, excepto un cambio que la hará cumplir.
Si es necesario realizar varios cambios para que la unidad se cumpla, debe suspender la protección de BitLocker,
realizar los cambios necesarios y, a continuación, reanudar la protección. Esta situación podría producirse, por
ejemplo, si una unidad extraíble está configurada inicialmente para desbloquearse con una contraseña y, a
continuación, directiva de grupo configuración se cambia para no permitir contraseñas y requerir tarjetas
inteligentes. En esta situación, debe suspender la protección de BitLocker mediante la herramienta de línea de
comandos Manage-bde , eliminar el método de desbloqueo de contraseña y agregar el método de tarjeta
inteligente. Una vez completado esto, BitLocker es compatible con la configuración de directiva de grupo y se
puede reanudar la protección de BitLocker en la unidad.

Configuración de directiva de grupo de BitLocker

NOTE
Para obtener más información sobre la configuración de Active Directory relacionada con la habilitación de BitLocker,
consulte Configuración de MDT para BitLocker.

En las secciones siguientes se proporciona una lista completa de la configuración de directiva de grupo de
BitLocker organizada por uso. La configuración de la directiva de grupo de BitLocker incluye la configuración de
tipos de unidad específicos (unidades de sistema operativo, unidades de datos fijas y unidades de datos
extraíbles) y la configuración que se aplica a todas las unidades.
La siguiente configuración de directiva se puede usar para determinar cómo se puede desbloquear una unidad
protegida por BitLocker.
Permitir que los dispositivos con arranque seguro y puertos DMA protegidos opten por no participar en el
PIN previo al arranque
Permitir desbloqueo de red en el inicio
Requerir autenticación adicional en el inicio
Permitir PIN mejorados para el inicio
Configuración de la longitud mínima del PIN para el inicio
Deshabilitación de nuevos dispositivos DMA cuando este equipo está bloqueado
No permitir que los usuarios estándar cambien el PIN o la contraseña
Configuración del uso de contraseñas para unidades de sistema operativo
Requerir autenticación adicional al inicio (Windows Server 2008 y Windows Vista)
Configuración del uso de tarjetas inteligentes en unidades de datos fijas
Configuración del uso de contraseñas en unidades de datos fijas
Configuración del uso de tarjetas inteligentes en unidades de datos extraíbles
Configuración del uso de contraseñas en unidades de datos extraíbles
Validación del cumplimiento de la regla de uso de certificados de tarjeta inteligente
Habilitación del uso de la autenticación de BitLocker que requiere entrada de teclado previa al arranque en
pizarras
La siguiente configuración de directiva se usa para controlar cómo los usuarios pueden acceder a las unidades y
cómo pueden usar BitLocker en sus equipos.
Denegar el acceso de escritura a unidades fijas no protegidas por BitLocker
Denegar el acceso de escritura a unidades extraíbles no protegidas por BitLocker
Controlar el uso de BitLocker en unidades extraíbles
La siguiente configuración de directiva determina los métodos de cifrado y los tipos de cifrado que se usan con
BitLocker.
Elección del método de cifrado de unidad y la intensidad del cifrado
Configuración del uso del cifrado basado en hardware para unidades de datos fijas
Configuración del uso del cifrado basado en hardware para unidades de sistema operativo
Configuración del uso del cifrado basado en hardware para unidades de datos extraíbles
Aplicación del tipo de cifrado de unidad en unidades de datos fijas
Aplicación del tipo de cifrado de unidad en las unidades del sistema operativo
Aplicación del tipo de cifrado de unidad en unidades de datos extraíbles
Las siguientes configuraciones de directiva definen los métodos de recuperación que pueden ser usados para
restaurar el acceso a una unidad protegida con BitLocker si se produce un error o no puede usarse un método
de autenticación.
Elegir cómo se pueden recuperar unidades del sistema operativo protegidas con BitLocker
Elegir cómo los usuarios pueden recuperar unidades protegidas por BitLocker (Windows Server 2008 y
Windows Vista)
Almacenar información de recuperación de BitLocker en Servicios de dominio de Active Directory (Windows
Server 2008 y Windows Vista)
 Elija la carpeta predeterminada para la contraseña de recuperación.
Elegir cómo se pueden recuperar unidades fijas protegidas por BitLocker
Elegir cómo se pueden recuperar unidades extraíbles protegidas por BitLocker
Configuración del mensaje y la dirección URL de la recuperación previa al arranque
Las siguientes directivas se usan para admitir escenarios de implementación personalizados en su organización.
Permitir arranque seguro para la validación de integridad
Proporcionar los identificadores únicos de la organización
Impedir la sobrescritura de memoria al reiniciar
Configuración del perfil de validación de la plataforma TPM para configuraciones de firmware basadas en
BIOS
Configurar el perfil de validación de la plataforma TPM (Windows Vista, Windows Server 2008, Windows 7,
Windows Server 2008 R2)
Configuración del perfil de validación de la plataforma TPM para configuraciones de firmware ueFI nativas
Restablecimiento de los datos de validación de la plataforma después de la recuperación de BitLocker
Uso del perfil de validación de datos de configuración de arranque mejorado
Permitir el acceso a unidades de datos fijas protegidas por BitLocker desde versiones anteriores de Windows
Permitir el acceso a unidades de datos extraíbles protegidas por BitLocker desde versiones anteriores de
Windows
Permitir que los dispositivos con arranque seguro y puertos DMA protegidos opten por no usar el PIN de
arranque previo

Descripción de la directiva Con esta configuración de directiva, puede permitir la

protección de solo TPM para dispositivos más nuevos y más
seguros, como los dispositivos que admiten Modern Standby
o HSTI, a la vez que se requiere pin en dispositivos
anteriores.

Introducido Windows 10, versión 1703 o Windows 11

Tipo de unidad Unidades del sistema operativo

Ruta de la directiva Configuración del equipo\Plantillas

administrativas\Componentes de Windows\Cifrado de
unidad BitLocker\Unidades del sistema operativo

Conflictos Esta configuración invalida la opción Requerir PIN de

inicio con TPM de la directiva Requerir autenticación
adicional en el inicio en hardware compatible.

Cuando está habilitado Los usuarios en dispositivos compatibles con Modern

Standby y HSTI tendrán la opción de activar BitLocker sin
autenticación previa al arranque.

Cuando está deshabilitado o no configurado Se aplican las opciones de la directiva Requerir autenticación
adicional en el inicio .

Referencia
La opción de autenticación previa al arranque Requiere pin de inicio con TPM de la directiva Requerir
autenticación adicional en el inicio a menudo está habilitada para ayudar a garantizar la seguridad de los
dispositivos anteriores que no admiten el modo de espera moderno. Sin embargo, los usuarios con
discapacidad visual no tienen ninguna manera audible de saber cuándo escribir un PIN. Esta configuración
habilita una excepción a la directiva requerida por PIN en hardware seguro.
Permitir desbloqueo de red en el inicio
Esta directiva controla una parte del comportamiento de la característica Desbloqueo de red en BitLocker. Esta
directiva es necesaria para habilitar el desbloqueo de red de BitLocker en una red, ya que permite a los clientes
que ejecutan BitLocker crear el protector de clave de red necesario durante el cifrado.
Esta directiva se usa con la directiva de seguridad de certificados de desbloqueo de red de cifrado de unidad
BitLocker (que se encuentra en la carpeta Directivas de clave pública de directiva de equipo local) para
permitir que los sistemas conectados a una red de confianza usen correctamente la característica Desbloqueo de
red.

Descripción de la directiva Con esta configuración de directiva, puede controlar si un

equipo protegido con BitLocker que está conectado a una
red de área local de confianza y unido a un dominio puede
crear y usar protectores de clave de red en equipos
habilitados para TPM para desbloquear automáticamente la
unidad del sistema operativo cuando se inicia el equipo.

Introducido Windows Server 2012 y Windows 8

Tipo de unidad Unidades del sistema operativo

Ruta de la directiva Configuración del equipo\Plantillas

administrativas\Componentes de Windows\Cifrado de
unidad BitLocker\Unidades del sistema operativo

Conflictos Ninguna

Cuando está habilitado Los clientes configurados con un certificado de desbloqueo

de red de BitLocker pueden crear y usar protectores de clave
de red.

Cuando está deshabilitado o no configurado Los clientes no pueden crear ni usar protectores de clave de
red

Referencia
Para usar un protector de clave de red para desbloquear el equipo, el equipo y el servidor que hospeda el
desbloqueo de red de cifrado de unidad BitLocker deben aprovisionarse con un certificado de desbloqueo de
red. El certificado de desbloqueo de red se usa para crear un protector de clave de red y para proteger el
intercambio de información con el servidor para desbloquear el equipo. Puede usar la configuración de directiva
de grupo Configuración del equipo\Configuración de Windows\Configuración de
seguridad\Directivas de clave pública\Cer tificado de desbloqueo de red de cifrado de unidad
BitLocker en el controlador de dominio para distribuir este certificado a los equipos de su organización. Este
método de desbloqueo usa el TPM en el equipo, por lo que los equipos que no tienen un TPM no pueden crear
protectores de clave de red para desbloquear automáticamente mediante desbloqueo de red.
 NOTE
Por motivos de confiabilidad y seguridad, los equipos también deben tener un PIN de inicio de TPM que se pueda usar
cuando el equipo esté desconectado de la red cableada o no pueda conectarse al controlador de dominio al iniciarse.

Para obtener más información sobre la característica de desbloqueo de red, vea BitLocker: Cómo habilitar el
desbloqueo de red.
Requerir autenticación adicional en el inicio
Esta configuración de directiva se usa para controlar qué opciones de desbloqueo están disponibles para las
unidades del sistema operativo.

Descripción de la directiva Con esta configuración de directiva, puede configurar si

BitLocker requiere autenticación adicional cada vez que se
inicia el equipo y si usa BitLocker con un módulo de
plataforma segura (TPM). Esta configuración de directiva se
aplica al activar BitLocker.

Introducido Windows Server 2008 R2 y Windows 7

Tipo de unidad Unidades del sistema operativo

Ruta de la directiva Configuración del equipo\Plantillas

administrativas\Componentes de Windows\Cifrado de
unidad BitLocker\Unidades del sistema operativo

Conflictos Si se requiere un método de autenticación, no se pueden

permitir los otros métodos. El uso de BitLocker con una clave
de inicio de TPM o con una clave de inicio de TPM y un PIN
debe no estar permitido si se habilita la opción Denegar el
acceso de escritura a unidades extraíbles no
protegidas por la directiva de BitLocker .

Cuando está habilitado Los usuarios pueden configurar opciones de inicio avanzadas
en el Asistente para la instalación de BitLocker.

Cuando está deshabilitado o no configurado Los usuarios solo pueden configurar opciones básicas en
equipos con un TPM.
Solo se puede requerir una de las opciones de
autenticación adicionales al inicio; De lo contrario, se
produce un error de directiva.

Referencia
Si desea usar BitLocker en un equipo sin TPM, seleccione Permitir BitLocker sin un TPM compatible . En
este modo, se requiere una contraseña o unidad USB para el inicio. La unidad USB almacena la clave de inicio
que se usa para cifrar la unidad. Cuando se inserta la unidad USB, se autentica la clave de inicio y se puede
acceder a la unidad del sistema operativo. Si la unidad USB se pierde o no está disponible, se requiere la
recuperación de BitLocker para acceder a la unidad.
En un equipo con un TPM compatible, se pueden usar métodos de autenticación adicionales en el inicio para
mejorar la protección de los datos cifrados. Cuando se inicia el equipo, puede usar:
Solo el TPM
 Inserción de una unidad flash USB que contiene la clave de inicio
La entrada de un número de identificación personal (PIN) de 4 a 20 dígitos
Una combinación del PIN y la unidad flash USB
Hay cuatro opciones para equipos o dispositivos habilitados para TPM:
Configuración del inicio de TPM
Permitir TPM
Requerir TPM
No permitir TPM
Configuración del PIN de inicio de TPM
Permitir el PIN de inicio con TPM
Requerir PIN de inicio con TPM
No permitir el PIN de inicio con TPM
Configuración de la clave de inicio de TPM
Permitir clave de inicio con TPM
Requerir clave de inicio con TPM
No permitir la clave de inicio con TPM
Configuración de la clave de inicio y el PIN de TPM
Permitir clave de inicio de TPM con PIN
Requerir clave de inicio y PIN con TPM
No permitir la clave de inicio de TPM con PIN
Permitir PIN mejorados para el inicio
Esta configuración de directiva permite el uso de PIN mejorados cuando se usa un método de desbloqueo que
incluye un PIN.

Descripción de la directiva Con esta configuración de directiva, puede configurar si los

PIN de inicio mejorados se usan con BitLocker.

Introducido Windows Server 2008 R2 y Windows 7

Tipo de unidad Unidades del sistema operativo

Ruta de la directiva Configuración del equipo\Plantillas

administrativas\Componentes de Windows\Cifrado de
unidad BitLocker\Unidades del sistema operativo

Conflictos Ninguna

Cuando está habilitado Todos los PIN de inicio de BitLocker nuevos que se
establezcan serán PIN mejorados. Las unidades existentes
protegidas mediante PIN de inicio estándar no se ven
afectadas.

Cuando está deshabilitado o no configurado Los PIN mejorados no se usarán.

Referencia
Los PIN de inicio mejorados permiten el uso de caracteres (incluidas las letras mayúsculas y minúsculas, los
símbolos, los números y los espacios). Esta configuración de directiva se aplica al activar BitLocker.

IMPORTANT
No todos los equipos admiten caracteres PIN mejorados en el entorno de prearranque. Se recomienda encarecidamente
que los usuarios realicen una comprobación del sistema durante la configuración de BitLocker para comprobar que se
pueden usar caracteres pin mejorados.

Configuración de la longitud mínima del PIN para el inicio

Esta configuración de directiva se usa para establecer una longitud mínima de PIN cuando se usa un método de
desbloqueo que incluye un PIN.

Descripción de la directiva Con esta configuración de directiva, puede configurar una

longitud mínima para un PIN de inicio de TPM. Esta
configuración de directiva se aplica al activar BitLocker. El PIN
de inicio debe tener una longitud mínima de cuatro dígitos y
puede tener una longitud máxima de 20 dígitos. De forma
predeterminada, la longitud mínima del PIN es 6.

Introducido Windows Server 2008 R2 y Windows 7

Tipo de unidad Unidades del sistema operativo

Ruta de la directiva Configuración del equipo\Plantillas

administrativas\Componentes de Windows\Cifrado de
unidad BitLocker\Unidades del sistema operativo

Conflictos Ninguna

Cuando está habilitado Puede requerir que los PIN de inicio establecidos por los
usuarios tengan una longitud mínima que elija que esté
entre 4 y 20 dígitos.

Cuando está deshabilitado o no configurado Los usuarios pueden configurar un PIN de inicio de cualquier
longitud entre 6 y 20 dígitos.

Referencia
Esta configuración de directiva se aplica al activar BitLocker. El PIN de inicio debe tener una longitud mínima de
cuatro dígitos y puede tener una longitud máxima de 20 dígitos.
Originalmente, BitLocker permitía una longitud de entre 4 y 20 caracteres para un PIN. Windows Hello tiene su
propio PIN para el inicio de sesión, con una longitud de entre 4 y 127 caracteres. BitLocker y Windows Hello
usan el TPM para evitar ataques por fuerza bruta de PIN.
El TPM se puede configurar para usar parámetros de prevención de ataques de diccionario (umbral de bloqueo
y duración de bloqueo) para controlar cuántos intentos de autorizaciones erróneas se permiten antes de que se
bloquee el TPM y cuánto tiempo debe transcurrir antes de que se pueda realizar otro intento.
Los parámetros de prevención de ataques de diccionario proporcionan una manera de equilibrar las
necesidades de seguridad con la facilidad de uso. Por ejemplo, cuando se usa BitLocker con una configuración
de TPM + PIN, el número de estimaciones de PIN está limitado con el tiempo. Un TPM 2.0 en este ejemplo
podría configurarse para permitir solo 32 estimaciones de PIN inmediatamente y, a continuación, solo una
estimación más cada dos horas. Esto suma un máximo de aproximadamente 4415 estimaciones al año. Si el PIN
es de cuatro dígitos, las combinaciones posibles de PIN 9999 podrían intentarse en poco más de dos años.
Aumentar la longitud del PIN requiere un mayor número de conjeturas para un atacante. En ese caso, la
duración del bloqueo entre cada estimación se puede acortar para permitir que los usuarios legítimos vuelvan a
intentar un intento erróneo antes, al tiempo que mantienen un nivel de protección similar.
A partir de Windows 10, versión 1703 o Windows 11, la longitud mínima del PIN de BitLocker se incrementó a
seis caracteres para alinearse mejor con otras características de Windows que usan TPM 2.0, incluido Windows
Hello. Para ayudar a las organizaciones con la transición, a partir de Windows 10, versión 1709 y Windows 10,
versión 1703 con la actualización acumulativa de octubre de 2017 o Windows 11 instalada, la longitud del PIN
de BitLocker es de seis caracteres de forma predeterminada, pero se puede reducir a cuatro caracteres. Si la
longitud mínima del PIN se reduce del valor predeterminado de seis caracteres, se ampliará el período de
bloqueo de TPM 2.0.
Deshabilitación de nuevos dispositivos DMA cuando este equipo está bloqueado
Esta configuración de directiva le permite bloquear el acceso directo a la memoria (DMA) para todos los puertos
PCI conectables en caliente hasta que un usuario inicie sesión en Windows.

Descripción de la directiva Esta configuración ayuda a evitar ataques que usan

dispositivos externos basados en PCI para acceder a las
claves de BitLocker.

Introducido Windows 10, versión 1703 o Windows 11

Tipo de unidad Unidades del sistema operativo

Ruta de la directiva Configuración del equipo\Plantillas

administrativas\Componentes de Windows\Cifrado de
unidad BitLocker

Conflictos Ninguna

Cuando está habilitado Cada vez que el usuario bloquea el scree, DMA se bloqueará
en los puertos PCI conectables en caliente hasta que el
usuario vuelva a iniciar sesión.

Cuando está deshabilitado o no configurado DMA está disponible en dispositivos PCI conectables en
caliente si el dispositivo está activado, independientemente
de si un usuario ha iniciado sesión.

Referencia
Esta configuración de directiva solo se aplica cuando BitLocker o el cifrado de dispositivo están habilitados.
Como se explica en el blog guía de seguridad de Microsoft, en algunos casos, cuando esta configuración está
habilitada, se pueden producir errores en los periféricos internos basados en PCI, incluidos los controladores de
red inalámbricos y los periféricos de entrada y audio. Este problema se ha corregido en la actualización de
calidad de abril de 2018.
No permitir que los usuarios estándar cambien el PIN o la contraseña
Esta configuración de directiva permite configurar si los usuarios estándar pueden cambiar el PIN o la
contraseña que se usa para proteger la unidad del sistema operativo.
 Descripción de la directiva Con esta configuración de directiva, puede configurar si los
usuarios estándar pueden cambiar el PIN o la contraseña
que se usa para proteger la unidad del sistema operativo.

Introducido Windows Server 2012 y Windows 8

Tipo de unidad Unidades del sistema operativo

Ruta de la directiva Configuración del equipo\Plantillas

administrativas\Componentes de Windows\Cifrado de
unidad BitLocker\Unidades del sistema operativo

Conflictos Ninguna

Cuando está habilitado Los usuarios estándar no pueden cambiar los PIN ni las
contraseñas de BitLocker.

Cuando está deshabilitado o no configurado Los usuarios estándar pueden cambiar los PIN o contraseñas
de BitLocker.

Referencia
Para cambiar el PIN o la contraseña, el usuario debe poder proporcionar el PIN o la contraseña actuales. Esta
configuración de directiva se aplica al activar BitLocker.
Configuración del uso de contraseñas para unidades de sistema operativo
Esta directiva controla cómo los sistemas no basados en TPM usan el protector de contraseñas. Se usa con la
directiva Contraseña debe cumplir los requisitos de complejidad ; esta directiva permite a los
administradores requerir la longitud y la complejidad de la contraseña para usar el protector de contraseña. De
forma predeterminada, las contraseñas deben tener ocho caracteres. Las opciones de configuración de
complejidad determinan la importancia de la conectividad de dominio para el cliente. Para la seguridad de
contraseñas más segura, los administradores deben elegir Requerir complejidad de contraseña porque
requiere conectividad de dominio y requiere que la contraseña de BitLocker cumpla los mismos requisitos de
complejidad de contraseña que las contraseñas de inicio de sesión de dominio.

Descripción de la directiva Con esta configuración de directiva, puede especificar las

restricciones para las contraseñas que se usan para
desbloquear unidades de sistema operativo protegidas con
BitLocker.

Introducido Windows Server 2012 y Windows 8

Tipo de unidad Unidades del sistema operativo

Ruta de la directiva Configuración del equipo\Plantillas

administrativas\Componentes de Windows\Cifrado de
unidad BitLocker\Unidades del sistema operativo
 Conflictos Las contraseñas no se pueden usar si el cumplimiento fips
está habilitado.

NOTA: Criptografía del sistema: use algoritmos

compatibles con FIPS para el cifrado, el hash y la
configuración de directiva de firma, que se encuentra en
Configuración del equipo\Configuración de
Windows\Configuración de seguridad\Directivas
locales\Opciones de seguridad especifica si el
cumplimiento fips está habilitado.

Cuando está habilitado Los usuarios pueden configurar una contraseña que cumpla
los requisitos que defina. Para aplicar los requisitos de
complejidad de la contraseña, seleccione Requerir
complejidad .

Cuando está deshabilitado o no configurado La restricción de longitud predeterminada de ocho

caracteres se aplicará a las contraseñas de unidad del
sistema operativo y no se producirá ninguna comprobación
de complejidad.

Referencia
Si se permiten protectores que no son de TPM en las unidades del sistema operativo, puede aprovisionar una
contraseña, aplicar requisitos de complejidad en la contraseña y configurar una longitud mínima para la
contraseña. Para que la configuración de requisitos de complejidad sea efectiva, la configuración de directiva de
grupo Contraseña debe cumplir los requisitos de complejidad , que se encuentra en Configuración del
equipo\Configuración de Windows\Configuración de seguridad\Directivas de cuenta\Directiva de
contraseña\ , también debe estar habilitada.

NOTE
Esta configuración se aplica al activar BitLocker, no al desbloquear un volumen. BitLocker permite desbloquear una unidad
con cualquiera de los protectores que están disponibles en la unidad.

Cuando se establece en Requerir complejidad , es necesaria una conexión a un controlador de dominio

cuando BitLocker está habilitado para validar la complejidad de la contraseña. Cuando se establece en Permitir
complejidad , se intenta validar una conexión a un controlador de dominio para validar que la complejidad se
ajusta a las reglas establecidas por la directiva. Si no se encuentra ningún controlador de dominio, la contraseña
se aceptará independientemente de la complejidad real de la contraseña y la unidad se cifrará con esa
contraseña como protector. Cuando se establece en No permitir complejidad , no hay validación de
complejidad de contraseña. Las contraseñas deben tener al menos ocho caracteres. Para configurar una longitud
mínima mayor para la contraseña, escriba el número deseado de caracteres en el cuadro Longitud mínima de
la contraseña .
Cuando esta configuración de directiva está habilitada, puede establecer la opción Configurar la complejidad
de la contraseña para las unidades del sistema operativo en:
Permitir complejidad de contraseñas
Denegación de la complejidad de la contraseña
Requerir complejidad de contraseña
Requerir autenticación adicional al inicio (Windows Server 2008 y Windows Vista)
Esta configuración de directiva se usa para controlar qué opciones de desbloqueo están disponibles para los
equipos que ejecutan Windows Server 2008 o Windows Vista.

Descripción de la directiva Con esta configuración de directiva, puedes controlar si el

Asistente para la instalación de BitLocker en equipos que
ejecutan Windows Vista o Windows Server 2008 puede
configurar un método de autenticación adicional que se
requiera cada vez que se inicie el equipo.

Introducido Windows Server 2008 y Windows Vista

Tipo de unidad Unidades del sistema operativo (Windows Server 2008 y

Windows Vista)

Ruta de la directiva Configuración del equipo\Plantillas

administrativas\Componentes de Windows\Cifrado de
unidad BitLocker\Unidades del sistema operativo

Conflictos Si decide requerir un método de autenticación adicional, no

se pueden permitir otros métodos de autenticación.

Cuando está habilitado El Asistente para la instalación de BitLocker muestra la

página que permite al usuario configurar opciones de inicio
avanzadas para BitLocker. Puede configurar aún más las
opciones de configuración para equipos con o sin TPM.

Cuando está deshabilitado o no configurado El Asistente para la instalación de BitLocker muestra los
pasos básicos que permiten a los usuarios habilitar BitLocker
en equipos con un TPM. En este asistente básico, no se
puede configurar ninguna clave de inicio o PIN de inicio
adicional.

Referencia
En un equipo con un TPM compatible, se pueden usar dos métodos de autenticación en el inicio para
proporcionar protección adicional para los datos cifrados. Cuando se inicia el equipo, puede pedir a los usuarios
que inserten una unidad USB que contenga una clave de inicio. También puede pedir a los usuarios que escriban
un PIN de inicio con una longitud entre 6 y 20 dígitos.
Se necesita una unidad USB que contenga una clave de inicio en equipos sin un TPM compatible. Sin un TPM,
los datos cifrados por BitLocker están protegidos únicamente por el material de clave que se encuentra en esta
unidad USB.
Hay dos opciones para equipos o dispositivos habilitados para TPM:
Configuración del PIN de inicio de TPM
Permitir el PIN de inicio con TPM
Requerir PIN de inicio con TPM
No permitir el PIN de inicio con TPM
Configuración de la clave de inicio de TPM
Permitir clave de inicio con TPM
Requerir clave de inicio con TPM
No permitir la clave de inicio con TPM
Estas opciones son mutuamente excluyentes. Si necesita la clave de inicio, no debe permitir el PIN de inicio. Si
necesita el PIN de inicio, no debe permitir la clave de inicio. De lo contrario, se producirá un error de directiva.
Para ocultar la página avanzada en un equipo o dispositivo habilitado para TPM, establezca estas opciones en
No permitir la clave de inicio y el PIN de inicio.
Configuración del uso de tarjetas inteligentes en unidades de datos fijas
Esta configuración de directiva se usa para requerir, permitir o denegar el uso de tarjetas inteligentes con
unidades de datos fijas.

Descripción de la directiva Con esta configuración de directiva, puede especificar si se

pueden usar tarjetas inteligentes para autenticar el acceso
del usuario a las unidades de datos fijas protegidas por
BitLocker en un equipo.

Introducido Windows Server 2008 R2 y Windows 7

Tipo de unidad Unidades de datos fijas

Ruta de la directiva Configuración del equipo\Plantillas

administrativas\Componentes de Windows\Cifrado de
unidad BitLocker\Unidades de datos fijas

Conflictos Para usar tarjetas inteligentes con BitLocker, es posible que

también tenga que modificar la configuración del
identificador de objeto en la configuración del
equipo\Plantillas administrativas\Cifrado de unidad
BitLocker\Validar la directiva de cumplimiento de la
regla de uso de cer tificados de tarjeta inteligente
para que coincida con el identificador de objeto de los
certificados de tarjeta inteligente.

Cuando está habilitado Las tarjetas inteligentes se pueden usar para autenticar el
acceso del usuario a la unidad. Para requerir autenticación
con tarjeta inteligente, active la casilla Requerir uso de
tarjetas inteligentes en unidades de datos fijas .

Cuando está deshabilitado Los usuarios no pueden usar tarjetas inteligentes para
autenticar su acceso a unidades de datos fijas protegidas por
BitLocker.

Cuando no está configurado Las tarjetas inteligentes se pueden usar para autenticar el
acceso del usuario a una unidad protegida por BitLocker.

Referencia

NOTE
Esta configuración se aplica al activar BitLocker, no al desbloquear una unidad. BitLocker permite desbloquear una unidad
mediante cualquiera de los protectores que están disponibles en la unidad.

Configuración del uso de contraseñas en unidades de datos fijas

Esta configuración de directiva se usa para requerir, permitir o denegar el uso de contraseñas con unidades de
datos fijas.
 Descripción de la directiva Con esta configuración de directiva, puede especificar si se
necesita una contraseña para desbloquear las unidades de
datos fijas protegidas por BitLocker.

Introducido Windows Server 2008 R2 y Windows 7

Tipo de unidad Unidades de datos fijas

Ruta de la directiva Configuración del equipo\Plantillas

administrativas\Componentes de Windows\Cifrado de
unidad BitLocker\Unidades de datos fijas

Conflictos Para usar la complejidad de la contraseña, la configuración

del equipo\Configuración de Windows\Configuración
de seguridad\Directivas de cuenta\Directiva de
contraseña\Contraseña debe cumplir también la
configuración de directiva de requisitos de complejidad.

Cuando está habilitado Los usuarios pueden configurar una contraseña que cumpla
los requisitos que defina. Para requerir el uso de una
contraseña, seleccione Requerir contraseña para la
unidad de datos fija . Para aplicar los requisitos de
complejidad en la contraseña, seleccione Requerir
complejidad .

Cuando está deshabilitado El usuario no puede usar una contraseña.

Cuando no está configurado Las contraseñas se admiten con la configuración

predeterminada, que no incluye los requisitos de
complejidad de contraseña y solo requieren ocho caracteres.

Referencia
Cuando se establece en Requerir complejidad , es necesario establecer una conexión a un controlador de
dominio para validar la complejidad de la contraseña cuando BitLocker está habilitado.
Cuando se establece en Permitir complejidad , se intenta validar una conexión a un controlador de dominio
para validar que la complejidad se ajusta a las reglas establecidas por la directiva. Sin embargo, si no se
encuentra ningún controlador de dominio, la contraseña se acepta independientemente de la complejidad real
de la contraseña y la unidad se cifra mediante el uso de esa contraseña como protector.
Cuando se establece en No permitir complejidad , no se realiza ninguna validación de complejidad de
contraseña.
Las contraseñas deben tener al menos ocho caracteres. Para configurar una longitud mínima mayor para la
contraseña, escriba el número deseado de caracteres en el cuadro Longitud mínima de la contraseña .

NOTE
Esta configuración se aplica al activar BitLocker, no al desbloquear una unidad. BitLocker permite desbloquear una unidad
con cualquiera de los protectores que están disponibles en la unidad.

Para que la configuración de requisitos de complejidad sea efectiva, también debe habilitarse la configuración
de directiva de grupo configuración del equipo\Configuración de Windows\Configuración de
seguridad\Directivas de cuenta\Directiva de contraseña\Contraseña debe cumplir los requisitos de
complejidad . Esta configuración de directiva se configura por equipo. Esto significa que se aplica a cuentas de
usuario locales y cuentas de usuario de dominio. Dado que el filtro de contraseña que se usa para validar la
complejidad de la contraseña se encuentra en los controladores de dominio, las cuentas de usuario locales no
pueden acceder al filtro de contraseña porque no se autentican para el acceso al dominio. Cuando esta
configuración de directiva está habilitada, si inicia sesión con una cuenta de usuario local e intenta cifrar una
unidad o cambiar una contraseña en una unidad protegida por BitLocker existente, se muestra un mensaje de
error "Acceso denegado". En esta situación, el protector de clave de contraseña no se puede agregar a la unidad.
La habilitación de esta configuración de directiva requiere que se establezca la conectividad con un dominio
antes de agregar un protector de clave de contraseña a una unidad protegida por BitLocker. Los usuarios que
trabajan de forma remota y tienen períodos de tiempo en los que no pueden conectarse al dominio deben tener
en cuenta este requisito para que puedan programar una hora en que se conectarán al dominio para activar
BitLocker o cambiar una contraseña en una unidad de datos protegida por BitLocker.

IMPORTANT
Las contraseñas no se pueden usar si el cumplimiento de FIPS está habilitado. Criptografía del sistema: use
algoritmos compatibles con FIPS para el cifrado, el hash y la configuración de directiva de firma en
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas
locales\Opciones de seguridad especifica si el cumplimiento fips está habilitado.

Configuración del uso de tarjetas inteligentes en unidades de datos extraíbles

Esta configuración de directiva se usa para requerir, permitir o denegar el uso de tarjetas inteligentes con
unidades de datos extraíbles.

Descripción de la directiva Con esta configuración de directiva, puede especificar si se

pueden usar tarjetas inteligentes para autenticar el acceso de
usuario a unidades de datos extraíbles protegidas por
BitLocker en un equipo.

Introducido Windows Server 2008 R2 y Windows 7

Tipo de unidad Unidades de datos extraíbles

Ruta de la directiva Configuración del equipo\Plantillas

administrativas\Componentes de Windows\Cifrado de
unidad BitLocker\Unidades de datos extraíbles

Conflictos Para usar tarjetas inteligentes con BitLocker, es posible que

también tenga que modificar la configuración del
identificador de objeto en la configuración del
equipo\Plantillas administrativas\Cifrado de unidad
BitLocker\Validar la directiva de cumplimiento de la
regla de uso de cer tificados de tarjeta inteligente
para que coincida con el identificador de objeto de los
certificados de tarjeta inteligente.

Cuando está habilitado Las tarjetas inteligentes se pueden usar para autenticar el
acceso del usuario a la unidad. Para requerir autenticación
con tarjeta inteligente, active la casilla Requerir uso de
tarjetas inteligentes en unidades de datos extraíbles
.
 Cuando está deshabilitado o no configurado Los usuarios no pueden usar tarjetas inteligentes para
autenticar su acceso a unidades de datos extraíbles
protegidas por BitLocker.

Cuando no está configurado Las tarjetas inteligentes están disponibles para autenticar el
acceso del usuario a una unidad de datos extraíble protegida
por BitLocker.

Referencia

NOTE
Esta configuración se aplica al activar BitLocker, no al desbloquear una unidad. BitLocker permite desbloquear una unidad
con cualquiera de los protectores que están disponibles en la unidad.

Configuración del uso de contraseñas en unidades de datos extraíbles

Esta configuración de directiva se usa para requerir, permitir o denegar el uso de contraseñas con unidades de
datos extraíbles.

Descripción de la directiva Con esta configuración de directiva, puede especificar si se

necesita una contraseña para desbloquear unidades de
datos extraíbles protegidas por BitLocker.

Introducido Windows Server 2008 R2 y Windows 7

Tipo de unidad Unidades de datos extraíbles

Ruta de la directiva Configuración del equipo\Plantillas

administrativas\Componentes de Windows\Cifrado de
unidad BitLocker\Unidades de datos extraíbles

Conflictos Para usar la complejidad de la contraseña, la opción de

directiva Contraseña debe cumplir los requisitos de
complejidad , que se encuentra en Configuración del
equipo\Configuración de Windows\Configuración de
seguridad\Directivas de cuenta\Directiva de
contraseña también debe estar habilitada.

Cuando está habilitado Los usuarios pueden configurar una contraseña que cumpla
los requisitos que defina. Para requerir el uso de una
contraseña, seleccione Requerir contraseña para la
unidad de datos extraíble . Para aplicar los requisitos de
complejidad en la contraseña, seleccione Requerir
complejidad .

Cuando está deshabilitado El usuario no puede usar una contraseña.

Cuando no está configurado Las contraseñas se admiten con la configuración

predeterminada, que no incluye los requisitos de
complejidad de contraseña y solo requieren ocho caracteres.

Referencia
Si decide permitir el uso de una contraseña, puede requerir que se use una contraseña, aplicar los requisitos de
complejidad y configurar una longitud mínima. Para que la configuración de requisitos de complejidad sea
efectiva, la configuración de directiva de grupo Contraseña debe cumplir los requisitos de complejidad ,
que se encuentra en Configuración del equipo\Configuración de Windows\Configuración de
seguridad\Directivas de cuenta\Directiva de contraseña , también debe estar habilitada.

NOTE
Esta configuración se aplica al activar BitLocker, no al desbloquear una unidad. BitLocker permite desbloquear una unidad
con cualquiera de los protectores que están disponibles en la unidad.

Las contraseñas deben tener al menos ocho caracteres. Para configurar una longitud mínima mayor para la
contraseña, escriba el número deseado de caracteres en el cuadro Longitud mínima de la contraseña .
Cuando se establece en Requerir complejidad , se necesita una conexión a un controlador de dominio cuando
BitLocker está habilitado para validar la complejidad de la contraseña.
Cuando se establece en Permitir complejidad , se intenta establecer una conexión a un controlador de
dominio para validar que la complejidad se ajusta a las reglas establecidas por la directiva. Sin embargo, si no se
encuentra ningún controlador de dominio, la contraseña se sigue aceptando independientemente de la
complejidad real de la contraseña y la unidad se cifra mediante el uso de esa contraseña como protector.
Cuando se establece en No permitir complejidad , no se realiza ninguna validación de complejidad de
contraseña.

NOTE
Las contraseñas no se pueden usar si el cumplimiento de FIPS está habilitado. Criptografía del sistema: use
algoritmos compatibles con FIPS para el cifrado, el hash y la configuración de directiva de firma en
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas
locales\Opciones de seguridad especifica si el cumplimiento fips está habilitado.

Para obtener información sobre esta configuración, vea Criptografía del sistema: Uso de algoritmos compatibles
con FIPS para el cifrado, el hash y la firma.
Validación del cumplimiento de la regla de uso de certificados de tarjeta inteligente
Esta configuración de directiva se usa para determinar qué certificado usar con BitLocker.

Descripción de la directiva Con esta configuración de directiva, puede asociar un

identificador de objeto de un certificado de tarjeta
inteligente a una unidad protegida por BitLocker.

Introducido Windows Server 2008 R2 y Windows 7

Tipo de unidad Unidades de datos fijas y extraíbles

Ruta de la directiva Configuración del equipo\Plantillas

administrativas\Componentes de Windows\Cifrado de
unidad BitLocker

Conflictos Ninguna
 Cuando está habilitado El identificador de objeto especificado en la configuración
Identificador de objeto debe coincidir con el identificador
de objeto del certificado de tarjeta inteligente.

Cuando está deshabilitado o no configurado Se usa el identificador de objeto predeterminado.

Referencia
Esta configuración de directiva se aplica al activar BitLocker.
El identificador de objeto se especifica en el uso mejorado de claves (EKU) de un certificado. BitLocker puede
identificar qué certificados se pueden usar para autenticar un certificado de usuario en una unidad protegida
por BitLocker si coincide con el identificador de objeto del certificado con el identificador de objeto definido por
esta configuración de directiva.
El identificador de objeto predeterminado es [Link].[Link].1.1.

NOTE
BitLocker no requiere que un certificado tenga un atributo EKU; sin embargo, si uno está configurado para el certificado,
debe establecerse en un identificador de objeto que coincida con el identificador de objeto configurado para BitLocker.

Habilitación del uso de la autenticación de BitLocker que requiere entrada de teclado previa al arranque en
pizarras
Habilitación del uso de la autenticación de BitLocker que requiere entrada de teclado previa al arranque en
pizarras

Descripción de la directiva Con esta configuración de directiva, puede permitir que los
usuarios habiliten las opciones de autenticación que
requieren la entrada del usuario desde el entorno de
prearranque, incluso si la plataforma indica una falta de
capacidad de entrada previa al arranque.

Introducido Windows Server 2012 y Windows 8

Tipo de unidad Unidad del sistema operativo

Ruta de la directiva Configuración del equipo\Plantillas

administrativas\Componentes de Windows\Cifrado de
unidad BitLocker\Unidad del sistema operativo

Conflictos Ninguna

Cuando está habilitado Los dispositivos deben tener un medio alternativo de

entrada previa al arranque (por ejemplo, un teclado USB
conectado).

Cuando está deshabilitado o no configurado El entorno de recuperación de Windows debe estar

habilitado en tabletas para admitir la introducción de la
contraseña de recuperación de BitLocker.

Referencia
El teclado táctil de Windows (como el que usan las tabletas) no está disponible en el entorno de arranque previo
en el que BitLocker requiere información adicional, como un PIN o una contraseña.
Se recomienda que los administradores habiliten esta directiva solo para los dispositivos que se comprueban
que tienen un medio alternativo de entrada previa al arranque, como conectar un teclado USB.
Cuando el entorno de recuperación de Windows no está habilitado y esta directiva no está habilitada, no puedes
activar BitLocker en un dispositivo que use el teclado táctil de Windows.
Si no habilita esta configuración de directiva, es posible que las siguientes opciones de la directiva Requerir
autenticación adicional en el inicio no estén disponibles:
Configuración del PIN de inicio de TPM: obligatorio y permitido
Configuración de la clave de inicio y el PIN de TPM: obligatorio y permitido
Configuración del uso de contraseñas para unidades de sistema operativo
Denegar el acceso de escritura a unidades fijas no protegidas por BitLocker
Esta configuración de directiva se usa para requerir el cifrado de unidades fijas antes de conceder acceso de
escritura.

Descripción de la directiva Con esta configuración de directiva, puede establecer si es

necesaria la protección de BitLocker para que las unidades
de datos fijas se puedan escribir en un equipo.

Introducido Windows Server 2008 R2 y Windows 7

Tipo de unidad Unidades de datos fijas

Ruta de la directiva Configuración del equipo\Plantillas

administrativas\Componentes de Windows\Cifrado de
unidad BitLocker\Unidades de datos fijas

Conflictos Consulte la sección Referencia para obtener una descripción

de los conflictos.

Cuando está habilitado Todas las unidades de datos fijas que no están protegidas
por BitLocker se montan como de solo lectura. Si la unidad
está protegida por BitLocker, se monta con acceso de lectura
y escritura.

Cuando está deshabilitado o no configurado Todas las unidades de datos fijas del equipo se montan con
acceso de lectura y escritura.

Referencia
Esta configuración de directiva se aplica al activar BitLocker.
Entre las consideraciones sobre conflictos se incluyen:
1. Cuando esta configuración de directiva está habilitada, los usuarios reciben mensajes de error "Acceso
denegado" cuando intentan guardar datos en unidades de datos fijas sin cifrar. Consulte la sección
Referencia para ver más conflictos.
2. Si [Link] se ejecuta en un equipo cuando esta configuración de directiva está habilitada, podría
encontrar los siguientes problemas:
 Si intentó reducir la unidad y crear la unidad del sistema, el tamaño de la unidad se reduce
correctamente y se crea una partición sin procesar. Sin embargo, la partición sin procesar no tiene
formato. Se muestra el siguiente mensaje de error: "No se puede dar formato a la nueva unidad
activa. Es posible que tenga que preparar manualmente la unidad para BitLocker".
Si intenta usar espacio sin asignar para crear la unidad del sistema, se creará una partición sin
procesar. Sin embargo, no se dará formato a la partición sin procesar. Se muestra el siguiente mensaje
de error: "No se puede dar formato a la nueva unidad activa. Es posible que tenga que preparar
manualmente la unidad para BitLocker".
Si intenta combinar una unidad existente en la unidad del sistema, la herramienta no podrá copiar el
archivo de arranque necesario en la unidad de destino para crear la unidad del sistema. Se muestra el
siguiente mensaje de error: "El programa de instalación de BitLocker no pudo copiar los archivos de
arranque. Es posible que tenga que preparar manualmente la unidad para BitLocker".
3. Si se aplica esta configuración de directiva, no se puede volver a particionar una unidad de disco duro
porque la unidad está protegida. Si va a actualizar equipos de su organización desde una versión anterior
de Windows y esos equipos se configuraron con una sola partición, debe crear la partición del sistema
BitLocker necesaria antes de aplicar esta configuración de directiva a los equipos.
Denegar el acceso de escritura a unidades extraíbles no protegidas por BitLocker
Esta configuración de directiva se usa para requerir que las unidades extraíbles se cifren antes de conceder
acceso de escritura y para controlar si las unidades extraíbles protegidas por BitLocker que se configuraron en
otra organización se pueden abrir con acceso de escritura.

Descripción de la directiva Con esta configuración de directiva, puede configurar si es

necesaria la protección de BitLocker para que un equipo
pueda escribir datos en una unidad de datos extraíble.

Introducido Windows Server 2008 R2 y Windows 7

Tipo de unidad Unidades de datos extraíbles

Ruta de la directiva Configuración del equipo\Plantillas

administrativas\Componentes de Windows\Cifrado de
unidad BitLocker\Unidades de datos extraíbles

Conflictos Consulte la sección Referencia para obtener una descripción

de los conflictos.

Cuando está habilitado Todas las unidades de datos extraíbles que no están
protegidas por BitLocker se montan como de solo lectura. Si
la unidad está protegida por BitLocker, se monta con acceso
de lectura y escritura.

Cuando está deshabilitado o no configurado Todas las unidades de datos extraíbles del equipo se montan
con acceso de lectura y escritura.

Referencia
Si se selecciona la opción Denegar acceso de escritura a dispositivos configurados en otra
organización , solo se concederá acceso de escritura a las unidades con campos de identificación que
coincidan con los campos de identificación del equipo. Cuando se accede a una unidad de datos extraíble, se
comprueba si hay un campo de identificación válido y campos de identificación permitidos. Estos campos se
definen mediante la opción Proporcionar los identificadores únicos de la directiva de la
organización .

NOTE
Puede invalidar esta configuración de directiva con la configuración de directiva en Configuración de
usuario\Plantillas administrativas\Sistema\Acceso de almacenamiento extraíble . Si la configuración de
directiva Discos extraíbles: Denegar acceso de escritura está habilitada, se omitirá esta configuración de directiva.

Entre las consideraciones sobre conflictos se incluyen:

1. El uso de BitLocker con el TPM más una clave de inicio o con el TPM más un PIN y una clave de inicio debe
no estar permitido si se habilita la opción Denegar el acceso de escritura a unidades extraíbles no
protegidas por la directiva de BitLocker .
2. El uso de claves de recuperación debe no estar permitido si está habilitada la opción denegar el acceso de
escritura a unidades extraíbles no protegidas por la directiva de BitLocker .
3. Debe habilitar la opción Proporcionar los identificadores únicos de la directiva de la organización
si desea denegar el acceso de escritura a las unidades configuradas en otra organización.
Controlar el uso de BitLocker en unidades extraíbles
Esta configuración de directiva se usa para evitar que los usuarios activen o desactiven BitLocker en unidades de
datos extraíbles.

Descripción de la directiva Con esta configuración de directiva, puede controlar el uso

de BitLocker en unidades de datos extraíbles.

Introducido Windows Server 2008 R2 y Windows 7

Tipo de unidad Unidades de datos extraíbles

Ruta de la directiva Configuración del equipo\Plantillas

administrativas\Componentes de Windows\Cifrado de
unidad BitLocker\Unidades de datos extraíbles

Conflictos Ninguna

Cuando está habilitado Puede seleccionar valores de propiedad que controlen cómo
los usuarios pueden configurar BitLocker.

Cuando está deshabilitado Los usuarios no pueden usar BitLocker en unidades de datos
extraíbles.

Cuando no está configurado Los usuarios pueden usar BitLocker en unidades de datos
extraíbles.

Referencia
Esta configuración de directiva se aplica al activar BitLocker.
Para obtener información sobre cómo suspender la protección de BitLocker, vea Implementación básica de
BitLocker.
Las opciones para elegir valores de propiedad que controlan cómo los usuarios pueden configurar BitLocker
son:
 Permitir a los usuarios aplicar la protección de BitLocker en unidades de datos extraíbles
Permite al usuario ejecutar el Asistente para la instalación de BitLocker en una unidad de datos extraíble.
Permitir a los usuarios suspender y descifrar BitLocker en unidades de datos extraíbles Permite
al usuario quitar BitLocker de la unidad o suspender el cifrado durante el mantenimiento.
Elección del método de cifrado de unidad y la intensidad del cifrado
Esta configuración de directiva se usa para controlar el método de cifrado y la intensidad del cifrado.

Descripción de la directiva Con esta configuración de directiva, puede controlar el

método de cifrado y la intensidad de las unidades.

Introducido Windows Server 2012 y Windows 8

Tipo de unidad Todas las unidades

Ruta de la directiva Configuración del equipo\Plantillas

administrativas\Componentes de Windows\Cifrado de
unidad BitLocker

Conflictos Ninguna

Cuando está habilitado Puede elegir un algoritmo de cifrado y una intensidad de

cifrado de claves para que BitLocker lo use para cifrar las
unidades.

Cuando está deshabilitado o no configurado A partir de Windows 10, versión 1511 o Windows 11,
BitLocker usa el método de cifrado predeterminado de XTS-
AES de 128 bits o el método de cifrado especificado por el
script de instalación.

Referencia
Los valores de esta directiva determinan la intensidad del cifrado que BitLocker usa para el cifrado. Es posible
que las empresas quieran controlar el nivel de cifrado para aumentar la seguridad (AES-256 es más fuerte que
AES-128).
Si habilita esta configuración, puede configurar un algoritmo de cifrado y una intensidad de cifrado de claves
para unidades de datos fijas, unidades del sistema operativo y unidades de datos extraíbles individualmente.
Para las unidades fijas y del sistema operativo, se recomienda usar el algoritmo XTS-AES. Para las unidades
extraíbles, debe usar AES-CBC de 128 bits o AES-CBC de 256 bits si la unidad se usará en otros dispositivos que
no ejecuten Windows 10, versión 1511 o posterior o Windows 11.
Cambiar el método de cifrado no tiene ningún efecto si la unidad ya está cifrada o si el cifrado está en curso. En
estos casos, se omite esta configuración de directiva.

WARNING
Esta directiva no se aplica a las unidades cifradas. Las unidades cifradas usan su propio algoritmo, que la unidad establece
durante la creación de particiones.

Cuando esta configuración de directiva está deshabilitada o no está configurada, BitLocker usará el método de
cifrado predeterminado de XTS-AES de 128 bits o el método de cifrado especificado en el script de instalación.
Configuración del uso del cifrado basado en hardware para unidades de datos fijas
Esta directiva controla cómo reacciona BitLocker a los sistemas que están equipados con unidades cifradas
cuando se usan como volúmenes de datos fijos. El uso del cifrado basado en hardware puede mejorar el
rendimiento de las operaciones de unidad que implican la lectura o escritura frecuentes de datos en la unidad.

Descripción de la directiva Con esta configuración de directiva, puede administrar el uso

de BitLocker del cifrado basado en hardware en unidades de
datos fijas y especificar qué algoritmos de cifrado puede usar
BitLocker con el cifrado basado en hardware.

Introducido Windows Server 2012 y Windows 8

Tipo de unidad Unidades de datos fijas

Ruta de la directiva Configuración del equipo\Plantillas

administrativas\Componentes de Windows\Cifrado de
unidad BitLocker\Unidades de datos fijas

Conflictos Ninguna

Cuando está habilitado Puede especificar opciones adicionales que controlen si se

usa el cifrado basado en software de BitLocker en lugar del
cifrado basado en hardware en equipos que no admiten el
cifrado basado en hardware. También puede especificar si
desea restringir los algoritmos de cifrado y los conjuntos de
cifrado que se usan con el cifrado basado en hardware.

Cuando está deshabilitado BitLocker no puede usar el cifrado basado en hardware con
unidades de datos fijas y el cifrado basado en software de
BitLocker se usa de forma predeterminada cuando la unidad
está cifrada.

Cuando no está configurado El cifrado basado en software de BitLocker se usa

independientemente de la capacidad de cifrado basado en
hardware.

Referencia

NOTE
La opción Elegir método de cifrado de unidad y directiva de seguridad de cifrado no se aplica al cifrado basado en
hardware.

El algoritmo de cifrado que usa el cifrado basado en hardware se establece cuando se particiona la unidad. De
forma predeterminada, BitLocker usa el algoritmo configurado en la unidad para cifrar la unidad. La opción
Restringir algoritmos de cifrado y conjuntos de cifrado permitidos para el cifrado basado en
hardware de esta configuración permite restringir los algoritmos de cifrado que BitLocker puede usar con el
cifrado de hardware. Si el algoritmo establecido para la unidad no está disponible, BitLocker deshabilita el uso
del cifrado basado en hardware. Los algoritmos de cifrado se especifican mediante identificadores de objeto
(OID), por ejemplo:
Advanced Encryption Standard (AES) 128 in Cipher Block Chaining (CBC) mode OID: [Link].[Link].2
AES 256 en modo CBC OID: [Link].[Link].42
Configuración del uso del cifrado basado en hardware para unidades de sistema operativo
Esta directiva controla cómo reacciona BitLocker cuando se usan unidades cifradas como unidades del sistema
operativo. El uso del cifrado basado en hardware puede mejorar el rendimiento de las operaciones de unidad
que implican la lectura o escritura frecuentes de datos en la unidad.

Descripción de la directiva Con esta configuración de directiva, puede administrar el uso

de BitLocker del cifrado basado en hardware en unidades de
sistema operativo y especificar qué algoritmos de cifrado
puede usar con el cifrado basado en hardware.

Introducido Windows Server 2012 y Windows 8

Tipo de unidad Unidades del sistema operativo

Ruta de la directiva Configuración del equipo\Plantillas

administrativas\Componentes de Windows\Cifrado de
unidad BitLocker\Unidades del sistema operativo

Conflictos Ninguna

Cuando está habilitado Puede especificar opciones adicionales que controlen si se

usa el cifrado basado en software de BitLocker en lugar del
cifrado basado en hardware en equipos que no admiten el
cifrado basado en hardware. También puede especificar si
desea restringir los algoritmos de cifrado y los conjuntos de
cifrado que se usan con el cifrado basado en hardware.

Cuando está deshabilitado BitLocker no puede usar el cifrado basado en hardware con
unidades de sistema operativo y el cifrado basado en
software de BitLocker se usa de forma predeterminada
cuando la unidad está cifrada.

Cuando no está configurado El cifrado basado en software de BitLocker se usa

independientemente de la capacidad de cifrado basado en
hardware.

Referencia
Si el cifrado basado en hardware no está disponible, en su lugar se usa el cifrado basado en software de
BitLocker.

NOTE
La opción Elegir método de cifrado de unidad y directiva de seguridad de cifrado no se aplica al cifrado basado en
hardware.

El algoritmo de cifrado que usa el cifrado basado en hardware se establece cuando se particiona la unidad. De
forma predeterminada, BitLocker usa el algoritmo configurado en la unidad para cifrar la unidad. La opción
Restringir algoritmos de cifrado y conjuntos de cifrado permitidos para el cifrado basado en
hardware de esta configuración permite restringir los algoritmos de cifrado que BitLocker puede usar con el
cifrado de hardware. Si el algoritmo establecido para la unidad no está disponible, BitLocker deshabilita el uso
del cifrado basado en hardware. Los algoritmos de cifrado se especifican mediante identificadores de objeto
(OID), por ejemplo:
Advanced Encryption Standard (AES) 128 in Cipher Block Chaining (CBC) mode OID: [Link].[Link].2
 AES 256 en modo CBC OID: [Link].[Link].42
Configuración del uso del cifrado basado en hardware para unidades de datos extraíbles
Esta directiva controla cómo reacciona BitLocker a las unidades cifradas cuando se usan como unidades de
datos extraíbles. El uso del cifrado basado en hardware puede mejorar el rendimiento de las operaciones de
unidad que implican la lectura o escritura frecuentes de datos en la unidad.

Descripción de la directiva Con esta configuración de directiva, puede administrar el uso

de BitLocker del cifrado basado en hardware en unidades de
datos extraíbles y especificar qué algoritmos de cifrado
puede usar con el cifrado basado en hardware.

Introducido Windows Server 2012 y Windows 8

Tipo de unidad Unidad de datos extraíble

Ruta de la directiva Configuración del equipo\Plantillas

administrativas\Componentes de Windows\Cifrado de
unidad BitLocker\Unidades de datos extraíbles

Conflictos Ninguna

Cuando está habilitado Puede especificar opciones adicionales que controlen si se

usa el cifrado basado en software de BitLocker en lugar del
cifrado basado en hardware en equipos que no admiten el
cifrado basado en hardware. También puede especificar si
desea restringir los algoritmos de cifrado y los conjuntos de
cifrado que se usan con el cifrado basado en hardware.

Cuando está deshabilitado BitLocker no puede usar el cifrado basado en hardware con
unidades de datos extraíbles y el cifrado basado en software
de BitLocker se usa de forma predeterminada cuando la
unidad está cifrada.

Cuando no está configurado El cifrado basado en software de BitLocker se usa

independientemente de la capacidad de cifrado basado en
hardware.

Referencia
Si el cifrado basado en hardware no está disponible, en su lugar se usa el cifrado basado en software de
BitLocker.

NOTE
La opción Elegir método de cifrado de unidad y directiva de seguridad de cifrado no se aplica al cifrado basado en
hardware.

El algoritmo de cifrado que usa el cifrado basado en hardware se establece cuando se particiona la unidad. De
forma predeterminada, BitLocker usa el algoritmo configurado en la unidad para cifrar la unidad. La opción
Restringir algoritmos de cifrado y conjuntos de cifrado permitidos para el cifrado basado en
hardware de esta configuración permite restringir los algoritmos de cifrado que BitLocker puede usar con el
cifrado de hardware. Si el algoritmo establecido para la unidad no está disponible, BitLocker deshabilita el uso
del cifrado basado en hardware. Los algoritmos de cifrado se especifican mediante identificadores de objeto
(OID), por ejemplo:
Advanced Encryption Standard (AES) 128 in Cipher Block Chaining (CBC) mode OID: [Link].[Link].2
AES 256 en modo CBC OID: [Link].[Link].42
Aplicación del tipo de cifrado de unidad en unidades de datos fijas
Esta directiva controla si las unidades de datos fijas usan el cifrado de solo espacio usado o el cifrado completo.
La configuración de esta directiva también hace que el Asistente para la instalación de BitLocker omita la página
de opciones de cifrado para que no se muestre ninguna selección de cifrado al usuario.

Descripción de la directiva Con esta configuración de directiva, puede configurar el tipo

de cifrado que usa BitLocker.

Introducido Windows Server 2012 y Windows 8

Tipo de unidad Unidad de datos fija

Ruta de la directiva Configuración del equipo\Plantillas

administrativas\Componentes de Windows\Cifrado de
unidad BitLocker\Unidades de datos fijas

Conflictos Ninguna

Cuando está habilitado Esta directiva define el tipo de cifrado que BitLocker usa para
cifrar las unidades y la opción de tipo de cifrado no se
presenta en el Asistente para la instalación de BitLocker.

Cuando está deshabilitado o no configurado El Asistente para la instalación de BitLocker pide al usuario
que seleccione el tipo de cifrado antes de activar BitLocker.

Referencia
Esta configuración de directiva se aplica al activar BitLocker. Cambiar el tipo de cifrado no tiene ningún efecto si
la unidad ya está cifrada o si el cifrado está en curso. Elija Cifrado completo para que sea obligatorio que toda la
unidad se cifre cuando BitLocker esté activado. Elija Cifrado de solo espacio usado para que sea obligatorio
cifrar solo esa parte de la unidad que se usa para almacenar datos cuando BitLocker está activado.

NOTE
Esta directiva se omite al reducir o expandir un volumen y el controlador de BitLocker usa el método de cifrado actual. Por
ejemplo, cuando se expande una unidad que usa el cifrado solo de espacio usado, el nuevo espacio libre no se borra como
sería para una unidad que usa cifrado completo. El usuario podría borrar el espacio libre en una unidad Solo espacio
usado mediante el siguiente comando: manage-bde -w . Si el volumen se reduce, no se realiza ninguna acción para el
nuevo espacio libre.

Para obtener más información sobre la herramienta para administrar BitLocker, vea Manage-bde.
Aplicación del tipo de cifrado de unidad en las unidades del sistema operativo
Esta directiva controla si las unidades del sistema operativo usan cifrado completo o cifrado de solo espacio
usado. Establecer esta directiva también hace que el Asistente para la instalación de BitLocker omita la página de
opciones de cifrado, por lo que no se muestra ninguna selección de cifrado al usuario.
 Descripción de la directiva Con esta configuración de directiva, puede configurar el tipo
de cifrado que usa BitLocker.

Introducido Windows Server 2012 y Windows 8

Tipo de unidad Unidad del sistema operativo

Ruta de la directiva Configuración del equipo\Plantillas

administrativas\Componentes de Windows\Cifrado de
unidad BitLocker\Unidades del sistema operativo

Conflictos Ninguna

Cuando está habilitado El tipo de cifrado que BitLocker usa para cifrar las unidades
se define mediante esta directiva y la opción de tipo de
cifrado no se presenta en el Asistente para la instalación de
BitLocker.

Cuando está deshabilitado o no configurado El Asistente para la instalación de BitLocker pide al usuario
que seleccione el tipo de cifrado antes de activar BitLocker.

Referencia
Esta configuración de directiva se aplica al activar BitLocker. Cambiar el tipo de cifrado no tiene ningún efecto si
la unidad ya está cifrada o si el cifrado está en curso. Elija Cifrado completo para que sea obligatorio que toda la
unidad se cifre cuando BitLocker esté activado. Elija Cifrado de solo espacio usado para que sea obligatorio
cifrar solo esa parte de la unidad que se usa para almacenar datos cuando BitLocker está activado.

NOTE
Esta directiva se omite al reducir o expandir un volumen y el controlador de BitLocker usa el método de cifrado actual. Por
ejemplo, cuando se expande una unidad que usa el cifrado solo de espacio usado, el nuevo espacio libre no se borra como
sería para una unidad que usa cifrado completo. El usuario podría borrar el espacio libre en una unidad Solo espacio
usado mediante el siguiente comando: manage-bde -w . Si el volumen se reduce, no se realiza ninguna acción para el
nuevo espacio libre.

Para obtener más información sobre la herramienta para administrar BitLocker, vea Manage-bde.
Aplicación del tipo de cifrado de unidad en unidades de datos extraíbles
Esta directiva controla si las unidades de datos fijas usan cifrado completo o cifrado de solo espacio usado.
Establecer esta directiva también hace que el Asistente para la instalación de BitLocker omita la página de
opciones de cifrado, por lo que no se muestra ninguna selección de cifrado al usuario.

Descripción de la directiva Con esta configuración de directiva, puede configurar el tipo

de cifrado que usa BitLocker.

Introducido Windows Server 2012 y Windows 8

Tipo de unidad Unidad de datos extraíble

 Ruta de la directiva Configuración del equipo\Plantillas
administrativas\Componentes de Windows\Cifrado de
unidad BitLocker\Unidades de datos extraíbles

Conflictos Ninguna

Cuando está habilitado El tipo de cifrado que BitLocker usa para cifrar las unidades
se define mediante esta directiva y la opción de tipo de
cifrado no se presenta en el Asistente para la instalación de
BitLocker.

Cuando está deshabilitado o no configurado El Asistente para la instalación de BitLocker pide al usuario
que seleccione el tipo de cifrado antes de activar BitLocker.

Referencia
Esta configuración de directiva se aplica al activar BitLocker. Cambiar el tipo de cifrado no tiene ningún efecto si
la unidad ya está cifrada o si el cifrado está en curso. Elija Cifrado completo para que sea obligatorio que toda la
unidad se cifre cuando BitLocker esté activado. Elija Cifrado de solo espacio usado para que sea obligatorio
cifrar solo esa parte de la unidad que se usa para almacenar datos cuando BitLocker está activado.

NOTE
Esta directiva se omite al reducir o expandir un volumen y el controlador de BitLocker usa el método de cifrado actual. Por
ejemplo, cuando se expande una unidad que usa el cifrado solo de espacio usado, el nuevo espacio libre no se borra como
sería para una unidad que usa cifrado completo. El usuario podría borrar el espacio libre en una unidad Solo espacio
usado mediante el siguiente comando: manage-bde -w . Si el volumen se reduce, no se realiza ninguna acción para el
nuevo espacio libre.

Para obtener más información sobre la herramienta para administrar BitLocker, vea Manage-bde.
Elegir cómo se pueden recuperar unidades del sistema operativo protegidas con BitLocker
Esta configuración de directiva se usa para configurar métodos de recuperación para las unidades del sistema
operativo.

Descripción de la directiva Con esta configuración de directiva, puede controlar cómo

se recuperan las unidades del sistema operativo protegidas
por BitLocker en ausencia de la información de clave de inicio
necesaria.

Introducido Windows Server 2008 R2 y Windows 7

Tipo de unidad Unidades del sistema operativo

Ruta de la directiva Configuración del equipo\Plantillas

administrativas\Componentes de Windows\Cifrado de
unidad BitLocker\Unidades del sistema operativo
 Conflictos Debe no permitir el uso de claves de recuperación si la
opción denegar el acceso de escritura a unidades
extraíbles no protegidas por la directiva de
BitLocker está habilitada.

Al usar agentes de recuperación de datos, debe habilitar la

opción Proporcionar los identificadores únicos para
la directiva de la organización .

Cuando está habilitado Puede controlar los métodos que están disponibles para que
los usuarios recuperen datos de unidades de sistema
operativo protegidas por BitLocker.

Cuando está deshabilitado o no configurado Las opciones de recuperación predeterminadas son

compatibles con la recuperación de BitLocker. De forma
predeterminada, se permite un agente de recuperación de
datos, el usuario puede especificar las opciones de
recuperación (incluida la contraseña de recuperación y la
clave de recuperación) y no se realiza una copia de seguridad
de la información de recuperación en AD DS.

Referencia
Esta configuración de directiva se aplica al activar BitLocker.
La casilla Permitir agente de recuperación de datos se usa para especificar si se puede usar un agente de
recuperación de datos con unidades de sistema operativo protegidas por BitLocker. Para poder usar un agente
de recuperación de datos, debe agregarse desde las directivas de clave pública , que se encuentran en la
consola de administración de directiva de grupo (GPMC) o en el Editor de directiva de grupo local.
Para obtener más información sobre cómo agregar agentes de recuperación de datos, vea Implementación
básica de BitLocker.
En Configurar el almacenamiento de usuario de la información de recuperación de BitLocker ,
seleccione si se permite, se requiere o no a los usuarios generar una contraseña de recuperación de 48 dígitos.
Seleccione Omitir opciones de recuperación en el Asistente para la instalación de BitLocker para
evitar que los usuarios especifiquen opciones de recuperación cuando habiliten BitLocker en una unidad. Esto
significa que no puede especificar qué opción de recuperación usar al habilitar BitLocker. En su lugar, las
opciones de recuperación de BitLocker para la unidad vienen determinadas por la configuración de directiva.
En Guardar información de recuperación de BitLocker para Ser vicios de dominio de Active
Director y , elija qué información de recuperación de BitLocker almacenar en Servicios de dominio de Active
Directory (AD DS) para las unidades del sistema operativo. Si selecciona Almacenar la contraseña de
recuperación y los paquetes de claves , la contraseña de recuperación de BitLocker y el paquete de claves se
almacenan en AD DS. El almacenamiento del paquete de claves admite la recuperación de datos de una unidad
dañada físicamente. Si selecciona Almacenar solo contraseña de recuperación , solo la contraseña de
recuperación se almacena en AD DS.
Active la casilla No habilitar BitLocker hasta que la información de recuperación se almacene en AD
DS para unidades del sistema operativo si desea impedir que los usuarios habiliten BitLocker a menos que
el equipo esté conectado al dominio y la copia de seguridad de la información de recuperación de BitLocker en
AD DS se realice correctamente.
 NOTE
Si la casilla Do not enable BitLocker until recover y information is stored in AD DS for operating system
drives (No habilitar BitLocker hasta que la información de recuperación se almacene en AD DS para
unidades del sistema operativo ) está activada, se genera automáticamente una contraseña de recuperación.

Elegir cómo los usuarios pueden recuperar unidades protegidas por BitLocker (Windows Server 2008 y
Windows Vista)
Esta configuración de directiva se usa para configurar métodos de recuperación para unidades protegidas por
BitLocker en equipos que ejecutan Windows Server 2008 o Windows Vista.

Descripción de la directiva Con esta configuración de directiva, puede controlar si el

Asistente para la instalación de BitLocker puede mostrar y
especificar las opciones de recuperación de BitLocker.

Introducido Windows Server 2008 y Windows Vista

Tipo de unidad Unidades de sistema operativo y unidades de datos fijas en

equipos que ejecutan Windows Server 2008 y Windows
Vista

Ruta de la directiva Configuración del equipo\Plantillas

administrativas\Componentes de Windows\Cifrado de
unidad BitLocker

Conflictos Esta configuración de directiva proporciona un método

administrativo para recuperar datos cifrados por BitLocker
para evitar la pérdida de datos debido a la falta de
información clave. Si elige la opción No permitir para
ambas opciones de recuperación de usuario, debe habilitar la
configuración de directiva Almacenar información de
recuperación de BitLocker en Ser vicios de dominio
de Active Director y (Windows Ser ver 2008 y
Windows Vista) para evitar un error de directiva.

Cuando está habilitado Puede configurar las opciones que el Asistente para la
instalación de BitLocker muestra a los usuarios para
recuperar datos cifrados de BitLocker.

Cuando está deshabilitado o no configurado El Asistente para la instalación de BitLocker presenta a los
usuarios formas de almacenar opciones de recuperación.

Referencia
Esta directiva solo es aplicable a los equipos que ejecutan Windows Server 2008 o Windows Vista. Esta
configuración de directiva se aplica al activar BitLocker.
Se pueden usar dos opciones de recuperación para desbloquear datos cifrados con BitLocker en ausencia de la
información de clave de inicio necesaria. Los usuarios pueden escribir una contraseña de recuperación numérica
de 48 dígitos o pueden insertar una unidad USB que contenga una clave de recuperación de 256 bits.
Al guardar la contraseña de recuperación en una unidad USB, se almacena la contraseña de recuperación de 48
dígitos como un archivo de texto y la clave de recuperación de 256 bits como un archivo oculto. Al guardar la
contraseña de recuperación en una carpeta, se almacena la contraseña de recuperación de 48 dígitos como un
archivo de texto. Al imprimir la contraseña de recuperación, se envía la contraseña de recuperación de 48 dígitos
a la impresora predeterminada. Por ejemplo, no permitir la contraseña de recuperación de 48 dígitos impide
que los usuarios impriman o guarden información de recuperación en una carpeta.

IMPORTANT
Si se realiza la inicialización de TPM durante la instalación de BitLocker, la información del propietario del TPM se guarda o
se imprime con la información de recuperación de BitLocker. La contraseña de recuperación de 48 dígitos no está
disponible en el modo de cumplimiento fips.

IMPORTANT
Para evitar la pérdida de datos, debe tener una manera de recuperar las claves de cifrado de BitLocker. Si no permite
ambas opciones de recuperación, debe habilitar la copia de seguridad de la información de recuperación de BitLocker en
AD DS. De lo contrario, se produce un error de directiva.

Almacenar información de recuperación de BitLocker en Servicios de dominio de Active Directory (Windows

Server 2008 y Windows Vista)
Esta configuración de directiva se usa para configurar el almacenamiento de información de recuperación de
BitLocker en AD DS. Esto proporciona un método administrativo de recuperación de datos cifrados por
BitLocker para evitar la pérdida de datos debido a la falta de información clave.

Descripción de la directiva Con esta configuración de directiva, puede administrar la

copia de seguridad de AD DS de la información de
recuperación de cifrado de unidad BitLocker.

Introducido Windows Server 2008 y Windows Vista

Tipo de unidad Unidades de sistema operativo y unidades de datos fijas en

equipos que ejecutan Windows Server 2008 y Windows
Vista.

Ruta de la directiva Configuración del equipo\Plantillas

administrativas\Componentes de Windows\Cifrado de
unidad BitLocker

Conflictos Ninguna

Cuando está habilitado La información de recuperación de BitLocker se realiza de

forma automática y silenciosa en AD DS cuando BitLocker
está activado para un equipo.

Cuando está deshabilitado o no configurado No se hace una copia de seguridad de la información de

recuperación de BitLocker en AD DS.

Referencia
Esta directiva solo es aplicable a los equipos que ejecutan Windows Server 2008 o Windows Vista.
Esta configuración de directiva se aplica al activar BitLocker.
La información de recuperación de BitLocker incluye la contraseña de recuperación y los datos de identificador
únicos. También puede incluir un paquete que contenga una clave de cifrado para una unidad protegida por
BitLocker. Este paquete de claves está protegido por una o varias contraseñas de recuperación y puede ayudar a
realizar una recuperación especializada cuando el disco está dañado o dañado.
Si selecciona Requerir copia de seguridad de BitLocker en AD DS , BitLocker no se puede activar a menos
que el equipo esté conectado al dominio y la copia de seguridad de la información de recuperación de BitLocker
en AD DS se realice correctamente. Esta opción está seleccionada de forma predeterminada para ayudar a
garantizar que es posible la recuperación de BitLocker.
Una contraseña de recuperación es un número de 48 dígitos que desbloquea el acceso a una unidad protegida
por BitLocker. Un paquete de claves contiene la clave de cifrado de BitLocker de una unidad, que está protegida
por una o varias contraseñas de recuperación. Los paquetes de claves pueden ayudar a realizar una
recuperación especializada cuando el disco está dañado o dañado.
Si no está seleccionada la opción Requerir copia de seguridad de BitLocker en AD DS , se intenta realizar
la copia de seguridad de AD DS, pero los errores de red u otros errores de copia de seguridad no impiden la
instalación de BitLocker. El proceso de copia de seguridad no se vuelve a intentar automáticamente y es posible
que la contraseña de recuperación no se almacene en AD DS durante la instalación de BitLocker. Es posible que
se necesite la inicialización de TPM durante la instalación de BitLocker. Habilite la opción Activar la copia de
seguridad de TPM para Ser vicios de dominio de Active Director y directiva en Configuración del
equipo\Plantillas administrativas\System\Ser vicios de módulo de plataforma segura para
asegurarse de que también se realiza una copia de seguridad de la información de TPM.
Para obtener más información sobre esta configuración, consulte Configuración de tpm directiva de grupo.
Elija la carpeta predeterminada para la contraseña de recuperación.
Esta configuración de directiva se usa para configurar la carpeta predeterminada para las contraseñas de
recuperación.

Descripción de la directiva Con esta configuración de directiva, puede especificar la ruta

de acceso predeterminada que se muestra cuando el
Asistente para la instalación de BitLocker solicita al usuario
que escriba la ubicación de una carpeta en la que guardar la
contraseña de recuperación.

Introducido Windows Vista

Tipo de unidad Todas las unidades

Ruta de la directiva Configuración del equipo\Plantillas

administrativas\Componentes de Windows\Cifrado de
unidad BitLocker

Conflictos Ninguna

Cuando está habilitado Puede especificar la ruta de acceso que se usará como
ubicación de carpeta predeterminada cuando el usuario elija
la opción para guardar la contraseña de recuperación en una
carpeta. Puede especificar una ruta de acceso completa o
incluir las variables de entorno del equipo de destino en la
ruta de acceso. Si la ruta de acceso no es válida, el Asistente
para la instalación de BitLocker muestra la vista de carpeta
de nivel superior del equipo.
 Cuando está deshabilitado o no configurado El Asistente para la instalación de BitLocker muestra la vista
de carpeta de nivel superior del equipo cuando el usuario
elige la opción para guardar la contraseña de recuperación
en una carpeta.

Referencia
Esta configuración de directiva se aplica al activar BitLocker.

NOTE
Esta configuración de directiva no impide que el usuario guarde la contraseña de recuperación en otra carpeta.

Elegir cómo se pueden recuperar unidades fijas protegidas por BitLocker

Esta configuración de directiva se usa para configurar métodos de recuperación para unidades de datos fijas.

Descripción de la directiva Con esta configuración de directiva, puede controlar cómo

se recuperan las unidades de datos fijas protegidas por
BitLocker en ausencia de las credenciales necesarias.

Introducido Windows Server 2008 R2 y Windows 7

Tipo de unidad Unidades de datos fijas

Ruta de la directiva Configuración del equipo\Plantillas

administrativas\Componentes de Windows\Cifrado de
unidad BitLocker\Unidades de datos fijas

Conflictos Debe no permitir el uso de claves de recuperación si la

opción denegar el acceso de escritura a unidades
extraíbles no protegidas por la directiva de
BitLocker está habilitada.

Al usar agentes de recuperación de datos, debe habilitar y

configurar la opción Proporcionar los identificadores
únicos para la directiva de la organización .

Cuando está habilitado Puede controlar los métodos disponibles para que los
usuarios recuperen datos de unidades de datos fijas
protegidas por BitLocker.

Cuando está deshabilitado o no configurado Las opciones de recuperación predeterminadas son

compatibles con la recuperación de BitLocker. De forma
predeterminada, se permite un agente de recuperación de
datos, el usuario puede especificar las opciones de
recuperación (incluida la contraseña de recuperación y la
clave de recuperación) y no se realiza una copia de seguridad
de la información de recuperación en AD DS.

Referencia
Esta configuración de directiva se aplica al activar BitLocker.
La casilla Permitir agente de recuperación de datos se usa para especificar si se puede usar un agente de
recuperación de datos con unidades de datos fijas protegidas por BitLocker. Para poder usar un agente de
recuperación de datos, debe agregarse desde las directivas de clave pública , que se encuentran en la
consola de administración de directiva de grupo (GPMC) o en el Editor de directiva de grupo local.
En Configurar el almacenamiento de usuario de la información de recuperación de BitLocker ,
seleccione si se puede permitir, requerir o no a los usuarios para generar una contraseña de recuperación de 48
dígitos o una clave de recuperación de 256 bits.
Seleccione Omitir opciones de recuperación en el Asistente para la instalación de BitLocker para
evitar que los usuarios especifiquen opciones de recuperación cuando habiliten BitLocker en una unidad. Esto
significa que no puede especificar qué opción de recuperación usar al habilitar BitLocker. En su lugar, las
opciones de recuperación de BitLocker para la unidad vienen determinadas por la configuración de directiva.
En Guardar información de recuperación de BitLocker para Ser vicios de dominio de Active
Director y , elija qué información de recuperación de BitLocker almacenar en AD DS para unidades de datos
fijas. Si selecciona Backup recover y password and key package (Contraseña de recuperación de copia
de seguridad y paquete de claves ), la contraseña de recuperación de BitLocker y el paquete de claves se
almacenan en AD DS. El almacenamiento del paquete de claves admite la recuperación de datos de una unidad
que se ha dañado físicamente. Para recuperar estos datos, puede usar la Repair-bde herramienta de línea de
comandos. Si selecciona Solo contraseña de recuperación de copia de seguridad , solo la contraseña de
recuperación se almacena en AD DS.
Para obtener más información sobre la herramienta de reparación de BitLocker, vea Repair-bde.
Active la casilla No habilitar BitLocker hasta que la información de recuperación se almacene en AD
DS para unidades de datos fijas si desea impedir que los usuarios habiliten BitLocker a menos que el equipo
esté conectado al dominio y la copia de seguridad de la información de recuperación de BitLocker en AD DS se
realice correctamente.

NOTE
Si la casilla No habilitar BitLocker hasta que la información de recuperación se almacena en AD DS para
unidades de datos fijas está activada, se genera automáticamente una contraseña de recuperación.

Elegir cómo se pueden recuperar unidades extraíbles protegidas por BitLocker

Esta configuración de directiva se usa para configurar métodos de recuperación para unidades de datos
extraíbles.

Descripción de la directiva Con esta configuración de directiva, puede controlar cómo

se recuperan las unidades de datos extraíbles protegidas por
BitLocker en ausencia de las credenciales necesarias.

Introducido Windows Server 2008 R2 y Windows 7

Tipo de unidad Unidades de datos extraíbles

Ruta de la directiva Configuración del equipo\Plantillas

administrativas\Componentes de Windows\Cifrado de
unidad BitLocker\Unidades de datos extraíbles
 Conflictos Debe no permitir el uso de claves de recuperación si la
opción denegar el acceso de escritura a unidades
extraíbles no protegidas por la directiva de
BitLocker está habilitada.

Al usar agentes de recuperación de datos, debe habilitar y

configurar la opción Proporcionar los identificadores
únicos para la directiva de la organización .

Cuando está habilitado Puede controlar los métodos disponibles para que los
usuarios recuperen datos de unidades de datos extraíbles
protegidas por BitLocker.

Cuando está deshabilitado o no configurado Las opciones de recuperación predeterminadas son

compatibles con la recuperación de BitLocker. De forma
predeterminada, se permite un agente de recuperación de
datos, el usuario puede especificar las opciones de
recuperación (incluida la contraseña de recuperación y la
clave de recuperación) y no se realiza una copia de seguridad
de la información de recuperación en AD DS.

Referencia
Esta configuración de directiva se aplica al activar BitLocker.
La casilla Permitir agente de recuperación de datos se usa para especificar si se puede usar un agente de
recuperación de datos con unidades de datos extraíbles protegidas por BitLocker. Para poder usar un agente de
recuperación de datos, debe agregarse desde directivas de clave pública , a las que se accede mediante
GPMC o el Editor de directiva de grupo local.
En Configurar el almacenamiento de usuario de la información de recuperación de BitLocker ,
seleccione si se puede permitir, requerir o no a los usuarios para generar una contraseña de recuperación de 48
dígitos.
Seleccione Omitir opciones de recuperación en el Asistente para la instalación de BitLocker para
evitar que los usuarios especifiquen opciones de recuperación cuando habiliten BitLocker en una unidad. Esto
significa que no puede especificar qué opción de recuperación usar al habilitar BitLocker. En su lugar, las
opciones de recuperación de BitLocker para la unidad vienen determinadas por la configuración de directiva.
En Guardar información de recuperación de BitLocker para Ser vicios de dominio de Active
Director y , elija qué información de recuperación de BitLocker se almacenará en AD DS para unidades de datos
extraíbles. Si selecciona Backup recover y password and key package (Contraseña de recuperación de
copia de seguridad y paquete de claves ), la contraseña de recuperación de BitLocker y el paquete de claves
se almacenan en AD DS. Si selecciona Solo contraseña de recuperación de copia de seguridad , solo la
contraseña de recuperación se almacena en AD DS.
Active la casilla No habilitar BitLocker hasta que la información de recuperación se almacene en AD
DS para unidades de datos extraíbles si desea impedir que los usuarios habiliten BitLocker a menos que el
equipo esté conectado al dominio y la copia de seguridad de la información de recuperación de BitLocker en AD
DS se realice correctamente.

NOTE
Si la casilla No habilitar BitLocker hasta que la información de recuperación se almacena en AD DS para
unidades de datos fijas está activada, se genera automáticamente una contraseña de recuperación.
Configuración del mensaje y la dirección URL de la recuperación previa al arranque
Esta configuración de directiva se usa para configurar todo el mensaje de recuperación y para reemplazar la
dirección URL existente que se muestra en la pantalla de recuperación previa al arranque cuando la unidad del
sistema operativo está bloqueada.

Descripción de la directiva Con esta configuración de directiva, puede configurar la

pantalla de recuperación de BitLocker para mostrar un
mensaje y una dirección URL personalizados.

Introducido Windows

Tipo de unidad Unidades del sistema operativo

Ruta de la directiva Configuración del equipo \ Plantillas administrativas \

Componentes de Windows \ Cifrado de unidad BitLocker \
Unidades del sistema operativo \ Configurar el mensaje y la
dirección URL de recuperación antes del arranque

Conflictos Ninguna

Cuando está habilitado El mensaje y la dirección URL personalizados se muestran en

la pantalla de recuperación previa al arranque. Si
previamente ha habilitado un mensaje de recuperación
personalizado y una dirección URL y quiere revertir al
mensaje y la dirección URL predeterminados, debe mantener
habilitada la configuración de directiva y seleccionar la
opción Usar el mensaje de recuperación
predeterminado y la dirección URL .

Cuando está deshabilitado o no configurado Si la configuración no se ha habilitado previamente, se

muestra la pantalla predeterminada de recuperación previa
al arranque para la recuperación de BitLocker. Si la
configuración se ha habilitado anteriormente y se deshabilita
más adelante, se muestra el último mensaje de Datos de
configuración de arranque (BCD) si era el mensaje de
recuperación predeterminado o el mensaje personalizado.

Referencia
Al habilitar la opción Configurar el mensaje de recuperación previo al arranque y la directiva de
dirección URL, puede personalizar el mensaje y la dirección URL predeterminados de la pantalla de recuperación
para ayudar a los clientes a recuperar su clave.
Una vez habilitada la configuración, tiene tres opciones:
Si selecciona la opción Usar el mensaje de recuperación predeterminado y la dirección URL , el
mensaje de recuperación de BitLocker y la dirección URL predeterminados se mostrarán en la pantalla de
recuperación previa al arranque.
Si selecciona la opción Usar mensaje de recuperación personalizada , escriba el mensaje personalizado
en el cuadro de texto Opción de mensaje de recuperación personalizada . El mensaje que escribe en el
cuadro de texto Opción de mensaje de recuperación personalizada se muestra en la pantalla de
recuperación previa al arranque. Si hay una dirección URL de recuperación disponible, insclúyela en el
mensaje.
Si selecciona la opción Usar dirección URL de recuperación personalizada , escriba la dirección URL
del mensaje personalizado en el cuadro de texto Custom recover y URL option (Dirección URL de
 recuperación personalizada ). La dirección URL que escriba en el cuadro de texto Dirección URL de
recuperación personalizada reemplaza la dirección URL predeterminada en el mensaje de recuperación
predeterminado, que se muestra en la pantalla de recuperación previa al arranque.

IMPORTANT
No todos los caracteres e idiomas se admiten en el entorno de arranque previo. Se recomienda encarecidamente
comprobar la apariencia correcta de los caracteres que se usan para el mensaje personalizado y la dirección URL en la
pantalla de recuperación previa al arranque.

IMPORTANT
Dado que puede modificar manualmente los comandos BCDEdit antes de establecer directiva de grupo configuración, no
puede devolver la configuración de directiva a la configuración predeterminada seleccionando la opción No configurada
después de haber configurado esta configuración de directiva. Para volver a la pantalla predeterminada de recuperación
previa al arranque, deje habilitada la configuración de directiva y seleccione las opciones Usar mensaje
predeterminado en el cuadro de lista desplegable Elegir una opción para el mensaje de recuperación previa al
arranque .

Permitir arranque seguro para la validación de integridad

Esta directiva controla cómo se controlan los volúmenes del sistema habilitados para BitLocker con la
característica Arranque seguro. La habilitación de esta característica fuerza la validación de arranque seguro
durante el proceso de arranque y comprueba la configuración de datos de configuración de arranque (BCD)
según la directiva de arranque seguro.

Descripción de la directiva Con esta configuración de directiva, puede configurar si se

permitirá el arranque seguro como proveedor de integridad
de plataforma para las unidades del sistema operativo
BitLocker.

Introducido Windows Server 2012 y Windows 8

Tipo de unidad Todas las unidades

Ruta de la directiva Configuración del equipo\Plantillas

administrativas\Componentes de Windows\Cifrado de
unidad BitLocker\Unidades del sistema operativo

Conflictos Si habilita Permitir arranque seguro para la validación

de integridad , asegúrese de que la configuración del perfil
de validación de la plataforma TPM para
configuraciones de firmware UEFI nativas directiva de
grupo configuración no esté habilitada o incluya PCR 7 para
permitir que BitLocker use Arranque seguro para la
validación de la integridad de BCD o la plataforma.
Para obtener más información sobre PCR 7, consulte
Registro de configuración de plataforma (PCR) en este
artículo.

Cuando está habilitado o no configurado BitLocker usa Arranque seguro para la integridad de la
plataforma si la plataforma es capaz de validar la integridad
basada en arranque seguro.
 Cuando está deshabilitado BitLocker usa la validación de la integridad de la plataforma
heredada, incluso en sistemas que son capaces de validar la
integridad basada en arranque seguro.

Referencia
El arranque seguro garantiza que el entorno de arranque previo del equipo cargue solo el firmware firmado
digitalmente por los editores de software autorizados. El arranque seguro también comenzó a proporcionar más
flexibilidad para administrar las configuraciones previas al arranque que las comprobaciones de integridad de
BitLocker antes de Windows Server 2012 y Windows 8. Cuando esta directiva está habilitada y el hardware es
capaz de usar el arranque seguro para escenarios de BitLocker, se omite la configuración de directiva de grupo
Usar perfil de validación de datos de configuración de arranque mejorada y el arranque seguro
comprueba la configuración de BCD según la configuración de directiva de arranque seguro, que se configura
por separado de BitLocker.

WARNING
Deshabilitar esta directiva podría dar lugar a la recuperación de BitLocker cuando se actualiza el firmware específico del
fabricante. Si deshabilita esta directiva, suspenda BitLocker antes de aplicar las actualizaciones de firmware.

Proporcionar los identificadores únicos de la organización

Esta configuración de directiva se usa para establecer un identificador que se aplica a todas las unidades cifradas
en su organización.

Descripción de la directiva Con esta configuración de directiva, puede asociar

identificadores organizativos únicos a una nueva unidad
habilitada con BitLocker.

Introducido Windows Server 2008 R2 y Windows 7

Tipo de unidad Todas las unidades

Ruta de la directiva Configuración del equipo\Plantillas

administrativas\Componentes de Windows\Cifrado de
unidad BitLocker

Conflictos Los campos de identificación son necesarios para administrar

agentes de recuperación de datos basados en certificados en
unidades protegidas por BitLocker. BitLocker administra y
actualiza los agentes de recuperación de datos basados en
certificados solo cuando el campo de identificación está
presente en una unidad y es idéntico al valor configurado en
el equipo.

Cuando está habilitado Puede configurar el campo de identificación en la unidad

protegida por BitLocker y cualquier campo de identificación
permitido que use su organización.

Cuando está deshabilitado o no configurado El campo de identificación no es necesario.

Referencia
Estos identificadores se almacenan como el campo de identificación y el campo de identificación permitido. El
campo de identificación permite asociar un identificador organizativo único a unidades protegidas por BitLocker.
Este identificador se agrega automáticamente a las nuevas unidades protegidas por BitLocker y se puede
actualizar en unidades existentes protegidas por BitLocker mediante la herramienta de línea de comandos
Manage-bde .
Se requiere un campo de identificación para administrar agentes de recuperación de datos basados en
certificados en unidades protegidas por BitLocker y para posibles actualizaciones del lector de BitLocker To Go.
BitLocker administra y actualiza los agentes de recuperación de datos solo cuando el campo de identificación de
la unidad coincide con el valor configurado en el campo de identificación. De forma similar, BitLocker actualiza el
Lector de BitLocker Para ir solo cuando el valor del campo de identificación en la unidad coincide con el valor
configurado para el campo de identificación.
Para obtener más información sobre la herramienta para administrar BitLocker, vea Manage-bde.
El campo de identificación permitido se usa en combinación con la opción Denegar el acceso de escritura a
unidades extraíbles no protegidas por la directiva de BitLocker para ayudar a controlar el uso de unidades
extraíbles en su organización. Es una lista separada por comas de campos de identificación de su organización u
organizaciones externas.
Puede configurar los campos de identificación en unidades existentes mediante la herramienta de línea de
comandos Manage-bde .
Cuando una unidad protegida por BitLocker se monta en otro equipo habilitado para BitLocker, el campo de
identificación y el campo de identificación permitido se usan para determinar si la unidad procede de una
organización externa.
Se pueden especificar varios valores separados por comas en los campos de identificación y identificación
permitidos. El campo de identificación puede ser cualquier valor de hasta 260 caracteres.
Impedir la sobrescritura de memoria al reiniciar
Esta configuración de directiva se usa para controlar si la memoria del equipo se sobrescribirá la próxima vez
que se reinicie el equipo.

Descripción de la directiva Con esta configuración de directiva, puede controlar el

rendimiento del reinicio del equipo con el riesgo de exponer
secretos de BitLocker.

Introducido Windows Vista

Tipo de unidad Todas las unidades

Ruta de la directiva Configuración del equipo\Plantillas

administrativas\Componentes de Windows\Cifrado de
unidad BitLocker

Conflictos Ninguna

Cuando está habilitado El equipo no sobrescribirá la memoria cuando se reinicie.

Evitar la sobrescritura de memoria puede mejorar el
rendimiento del reinicio, pero aumenta el riesgo de exponer
secretos de BitLocker.
 Cuando está deshabilitado o no configurado Los secretos de BitLocker se quitan de la memoria cuando se
reinicia el equipo.

Referencia
Esta configuración de directiva se aplica al activar BitLocker. Los secretos de BitLocker incluyen el material de
clave que se usa para cifrar los datos. Esta configuración de directiva solo se aplica cuando está habilitada la
protección de BitLocker.
Configuración del perfil de validación de la plataforma TPM para configuraciones de firmware basadas en
BIOS
Esta configuración de directiva determina qué valores mide el TPM cuando valida los componentes de arranque
anticipado antes de desbloquear una unidad de sistema operativo en un equipo con una configuración de BIOS
o con el firmware UEFI que tiene habilitado el módulo de compatibilidad (CSM).

Descripción de la directiva Con esta configuración de directiva, puede configurar cómo

el hardware de seguridad tpm del equipo protege la clave de
cifrado de BitLocker.

Introducido Windows Server 2012 y Windows 8

Tipo de unidad Unidades del sistema operativo

Ruta de la directiva Configuración del equipo\Plantillas

administrativas\Componentes de Windows\Cifrado de
unidad BitLocker\Unidades del sistema operativo

Conflictos Ninguna

Cuando está habilitado Puede configurar los componentes de arranque que el TPM
valida antes de desbloquear el acceso a la unidad del sistema
operativo cifrado con BitLocker. Si alguno de estos
componentes cambia mientras la protección de BitLocker
está en vigor, el TPM no libera la clave de cifrado para
desbloquear la unidad. En su lugar, el equipo muestra la
consola de recuperación de BitLocker y requiere que se
proporcione la contraseña de recuperación o la clave de
recuperación para desbloquear la unidad.

Cuando está deshabilitado o no configurado El TPM usa el perfil de validación de plataforma

predeterminado o el perfil de validación de plataforma
especificado por el script de instalación.

Referencia
Esta configuración de directiva no se aplica si el equipo no tiene un TPM compatible o si BitLocker ya se ha
activado con la protección de TPM.
 IMPORTANT
Esta configuración de directiva de grupo solo se aplica a equipos con configuraciones de BIOS o a equipos con firmware
UEFI con el CSM habilitado. Los equipos que usan una configuración de firmware UEFI nativa almacenan valores
diferentes en los registros de configuración de plataforma (PCR). Use el valor Configurar el perfil de validación de la
plataforma TPM para configuraciones de firmware UEFI nativas directiva de grupo configuración para configurar
el perfil de PCR de TPM para equipos que usan firmware UEFI nativo.

Un perfil de validación de plataforma consta de un conjunto de índices de PCR que van de 0 a 23. El perfil de
validación de plataforma predeterminado protege la clave de cifrado frente a los cambios realizados en lo
siguiente:
Raíz principal de confianza de la medición (CRTM), BIOS y extensiones de plataforma (PCR 0)
Código ROM de opción (PCR 2)
Código de registro de arranque maestro (MBR) (PCR 4)
Sector de arranque NTFS (PCR 8)
Bloque de arranque NTFS (PCR 9)
Administrador de arranque (PCR 10)
Access Control de BitLocker (PCR 11)

NOTE
El cambio del perfil de validación de plataforma predeterminado afecta a la seguridad y la capacidad de administración del
equipo. La sensibilidad de BitLocker a las modificaciones de la plataforma (malintencionadas o autorizadas) aumenta o
disminuye en función de la inclusión o exclusión (respectivamente) de los PCR.

En la lista siguiente se identifican todos los PCR disponibles:

PCR 0: raíz de confianza básica para las extensiones de medición, BIOS y plataforma
PCR 1: configuración y datos de plataforma y placa base.
PCR 2: código ROM de opción
PCR 3: configuración y datos de ROM de opción
PCR 4: código de registro de arranque maestro (MBR)
PCR 5: tabla de particiones del registro de arranque maestro (MBR)
PCR 6: eventos de activación y transición de estado
PCR 7: específico del fabricante del equipo
PCR 8: sector de arranque NTFS
PCR 9: bloque de arranque NTFS
PCR 10: Administrador de arranque
PCR 11: control de acceso de BitLocker
PCR 12-23: reservado para uso futuro
Configurar el perfil de validación de la plataforma TPM (Windows Vista, Windows Server 2008, Windows 7,
Windows Server 2008 R2)
Esta configuración de directiva determina qué valores mide el TPM cuando valida los componentes de arranque
anticipado antes de desbloquear una unidad en un equipo que ejecuta Windows Vista, Windows Server 2008 o
Windows 7.
 Descripción de la directiva Con esta configuración de directiva, puede configurar cómo
el hardware de seguridad tpm del equipo protege la clave de
cifrado de BitLocker.

Introducido Windows Server 2008 y Windows Vista

Tipo de unidad Unidades del sistema operativo

Ruta de la directiva Configuración del equipo\Plantillas

administrativas\Componentes de Windows\Cifrado de
unidad BitLocker\Unidades del sistema operativo

Conflictos Ninguna

Cuando está habilitado Puede configurar los componentes de arranque que el TPM
valida antes de desbloquear el acceso a la unidad del sistema
operativo cifrado con BitLocker. Si alguno de estos
componentes cambia mientras la protección de BitLocker
está en vigor, el TPM no libera la clave de cifrado para
desbloquear la unidad. En su lugar, el equipo muestra la
consola de recuperación de BitLocker y requiere que se
proporcione la contraseña de recuperación o la clave de
recuperación para desbloquear la unidad.

Cuando está deshabilitado o no configurado El TPM usa el perfil de validación de plataforma

predeterminado o el perfil de validación de plataforma
especificado por el script de instalación.

Referencia
Esta configuración de directiva no se aplica si el equipo no tiene un TPM compatible o si BitLocker ya está
activado con protección de TPM.
Un perfil de validación de plataforma consta de un conjunto de índices de PCR que van de 0 a 23. El perfil de
validación de plataforma predeterminado protege la clave de cifrado frente a los cambios realizados en lo
siguiente:
Raíz principal de confianza de la medición (CRTM), BIOS y extensiones de plataforma (PCR 0)
Código ROM de opción (PCR 2)
Código de registro de arranque maestro (MBR) (PCR 4)
Sector de arranque NTFS (PCR 8)
Bloque de arranque NTFS (PCR 9)
Administrador de arranque (PCR 10)
Access Control de BitLocker (PCR 11)

NOTE
La configuración predeterminada de PCR del perfil de validación de TPM para los equipos que usan una interfaz de
firmware extensible (EFI) son solo los PCR 0, 2, 4 y 11.

En la lista siguiente se identifican todos los PCR disponibles:

PCR 0: raíz de confianza básica para la medición, los servicios de arranque y tiempo de ejecución de EFI, los
controladores EFI insertados en la ROM del sistema, las tablas estáticas ACPI, el código SMM insertado y el
 código bios
PCR 1: configuración y datos de plataforma y placa base. Tablas de entrega y variables EFI que afectan a la
configuración del sistema
PCR 2: código ROM de opción
PCR 3: configuración y datos de ROM de opción
PCR 4: código o código de registro de arranque maestro (MBR) de otros dispositivos de arranque
PCR 5: tabla de particiones del registro de arranque maestro (MBR). Varias variables EFI y la tabla GPT
PCR 6: eventos de activación y transición de estado
PCR 7: específico del fabricante del equipo
PCR 8: sector de arranque NTFS
PCR 9: bloque de arranque NTFS
PCR 10: Administrador de arranque
PCR 11: control de acceso de BitLocker
PCR 12 - 23: Reservado para uso futuro

WARNING
El cambio del perfil de validación de plataforma predeterminado afecta a la seguridad y la capacidad de administración del
equipo. La sensibilidad de BitLocker a las modificaciones de la plataforma (malintencionadas o autorizadas) aumenta o
disminuye en función de la inclusión o exclusión (respectivamente) de los PCR.

Configuración del perfil de validación de la plataforma TPM para configuraciones de firmware ueFI nativas
Esta configuración de directiva determina qué valores mide el TPM cuando valida los componentes de arranque
anticipado antes de desbloquear una unidad del sistema operativo en un equipo con configuraciones de
firmware UEFI nativas.

Descripción de la directiva Con esta configuración de directiva, puede configurar cómo

el hardware de seguridad del módulo de plataforma segura
(TPM) del equipo protege la clave de cifrado de BitLocker.

Introducido Windows Server 2012 y Windows 8

Tipo de unidad Unidades del sistema operativo

Ruta de la directiva Configuración del equipo\Plantillas

administrativas\Componentes de Windows\Cifrado de
unidad BitLocker\Unidades del sistema operativo

Conflictos Al establecer esta directiva con PCR 7 omitida, se invalida la

opción Permitir arranque seguro para la validación de
integridad directiva de grupo e impide que BitLocker use
Arranque seguro para la validación de la integridad de datos
de configuración de arranque (BCD) o de plataforma.
Si los entornos usan TPM y arranque seguro para las
comprobaciones de integridad de la plataforma, esta
directiva se configura.
Para obtener más información sobre PCR 7, consulte
Registro de configuración de plataforma (PCR) en este
artículo.
 Cuando está habilitado Antes de activar BitLocker, puede configurar los
componentes de arranque que el TPM valida antes de
desbloquear el acceso a la unidad del sistema operativo
cifrada con BitLocker. Si alguno de estos componentes
cambia mientras la protección de BitLocker está en vigor, el
TPM no libera la clave de cifrado para desbloquear la unidad.
En su lugar, el equipo muestra la consola de recuperación de
BitLocker y requiere que se proporcione la contraseña de
recuperación o la clave de recuperación para desbloquear la
unidad.

Cuando está deshabilitado o no configurado BitLocker usa el perfil de validación de plataforma

predeterminado o el perfil de validación de plataforma
especificado por el script de instalación.

Referencia
Esta configuración de directiva no se aplica si el equipo no tiene un TPM compatible o si BitLocker ya está
activado con protección de TPM.

IMPORTANT
Esta configuración de directiva de grupo solo se aplica a los equipos con una configuración de firmware UEFI nativa. Los
equipos con firmware BIOS o UEFI con un módulo de compatibilidad (CSM) habilitado almacenan valores diferentes en los
registros de configuración de plataforma (PCR). Use el valor Configurar perfil de validación de plataforma TPM
para configuraciones de firmware basadas en BIOS directiva de grupo configuración para configurar el perfil de
PCR de TPM para equipos con configuraciones de BIOS o para equipos con firmware UEFI con un CSM habilitado.

Un perfil de validación de plataforma consta de un conjunto de índices de PCR que van de 0 a 23. El perfil de
validación de plataforma predeterminado protege la clave de cifrado frente a los cambios en el código
ejecutable del firmware del sistema principal (PCR 0), el código ejecutable extendido o conectable (PCR 2), el
administrador de arranque (PCR 4) y el control de acceso de BitLocker (PCR 11).
En la lista siguiente se identifican todos los PCR disponibles:
PCR 0: código ejecutable del firmware del sistema principal
PCR 1: datos principales del firmware del sistema
PCR 2: código ejecutable extendido o conectable
PCR 3: datos de firmware extendidos o conectables
PCR 4: Administrador de arranque
PCR 5: tabla gpt/partición
PCR 6: Reanudación desde eventos de estado de energía S4 y S5
PCR 7: Estado de arranque seguro
Para obtener más información sobre este PCR, consulte Registro de configuración de plataforma (PCR) en
este artículo.
PCR 8: inicializado en 0 sin extender (reservado para uso futuro)
PCR 9: inicializado en 0 sin extender (reservado para uso futuro)
 PCR 10: inicializado en 0 sin extender (reservado para uso futuro)
PCR 11: control de acceso de BitLocker
PCR 12: eventos de datos y eventos altamente volátiles
PCR 13: Detalles del módulo de arranque
PCR 14: Autoridades de arranque
PCR 15 – 23: Reservado para uso futuro

WARNING
El cambio del perfil de validación de plataforma predeterminado afecta a la seguridad y la capacidad de administración del
equipo. La sensibilidad de BitLocker a las modificaciones de la plataforma (malintencionadas o autorizadas) aumenta o
disminuye en función de la inclusión o exclusión (respectivamente) de los PCR.

Restablecimiento de los datos de validación de la plataforma después de la recuperación de BitLocker

Esta configuración de directiva determina si desea que los datos de validación de la plataforma se actualicen
cuando Windows se inicia después de una recuperación de BitLocker. Un perfil de datos de validación de
plataforma consta de los valores de un conjunto de índices del Registro de configuración de plataforma (PCR)
que van de 0 a 23.

Descripción de la directiva Con esta configuración de directiva, puede controlar si los

datos de validación de la plataforma se actualizan cuando
Windows se inicia después de una recuperación de BitLocker.

Introducido Windows Server 2012 y Windows 8

Tipo de unidad Unidades del sistema operativo

Ruta de la directiva Configuración del equipo\Plantillas

administrativas\Componentes de Windows\Cifrado de
unidad BitLocker\Unidades del sistema operativo

Conflictos Ninguna

Cuando está habilitado Los datos de validación de la plataforma se actualizan

cuando Windows se inicia después de una recuperación de
BitLocker.

Cuando está deshabilitado Los datos de validación de la plataforma no se actualizan

cuando Windows se inicia después de una recuperación de
BitLocker.

Cuando no está configurado Los datos de validación de la plataforma se actualizan

cuando Windows se inicia después de una recuperación de
BitLocker.

Referencia
Para obtener más información sobre el proceso de recuperación, consulte la guía de recuperación de BitLocker.
Uso del perfil de validación de datos de configuración de arranque mejorado
Esta configuración de directiva determina la configuración de datos de configuración de arranque (BCD)
específica que se va a comprobar durante la validación de la plataforma. Una validación de plataforma usa los
datos del perfil de validación de la plataforma, que consta de un conjunto de índices de registro de
configuración de plataforma (PCR) que oscilan entre 0 y 23.

Descripción de la directiva Con esta configuración de directiva, puede especificar la

configuración de datos de configuración de arranque (BCD)
para comprobarla durante la validación de la plataforma.

Introducido Windows Server 2012 y Windows 8

Tipo de unidad Unidades del sistema operativo

Ruta de la directiva Configuración del equipo\Plantillas

administrativas\Componentes de Windows\Cifrado de
unidad BitLocker\Unidades del sistema operativo

Conflictos Cuando BitLocker usa Arranque seguro para la validación de

integridad de datos de configuración de arranque y
plataforma, se omite la opción Usar perfil de validación
de datos de configuración de arranque mejorado
directiva de grupo (tal como se define en la opción Permitir
arranque seguro para la validación de integridad
directiva de grupo).

Cuando está habilitado Puede agregar configuraciones de BCD adicionales, excluir la

configuración de BCD que especifique o combinar listas de
inclusión y exclusión para crear un perfil de validación bcd
personalizado, lo que le ofrece la capacidad de comprobar
esa configuración de BCD.

Cuando está deshabilitado El equipo revierte a una validación de perfil BCD similar al
perfil BCD predeterminado que usa Windows 7.

Cuando no está configurado El equipo comprueba la configuración predeterminada de

BCD en Windows.

Referencia

NOTE
La configuración que controla la depuración de arranque (0x16000010) siempre se valida y no tiene ningún efecto si se
incluye en la inclusión o en la lista de exclusión.

Permitir el acceso a unidades de datos fijas protegidas por BitLocker desde versiones anteriores de Windows
Esta configuración de directiva se usa para controlar si se permite el acceso a las unidades mediante el lector de
BitLocker To Go y si el Lector de BitLocker para ir se puede instalar en la unidad.
 Descripción de la directiva Con esta configuración de directiva, puede configurar si las
unidades de datos fijas con formato con el sistema de
archivos FAT se pueden desbloquear y ver en equipos que
ejecutan Windows Vista, Windows XP con Service Pack 3
(SP3) o Windows XP con Service Pack 2 (SP2).

Introducido Windows Server 2008 R2 y Windows 7

Tipo de unidad Unidades de datos fijas

Ruta de la directiva Configuración del equipo\Plantillas

administrativas\Componentes de Windows\Cifrado de
unidad BitLocker\Unidades de datos fijas

Conflictos Ninguna

Cuando está habilitado y cuando no está Las unidades de datos fijas con formato con el sistema de
configurado archivos FAT se pueden desbloquear en equipos que
ejecutan Windows Server 2008, Windows Vista, Windows XP
con SP3 o Windows XP con SP2 y su contenido se puede ver.
Estos sistemas operativos tienen acceso de solo lectura a las
unidades protegidas por BitLocker.

Cuando está deshabilitado Las unidades de datos corregidas que tienen formato con el
sistema de archivos FAT y están protegidas por BitLocker no
se pueden desbloquear en equipos que ejecutan Windows
Vista, Windows XP con SP3 o Windows XP con SP2.
BitLocker To Go Reader ([Link]) no está instalado.

Referencia

NOTE
Esta configuración de directiva no se aplica a las unidades con formato con el sistema de archivos NTFS.

Cuando esta configuración de directiva esté habilitada, active la casilla No instalar bitlocker para ir lector
en unidades fijas con formato FAT para ayudar a evitar que los usuarios ejecuten bitlocker para ir lector
desde sus unidades fijas. Si BitLocker To Go Reader ([Link]) está presente en una unidad que no tiene
un campo de identificación especificado, o si la unidad tiene el mismo campo de identificación que se especifica
en la configuración Proporcionar identificadores únicos para la directiva de la organización , se pedirá
al usuario que actualice BitLocker y que el Lector de BitLocker para ir se elimine de la unidad. En esta situación,
para que la unidad fija se desbloquee en equipos que ejecutan Windows Vista, Windows XP con SP3 o Windows
XP con SP2, bitlocker to go reader debe estar instalado en el equipo. Si esta casilla no está seleccionada, el lector
BitLocker To Go se instalará en la unidad fija para permitir a los usuarios desbloquear la unidad en equipos que
ejecutan Windows Vista, Windows XP con SP3 o Windows XP con SP2.
Permitir el acceso a unidades de datos extraíbles protegidas por BitLocker desde versiones anteriores de
Windows
Esta configuración de directiva controla el acceso a las unidades de datos extraíbles que usan el Lector de
BitLocker To Go y si el Lector de BitLocker para ir se puede instalar en la unidad.
 Descripción de la directiva Con esta configuración de directiva, puede configurar si las
unidades de datos extraíbles con formato con el sistema de
archivos FAT se pueden desbloquear y ver en equipos que
ejecutan Windows Vista, Windows XP con SP3 o Windows
XP con SP2.

Introducido Windows Server 2008 R2 y Windows 7

Tipo de unidad Unidades de datos extraíbles

Ruta de la directiva Configuración del equipo\Plantillas

administrativas\Componentes de Windows\Cifrado de
unidad BitLocker\Unidades de datos extraíbles

Conflictos Ninguna

Cuando está habilitado y cuando no está Las unidades de datos extraíbles con formato con el sistema
configurado de archivos FAT se pueden desbloquear en equipos que
ejecutan Windows Vista, Windows XP con SP3 o Windows
XP con SP2 y su contenido se puede ver. Estos sistemas
operativos tienen acceso de solo lectura a las unidades
protegidas por BitLocker.

Cuando está deshabilitado Las unidades de datos extraíbles con formato con el sistema
de archivos FAT protegidos por BitLocker no se pueden
desbloquear en equipos que ejecutan Windows Vista,
Windows XP con SP3 o Windows XP con SP2. BitLocker To
Go Reader ([Link]) no está instalado.

Referencia

NOTE
Esta configuración de directiva no se aplica a las unidades con formato con el sistema de archivos NTFS.

Cuando esta configuración de directiva esté habilitada, active la casilla No instalar lector de BitLocker para
ir en unidades extraíbles con formato FAT para ayudar a evitar que los usuarios ejecuten BitLocker To Go
Reader desde sus unidades extraíbles. Si BitLocker To Go Reader ([Link]) está presente en una unidad
que no tiene un campo de identificación especificado, o si la unidad tiene el mismo campo de identificación que
se especifica en la configuración Proporcionar identificadores únicos para la directiva de la
organización , se pedirá al usuario que actualice BitLocker y que el Lector de BitLocker para ir se elimine de la
unidad. En esta situación, para que la unidad extraíble se desbloquee en equipos que ejecutan Windows Vista,
Windows XP con SP3 o Windows XP con SP2, el Lector de BitLocker To Go debe estar instalado en el equipo. Si
esta casilla no está seleccionada, bitlocker to go reader se instalará en la unidad extraíble para permitir que los
usuarios desbloqueen la unidad en equipos que ejecutan Windows Vista, Windows XP con SP3 o Windows XP
con SP2 que no tengan instalado el Lector de BitLocker To Go.

Configuración de FIPS
Puede configurar la opción Estándar federal de procesamiento de información (FIPS) para el cumplimiento de
FIPS. Como efecto del cumplimiento de FIPS, los usuarios no pueden crear ni guardar una contraseña de
BitLocker para la recuperación ni como protector de claves. Se permite el uso de una clave de recuperación.
 Descripción de la directiva Notas

Introducido Windows Server 2003 con SP1

Tipo de unidad Todo el sistema

Ruta de la directiva Directivas locales\Opciones de seguridad\Criptografía del

sistema: use algoritmos compatibles con FIPS para el
cifrado, el hash y la firma .

Conflictos Algunas aplicaciones, como Terminal Services, no admiten

FIPS-140 en todos los sistemas operativos.

Cuando está habilitado Los usuarios no podrán guardar una contraseña de

recuperación en ninguna ubicación. Esto incluye AD DS y
carpetas de red. Además, no puede usar WMI ni el Asistente
para configuración de cifrado de unidad BitLocker para crear
una contraseña de recuperación.

Cuando está deshabilitado o no configurado No se genera ninguna clave de cifrado de BitLocker

Referencia
Esta directiva debe estar habilitada antes de que se genere cualquier clave de cifrado para BitLocker. Cuando
esta directiva está habilitada, BitLocker impide la creación o el uso de contraseñas de recuperación, por lo que se
deben usar las claves de recuperación en su lugar.
Puede guardar la clave de recuperación opcional en una unidad USB. Dado que las contraseñas de recuperación
no se pueden guardar en AD DS cuando FIPS está habilitado, se produce un error si directiva de grupo requiere
la copia de seguridad de AD DS.
Puede editar la configuración de FIPS mediante el Editor de directivas de seguridad ([Link]) o editando el
Registro de Windows. Debe ser administrador para realizar estos procedimientos.
Para obtener más información sobre cómo establecer esta directiva, vea Criptografía del sistema: Uso de
algoritmos compatibles con FIPS para cifrado, hash y firma.

Configuración de directivas de grupo de administración de energía:

Suspensión e hibernación
La configuración de energía predeterminada de los equipos hará que el equipo entre en modo de suspensión
con frecuencia para ahorrar energía cuando está inactivo y para ayudar a ampliar la duración de la batería del
sistema. Cuando un equipo pasa a Suspensión, los programas y documentos abiertos se conservan en la
memoria. Cuando un equipo se reanuda desde Suspensión, no es necesario que los usuarios vuelvan a
autenticarse con un PIN o una clave de inicio USB para acceder a los datos cifrados. Esto puede dar lugar a
condiciones en las que la seguridad de los datos está en peligro.
Sin embargo, cuando un equipo hiberna la unidad está bloqueada y, cuando se reanuda desde la hibernación, la
unidad está desbloqueada, lo que significa que los usuarios tendrán que proporcionar un PIN o una clave de
inicio si usan la autenticación multifactor con BitLocker. Por lo tanto, es posible que las organizaciones que usan
BitLocker quieran usar Hibernar en lugar de Suspensión para mejorar la seguridad. Esta configuración no afecta
al modo de solo TPM, ya que proporciona una experiencia de usuario transparente en el inicio y al reanudarse
desde los estados de Hibernación.
Puede deshabilitar la siguiente configuración de directiva de grupo, que se encuentran en Configuración del
equipo\Plantillas administrativas\System\Administración de energía para deshabilitar todos los
estados de suspensión disponibles:
Permitir estados en espera (S1-S3) al dormir (conectado)
Permitir estados de espera (S1-S3) al dormir (batería)

Acerca del registro de configuración de la plataforma (PCR)

Un perfil de validación de plataforma consta de un conjunto de índices de PCR que van de 0 a 23. El ámbito de
los valores puede ser específico de la versión del sistema operativo.
El cambio del perfil de validación de plataforma predeterminado afecta a la seguridad y la capacidad de
administración del equipo. La sensibilidad de BitLocker a las modificaciones de la plataforma (malintencionadas
o autorizadas) aumenta o disminuye en función de la inclusión o exclusión (respectivamente) de los PCR.
Acerca de PCR 7
PCR 7 mide el estado de Arranque seguro. Con PCR 7, BitLocker puede usar arranque seguro para la validación
de integridad. Arranque seguro garantiza que el entorno de arranque previo del equipo cargue solo el firmware
firmado digitalmente por los editores de software autorizados. Las medidas de PCR 7 indican si el arranque
seguro está activado y qué claves son de confianza en la plataforma. Si el arranque seguro está activado y el
firmware mide PCR 7 correctamente según la especificación UEFI, BitLocker puede enlazarse a esta información
en lugar de a los PCR 0, 2 y 4, que tienen cargadas las medidas de las imágenes exactas de firmware y Bootmgr.
Esto reduce la probabilidad de que BitLocker comience en modo de recuperación como resultado de las
actualizaciones de firmware e imagen, y proporciona mayor flexibilidad para administrar la configuración del
arranque previo.
Las medidas de PCR 7 deben seguir las instrucciones que se describen en el Apéndice A Protocolo EFI del
entorno de ejecución de confianza.
Las medidas pcr 7 son un requisito de logotipo obligatorio para los sistemas que admiten el modo de espera
moderno (también conocido como Always On, equipos always connected), como Microsoft Surface RT. En estos
sistemas, si el TPM con la medida PCR 7 y el arranque seguro están configurados correctamente, BitLocker se
enlaza a PCR 7 y PCR 11 de forma predeterminada.

Ver también
Módulo de plataforma segura
Configuración de directiva de grupo del TPM
Preguntas frecuentes de BitLocker
Introducción a BitLocker
Preparar la organización para BitLocker: planificación y directivas
 Configuración de arranque Configuración de datos
y BitLocker
08/11/2022 • 7 minutes to read

Se aplica a
En este tema para profesionales de TI se describen las opciones de configuración de datos de configuración de
arranque (BCD) que usa BitLocker.
Al proteger los datos en reposo en un volumen de sistema operativo, durante el proceso de arranque BitLocker
comprueba que la configuración de BCD confidencial de seguridad no ha cambiado desde la última vez que
BitLocker se ha habilitado, reanudado o recuperado por última vez.

Configuración de BitLocker y BCD

En Windows 7 y Windows Server 2008 R2, BitLocker validó la configuración de BCD con los prefijos winload,
winresume y memtest en gran medida. Sin embargo, este alto grado de validación hizo que BitLocker pasara al
modo de recuperación para cambios de configuración benignos, por ejemplo, al aplicar un paquete de idioma,
BitLocker entraría en modo de recuperación.
En Windows 8, Windows Server 2012 y sistemas operativos posteriores, BitLocker limita el conjunto de valores
de BCD validados para reducir la posibilidad de cambios benignos que causan un problema de validación de
BCD. Si cree que existe un riesgo al excluir una configuración de BCD determinada del perfil de validación,
incluya esa configuración de BCD en la cobertura de validación de BCD para adaptarse a sus preferencias de
validación. Si se encuentra una configuración de BCD predeterminada para desencadenar de forma persistente
una recuperación para cambios benignos, excluya esa configuración de BCD de la cobertura de validación.
Cuando el arranque seguro está habilitado
Los equipos con firmware UEFI pueden usar el arranque seguro para proporcionar una seguridad de arranque
mejorada. Cuando BitLocker puede usar el arranque seguro para la validación de la integridad de la plataforma
y BCD, tal como se define en la configuración de directiva de grupo Permitir arranque seguro para la
validación de integridad , se omite la directiva de grupo Usar perfil de validación de datos de
configuración de arranque mejorado .
Una de las ventajas de usar el arranque seguro es que puede corregir la configuración de BCD durante el
arranque sin desencadenar eventos de recuperación. El arranque seguro aplica la misma configuración de BCD
que BitLocker. La aplicación de BCD de arranque seguro no se puede configurar desde el sistema operativo.

Personalización de la configuración de validación de BCD

Para modificar la configuración de BCD validada por BitLocker, el administrador agregará o excluirá la
configuración de BCD del perfil de validación de la plataforma habilitando y configurando la configuración de la
directiva de grupo Usar perfil de validación de datos de configuración de arranque mejorado .
Para la validación de BitLocker, la configuración de BCD está asociada a un conjunto específico de aplicaciones
de arranque de Microsoft. Esta configuración bcd también se puede aplicar a las otras aplicaciones de arranque
de Microsoft que no forman parte del conjunto al que ya se aplica la configuración de BCD. Para ello, adjunte
cualquiera de los siguientes prefijos a la configuración de BCD que se escribe en el cuadro de diálogo de
configuración de directiva de grupo:
Winload
 winresume
memtest
todo lo anterior
Toda la configuración de BCD se especifica combinando el valor de prefijo con un valor hexadecimal
(hexadecimal) o un "nombre descriptivo".
El valor hexadecimal de configuración bcd se notifica cuando BitLocker entra en modo de recuperación y se
almacena en el registro de eventos (id. de evento 523). El valor hexadecimal identifica de forma única la
configuración bcd que produjo el evento de recuperación.
Puede obtener rápidamente el nombre descriptivo de la configuración de BCD en el equipo mediante el
comando " [Link] /enum all ".
No todas las configuraciones de BCD tienen nombres descriptivos; para esas opciones sin un nombre
descriptivo, el valor hexadecimal es la única manera de configurar una directiva de exclusión.
Al especificar valores BCD en la configuración de la directiva de grupo Usar perfil de validación de datos de
configuración de arranque mejorado , use la sintaxis siguiente:
Prefijo de la configuración con el prefijo de la aplicación de arranque
Anexar dos puntos ':'
Anexar el valor hexadecimal o el nombre descriptivo
Si escribe más de una configuración de BCD, deberá especificar cada valor de BCD en una nueva línea.
Por ejemplo, " winload:hypervisordebugport " o " winload:0x250000f4 " produce el mismo valor.
Una configuración que se aplica a todas las aplicaciones de arranque solo se puede aplicar a una aplicación
individual; sin embargo, lo contrario no es cierto. Por ejemplo, se puede especificar " all:locale " o "
winresume:locale ", pero como el valor de BCD " win-pe " no se aplica a todas las aplicaciones de arranque, "
winload:winpe " es válido, pero " all:winpe " no es válido. La configuración que controla la depuración de
arranque (" bootdebug " o 0x16000010) siempre se validará y no tendrá ningún efecto si se incluye en los
campos proporcionados.

NOTE
Tenga cuidado al configurar entradas BCD en la configuración de directiva de grupo. El Editor de directiva de grupo local
no valida la exactitud de la entrada BCD. BitLocker no se habilitará si la configuración de directiva de grupo especificada no
es válida.

Perfil de validación BCD predeterminado

La tabla siguiente contiene el perfil de validación BCD predeterminado usado por BitLocker en Windows 8,
Windows Server 2012 y versiones posteriores:

VA LO R H EXA DEC IM A L P REF IJO N O M B RE DESC RIP T IVO

0x11000001 todo dispositivo

0x12000002 todo path

0x12000030 todo loadoptions

0x16000010 todo bootdebug

 VA LO R H EXA DEC IM A L P REF IJO N O M B RE DESC RIP T IVO

0x16000040 todo advancedoptions

0x16000041 todo optionsedit

0x16000048 todo nointegritychecks

0x16000049 todo testsigning

0x16000060 todo isolatedcontext

0x1600007b todo forcefipscrypto

0x22000002 Winload Raízdelsistema

0x22000011 Winload Núcleo

0x22000012 Winload Hal

0x22000053 Winload evstore

0x25000020 Winload Nx

0x25000052 Winload restrictapiccluster

0x26000022 Winload Winpe

0x26000025 Winload lastknowngood

0x26000081 Winload safebootalternateshell

0x260000a0 Winload depurar

0x260000f2 Winload hipervisordebug

0x26000116 Winload hipervisorusevapic

0x21000001 winresume filedevice

0x22000002 winresume Filepath

0x26000006 winresume debugoptionenabled

Lista completa de nombres descriptivos para la configuración de BCD omitida

A continuación se muestra una lista completa de la configuración de BCD con nombres descriptivos, que se
omiten de forma predeterminada. Esta configuración no forma parte del perfil de validación de BitLocker
predeterminado, pero se puede agregar si ve la necesidad de validar cualquiera de estos valores antes de
permitir que se desbloquee una unidad del sistema operativo protegida por BitLocker.
NOTE
Existen configuraciones BCD adicionales que tienen valores hexadecimales pero no tienen nombres descriptivos. Esta
configuración no se incluye en esta lista.

VA LO R H EXA DEC IM A L P REF IJO N O M B RE DESC RIP T IVO

0x12000004 todo description

0x12000005 todo Configuración regional

0x12000016 todo targetname

0x12000019 todo busparams

0x1200001d todo key

0x1200004a todo fontpath

0x14000006 todo Heredar

0x14000008 todo recoverysequence

0x15000007 todo truncatememory

0x1500000c todo firstmegabytepolicy

0x1500000d todo reubicación física

0x1500000e todo avoidlowmemory

0x15000011 todo debugtype

0x15000012 todo debugaddress

0x15000013 todo debugport

0x15000014 todo Baudrate

0x15000015 todo Canal

0x15000018 todo debugstart

0x1500001a todo hostip

0x1500001b todo puerto

0x15000022 todo emsport

0x15000023 todo emsbaudrate

VA LO R H EXA DEC IM A L P REF IJO N O M B RE DESC RIP T IVO

0x15000042 todo keyringaddress

0x15000047 todo configaccesspolicy

0x1500004b todo integrityservices

0x1500004c todo volumebandid

0x15000051 todo initialconsoleinput

0x15000052 todo graphicsresolution

0x15000065 todo displaymessage

0x15000066 todo displaymessageoverride

0x15000081 todo logcontrol

0x16000009 todo recoveryenabled

0x1600000b todo badmemoryaccess

0x1600000f todo traditionalkseg

0x16000017 todo noumex

0x1600001c todo Dhcp

0x1600001e todo Vm

0x16000020 todo bootems

0x16000046 todo graphicsmodedisabled

0x16000050 todo extendedinput

0x16000053 todo restartonfailure

0x16000054 todo highestmode

0x1600006c todo bootuxdisabled

0x16000072 todo nokeyboard

0x16000074 todo bootshutdowndisabled

0x1700000a todo badmemorylist

0x17000077 todo allowedinmemorysettings

VA LO R H EXA DEC IM A L P REF IJO N O M B RE DESC RIP T IVO

0x22000040 todo fverecoveryurl

0x22000041 todo fverecoverymessage

0x31000003 todo ramdisksdidevice

0x32000004 todo ramdisksdipath

0x35000001 todo ramdiskimageoffset

0x35000002 todo ramdisktftpclientport

0x35000005 todo ramdiskimagelength

0x35000007 todo ramdisktftpblocksize

0x35000008 todo ramdisktftpwindowsize

0x36000006 todo exportascd

0x36000009 todo ramdiskmcenabled

0x3600000a todo ramdiskmctftpfallback

0x3600000b todo ramdisktftpvarwindow

0x21000001 Winload osdevice

0x22000013 Winload dbgtransport

0x220000f9 Winload hipervisorbusparams

0x22000110 Winload hypervisorusekey

0x23000003 Winload resumeobject

0x25000021 Winload Pae

0x25000031 Winload removememory

0x25000032 Winload increaseuserva

0x25000033 Winload perfmem

0x25000050 Winload clustermodeaddressing

0x25000055 Winload x2apicpolicy

0x25000061 Winload numproc

VA LO R H EXA DEC IM A L P REF IJO N O M B RE DESC RIP T IVO

0x25000063 Winload configflags

0x25000066 Winload groupsize

0x25000071 Winload Msi

0x25000072 Winload pciexpress

0x25000080 Winload Safeboot

0x250000a6 Winload tscsyncpolicy

0x250000c1 Winload driverloadfailurepolicy

0x250000c2 Winload bootmenupolicy

0x250000e0 Winload bootstatuspolicy

0x250000f0 Winload hipervisorlaunchtype

0x250000f3 Winload hypervisordebugtype

0x250000f4 Winload hypervisordebugport

0x250000f5 Winload hipervisorbaudrato

0x250000f6 Winload hipervisorchannel

0x250000f7 Winload bootux

0x250000fa Winload hypervisornumproc

0x250000fb Winload hypervisorrootprocpernode

0x250000fd Winload hypervisorhostip

0x250000fe Winload hipervisorhostport

0x25000100 Winload tpmbootentropy

0x25000113 Winload hypervisorrootproc

0x25000115 Winload hipervisoriommupolicy

0x25000120 Winload xsavepolicy

0x25000121 Winload xsaveaddfeature0

0x25000122 Winload xsaveaddfeature1

VA LO R H EXA DEC IM A L P REF IJO N O M B RE DESC RIP T IVO

0x25000123 Winload xsaveaddfeature2

0x25000124 Winload xsaveaddfeature3

0x25000125 Winload xsaveaddfeature4

0x25000126 Winload xsaveaddfeature5

0x25000127 Winload xsaveaddfeature6

0x25000128 Winload xsaveaddfeature7

0x25000129 Winload xsaveremovefeature

0x2500012a Winload máscara de xsaveprocessors

0x2500012b Winload xsavedisable

0x25000130 Winload claimedtpmcounter

0x26000004 Winload stampdisks

0x26000010 Winload detecthal

0x26000024 Winload nocrashautoreboot

0x26000030 Winload nolowmem

0x26000040 Winload Vga

0x26000041 Winload quietboot

0x26000042 Winload novesa

0x26000043 Winload novga

0x26000051 Winload usephysicaldestination

0x26000054 Winload uselegacyapicmode

0x26000060 Winload onecpu

0x26000062 Winload maxproc

0x26000064 Winload maxgroup

0x26000065 Winload groupaware

0x26000070 Winload usefirmwarepcisettings

VA LO R H EXA DEC IM A L P REF IJO N O M B RE DESC RIP T IVO

0x26000090 Winload bootlog

0x26000091 Winload Sos

0x260000a1 Winload punto de interrupción de hal

0x260000a2 Winload useplatformclock

0x260000a3 Winload forcelegacyplatform

0x260000a4 Winload useplatformtick

0x260000a5 Winload disabledynamictick

0x260000b0 Winload Ems

0x260000c3 Winload onetimeadvancedoptions

0x260000c4 Winload onetimeoptionsedit

0x260000e1 Winload disableelamdrivers

0x260000f8 Winload hipervisordisableslat

0x260000fc Winload hypervisoruselargevtlb

0x26000114 Winload hypervisordhcp

0x21000005 winresume associatedosdevice

0x25000007 winresume bootux

0x25000008 winresume bootmenupolicy

0x26000003 winresume customsettings

0x26000004 winresume Pae

0x25000001 memtest passcount

0x25000002 memtest testmix

0x25000005 memtest stridefailcount

0x25000006 memtest invcfailcount

0x25000007 memtest matsfailcount

0x25000008 memtest randfailcount

VA LO R H EXA DEC IM A L P REF IJO N O M B RE DESC RIP T IVO

0x25000009 memtest chckrfailcount

0x26000003 memtest cacheenable

0x26000004 memtest failuresenabled

 Guía de recuperación de BitLocker
08/11/2022 • 41 minutes to read

Se aplica a:
Windows10
Windows11
Windows Server 2016 y versiones posteriores
En este artículo se describe cómo recuperar claves de BitLocker de AD DS.
Las organizaciones pueden usar la información de recuperación de BitLocker guardada en Active Directory
Domain Services (AD DS) para obtener acceso a los datos protegidos con BitLocker. Se recomienda crear un
modelo de recuperación para BitLocker mientras planea la implementación de BitLocker.
Este artículo supone que sabes cómo configurar AD DS para que realice una copia automática de la información
de recuperación de BitLocker y qué tipos de información de recuperación se guardan en AD DS.
En este artículo no se explica cómo configurar AD DS para almacenar la información de recuperación de
BitLocker.

¿Qué es la recuperación de BitLocker?

La recuperación de BitLocker es el proceso por el cual puedes restaurar el acceso a una unidad protegida con
BitLocker en caso de no poder desbloquear la unidad normalmente. En un escenario de recuperación tienes las
siguientes opciones para restaurar el acceso a la unidad:
El usuario puede proporcionar la contraseña de recuperación. Si su organización permite a los
usuarios imprimir o almacenar contraseñas de recuperación, los usuarios pueden escribir la contraseña de
recuperación de 48 dígitos que imprimiron o almacenaron en una unidad USB o con su cuenta Microsoft en
línea. (Guardar una contraseña de recuperación con su cuenta Microsoft en línea solo se permite cuando
BitLocker se usa en un equipo que no es miembro de un dominio).
Los agentes de recuperación de datos pueden usar sus credenciales para desbloquear la
unidad. Si la unidad es una unidad de sistema operativo, se debe montar la unidad como una unidad de
datos en otro equipo para que el agente de recuperación de datos la desbloquee.
Un administrador de dominio puede obtener la contraseña de recuperación de AD DS y usarla
para desbloquear la unidad. Es recomendable almacenar las contraseñas de recuperación en AD DS para
proporcionar una forma a los profesionales de TI de poder obtener las contraseñas de recuperación para
unidades de su organización, si fuera necesario. Este método hace que sea obligatorio habilitar este método
de recuperación en la configuración de directiva de grupo de BitLocker Elija cómo se pueden recuperar
las unidades del sistema operativo protegidas por BitLocker ubicadas en Configuración del
equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad
BitLocker\Unidades del sistema operativo en el Editor de directiva de grupo local. Para obtener más
información, vea Configuraciones de las directivas de grupo de BitLocker.
¿Qué causa la recuperación de BitLocker?
En la siguiente lista se proporcionan ejemplos de eventos específicos que harán que BitLocker entre en modo de
recuperación al intentar iniciar la unidad del sistema operativo:
En los equipos que usan el Cifrado de unidad BitLocker o en dispositivos como tabletas o teléfonos que
solo usan el Cifrado de dispositivo BitLocker, cuando se detecta un ataque, el dispositivo se reiniciará
inmediatamente y entrará en el modo de recuperación de BitLocker. Para aprovechar esta funcionalidad,
los administradores pueden establecer la configuración de directiva de grupo de inicio de sesión
interactivo: umbral de bloqueo de cuenta de equipo ubicada en \Configuración del
equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad en el Editor de directivas de grupo local. O bien, pueden usar la directiva
MaxFailedPasswordAttempts de Exchange ActiveSync (también configurable a través de Microsoft
Intune),para limitar el número de intentos fallidos de contraseña antes de que el dispositivo entre en
bloqueo de dispositivos.
En dispositivos con TPM 1.2, cambiar el orden del dispositivo de inicio de firmware o BIOS provoca la
recuperación de BitLocker. Sin embargo, los dispositivos con TPM 2.0 no inician la recuperación de
BitLocker en este caso. TPM 2.0 no considera un cambio de firmware en el orden de los dispositivos de
inicio como una amenaza a la seguridad porque el cargador de inicio del sistema operativo no está en
peligro.
Tener a la unidad de CD o de DVD antes que el disco duro en el orden de arranque del BIOS y después
insertar o quitar un CD o DVD.
No poder arrancar desde una unidad de red antes de arrancar desde el disco duro.
Acoplar o desacoplar un equipo portátil. En algunos casos (según el fabricante del equipo y el BIOS), la
condición de acoplamiento del equipo portátil es parte de la medición del sistema y debe ser coherente
para validar el estado del sistema y desbloquear BitLocker. Por lo tanto, si un equipo portátil está
conectado a su base de acoplamiento cuando BitLocker está activado, es posible que también necesite
conectarse a la base de acoplamiento cuando esté desbloqueado. Por el contrario, si un equipo portátil no
se conecta a su estación de acoplamiento cuando BitLocker está activado, puede que también se deba
desconectar de la estación de acoplamiento para desbloquearlo.
Cambios en la tabla de partición NTFS en el disco, incluida la creación, eliminación o cambio del tamaño
de una partición principal.
Escribir el número de identificación personal (PIN) incorrectamente demasiadas veces, por lo que se
activa la lógica de protección contra ataques de repetición (hammering) del TPM. La lógica de protección
contra ataques de repetición (hammering) es una serie de métodos de software o hardware que
aumentan la dificultad y el costo de un ataque por fuerza bruta contra un PIN al no aceptar entradas de
PIN hasta que haya transcurrido una determinada cantidad de tiempo.
Desactivar la compatibilidad para leer el dispositivo USB en el entorno de inicio previo desde el firmware
UEFI o BIOS si se están usando claves basadas en USB en lugar de un TPM.
Desactivar, deshabilitar o borrar el TPM.
Actualizar los componentes de inicio anticipado críticos, como una actualización de firmware UEFI o BIOS,
que cause cambios en las mediciones de inicio relacionadas.
Olvidar el PIN cuando la autenticación con PIN está habilitada.
Actualizar el firmware de ROM de opción.
Actualizar el firmware de TPM.
Agregar o quitar hardware; por ejemplo, insertar una tarjeta nueva en el equipo, incluidas algunas
tarjetas inalámbricas PCMIA.
Quitar, insertar o descargar completamente una batería inteligente de un equipo portátil.
Cambios en el registro de inicio principal del disco.
Cambios en el administrador de inicio del disco.
Ocultar el TPM del sistema operativo. Algunas opciones de configuración de BIOS o UEFI pueden usarse
para evitar la enumeración del TPM en el sistema operativo. Cuando se implementa, esta opción puede
hacer que se oculte el TPM del sistema operativo. Cuando el TPM está oculto, se deshabilita el arranque
seguro de UEFI y BIOS, y el TPM no responde a los comandos de software.
Al usar un teclado diferente que no escriba correctamente el PIN o cuyo mapa de teclado no coincida con
el mapa de teclado que asume el entorno de inicio previo. Este problema puede impedir la entrada de
PIN mejorados.
Modificar los registros de configuración de la plataforma (PCR) que usa el perfil de validación del TPM.
Por ejemplo, incluyendo PCR[1] medición de BitLocker para medir la mayoría de los cambios en la
configuración BIOS, causando que BitLocker entre en el modo de recuperación incluso cuando cambian
las opciones de configuración de BIOS que no se inicien.

NOTE
Algunos equipos tienen la configuración de BIOS que omite las medidas a determinados PCR, como PCR[2] . Si se
cambia esta configuración en el BIOS, BitLocker entraría en modo de recuperación, ya que la medición del PCR
sería diferente.

Mover la unidad protegida con BitLocker a un equipo nuevo.

Actualizar la placa base a una nueva, con un nuevo TPM.
Perder la unidad flash USB que contiene la clave de inicio cuando la autenticación con clave de inicio está
habilitada.
No superar la prueba automática de TPM.
Tener un BIOS, un firmware de UEFI o un componente de ROM opcional que no sea compatible con los
estándares de Trusted Computing Group para un equipo cliente. Por ejemplo, una implementación no
compatible puede registrar datos volátiles (como la hora) en las mediciones del TPM, lo que causaría
diferentes mediciones en cada inicio y haría que BitLocker se iniciara en modo de recuperación.
Cambiar la autorización de uso para la clave raíz de almacenamiento del TPM a un valor que no sea cero.

NOTE
El proceso de inicialización del TPM de BitLocker establece el valor de autorización de uso en cero, por lo que otro
usuario o proceso debe cambiar explícitamente este valor.

Deshabilitar la comprobación de integridad del código o habilitar la firma de prueba en el Administrador

de inicio de Windows (Bootmgr).
Presionar la tecla F8 o F10 durante el proceso de inicio.
Agregar o quitar tarjetas de complementos (como tarjetas de vídeo o de red), o actualizar el firmware de
las tarjetas de complementos.
Usar una tecla de acceso rápido de BIOS durante el proceso de inicio para cambiar el orden de inicio a
otra unidad que no sea el disco duro.
 NOTE
Antes de iniciar la recuperación, te recomendamos determinar qué ha causado la recuperación. Esto puede ayudar a evitar
que el problema vuelva a ocurrir en el futuro. Por ejemplo, si determinas que un atacante ha modificado el equipo
obteniendo acceso físico, puedes crear nuevas directivas de seguridad para el seguimiento de quién tiene presencia física.
Una vez que se ha usado la contraseña de recuperación para recuperar el acceso al equipo, BitLocker vuelve a establecer
la clave de cifrado en los valores actuales de los componentes medidos.

Para escenarios planeados, como un hardware conocido o actualizaciones de firmware, puedes impedir el inicio
de la recuperación suspendiendo temporalmente la protección de BitLocker. Como suspender BitLocker deja la
unidad completamente cifrada, el administrador puede reanudar rápidamente la protección de BitLocker una
vez completada la tarea planeada. Usar la suspensión y reanudación también cierra la clave de cifrado de nuevo
sin necesidad de escribir la clave de recuperación.

NOTE
Si se suspende, BitLocker reanudará automáticamente la protección al reiniciar el equipo, a menos que se especifique un
recuento de reinicio mediante la herramienta de línea de comandos manage-bde.

Si el mantenimiento de software requiere el reinicio del equipo y usa la autenticación en dos fases, puede
habilitar la característica de desbloqueo de red de BitLocker para proporcionar el factor de autenticación
secundario cuando los equipos no tengan un usuario local para proporcionar el método de autenticación
adicional.
La recuperación se ha descrito en el contexto de un comportamiento imprevisto o no deseado, pero también
puedes provocar la recuperación en un escenario de producción previsto, con el fin de administrar el control de
acceso. Por ejemplo, al implementar de nuevo equipos de escritorio o portátiles en otros departamentos o
empleados de la empresa, puedes forzar a que BitLocker entre en recuperación antes de que al equipo se le
asigne un usuario nuevo.

Pruebas de recuperación
Antes de crear un proceso de recuperación de BitLocker exhaustivo, te recomendamos que pruebes cómo
funciona el proceso de recuperación tanto para los usuarios finales (personas que llaman a tu servicio de
asistencia para obtener la contraseña de recuperación) como para los administradores (personas que ayudarán
al usuario final a obtener la contraseña de recuperación). El comando –forcerecovery de manage-bde es una
manera sencilla de recorrer el proceso de recuperación antes de que los usuarios se encuentren con una
situación de recuperación.
Para forzar una recuperación del equipo local:
1. Seleccione el botón Inicio , escriba cmd en el cuadro Iniciar búsqueda , mantenga [Link] y, a
continuación, seleccione Ejecutar como administrador .
2. En el símbolo del sistema, escriba el siguiente comando y presione ENTRAR :
manage-bde -forcerecovery <BitLockerVolume>

Para forzar la recuperación de un equipo remoto:

1. En la pantalla Inicio, escribe [Link] y a continuación, selecciona Ejecutar como administrador .
2. En el símbolo del sistema, escriba el siguiente comando y presione ENTRAR :
manage-bde -ComputerName <RemoteComputerName> -forcerecovery <BitLockerVolume>
 NOTE
La recuperación activada por -forcerecovery persiste durante varios reinicios hasta que se agrega un protector
TPM o el usuario suspende la protección. Al usar dispositivos con espera moderna (por ejemplo, dispositivos
Surface), no se recomienda la opción -forcerecovery porque BitLocker tendrá que desbloquearse y
deshabilitarse manualmente desde el entorno de WinRE antes de que el sistema operativo pueda volver a iniciarse.
Para obtener más información, ve Solución de problemas de BitLocker: Bucle de reinicie continuo con la
recuperación de BitLocker en un dispositivo de pizarra.

Cómo planear el proceso de recuperación

Al planear el proceso de recuperación de BitLocker, ve primero los procedimientos recomendados actuales de la
organización para recuperar información confidencial. Por ejemplo: ¿cómo administra tu empresa las
contraseñas de Windows perdidas? ¿Cómo realiza tu organización el restablecimiento del PIN de tarjeta
inteligente? Puedes usar estos procedimientos recomendados y los recursos relacionados (personas y
herramientas) para ayudar a formular un modelo de recuperación de BitLocker.
Las organizaciones que dependen del cifrado de unidad BitLocker y BitLocker To Go para proteger datos en un
gran número de equipos y unidades extraíbles que ejecutan los sistemas operativos Windows11, Windows10 o
Windows8 o Windows7 y WindowsToGo deben plantearse el uso de la herramienta Microsoft BitLocker
Administration and Monitoring (MBAM) versión2.0, que se incluye en Microsoft Desktop Optimization Pack
(MDOP) para Microsoft Software Assurance. MBAM hace más fáciles de implementar y administrar las
implementaciones de BitLocker y permite a los administradores proporcionar y supervisar cifrado para
unidades fijas y de sistema operativo. MBAM pregunta al usuario antes de cifrar las unidades fijas. MBAM
también administra las claves de recuperación para las unidades fijas y extraíbles, facilitando la administración
de la recuperación. MBAM puede usarse como parte de una implementación de Microsoft System Center o
como una solución independiente. Para obtener más información, ve aAdministración y supervisión de
Microsoft BitLocker.
Después de que se haya iniciado una recuperación de BitLocker, los usuarios pueden usar una contraseña de
recuperación para desbloquear el acceso a los datos cifrados. Debes considerar tanto los métodos de
recuperación automática y de recuperación de contraseña para tu organización.
Al determinar el proceso de recuperación, debes:
Estar familiarizado con la forma de recuperar la contraseña de recuperación. Ve:
Recuperación automática
Recuperación de la contraseña de recuperación
Determinar una serie de pasos posteriores a la recuperación, como analizar las causas de la recuperación
y restablecer la contraseña de recuperación. Ve:
Análisis posterior a la recuperación
Recuperación automática
En algunos casos, los usuarios podrían tener la contraseña de recuperación en una copia impresa o una unidad
flash USB y poder realizar la recuperación automática. Se recomienda que su organización cree una directiva
para la recuperación automática. Si la recuperación automática incluye el uso de una contraseña o una clave de
recuperación almacenada en una unidad flash USB, se debe advertir a los usuarios de que no almacenen la
unidad flash USB en el mismo lugar que el EQUIPO, especialmente durante el viaje. Por ejemplo, si tanto el
equipo como los elementos de recuperación están en la misma bolsa, sería muy fácil que un usuario no
autorizado pudiera acceder al equipo. Otra directiva a tener en cuenta es que los usuarios se pongan en
contacto con el servicio de asistencia antes o después de realizar la recuperación automática para que se pueda
identificar la causa raíz.
Recuperación de la contraseña de recuperación
Si el usuario no tiene una contraseña de recuperación en una copia impresa o en una unidad flash USB, el
usuario tendrá que recuperar la contraseña de recuperación de una fuente en línea. Si el equipo es miembro de
un dominio, se puede hacer una copia de seguridad de la contraseña de recuperación en AD DS. Sin embargo,
esto no sucede de forma predeterminada; debe haber configurado la configuración de directiva de grupo
adecuada antes de que BitLocker se habilitara en el equipo. La configuración de la directiva de grupo de
BitLocker se puede encontrar en el Editor de directiva de grupo local o en la Consola de administración de
directiva de grupo (GPMC) en Configuración del equipo\Plantillas administrativas\Componentes de
Windows\Cifrado de unidad BitLocker . Las siguientes configuraciones de directiva definen los métodos de
recuperación que pueden ser usados para restaurar el acceso a una unidad protegida con BitLocker si se
produce un error o no puede usarse un método de autenticación.
Elegir cómo se pueden recuperar unidades del sistema operativo protegidas con BitLocker
Elegir cómo se pueden recuperar unidades fijas protegidas por BitLocker
Elegir cómo se pueden recuperar las unidades extraíbles protegidas por BitLocker En cada una de
estas directivas, seleccione Guardar información de recuperación de BitLocker para Ser vicios de
dominio de Active Director y y, a continuación, elija qué información de recuperación de BitLocker
almacenar en AD DS. Active la casilla No habilitar BitLocker hasta que la información de
recuperación se almacene en AD DS si desea impedir que los usuarios habiliten BitLocker a menos que
el equipo esté conectado al dominio y la copia de seguridad de la información de recuperación de BitLocker
para la unidad a AD DS se realice correctamente.

NOTE
Si los equipos forman parte de un grupo de trabajo, se recomienda a los usuarios guardar su contraseña de recuperación
de BitLocker con su cuenta microsoft en línea. Se recomienda tener una copia en línea de la contraseña de recuperación
de BitLocker para ayudar a garantizar que no pierda el acceso a los datos en caso de que se requiera una recuperación.

El Visor de contraseñas de recuperación de BitLocker para la herramienta Usuarios y equipos de Active

Directory permite a los administradores de dominio ver las contraseñas de recuperación de BitLocker para
objetos de equipo específicos de Active Directory.
Puedes usar la siguiente lista como plantilla para crear tu propio proceso de recuperación para la obtención de
contraseñas de recuperación. Este proceso de muestra usa el Visor de contraseñas de recuperación de BitLocker
para la herramienta Usuarios y equipos de Active Directory.
Registrar el nombre del equipo del usuario
Comprobar la identidad del usuario
Buscar la contraseña de recuperación en AD DS
Recopilar información para determinar por qué se ha producido la recuperación
Dar al usuario la contraseña de recuperación
Registrar el nombre del equipo del usuario
Puedes usar el nombre del equipo del usuario para localizar la contraseña de recuperación en AD DS. Si el
usuario no conoce el nombre del equipo, pide al usuario que lea la primera palabra de la Etiqueta de unidad
en la interfaz de usuario Entrada de contraseña de cifrado de unidad BitLocker . Este es el nombre del
equipo en el momento en que se habilitó BitLocker y probablemente el nombre actual del equipo.
Comprobar la identidad del usuario
Debe comprobar si la persona que solicita la contraseña de recuperación es realmente el usuario autorizado de
ese equipo. También puede que desee comprobar si el equipo al que el usuario proporcionó el nombre
pertenece al usuario.
Buscar la contraseña de recuperación en AD DS
Busque el objeto de equipo con el nombre coincidente en AD DS. Dado que los nombres de objetos de equipo
aparecen en el catálogo global de AD DS, debería poder localizar el objeto incluso si tiene un bosque de varios
dominios.
Varias contraseñas de recuperación
Si se almacenan varias contraseñas de recuperación en un objeto de equipo en AD DS, el nombre del objeto de
información de recuperación de BitLocker incluye la fecha en la que se creó la contraseña.
Si en algún momento no está seguro de la contraseña que se va a proporcionar o si cree que puede
proporcionar la contraseña incorrecta, pida al usuario que lea el identificador de contraseña de 8 caracteres que
se muestra en la consola de recuperación.
Dado que el identificador de contraseña es un valor único asociado a cada contraseña de recuperación
almacenada en AD DS, al ejecutar una consulta con este identificador se encuentra la contraseña correcta para
desbloquear el volumen cifrado.
Recopilar información para determinar por qué se ha producido la recuperación
Antes de dar al usuario la contraseña de recuperación, debes reunir toda la información que pueda ayudarte a
determinar por qué ha sido necesita la recuperación, con el fin de analizar la causa raíz durante el análisis
posterior a la recuperación. Para obtener más información sobre el análisis posterior a la recuperación, consulte
Análisis posterior a la recuperación.
Dar al usuario la contraseña de recuperación
Dado que la contraseña de recuperación tiene 48 dígitos, es posible que el usuario tenga que registrar la
contraseña escribiendola en otro equipo. Si estás usando MBAM, se volverá a generar la contraseña de
recuperación una vez recuperada de la base de datos MBAM para evitar los riesgos de seguridad asociados con
una contraseña no controlada.

NOTE
Dado que la contraseña de recuperación de 48 dígitos es extensa y contiene una combinación de dígitos, el usuario podría
oír o escribir mal la contraseña. La consola de recuperación de tiempo de inicio usa números de suma de comprobación
integrados para detectar errores de entrada de cada bloque de 6 dígitos de la contraseña de recuperación de 48 dígitos, y
ofrece al usuario la oportunidad de corregir estos errores.

Análisis posterior a la recuperación

Cuando un volumen se desbloquea con una contraseña de recuperación, se escribe un evento en el registro de
eventos y las mediciones de validación de la plataforma se restablecen en el TPM para que coincidan con la
configuración actual. Desbloquear el volumen significa que la clave de cifrado se ha liberado y está lista para el
cifrado sobre la marcha cuando los datos se escriben en el volumen y el descifrado sobre la marcha cuando se
leen los datos del volumen. Después de desbloquear el volumen, BitLocker se comporta del mismo modo,
independientemente de cómo se haya otorgado el acceso.
Si observas que un equipo tiene desbloqueadas contraseñas de recuperación repetidas, puedes que quiera que
un administrador realice un análisis posterior a la recuperación para determinar la causa raíz de la validación de
la plataforma BitLocker y actualizarla para que el usuario ya no necesite escribir una contraseña de recuperación
cada vez que se inicie el equipo. Ve:
Determinar la causa raíz de la recuperación
Actualizar la protección de BitLocker
Determinar la causa raíz de la recuperación
Si un usuario ha necesitado recuperar la unidad, es importante determinar la causa raíz que inició la
recuperación tan pronto como sea posible. Analizar el estado del equipo debidamente y detectar alteraciones
puede revelar amenazas que tengan implicaciones más amplias para la seguridad de la empresa.
Mientras un administrador investiga de forma remota la causa de la recuperación en algunos casos, el usuario
final podría llevar el equipo que contiene la unidad recuperada in situ para analizar aún más la causa raíz.
Revisa y responde a las siguientes preguntas para la organización:
1. ¿Qué modo de protección de BitLocker está en vigor (TPM, TPM + PIN, TPM + clave de inicio, solo clave de
inicio)? ¿Qué perfil de PCR está en uso en el equipo?
2. ¿El usuario simplemente ha olvidado el PIN o ha perdido la clave de inicio? Si un token se ha perdido, ¿dónde
puede estar?
3. Si el modo TPM estaba en vigor, ¿ha sido un cambio de archivo de inicio el causante de la recuperación?
4. Si la recuperación se produjo por un cambio en el archivo de arranque, ¿es el cambio de archivo de arranque
debido a una acción del usuario prevista (por ejemplo, la actualización del BIOS) o a un software
malintencionado?
5. ¿Cuándo fue la última vez que el usuario pudo iniciar el equipo correctamente, y qué podría haber ocurrido
en el equipo desde entonces?
6. ¿Es posible que el usuario haya detectado software malintencionado o dejado el equipo desatendido desde el
último inicio correcto?
Para ayudarte a responder a estas preguntas, usa la herramienta de línea de comandos de BitLocker para ver el
modo de protección y la configuración actual (por ejemplo, manage-bde -status ). Examine el registro de
eventos para buscar eventos que ayuden a indicar por qué se inició la recuperación (por ejemplo, si se produjo
un cambio de archivo de arranque). Ambas funcionalidades pueden llevarse a cabo de forma remota.
Resolver la causa raíz
Después de haber identificado qué ha causado la recuperación, puedes restablecer la protección de BitLocker y
evitar la recuperación en cada inicio.
Los detalles de este restablecimiento pueden variar en función de la causa raíz de la recuperación. Si no puede
determinar la causa principal o si un software malintencionado o un rootkit podrían haber infectado el equipo,
el departamento de soporte técnico debe aplicar directivas de virus de procedimientos recomendados para
reaccionar correctamente.

NOTE
Puedes realizar un restablecimiento del perfil de validación de BitLocker suspendiendo y reanudando BitLocker.

PIN desconocido
Clave de inicio perdida
Cambios en los archivos de arranque
PIN desconocido
Si un usuario ha olvidado el PIN, debes restablecer el PIN mientras estás conectado al equipo para impedir que
BitLocker inicie la recuperación cada vez que se reinicie el equipo.
Para impedir la recuperación continuada debido a un PIN desconocido
1. Desbloquea el equipo con la contraseña de recuperación.
2. Restablece el PIN:
a. Seleccione y mantenga presionada la unidad y, a continuación, seleccione Cambiar PIN.
b. En el cuadro de diálogo Cifrado de unidad BitLocker, selecciona Restablecer un PIN olvidado . Si no
ha iniciado sesión con una cuenta de administrador, debe proporcionar credenciales administrativas
 en este momento.
c. En el cuadro de diálogo Restablecimiento de PIN, proporcione y confirme el nuevo PIN que se va a
usar y, a continuación, seleccione Finalizar .
3. Usarás el nuevo PIN la próxima vez que desbloquees la unidad.
Clave de inicio perdida
Si has perdido la unidad flash USB que contiene la clave de inicio, deberás desbloquear la unidad con la clave de
recuperación y a continuación debes crear una nueva clave de inicio.
Para impedir la recuperación continuada debido a una clave de inicio perdida
1. Inicie sesión como administrador en el equipo que tiene su clave de inicio perdida.
2. Abre Administrar BitLocker.
3. Seleccione Duplicar clave de inicio , inserte la unidad USB limpia en la que va a escribir la clave y, a
continuación, seleccione Guardar .
Cambios en los archivos de arranque
Este error se produce si ha actualizado el firmware. Como práctica recomendada, debes suspender BitLocker
antes de realizar cambios en el firmware y después reanudar la protección una vez completada la actualización.
Esto impide que el equipo entre en modo de recuperación. Sin embargo, si se realizaron cambios cuando la
protección de BitLocker estaba activada, simplemente puede iniciar sesión en el equipo con la contraseña de
recuperación y el perfil de validación de la plataforma se actualizará para que la recuperación no se produzca la
próxima vez.

Cifrado de dispositivo BitLocker y Windows RE

El Entorno de recuperación de Windows (RE) se puede usar para recuperar el acceso a una unidad protegida con
BitLocker Device Encryption. Si un equipo no puede arrancar después de dos errores, la reparación de inicio se
inicia automáticamente. Cuando la reparación de inicio se inicia automáticamente debido a errores de arranque,
solo ejecuta reparaciones de archivos de controlador y sistema operativo, siempre que los registros de arranque
o cualquier volcado de memoria disponible apunten a un archivo dañado específico. En Windows 8.1 y
versiones posteriores, los dispositivos que incluyen firmware para admitir medidas específicas de TPM para
PCR[7] el TPM puede validar que Windows RE es un entorno operativo de confianza y desbloquear las
unidades protegidas por BitLocker si no se ha modificado Windows RE. Si se ha modificado el entorno de
Windows RE, por ejemplo, el TPM se ha deshabilitado, las unidades permanecen bloqueadas hasta que se
proporciona la clave de recuperación de BitLocker. Si la reparación de inicio no se puede ejecutar
automáticamente desde el equipo y, en su lugar, Windows RE se inicia manualmente desde un disco de
reparación, se debe proporcionar la clave de recuperación de BitLocker para desbloquear las unidades
protegidas con BitLocker.
Windows RE también pedirá la clave de recuperación de BitLocker al iniciar un restablecimiento "Quitar todo" de
Windows RE en un dispositivo que usa el protector "TPM + PIN" o "Contraseña para la unidad del sistema
operativo". Si inicia la recuperación de BitLocker en un dispositivo sin teclado con protección de solo TPM,
Windows RE, no el administrador de arranque, pedirá la clave de recuperación de BitLocker. Después de escribir
la clave, puede acceder a Windows RE herramientas de solución de problemas o iniciar Windows con
normalidad.
La pantalla de recuperación de BitLocker que muestra Windows RE tiene las herramientas de accesibilidad,
como narrador y teclado en pantalla, para ayudarle a escribir la clave de recuperación de BitLocker. Si el
administrador de arranque de Windows solicita la clave de recuperación de BitLocker, es posible que esas
herramientas no estén disponibles.
Para activar el narrador durante la recuperación de BitLocker en Windows RE, presione Windows + CTRL +
Entrar . Para activar el teclado en pantalla, pulse en un control de entrada de texto.
Pantalla de recuperación de BitLocker
Durante la recuperación de BitLocker, Windows muestra un mensaje de recuperación personalizado y algunas
sugerencias que identifican de dónde se puede recuperar una clave. Estas mejoras pueden ayudar a un usuario
durante la recuperación de BitLocker.
Mensaje de recuperación personalizado
La configuración de la directiva de grupo de BitLocker en Windows10 (versión 1511) o Windows11 te permite
configurar un mensaje de recuperación personalizado y una dirección URL en la pantalla de recuperación de
BitLocker, que puede incluir la dirección del portal de recuperación de autoservicio de BitLocker, el sitio web
interno de TI o un número de teléfono para soporte técnico.
Esta directiva se puede configurar con GPO en las unidades de sistema operativo Configuración del equipo >
Plantillas administrativas > Componentes de Windows > Cifrado de unidades BitLocker > Unidades
del sistema operativo > Configure el mensaje de recuperación del inicio previo al inicio y la
dirección URL .
También se puede configurar mediante la administración de dispositivos móviles (MDM) de Intune en el CSP de
BitLocker: <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage</LocURI>

Ejemplo de pantalla de recuperación personalizada:

Sugerencias de clave de recuperación de BitLocker
Los metadatos de BitLocker se han mejorado en Windows10, versión 1903, o Windows11 para incluir
información sobre cuándo y dónde se ha realizado una copia de seguridad de la clave de recuperación de
BitLocker. Esta información no se expone a través de la interfaz de usuario o de cualquier API pública. Se usa
solo en la pantalla de recuperación de BitLocker en forma de sugerencias para ayudar a un usuario a localizar la
clave de recuperación de un volumen. Se muestran sugerencias en la pantalla de recuperación y hacen
referencia a la ubicación donde se ha guardado la clave. Se muestran sugerencias en la pantalla de recuperación
moderna (azul) y heredada (negro). Esto se aplica tanto a la pantalla de recuperación del administrador de inicio
como a la pantalla de desbloqueo de WinRE.

IMPORTANT
No recomendamos imprimir las claves de recuperación ni guardarlas en un archivo. En su lugar, usa la copia de seguridad
de Active Directory o una copia de seguridad basada en la nube. La copia de seguridad basada en la nube incluye Azure
Active Directory (Azure AD) y la cuenta microsoft.

Hay reglas que rigen qué sugerencia se muestra durante la recuperación (en el orden de procesamiento):
1. Muestra siempre un mensaje de recuperación personalizado si se ha configurado (con GPO o MDM).
2. Mostrar siempre sugerencia genérica: "Para obtener más información, vaya a
 [Link]
3. Si existen varias claves de recuperación en el volumen, dé prioridad a la clave de recuperación creada por
última vez (y de la que se ha realizado una copia de seguridad correctamente).
4. Asigna prioridades a las claves con copias de seguridad correctas sobre claves en las que nunca se ha
realizado una copia de seguridad.
5. Prioriza las sugerencias de copia de seguridad en el siguiente orden para las ubicaciones de copia de
seguridad remotas: Cuenta de Microsoft > Azure AD > Active Director y .
6. Si se ha impreso y guardado una clave en el archivo, muestre una sugerencia combinada, "Buscar una
impresión o un archivo de texto con la clave", en lugar de dos sugerencias independientes.
7. Si se han realizado varias copias de seguridad del mismo tipo (quitar frente a local) para la misma clave de
recuperación, priorice la información de copia de seguridad con la fecha de copia de seguridad más reciente.
8. No hay ninguna sugerencia específica para las claves guardadas en un Active Directory local. En este caso, se
muestra un mensaje personalizado (si está configurado) o un mensaje genérico, "Póngase en contacto con el
departamento de soporte técnico de su organización".
9. Si hay dos claves de recuperación en el disco, pero solo se ha realizado una copia de seguridad correcta, el
sistema solicita una clave de la que se ha realizado una copia de seguridad, incluso si otra clave es más
reciente.
Ejemplo 1 (clave de recuperación única con una sola copia de seguridad)

URL P ERSO N A L IZ A DA SÍ

Guardado en una cuenta de Microsoft Sí

Guardado en Azure AD No

Guardado en Active Directory No

Impreso No

Guardado en archivo No

Resultado: Se muestran las sugerencias para la cuenta microsoft y la dirección URL personalizada.

Ejemplo 2 (clave de recuperación única con una sola copia de seguridad)

 URL P ERSO N A L IZ A DA SÍ

Guardado en una cuenta de Microsoft No

Guardado en Azure AD No

Guardado en Active Directory Sí

Impreso No

Guardado en archivo No

Resultado: Solo se muestra la dirección URL personalizada.

Ejemplo 3 (clave de recuperación única con varias copias de seguridad)

URL P ERSO N A L IZ A DA NO

Guardado en una cuenta de Microsoft Sí

Guardado en Azure AD Sí

Guardado en Active Directory No

Impreso Sí

Guardado en archivo Sí

Resultado: Solo se muestra la sugerencia de cuenta de Microsoft.

Ejemplo 4 (varias contraseñas de recuperación )

URL P ERSO N A L IZ A DA NO

Guardado en una cuenta de Microsoft No

Guardado en Azure AD No

Guardado en Active Directory No

Impreso No

Guardado en archivo Sí

Hora de creación 1 p. m.

Id. de clave A564F193

URL P ERSO N A L IZ A DA NO

Guardado en una cuenta de Microsoft No

Guardado en Azure AD No

Guardado en Active Directory No

Impreso No

Guardado en archivo No

Hora de creación 3PM

Id. de clave T4521ER5

resultado: Se muestra solo la sugerencia para una clave en la que se ha realizado una copia de seguridad
correctamente, aunque no sea la clave más reciente.

Ejemplo 5 (varias contraseñas de recuperación )

URL P ERSO N A L IZ A DA NO

Guardado en una cuenta de Microsoft Sí

Guardado en Azure AD Sí

Guardado en Active Directory No

Impreso No

Guardado en archivo No

Hora de creación 1 p. m.

Id. de clave 99631A34

URL P ERSO N A L IZ A DA NO

Guardado en una cuenta de Microsoft No

Guardado en Azure AD Sí

Guardado en Active Directory No

Impreso No

Guardado en archivo No

Hora de creación 3PM

Id. de clave 9DF70931

Resultado: Se muestra la sugerencia de la clave más reciente.

Uso de la información de recuperación adicional

Además de la contraseña de recuperación de BitLocker de 48 dígitos, otros tipos de información de
recuperación se almacenan en Active Directory. Esta sección describe cómo se puede usar esta información
adicional.
Paquete de claves de BitLocker
Si los métodos de recuperación descritos anteriormente en este documento no desbloquean el volumen, puedes
usar la herramienta de reparación de BitLocker para descifrar el volumen en el nivel de bloque. La herramienta
usa el paquete de claves de BitLocker para ayudar a recuperar los datos cifrados de las unidades gravemente
dañadas. A continuación, puedes usar estos datos de recuperación para salvar datos cifrados, incluso después de
que la contraseña de recuperación correcta no haya conseguido desbloquear el volumen dañado. Te
recomendamos que sigas guardando la contraseña de recuperación. No se puede usar un paquete de claves sin
la contraseña de recuperación correspondiente.

NOTE
Debes usar la herramienta de reparación de BitLocker repair-bde para usar el paquete de claves de BitLocker.

De manera predeterminada, no se guardará el paquete de claves de BitLocker. Para guardar el paquete junto con
la contraseña de recuperación en AD DS, debe seleccionar la opción Contraseña de recuperación de copia
de seguridad y paquete de claves en la configuración de directiva de grupo que controla el método de
recuperación. También puedes exportar el paquete de claves desde un volumen de trabajo. Para obtener más
información sobre cómo exportar paquetes de claves, consulte Recuperación del paquete de claves de BitLocker.

Restablecimiento de contraseñas de recuperación

Debe invalidar una contraseña de recuperación después de que se haya proporcionado y usado, y cuando desee
invalidar intencionadamente una contraseña de recuperación existente por cualquier motivo.
Puedes restablecer la contraseña de recuperación de dos maneras:
Usar manage-bde : puedes usar manage-bde para quitar la contraseña de recuperación anterior y agregar
una nueva. El procedimiento identifica el comando y la sintaxis de este método.
Ejecutar un script : Puedes ejecutar un script para restablecer la contraseña sin descifrar el volumen. El
 script de muestra en el procedimiento muestra esta funcionalidad. El script de muestra crea una nueva
contraseña de recuperación e invalida las demás contraseñas.
Para restablecer una contraseña de recuperación con manage-dbe:
1. Quite la contraseña de recuperación anterior.

Manage-bde –protectors –delete C: –type RecoveryPassword

2. Agregue la nueva contraseña de recuperación.

Manage-bde –protectors –add C: -RecoveryPassword

3. Obtén el Id. de la nueva contraseña de recuperación. En la pantalla, copia el Id. de la contraseña de

recuperación.

Manage-bde –protectors –get C: -Type RecoveryPassword

4. Realiza copia de seguridad de la nueva contraseña de recuperación en AD DS

Manage-bde –protectors –adbackup C: -id {EXAMPLE6-5507-4924-AA9E-AFB2EB003692}

WARNING
Debes incluir las llaves en la cadena de Id.

Para ejecutar el script de contraseña de recuperación de ejemplo:

1. Guarda el siguiente script de muestra en un archivo VBScript. Por ejemplo: [Link].
2. En el símbolo del sistema, escriba un comando similar al siguiente:
cscript [Link]

IMPORTANT
Este script de muestra está configurado para funcionar solamente para el volumen C. Debes personalizar el script
para que coincida con el volumen en el que quieras probar el restablecimiento de contraseña.

NOTE
Para administrar un equipo remoto, debe especificar el nombre del equipo remoto en lugar del nombre del equipo local.

Puede usar el siguiente ejemplo de VBScript para restablecer las contraseñas de recuperación:

' Target drive letter

strDriveLetter = "c:"
' Target computer name
' Use "." to connect to the local computer
strComputerName = "."
' --------------------------------------------------------------------------------
' Connect to the BitLocker WMI provider class
' --------------------------------------------------------------------------------
strConnectionStr = "winmgmts:" _
 strConnectionStr = "winmgmts:" _
& "{impersonationLevel=impersonate,authenticationLevel=pktPrivacy}!\\" _
& strComputerName _
& "\root\cimv2\Security\MicrosoftVolumeEncryption"

On Error Resume Next 'handle permission errors

Set objWMIService = GetObject(strConnectionStr)
If [Link] <> 0 Then
[Link] "Failed to connect to the BitLocker interface (Error 0x" & Hex([Link]) & ")."
[Link] "Ensure that you are running with administrative privileges."
[Link] -1
End If
On Error GoTo 0
strQuery = "Select * from Win32_EncryptableVolume where DriveLetter='" & strDriveLetter & "'"
Set colTargetVolumes = [Link](strQuery)
If [Link] = 0 Then
[Link] "FAILURE: Unable to find BitLocker-capable drive " & strDriveLetter & " on computer " &
strComputerName & "."
[Link] -1
End If
' there should only be one volume found
For Each objFoundVolume in colTargetVolumes
set objVolume = objFoundVolume
Next
' objVolume is now our found BitLocker-capable disk volume
' --------------------------------------------------------------------------------
' Perform BitLocker WMI provider functionality
' --------------------------------------------------------------------------------
' Add a new recovery password, keeping the ID around so it doesn't get deleted later
' ----------------------------------------------------------------------------------
nRC = [Link]("Recovery Password Refreshed By Script", ,
sNewKeyProtectorID)
If nRC <> 0 Then
[Link] "FAILURE: ProtectKeyWithNumericalPassword failed with return code 0x" & Hex(nRC)
[Link] -1
End If
' Removes the other, "stale", recovery passwords
' ----------------------------------------------------------------------------------
nKeyProtectorTypeIn = 3 ' type associated with "Numerical Password" protector
nRC = [Link](nKeyProtectorTypeIn, aKeyProtectorIDs)
If nRC <> 0 Then
[Link] "FAILURE: GetKeyProtectors failed with return code 0x" & Hex(nRC)
[Link] -1
End If
' Delete those key protectors other than the one we just added.
For Each sKeyProtectorID In aKeyProtectorIDs
If sKeyProtectorID <> sNewKeyProtectorID Then
nRC = [Link](sKeyProtectorID)
If nRC <> 0 Then
[Link] "FAILURE: DeleteKeyProtector on ID " & sKeyProtectorID & " failed with return code 0x" &
Hex(nRC)
[Link] -1
Else
' no output
'[Link] "SUCCESS: Key protector with ID " & sKeyProtectorID & " deleted"
End If
End If
Next
[Link] "A new recovery password has been added. Old passwords have been removed."
' - some advanced output (hidden)
'[Link] ""
'[Link] "Type ""manage-bde -protectors -get " & strDriveLetter & " -type recoverypassword"" to view
existing passwords."

Recuperación del paquete de claves de BitLocker

Puedes usar dos métodos para recuperar el paquete de claves, tal como se describe en Uso de la información de
recuperación adicional:
Expor tar un paquete de clave guardado anteriormente desde AD DS. Debes tener acceso de lectura
a las contraseñas de recuperación de BitLocker que están almacenadas en AD DS.
Expor tar un nuevo paquete de claves desde un volumen protegido con BitLocker desbloqueado.
Debes tener acceso de administrador local al volumen de trabajo, antes de que se haya producido algún
daño.
El siguiente script de muestra exporta todos los paquetes de claves guardados previamente desde AD DS.
Para ejecutar el script de recuperación del paquete de claves de ejemplo:
1. Guarda el siguiente script de muestra en un archivo VBScript. Por ejemplo:
[Link].
2. En el símbolo del sistema, escribe un comando similar al siguiente script de ejemplo:
cscript [Link] -?
Puedes usar el siguiente script de ejemplo para crear un archivo VBScript para recuperar el paquete de claves de
BitLocker de AD DS:

' --------------------------------------------------------------------------------
' Usage
' --------------------------------------------------------------------------------
Sub ShowUsage
[Link] "USAGE: GetBitLockerKeyPackageADDS [Path To Save Key Package] [Optional Computer Name]"
[Link] "If no computer name is specified, the local computer is assumed."
[Link]
[Link] "Example: GetBitLockerKeyPackageADDS E:\bitlocker-ad-key-package mycomputer"
[Link]
End Sub
' --------------------------------------------------------------------------------
' Parse Arguments
' --------------------------------------------------------------------------------
Set args = [Link]
Select Case [Link]
Case 1
If args(0) = "/?" Or args(0) = "-?" Then
ShowUsage
Else
strFilePath = args(0)
' Get the name of the local computer
Set objNetwork = CreateObject("[Link]")
strComputerName = [Link]
End If

Case 2
If args(0) = "/?" Or args(0) = "-?" Then
ShowUsage
Else
strFilePath = args(0)
strComputerName = args(1)
End If
Case Else
ShowUsage
End Select
' --------------------------------------------------------------------------------
' Get path to Active Directory computer object associated with the computer name
' --------------------------------------------------------------------------------
Function GetStrPathToComputer(strComputerName)
' Uses the global catalog to find the computer in the forest
' Search also includes deleted computers in the tombstone
Set objRootLDAP = GetObject("LDAP://rootDSE")
 Set objRootLDAP = GetObject("LDAP://rootDSE")
namingContext = [Link]("defaultNamingContext") ' e.g. string dc=fabrikam,dc=com
strBase = "<GC://" & namingContext & ">"

Set objConnection = CreateObject("[Link]")

Set objCommand = CreateObject("[Link]")
[Link] = "ADsDSOOBject"
[Link] "Active Directory Provider"
Set [Link] = objConnection
strFilter = "(&(objectCategory=Computer)(cn=" & strComputerName & "))"
strQuery = strBase & ";" & strFilter & ";distinguishedName;subtree"
[Link] = strQuery
[Link]("Page Size") = 100
[Link]("Timeout") = 100
[Link]("Cache Results") = False
' Enumerate all objects found.
Set objRecordSet = [Link]
If [Link] Then
[Link] "The computer name '" & strComputerName & "' cannot be found."
[Link] 1
End If
' Found object matching name
Do Until [Link]
dnFound = [Link]("distinguishedName")
GetStrPathToComputer = "LDAP://" & dnFound
[Link]
Loop
' Clean up.
Set objConnection = Nothing
Set objCommand = Nothing
Set objRecordSet = Nothing
End Function
' --------------------------------------------------------------------------------
' Securely access the Active Directory computer object using Kerberos
' --------------------------------------------------------------------------------
Set objDSO = GetObject("LDAP:")
strPathToComputer = GetStrPathToComputer(strComputerName)
[Link] "Accessing object: " + strPathToComputer
Const ADS_SECURE_AUTHENTICATION = 1
Const ADS_USE_SEALING = 64 '0x40
Const ADS_USE_SIGNING = 128 '0x80
' --------------------------------------------------------------------------------
' Get all BitLocker recovery information from the Active Directory computer object
' --------------------------------------------------------------------------------
' Get all the recovery information child objects of the computer object
Set objFveInfos = [Link](strPathToComputer, vbNullString, vbNullString, _
ADS_SECURE_AUTHENTICATION + ADS_USE_SEALING + ADS_USE_SIGNING)
[Link] = Array("msFVE-RecoveryInformation")
' Iterate through each recovery information object and saves any existing key packages
nCount = 1
strFilePathCurrent = strFilePath & nCount
For Each objFveInfo in objFveInfos
strName = [Link]("name")
strRecoveryPassword = [Link]("msFVE-RecoveryPassword")
strKeyPackage = [Link]("msFVE-KeyPackage")
[Link]
[Link] "Recovery Object Name: " + strName
[Link] "Recovery Password: " + strRecoveryPassword
' Validate file path
Set fso = CreateObject("[Link]")
If ([Link](strFilePathCurrent)) Then
[Link] "The file " & strFilePathCurrent & " already exists. Please use a different path."
[Link] -1
End If
' Save binary data to the file
SaveBinaryDataText strFilePathCurrent, strKeyPackage

[Link] "Related key package successfully saved to " + strFilePathCurrent

' Update next file path using base name
nCount = nCount + 1
 nCount = nCount + 1
strFilePathCurrent = strFilePath & nCount
Next
'----------------------------------------------------------------------------------------
' Utility functions to save binary data
'----------------------------------------------------------------------------------------
Function SaveBinaryDataText(FileName, ByteArray)
'Create FileSystemObject object
Dim FS: Set FS = CreateObject("[Link]")

'Create text stream object

Dim TextStream
Set TextStream = [Link](FileName)

'Convert binary data To text And write them To the file

[Link] BinaryToString(ByteArray)
End Function
Function BinaryToString(Binary)
Dim I, S
For I = 1 To LenB(Binary)
S = S & Chr(AscB(MidB(Binary, I, 1)))
Next
BinaryToString = S
End Function
[Link]

El siguiente ejemplo de script exporta un nuevo paquete de clave de un volumen desbloqueado y cifrado.
Para ejecutar el script de recuperación del paquete de claves de ejemplo:
1. Guarda el siguiente script de muestra en un archivo VBScript. Por ejemplo: [Link]
2. Abrir un símbolo del sistema de administrador y escribir un comando similar al siguiente script de
ejemplo:
cscript [Link] -?

' --------------------------------------------------------------------------------
' Usage
' --------------------------------------------------------------------------------
Sub ShowUsage
[Link] "USAGE: GetBitLockerKeyPackage [VolumeLetter/DriveLetter:] [Path To Save Key Package]"
[Link]
[Link] "Example: GetBitLockerKeyPackage C: E:\bitlocker-backup-key-package"
[Link]
End Sub
' --------------------------------------------------------------------------------
' Parse Arguments
' --------------------------------------------------------------------------------
Set args = [Link]
Select Case [Link]
Case 2
If args(0) = "/?" Or args(0) = "-?" Then
ShowUsage
Else
strDriveLetter = args(0)
strFilePath = args(1)
End If
Case Else
ShowUsage
End Select
' --------------------------------------------------------------------------------
' Other Inputs
' --------------------------------------------------------------------------------
' Target computer name
' Use "." to connect to the local computer
strComputerName = "."
' Default key protector ID to use. Specify "" to let the script choose.
strDefaultKeyProtectorID = ""
' strDefaultKeyProtectorID = "{001298E0-870E-4BA0-A2FF-FC74758D5720}" ' sample
' --------------------------------------------------------------------------------
' Connect to the BitLocker WMI provider class
' --------------------------------------------------------------------------------
strConnectionStr = "winmgmts:" _
& "{impersonationLevel=impersonate,authenticationLevel=pktPrivacy}!\\" _
& strComputerName _
& "\root\cimv2\Security\MicrosoftVolumeEncryption"

On Error Resume Next 'handle permission errors

Set objWMIService = GetObject(strConnectionStr)
If [Link] <> 0 Then
[Link] "Failed to connect to the BitLocker interface (Error 0x" & Hex([Link]) & ")."
[Link] "Ensure that you are running with administrative privileges."
[Link] -1
End If
On Error GoTo 0
strQuery = "Select * from Win32_EncryptableVolume where DriveLetter='" & strDriveLetter & "'"
Set colTargetVolumes = [Link](strQuery)
If [Link] = 0 Then
[Link] "FAILURE: Unable to find BitLocker-capable drive " & strDriveLetter & " on computer " &
strComputerName & "."
[Link] -1
End If
' there should only be one volume found
For Each objFoundVolume in colTargetVolumes
set objVolume = objFoundVolume
Next
' objVolume is now our found BitLocker-capable disk volume
' --------------------------------------------------------------------------------
' Perform BitLocker WMI provider functionality
' --------------------------------------------------------------------------------
' Collect all possible valid key protector ID's that can be used to get the package
' ----------------------------------------------------------------------------------
nNumericalKeyProtectorType = 3 ' type associated with "Numerical Password" protector
nRC = [Link](nNumericalKeyProtectorType, aNumericalKeyProtectorIDs)
If nRC <> 0 Then
[Link] "FAILURE: GetKeyProtectors failed with return code 0x" & Hex(nRC)
[Link] -1
End If
nExternalKeyProtectorType = 2 ' type associated with "External Key" protector
nRC = [Link](nExternalKeyProtectorType, aExternalKeyProtectorIDs)
If nRC <> 0 Then
[Link] "FAILURE: GetKeyProtectors failed with return code 0x" & Hex(nRC)
[Link] -1
End If
' Get first key protector of the type "Numerical Password" or "External Key", if any
' ----------------------------------------------------------------------------------
if strDefaultKeyProtectorID = "" Then
' Save first numerical password, if exists
If UBound(aNumericalKeyProtectorIDs) <> -1 Then
strDefaultKeyProtectorID = aNumericalKeyProtectorIDs(0)
End If
' No numerical passwords exist, save the first external key
If strDefaultKeyProtectorID = "" and UBound(aExternalKeyProtectorIDs) <> -1 Then
strDefaultKeyProtectorID = aExternalKeyProtectorIDs(0)
End If
' Fail case: no recovery key protectors exist.
If strDefaultKeyProtectorID = "" Then
[Link] "FAILURE: Cannot create backup key package because no recovery passwords or recovery keys
exist. Check that BitLocker protection is on for this drive."
[Link] "For help adding recovery passwords or recovery keys, type ""manage-bde -protectors -add -?""."
[Link] -1
End If
End If
' Get some information about the chosen key protector ID
' ----------------------------------------------------------------------------------
' is the type valid?
nRC = [Link](strDefaultKeyProtectorID, nDefaultKeyProtectorType)
If Hex(nRC) = "80070057" Then
[Link] "The key protector ID " & strDefaultKeyProtectorID & " is not valid."
[Link] "This ID value may have been provided by the script writer."
ElseIf nRC <> 0 Then
[Link] "FAILURE: GetKeyProtectorType failed with return code 0x" & Hex(nRC)
[Link] -1
End If
' what's a string that can be used to describe it?
strDefaultKeyProtectorType = ""
Select Case nDefaultKeyProtectorType
Case nNumericalKeyProtectorType
strDefaultKeyProtectorType = "recovery password"
Case nExternalKeyProtectorType
strDefaultKeyProtectorType = "recovery key"
Case Else
[Link] "The key protector ID " & strDefaultKeyProtectorID & " does not refer to a valid recovery
password or recovery key."
[Link] "This ID value may have been provided by the script writer."
End Select
' Save the backup key package using the chosen key protector ID
' ----------------------------------------------------------------------------------
nRC = [Link](strDefaultKeyProtectorID, oKeyPackage)
If nRC <> 0 Then
[Link] "FAILURE: GetKeyPackage failed with return code 0x" & Hex(nRC)
[Link] -1
End If
' Validate file path
Set fso = CreateObject("[Link]")
If ([Link](strFilePath)) Then
[Link] "The file " & strFilePath & " already exists. Please use a different path."
[Link] -1
End If
Dim oKeyPackageByte, bKeyPackage
For Each oKeyPackageByte in oKeyPackage
'[Link] "key package byte: " & oKeyPackageByte
bKeyPackage = bKeyPackage & ChrB(oKeyPackageByte)
Next
' Save binary data to the file
SaveBinaryDataText strFilePath, bKeyPackage
' Display helpful information
' ----------------------------------------------------------------------------------
[Link] "The backup key package has been saved to " & strFilePath & "."
[Link] "IMPORTANT: To use this key package, the " & strDefaultKeyProtectorType & " must also be
saved."
' Display the recovery password or a note about saving the recovery key file
If nDefaultKeyProtectorType = nNumericalKeyProtectorType Then
nRC = [Link](strDefaultKeyProtectorID, sNumericalPassword)
If nRC <> 0 Then
[Link] "FAILURE: GetKeyProtectorNumericalPassword failed with return code 0x" & Hex(nRC)
[Link] -1
End If
[Link] "Save this recovery password: " & sNumericalPassword
ElseIf nDefaultKeyProtectorType = nExternalKeyProtectorType Then
[Link] "The saved key file is named " & strDefaultKeyProtectorID & ".BEK"
[Link] "For help re-saving this external key file, type ""manage-bde -protectors -get -?"""
End If
'----------------------------------------------------------------------------------------
' Utility functions to save binary data
'----------------------------------------------------------------------------------------
Function SaveBinaryDataText(FileName, ByteArray)
'Create FileSystemObject object
Dim FS: Set FS = CreateObject("[Link]")

'Create text stream object

Dim TextStream
Set TextStream = [Link](FileName)
 Set TextStream = [Link](FileName)

'Convert binary data To text And write them To the file

[Link] BinaryToString(ByteArray)
End Function
Function BinaryToString(Binary)
Dim I, S
For I = 1 To LenB(Binary)
S = S & Chr(AscB(MidB(Binary, I, 1)))
Next
BinaryToString = S
End Function

Ver también
Introducción a BitLocker
 Contramedidas de BitLocker
08/11/2022 • 12 minutes to read

Se aplica a
Windows10
Windows11
Windows Server2016 y superior
Windows usa tecnologías como el módulo de plataforma de confianza (TPM), el arranque seguro y el arranque
medido para ayudar a proteger las claves de cifrado de BitLocker frente a ataques. BitLocker forma parte de un
enfoque estratégico para proteger los datos frente a ataques sin conexión a través de la tecnología de cifrado.
Los datos de un equipo perdido o robado son vulnerables. Por ejemplo, podría haber acceso no autorizado, ya
sea ejecutando una herramienta de ataque de software en el equipo o transfiriendo el disco duro del equipo a
otro equipo.
BitLocker ayuda a mitigar el acceso a datos no autorizados en equipos perdidos o robados antes de que se inicie
el sistema operativo autorizado. Esta mitigación se realiza mediante:
Cifrado de volúmenes en el equipo. Por ejemplo, puede activar BitLocker para el volumen del sistema
operativo o un volumen en una unidad de datos fija o extraíble (como una unidad flash USB, una tarjeta SD,
etc.). Al activar BitLocker para el volumen del sistema operativo, se cifran todos los archivos del sistema del
volumen, incluidos los archivos de paginación y los archivos de hibernación. La única excepción es para la
partición Del sistema, que incluye el Administrador de arranque de Windows y la garantía de arranque
mínima necesaria para el descifrado del volumen del sistema operativo después de que la clave no esté
sealada.
Garantizar la integridad de los componentes de arranque temprano y los datos de
configuración de arranque. En los dispositivos que tienen una versión de TPM 1.2 o posterior, BitLocker
usa las funcionalidades de seguridad mejoradas del TPM para hacer que los datos sean accesibles solo si el
código y la configuración del firmware del BIOS del equipo, la secuencia de arranque original, los
componentes de arranque y la configuración de BCD aparecen inalterados y el disco cifrado se encuentra en
el equipo original. En los sistemas que aprovechan tpm PCR[7], los cambios de configuración de BCD que se
consideran seguros pueden mejorar la facilidad de uso.
En las secciones siguientes se proporcionan más detalles sobre cómo Windows protege contra varios ataques
en las claves de cifrado de BitLocker en Windows 11, Windows 10, Windows 8.1 y Windows 8.
Para obtener más información sobre cómo habilitar la mejor configuración de seguridad general para los
dispositivos que comienzan con Windows 10 versión 1803 o Windows 11, vea Estándares para un dispositivo
Windows altamente seguro.

Protección antes del inicio

Antes de que se inicie Windows, debe confiar en las características de seguridad implementadas como parte del
hardware y el firmware del dispositivo, incluidos TPM y el arranque seguro. Afortunadamente, muchos equipos
modernos cuentan con un TPM y un arranque seguro.
Módulo de plataforma segura
Un módulo de plataforma de confianza (TPM) es un microchip diseñado para proporcionar funciones básicas
relacionadas con la seguridad, que implican principalmente claves de cifrado. En algunas plataformas, TPM
también se puede implementar como parte del firmware seguro. BitLocker enlaza las claves de cifrado con el
TPM para asegurarse de que un equipo no se ha alterado mientras el sistema estaba sin conexión. Para obtener
más información sobre TPM, consulte Módulo de plataforma segura.
UEFI y arranque seguro
Unified Extensible Firmware Interface (UEFI) es un entorno de arranque programable que inicializa los
dispositivos e inicia el cargador de arranque del sistema operativo.
La especificación UEFI define un proceso de autenticación de ejecución de firmware denominado Arranque
seguro. El arranque seguro impide que el firmware y los cargadores de arranque (firmados o no firmados) no
puedan iniciarse en el sistema.
De forma predeterminada, BitLocker proporciona protección de integridad para el arranque seguro mediante la
medición de TPM PCR[7]. Un firmware EFI no autorizado, una aplicación de arranque EFI o un cargador de
arranque no pueden ejecutarse y adquirir la clave de BitLocker.
Ataques de BitLocker y restablecimiento
Para defenderse frente a ataques de restablecimiento malintencionados, BitLocker aprovecha la mitigación de
ataques de restablecimiento de TCG, también conocida como bit MOR (solicitud de sobrescritura de memoria),
antes de extraer claves en la memoria.

NOTE
Esto no protege frente a ataques físicos en los que un atacante abre el caso y ataca el hardware.

Directivas de seguridad
En las secciones siguientes se tratan la autenticación previa al arranque y las directivas DMA que pueden
proporcionar protección adicional para BitLocker.
Autenticación previa al arranque
La autenticación previa al arranque con BitLocker es una configuración de directiva que requiere el uso de
cualquier entrada de usuario, como un PIN, una clave de inicio o ambas para autenticarse antes de hacer que el
contenido de la unidad del sistema sea accesible. La configuración de directiva de grupo es Requerir
autenticación adicional al inicio y la configuración correspondiente en el CSP de BitLocker es
SystemDrivesRequireStartupAuthentication.
BitLocker accede a las claves de cifrado y las almacena en la memoria solo después de completar la
autenticación previa al arranque. Si Windows no puede acceder a las claves de cifrado, el dispositivo no puede
leer ni editar los archivos de la unidad del sistema. La única opción para omitir la autenticación previa al
arranque es escribir la clave de recuperación.
La autenticación previa al arranque está diseñada para evitar que las claves de cifrado se carguen en la memoria
del sistema sin que el usuario de confianza proporcione otro factor de autenticación, como un PIN o una clave
de inicio. Esto ayuda a mitigar los ataques de remanencia de memoria y DMA.
En equipos con un TPM compatible, las unidades del sistema operativo protegidas con BitLocker se pueden
desbloquear de cuatro maneras:
Solo TPM. El uso de la validación de solo TPM no requiere ninguna interacción con el usuario para
desbloquear y proporcionar acceso a la unidad. Si la validación de TPM se realiza correctamente, la
experiencia de inicio de sesión del usuario es la misma que la de un inicio de sesión estándar. Si falta o
cambia el TPM o si BitLocker detecta cambios en el código o la configuración de BIOS o UEFI, archivos de
inicio críticos del sistema operativo o la configuración de arranque, BitLocker entra en modo de recuperación
y el usuario debe escribir una contraseña de recuperación para recuperar el acceso a los datos. Esta opción es
más conveniente para el inicio de sesión, pero menos segura que las otras opciones, que requieren un factor
 de autenticación adicional.
TPM con clave de inicio. Además de la protección que proporciona solo TPM, parte de la clave de cifrado
se almacena en una unidad flash USB, lo que se conoce como clave de inicio. No se puede acceder a los datos
del volumen cifrado sin la clave de inicio.
TPM con PIN. Además de la protección que proporciona el TPM, BitLocker requiere que el usuario escriba
un PIN. No se puede acceder a los datos del volumen cifrado sin escribir el PIN. Los TPM también tienen
protección contra martillos que está diseñada para evitar ataques por fuerza bruta que intentan determinar
el PIN.
TPM con clave de inicio y PIN. Además de la protección del componente principal que proporciona solo
TPM, parte de la clave de cifrado se almacena en una unidad flash USB y se requiere un PIN para autenticar
al usuario en el TPM. Esta configuración proporciona autenticación multifactor para que, si se pierde o se
roba la clave USB, no se pueda usar para acceder a la unidad, ya que también se requiere el PIN correcto.
En el siguiente ejemplo de directiva de grupo, se requiere TPM + PIN para desbloquear una unidad del sistema
operativo:

La autenticación previa al arranque con un PIN puede mitigar un vector de ataque para los dispositivos que
usan un eDrive de arranque porque un bus de eDrive expuesto puede permitir que un atacante capture la clave
de cifrado de BitLocker durante el inicio. La autenticación previa al arranque con un PIN también puede mitigar
los ataques de puerto DMA durante el período de tiempo entre el momento en que BitLocker desbloquea la
unidad y Windows arranca hasta el punto de que Windows puede establecer las directivas relacionadas con
puertos que se hayan configurado.
Por otro lado, las solicitudes de autenticación previas al arranque pueden resultar inconvenientes para los
usuarios. Además, a los usuarios que olvidan su PIN o pierden su clave de inicio se les deniega el acceso a sus
datos hasta que puedan ponerse en contacto con el equipo de soporte técnico de su organización para obtener
una clave de recuperación. La autenticación previa al arranque también puede dificultar la actualización de
escritorios desatendidos y servidores administrados de forma remota porque es necesario escribir un PIN
cuando un equipo se reinicia o reanuda desde la hibernación.
Para solucionar estos problemas, puede implementar desbloqueo de red de BitLocker. Desbloqueo de red
permite que los sistemas dentro del perímetro de seguridad de la empresa física que cumplan los requisitos de
hardware y tengan BitLocker habilitado con TPM+PIN para arrancar en Windows sin intervención del usuario.
Requiere conectividad ethernet directa a un servidor de Servicios de implementación de Windows (WDS)
empresarial.
Protección de Thunderbolt y otros puertos DMA
Hay algunas opciones diferentes para proteger los puertos DMA, como Thunderbolt™3. A partir de Windows
10 versión 1803 o Windows 11, los nuevos dispositivos basados en Intel tienen la protección del kernel contra
ataques DMA a través de puertos Thunderbolt™ 3 habilitados de forma predeterminada. Esta protección de
DMA de kernel solo está disponible para sistemas nuevos a partir de Windows 10 versión 1803 o Windows 11,
ya que requiere cambios en el firmware del sistema o bios.
Puede usar la aplicación de escritorio de System Information (MSINFO32) para comprobar si un dispositivo
tiene habilitada la protección DMA del kernel:

Si la protección DMA del kernel no está habilitada, siga estos pasos para proteger los puertos habilitados para
Thunderbolt™ 3:
1. Requerir una contraseña para los cambios de BIOS
2. Intel Thunderbolt Security debe establecerse en Autorización de usuario en la configuración del BIOS.
Consulte la documentación de Intel Thunderbolt™ 3 y Seguridad en el sistema operativo Microsoft
Windows® 10.
3. Se puede agregar seguridad de DMA adicional mediante la implementación de la directiva (a partir de
Windows 10 versión 1607 o Windows 11):
MDM: directiva DataProtection/AllowDirectMemoryAccess
directiva de grupo: Deshabilite los nuevos dispositivos DMA cuando este equipo esté bloqueado (esta
configuración no está configurada de forma predeterminada).
Para Thunderbolt v1 y v2 (DisplayPort Connector), consulte la sección "Mitigación de Thunderbolt" en KB
2516445. Para SBP-2 y 1394 (por ejemplo, Firewire), consulte la sección "Mitigación de SBP-2" en KB 2516445.

Contramedidas de ataque
En esta sección se tratan las contramedidas para tipos específicos de ataques.
Bootkits y rootkits
Un atacante físicamente presente podría intentar instalar un bootkit o un software similar a rootkit en la cadena
de arranque en un intento de robar las claves de BitLocker. El TPM debe observar esta instalación a través de
medidas de PCR y la clave de BitLocker no se liberará.
Esta es la configuración predeterminada.
Se recomienda una contraseña de BIOS para la defensa en profundidad en caso de que un BIOS exponga la
configuración que puede debilitar la promesa de seguridad de BitLocker. Intel Boot Guard y AMD Hardware
Verified Boot admiten implementaciones más sólidas de arranque seguro que proporcionan resistencia
adicional contra malware y ataques físicos. Intel Boot Guard y AMD Hardware Verified Boot forman parte de los
estándares de verificación de arranque de la plataforma para un dispositivo Windows altamente seguro.
Ataques por fuerza bruta contra un PIN
Requerir TPM + PIN para la protección contra martillos.
Ataques DMA
Consulte Protección de Thunderbolt y otros puertos DMA anteriores en este artículo.
Paginación de archivos, volcados de memoria y ataques de [Link]
Estos archivos se protegen en un volumen cifrado de forma predeterminada cuando BitLocker está habilitado en
unidades del sistema operativo. También bloquea los intentos automáticos o manuales de mover el archivo de
paginación.
Remanencia de memoria
Habilite el arranque seguro y solicite obligatoriamente una contraseña para cambiar la configuración del BIOS.
Para los clientes que requieren protección contra estos ataques avanzados, configure un protector TPM+PIN,
deshabilite la administración de energía en espera y apague o hiberna el dispositivo antes de que deje el control
de un usuario autorizado.

Contramedidas del atacante

En las secciones siguientes se tratan las mitigaciones de diferentes tipos de atacantes.
Atacante sin mucha habilidad o con acceso físico limitado
El acceso físico puede estar limitado por un factor de forma que no expone autobuses ni memoria. Por ejemplo,
no hay puertos externos compatibles con DMA, no hay tornillos expuestos para abrir el chasis y la memoria se
solda en la placa base.
Este atacante de oportunidad no usa métodos destructivos ni hardware/software forense sofisticado.
Mitigación:
Autenticación previa al arranque establecida solo en TPM (valor predeterminado)
Atacante con habilidad y acceso físico prolongado
Ataque dirigido con mucho tiempo; este atacante abrirá el caso, soldará y usará hardware o software
sofisticados.
Mitigación:
La autenticación previa al arranque se establece en TPM con un protector de PIN (con un PIN
alfanumérico sofisticado [pin mejorado] para ayudar a la mitigación de anti-martillo de TPM).
-Y-
Deshabilite la administración de energía en espera y apague o hiberna el dispositivo antes de que deje el
control de un usuario autorizado. Esto se puede establecer mediante directiva de grupo:
Configuración del equipo| Directivas| Plantillas administrativas| Componentes de Windows|
Explorador de archivos| Mostrar hibernación en el menú de opciones de energía
Configuración del equipo| Directivas| Plantillas administrativas| Sistema| Administración de energía|
 Configuración de suspensión| Permitir estados en espera (S1-S3) al dormir (conectado)
Configuración del equipo| Directivas| Plantillas administrativas| Sistema| Administración de energía|
Configuración de suspensión| Permitir estados de espera (S1-S3) al dormir (con batería)
Esta configuración no está configurada de forma predeterminada.
En algunos sistemas, la omisión del TPM solo puede requerir la apertura del caso y puede requerir soldadura,
pero posiblemente se pueda realizar por un costo razonable. Omitir un TPM con un protector de PIN costaría
mucho más y requeriría forzar brutamente el PIN. Con un SOFISTICADO PIN mejorado, podría ser casi
imposible. La configuración de directiva de grupo para el PIN mejorado es:
Configuración del equipo| Plantillas administrativas| Componentes de Windows| Cifrado de unidad bitlocker|
Unidades del sistema operativo| Permitir PIN mejorados para el inicio
Esta configuración no está configurada de forma predeterminada.
Para estaciones de trabajo administrativas seguras, Microsoft recomienda un TPM con protector de PIN y
deshabilitar la administración de energía en espera y apagar o hibernar el dispositivo.

Ver también
Bloqueo del controlador SBP-2 y los controladores Thunderbolt para reducir las amenazas DMA y
Thunderbolt DMA de 1394 a BitLocker
Configuración de las directivas de grupo de BitLocker
CSP de BitLocker
Inicio de sesión de reinicio automático de Winlogon (ARSO)
 Protección de volúmenes compartidos de clúster y
redes de área de almacenamiento con BitLocker
08/11/2022 • 10 minutes to read

Se aplica a
Windows Server 2016
En este artículo se describe el procedimiento para proteger los volúmenes compartidos de clúster (CSV) y las
redes de área de almacenamiento (SAN) mediante BitLocker.
BitLocker protege tanto los recursos de disco físico como los volúmenes compartidos de clúster versión 2.0
(CSV2.0). BitLocker en volúmenes agrupados proporciona una capa adicional de protección que pueden usar los
administradores que desean proteger los datos confidenciales y de alta disponibilidad. Los administradores
usan esta capa adicional de protección para aumentar la seguridad de los recursos. Solo determinadas cuentas
de usuario proporcionaron acceso para desbloquear el volumen de BitLocker.

Configuración de BitLocker en volúmenes compartidos de clúster

Uso de BitLocker con volúmenes en clúster
Los volúmenes de un clúster se administran con la ayuda de BitLocker en función de cómo el servicio de clúster
"ve" el volumen que se va a proteger. El volumen puede ser un recurso de disco físico, como un número de
unidad lógica (LUN) en una SAN o un almacenamiento conectado a la red (NAS).

IMPORTANT
Los SAN que se usan con BitLocker deben haber obtenido la certificación de hardware de Windows. Para obtener más
información, consulta Kit de laboratorio de hardware de Windows.

En su lugar, el volumen puede ser un volumen compartido de clúster. Windows Server 2012 expandió la
arquitectura CSV, ahora conocida como CSV2.0, para habilitar la compatibilidad con BitLocker. Los volúmenes
designados para un clúster deben realizar las siguientes tareas:
Debe activar BitLocker; solo después de realizar esta tarea, los volúmenes se pueden agregar al grupo de
almacenamiento.
Debe poner el recurso en modo de mantenimiento antes de que se completen las operaciones de BitLocker.
Windows PowerShell o la interfaz de línea de comandos manage-bde es el método preferido para administrar
BitLocker en volúmenes CSV2.0. Este método se recomienda sobre el elemento de Panel de control de BitLocker
porque los volúmenes CSV2.0 son puntos de montaje. Los puntos de montaje son un objeto NTFS que se usa
para proporcionar un punto de entrada a otros volúmenes. Los puntos de montaje no requieren el uso de una
letra de unidad. Los volúmenes que carecen de letras de unidad no aparecen en el elemento Panel de control de
BitLocker. Además, la nueva opción de protector basada en Active Directory necesaria para los recursos de disco
del clúster o csv2.0 no está disponible en el elemento Panel de control.

NOTE
Los puntos de montaje se pueden usar para admitir puntos de montaje remotos en recursos compartidos de red basados
en SMB. Este tipo de recurso compartido no se admite para el cifrado de BitLocker.
Si hay un almacenamiento ligeramente aprovisionado, como un disco duro virtual (VHD) dinámico, BitLocker se
ejecuta en el modo de cifrado Solo espacio en disco usado . No puede usar el comando manage-bde -
WipeFreeSpace para realizar la transición del volumen al cifrado de volumen completo en volúmenes de
almacenamiento de aprovisionamiento fino. El uso del comando manage-bde -WipeFreeSpace se bloquea
para evitar la expansión de volúmenes aprovisionados finamente para ocupar todo el almacén de respaldo
mientras se limpia el espacio desocupado (libre).
Protector basado en Active Directory
También puede usar un protector de Servicios de dominio de Active Directory (AD DS) para proteger los
volúmenes agrupados contenidos en la infraestructura de AD DS. El protector ADAccountOrGroup es un
protector basado en identificador de seguridad de dominio (SID) que se puede enlazar a una cuenta de usuario,
una cuenta de equipo o un grupo. Cuando se realiza una solicitud de desbloqueo para un volumen protegido, se
producen los siguientes eventos:
El servicio BitLocker interrumpe la solicitud y usa las API de protección y desprotección de BitLocker para
desbloquear o denegar la solicitud.
BitLocker desbloqueará volúmenes protegidos sin intervención del usuario al intentar protegerlos en el
orden siguiente:
1. Borrar clave
2. Clave de desbloqueo automático basada en controladores
3. Protector ADAccountOrGroup
a. Protector de contexto de servicio
b. Protector de usuario
4. Clave de desbloqueo automático basada en el Registro

NOTE
Se requiere un controlador de dominio Windows Server 2012 o posterior para que esta característica funcione
correctamente.

Activar BitLocker antes de agregar discos a un clúster mediante Windows PowerShell

El cifrado de BitLocker está disponible para los discos antes de agregarlos a un grupo de almacenamiento de
clúster.

NOTE
La ventaja del cifrado de Bitlocker incluso se puede poner a disposición de los discos después de que se agreguen a un
grupo de almacenamiento de clúster. La ventaja de cifrar los volúmenes antes de agregarlos a un clúster es que no es
necesario suspender el recurso de disco para completar la operación. Para activar BitLocker para un disco antes de
agregarlo a un clúster:

1. Instale la característica Cifrado de unidad BitLocker si aún no está instalada.

2. Asegúrese de que el disco tiene un formato NTFS y que tiene una letra de unidad asignada.
3. Identifique el nombre del clúster con Windows PowerShell.

Get-Cluster
4. Habilite BitLocker en el volumen que prefiera con un protector ADAccountOrGroup con el nombre del
clúster. Por ejemplo, use un comando como:

Enable-BitLocker E: -ADAccountOrGroupProtector -ADAccountOrGroup CLUSTER$

WARNING
Debe configurar un protector ADAccountOrGroup mediante el CNO del clúster para que un volumen habilitado
para BitLocker se comparta en un volumen compartido de clúster o para conmutar por error correctamente en un
clúster de conmutación por error tradicional.

5. Repita los pasos anteriores para cada disco del clúster.

6. Agregue los volúmenes al clúster.
Activar BitLocker para un disco en clúster mediante Windows PowerShell
Cuando el servicio de clúster ya posee un recurso de disco, el recurso de disco debe establecerse en modo de
mantenimiento para poder habilitar BitLocker. Para activar Bitlocker para un disco en clúster mediante Windows
PowerShell, siga estos pasos:
1. Instale la característica de cifrado de unidad BitLocker si aún no está instalada.
2. Compruebe el estado del disco del clúster mediante Windows PowerShell.

Get-ClusterResource "Cluster Disk 1"

3. Coloque el recurso de disco físico en modo de mantenimiento mediante Windows PowerShell.

Get-ClusterResource "Cluster Disk 1" | Suspend-ClusterResource

4. Identifique el nombre del clúster con Windows PowerShell.

Get-Cluster

5. Habilite BitLocker en el volumen que prefiera con un protector ADAccountOrGroup con el nombre del
clúster. Por ejemplo, use un comando como:

Enable-BitLocker E: -ADAccountOrGroupProtector -ADAccountOrGroup CLUSTER$

WARNING
Debe configurar un protector ADAccountOrGroup mediante el CNO del clúster para que un volumen habilitado
para BitLocker se comparta en un volumen compartido de clúster o para conmutar por error correctamente en un
clúster de conmutación por error tradicional.

6. Use Resume-ClusterResource para recuperar el recurso de disco físico fuera del modo de
mantenimiento:

Get-ClusterResource "Cluster Disk 1" | Resume-ClusterResource

7. Repita los pasos anteriores para cada disco del clúster.
Adición de volúmenes cifrados con BitLocker a un clúster mediante manage -bde
También puede usar manage-bde para habilitar BitLocker en volúmenes en clúster. Los pasos necesarios para
agregar un recurso de disco físico o un volumen CSV2.0 a un clúster existente son:
1. Compruebe que la característica de cifrado de unidad BitLocker está instalada en el equipo.
2. Asegúrese de que el nuevo almacenamiento tiene el formato NTFS.
3. Cifre el volumen, agregue una clave de recuperación y agregue el administrador del clúster como clave
protector mediante la interfaz de la línea de comandosmanage-bde (vea el ejemplo):
Manage-bde -on -used <drive letter> -RP -sid domain\CNO$ -sync
a. BitLocker comprobará si el disco ya forma parte de un clúster. Si es así, los administradores
encontrarán un bloque duro. De lo contrario, el cifrado continúa.
b. El uso del parámetro -sync es opcional. Sin embargo, el uso del parámetro -sync tiene la siguiente
ventaja:
El parámetro -sync garantiza que el comando espera hasta que se complete el cifrado del volumen. A
continuación, el volumen se libera para su uso en el grupo de almacenamiento del clúster.
4. Abra el complemento Administrador de clústeres de conmutación por error o los cmdlets de PowerShell
de clúster para permitir que el disco se en clúster.
Una vez que el disco está agrupado, está habilitado para CSV.
5. Durante la operación en línea del recurso, el clúster comprueba si el disco está cifrado con BitLocker.
a. Si el volumen no está habilitado para BitLocker, se producen operaciones en línea de clúster
tradicionales.
b. Si el volumen está habilitado para BitLocker, se produce la siguiente comprobación:
Si el volumen está bloqueado , BitLocker suplanta el CNO y desbloquea el volumen mediante el
protector de CNO. Si se produce un error en estas acciones de BitLocker, se registra un evento. El
evento registrado indicará que el volumen no se pudo desbloquear y que se produjo un error en la
operación en línea.
6. Una vez que el disco está en línea en el grupo de almacenamiento, se puede agregar a un CSV haciendo
clic con el botón derecho en el recurso de disco y eligiendo "Agregar a volúmenes compar tidos de
clúster ". Los CSV incluyen volúmenes cifrados y sin cifrar. Para comprobar el estado de un volumen
determinado para el cifrado de BitLocker: los administradores deben realizar la siguiente tarea:
Use el comando manage-bde -status con una ruta de acceso al volumen.
La ruta de acceso debe ser una que esté dentro del espacio de nombres CSV, como se muestra en la línea de
comandos de ejemplo siguiente.

manage-bde -status "C:\ClusterStorage\volume1"

Recursos de disco físico

A diferencia de los volúmenes CSV2.0, solo se puede acceder a los recursos de disco físico mediante un nodo de
clúster a la vez. Esta condición significa que las operaciones como cifrar, descifrar, bloquear o desbloquear
volúmenes requieren que se realice un contexto. Por ejemplo, no puede desbloquear ni descifrar un recurso de
disco físico si no está administrando el nodo de clúster que posee el recurso de disco porque el recurso de disco
no está disponible.
Restricciones en las acciones de BitLocker con volúmenes de clúster
La tabla siguiente contiene información sobre los recursos de disco físico (es decir, los volúmenes de clúster de
conmutación por error tradicionales) y los volúmenes compartidos de clúster (CSV) y las acciones permitidas
por BitLocker en cada situación.

EN EL N O DO
P RO P IETA RIO DEL
VO L UM EN DE EN EL SERVIDO R DE
C O N M UTA C IÓ N P O R M ETA DATO S ( M DS) EN ( DATA SERVER) M O DO DE
A C C IÓ N ERRO R DE C SV DS DE C SV M A N T EN IM IEN TO

Manage-bde –on Bloqueado Bloqueado Bloqueado Se permite

Manage-bde –off Bloqueado Bloqueado Bloqueado Se permite

Manage-bde Bloqueado Bloqueado** Bloqueado Se permite

Pause/Resume

Manage-bde –lock Bloqueado Bloqueado Bloqueado Se permite

manage-bde – Bloqueado Bloqueado Bloqueado Se permite

wipe

Desbloquear Automático a través Automático a través Automático a través Se permite

del servicio de clúster del servicio de clúster del servicio de clúster

manage-bde – Se permite Se permite Bloqueado Se permite

protector –add

manage-bde - Se permite Se permite Bloqueado Se permite

protector -delete

manage-bde – Permitido (no Permitido (no Bloqueado Permitido (no

autounlock recomendado) recomendado) recomendado)

Manage-bde - Se permite Se permite Bloqueado Se permite

upgrade

Encogimiento Se permite Se permite Bloqueado Se permite

Ampliar Se permite Se permite Bloqueado Se permite

NOTE
Aunque el comando manage-bde -pause está bloqueado en los clústeres, el servicio de clúster reanuda
automáticamente un cifrado o descifrado en pausa desde el nodo MDS.

En el caso de que un recurso de disco físico experimenta un evento de conmutación por error durante la
conversión, el nuevo nodo propietario detecta que la conversión no está completa y completa el proceso de
conversión.
Otras consideraciones al usar BitLocker en CSV2.0
Entre otras consideraciones que se deben tener en cuenta para BitLocker en el almacenamiento en clúster se
incluyen:
Los volúmenes de BitLocker deben inicializarse e iniciar el cifrado antes de que estén disponibles para
agregarlos a un volumen CSV2.0.
Si un administrador necesita descifrar un volumen CSV, quite el volumen del clúster o colóquelo en modo de
mantenimiento de disco. Puede volver a agregar el CSV al clúster mientras espera a que se complete el
descifrado.
Si un administrador necesita empezar a cifrar un volumen CSV, quite el volumen del clúster o colóquelo en
modo de mantenimiento.
Si la conversión está en pausa con cifrado en curso y el volumen CSV está sin conexión desde el clúster, el
subproceso del clúster (comprobación de estado) reanuda automáticamente la conversión cuando el
volumen está en línea en el clúster.
Si la conversión está en pausa con cifrado en curso y un volumen de recursos de disco físico está sin
conexión desde el clúster, el controlador de BitLocker reanuda automáticamente la conversión cuando el
volumen está en línea en el clúster.
Si la conversión está en pausa con el cifrado en curso, mientras el volumen CSV está en modo de
mantenimiento, el subproceso del clúster (comprobación de estado) reanuda automáticamente la conversión
al volver a mover el volumen del mantenimiento.
Si la conversión está en pausa con cifrado en curso, mientras el volumen de recursos de disco está en modo
de mantenimiento, el controlador de BitLocker reanuda automáticamente la conversión cuando el volumen
se mueve de vuelta del modo de mantenimiento.
 Directrices para solucionar problemas de BitLocker
08/11/2022 • 5 minutes to read

En este artículo se abordan problemas comunes en BitLocker y se proporcionan instrucciones para solucionar
estos problemas. En este artículo también se proporciona información como qué datos se recopilan y qué
configuración se debe comprobar. Esta información facilita mucho el proceso de solución de problemas.

Revisión de los registros de eventos

Abra Visor de eventos y revise los registros siguientes en Registros de aplicaciones y
servicios\Microsoft\Windows:
BitLocker-API . Revise el registro de administración, el registro operativo y cualquier otro registro que se
genere en esta carpeta. Los registros predeterminados tienen los siguientes nombres únicos:
Microsoft-Windows-BitLocker-API/BitLocker Operational
Microsoft-Windows-BitLocker-API/BitLocker Management
BitLocker-DrivePreparationTool . Revise el registro de administración, el registro operativo y cualquier
otro registro que se genere en esta carpeta. Los registros predeterminados tienen los siguientes nombres
únicos:
Microsoft-Windows-BitLocker-DrivePreparationTool/Operational
Microsoft-Windows-BitLocker-DrivePreparationTool/Administración
Además, revise los registros de Windows\Registro del sistema para ver los eventos generados por los orígenes
de eventos TPM y TPM-WMI.
Para filtrar y mostrar o exportar registros, puede usar la herramienta de línea de [Link] el
cmdlet Get-WinEvent .
Por ejemplo, para usar wevtutil para exportar el contenido del registro operativo desde la carpeta BitLocker-API
a un archivo de texto denominado [Link], abra una ventana del símbolo del sistema y ejecute
el siguiente comando:

wevtutil qe "Microsoft-Windows-BitLocker/BitLocker Operational" /f:text > [Link]

Para usar el cmdlet Get-WinEvent para exportar el mismo registro a un archivo de texto separado por comas,
abra una ventana de Windows PowerShell y ejecute el siguiente comando:

Get-WinEvent -logname "Microsoft-Windows-BitLocker/BitLocker Operational" | Export-Csv -Path Bitlocker-

[Link]

Puede usar Get-WinEvent en una ventana de PowerShell con privilegios elevados para mostrar información
filtrada del registro del sistema o de la aplicación mediante la sintaxis siguiente:
Para mostrar información relacionada con BitLocker:

Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'BitLocker'

| fl
 La salida de este comando es similar a la siguiente.

Para exportar información relacionada con BitLocker:

Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'BitLocker'

| Export-Csv -Path [Link]

Para mostrar información relacionada con TPM:

Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'TPM' | fl

Para exportar información relacionada con TPM:

Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'TPM' |

Export-Csv -Path [Link]

La salida de este comando es similar a la siguiente.

NOTE
Si tiene previsto ponerse en contacto con Soporte técnico de Microsoft, se recomienda exportar los registros enumerados
en esta sección.

Recopilación de información de estado de las tecnologías de

BitLocker
Abra una ventana de Windows PowerShell con privilegios elevados y ejecute cada uno de los siguientes
comandos.

C O M A N DO N OTA S

get-tpm > C:\[Link] Exporta información sobre el módulo de plataforma segura

(TPM) del equipo local. Este cmdlet muestra valores
diferentes en función de si el chip TPM es la versión 1.2 o
2.0. Este cmdlet no se admite en Windows 7.
 C O M A N DO N OTA S

manage-bde –status > C:\[Link] Exporta información sobre el estado de cifrado general de
todas las unidades del equipo.

manage-bde c: Exporta información sobre los métodos de protección que se

-protectores -get > C:\Protectors usan para la clave de cifrado de BitLocker.

**C:\[Link] reagentc /info > ** Exporta información sobre una imagen en línea o sin
conexión sobre el estado actual del entorno de recuperación
de Windows (WindowsRE) y cualquier imagen de
recuperación disponible.

get-BitLockerVolume | Fl Obtiene información sobre los volúmenes que el cifrado de

unidad BitLocker puede proteger.

Revisión de la información de configuración

1. Abra una ventana del símbolo del sistema con privilegios elevados y ejecute los siguientes comandos.

C O M A N DO N OTA S

gpresult /h <Filename> Exporta el conjunto resultante de información de

directiva y guarda la información como un archivo HTML.

msinfo /repor t <Path> Exporta información completa sobre el hardware, los

/computer <ComputerName> componentes del sistema y el entorno de software en el
equipo local. La opción /repor t guarda la información
como un archivo .txt.

2. Abra el Editor del Registro y exporte las entradas en las subclaves siguientes:
HKLM\SOFTWARE\Policies\Microsoft\FVE
HKLM\SYSTEM\CurrentControlSet\Ser vices\TPM\

Comprobación de los requisitos previos de BitLocker

La configuración común que puede causar problemas para BitLocker incluye los siguientes escenarios:
El TPM debe estar desbloqueado. Puede comprobar la salida del comando get-tpm para ver el estado del
TPM.
Windows RE debe estar habilitado. Puede comprobar la salida del comando reagentc para ver el estado de
WindowsRE.
La partición reservada del sistema debe usar el formato correcto.
En los equipos de unified Extensible Firmware Interface (UEFI), la partición reservada del sistema debe
tener el formato FAT32.
En los equipos heredados, la partición reservada del sistema debe tener el formato NTFS.
Si el dispositivo que está solucionando problemas es un pc de pizarra o tableta, use
[Link] para comprobar el estado de la opción Habilitar el uso de la
autenticación de BitLocker que requiere entrada de teclado previa al inicio en pizarras .
Para obtener más información sobre los requisitos previos de BitLocker, vea Implementación básica de
BitLocker: Uso de BitLocker para cifrar volúmenes.
Pasos siguientes
Si la información que ha examinado hasta ahora indica un problema específico (por ejemplo, WindowsRE no
está habilitado), el problema puede tener una corrección sencilla.
La resolución de problemas que no tienen causas obvias depende exactamente de qué componentes están
implicados y de qué comportamiento se ve. La información que ha recopilado le ayuda a restringir las áreas
para investigar.
Si está trabajando en un dispositivo administrado por Microsoft Intune, consulte Aplicación de directivas de
BitLocker mediante Intune: problemas conocidos.
Si BitLocker no se inicia o no puede cifrar una unidad y observa errores o eventos relacionados con el TPM,
consulte BitLocker no puede cifrar una unidad: problemas conocidos del TPM.
Si BitLocker no se inicia o no puede cifrar una unidad, consulta BitLocker no puede cifrar una unidad:
problemas conocidos.
Si el desbloqueo de red de BitLocker no se comporta como se esperaba, consulte Desbloqueo de red de
BitLocker: problemas conocidos.
Si BitLocker no se comporta como se esperaba al recuperar una unidad cifrada o si no esperaba que
BitLocker recuperara la unidad, consulte Recuperación de BitLocker: problemas conocidos.
Si BitLocker o la unidad cifrada no se comportan según lo esperado y observa errores o eventos
relacionados con el TPM, consulte BitLocker y TPM: otros problemas conocidos.
Si BitLocker o la unidad cifrada no se comportan según lo esperado, consulte Configuración de BitLocker:
problemas conocidos.
Le recomendamos que mantenga la información que ha recopilado a mano en caso de que decida ponerse en
contacto con Soporte técnico de Microsoft para obtener ayuda para resolver el problema.
 BitLocker no puede cifrar una unidad: problemas
conocidos
08/11/2022 • 2 minutes to read

En este artículo se describen problemas comunes que impiden que BitLocker cifre una unidad. En este artículo
también se proporcionan instrucciones para solucionar estos problemas.

NOTE
Si ha determinado que el problema de BitLocker implica el módulo de plataforma de confianza (TPM), consulte BitLocker
cannot encrypt a drive: known TPM issues (No se puede cifrar una unidad: problemas conocidos de TPM).

0x80310059 de error: el cifrado de la unidad BitLocker ya está

realizando una operación en esta unidad.
Al activar el cifrado de unidad bitlocker en un equipo que ejecuta Windows 10 Professional o Windows 11,
recibirá un mensaje similar al siguiente:

ERROR: Error (código 0x80310059):Cifrado de unidad BitLocker ya está realizando una operación en esta
unidad. Complete todas las operaciones antes de continuar. NOTA: Si el conmutador -on no ha podido
agregar protectores de clave o iniciar el cifrado, es posible que tenga que llamar a manage-bde -off antes de
intentar -on de nuevo.

Causa
Este problema puede deberse a una configuración controlada por objetos de directiva de grupo (GPO).
Resolución

IMPORTANT
Siga detenidamente los pasos de esta sección. Pueden producirse problemas graves si modificas el registro de manera
incorrecta. Antes de modificarlo, realice una copia de seguridad del registro para su restauración en caso de que se
produzcan problemas.

Para resolver este problema, siga estos pasos:

1. Inicie el Editor del Registro y vaya a la subclave siguiente:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE
2. Elimine las siguientes entradas:
OSPlatformValidation_BIOS
OSPlatformValidation_UEFI
PlatformValidation
3. Salga del editor del Registro y vuelva a activar el cifrado de unidad bitlocker.

Mensaje "Acceso denegado" al intentar cifrar unidades extraíbles

Tiene un equipo que ejecuta Windows 10, versión 1709 o versión 1607 o Windows 11. Para cifrar una unidad
USB, siga estos pasos:
1. En el Explorador de Windows, haga clic con el botón derecho en la unidad USB y seleccione Activar
BitLocker .
2. En la página Elegir cómo desea desbloquear esta unidad , seleccione Usar una contraseña para
desbloquear la unidad .
3. Siga las instrucciones de la página para escribir la contraseña.
4. En la página ¿Está listo para cifrar esta unidad? , seleccione Iniciar cifrado .
5. La página Iniciar cifrado muestra el mensaje "Acceso denegado".
Recibirá este mensaje en cualquier equipo que ejecute Windows 10 versión 1709 o 1607, o Windows 11,
cuando use cualquier unidad USB.
Causa
El descriptor de seguridad del servicio de cifrado de unidad BitLocker (BDESvc) tiene una entrada incorrecta. En
lugar de NT AUTHORITY\Authenticated Users, el descriptor de seguridad usa NT AUTHORITY\INTERACTIVE.
Para comprobar que se ha producido este problema, siga estos pasos:
1. En un equipo afectado, abra una ventana del símbolo del sistema con privilegios elevados y una ventana
de PowerShell con privilegios elevados.
2. En el símbolo del sistema, escriba el siguiente comando:

C:\>sc sdshow bdesvc

La salida de este comando es similar a la siguiente:

D:(A;;CCDCLCSWRPWPDTLORCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLORCWDWO;;;BA)(A;;CCLCSWRPLORC;;;BU)
(A;;CCLCSWRPLORC;;;AU)S:(AU;FA;CCDCLCSWRPWPDTLOSDRCWDWO;;;WD)

3. Copie esta salida y úsela como parte del comando Conver tFrom-SddlString en la ventana de
PowerShell, como se indica a continuación.
 Si ve NT AUTHORITY\INTERACTIVE (como resaltado) en la salida de este comando, esta es la causa del
problema. En condiciones típicas, la salida debe ser similar a la siguiente:

NOTE
Se sabe que los GPO que cambian los descriptores de seguridad de los servicios provocan este problema.

Resolución
1. Para reparar el descriptor de seguridad de BDESvc, abra una ventana de PowerShell con privilegios
elevados y escriba el siguiente comando:

sc sdset bdesvc D:(A;;CCDCLCSWRPWPDTLORCWDWO;;;SY)(A;;CCDCLCSWRPWPDTLORCWDWO;;;BA)

(A;;CCLCSWRPLORC;;;BU)(A;;CCLCSWRPLORC;;;AU)S:(AU;FA;CCDCLCSWRPWPDTLOSDRCWDWO;;;WD)

2. Reinicie el equipo.
El problema debe resolverse ahora.
 Aplicación de directivas de BitLocker con Intune:
problemas conocidos
08/11/2022 • 13 minutes to read

Este artículo le ayuda a solucionar problemas que puede experimentar si usa Microsoft Intune directiva para
administrar el cifrado silencioso de BitLocker en los dispositivos. El portal de Intune indica si BitLocker no pudo
cifrar uno o varios dispositivos administrados.

Para empezar a restringir la causa del problema, revise los registros de eventos como se describe en Solución de
problemas de BitLocker. Concéntrese en los registros de administración y operaciones de la carpeta Registros
de aplicaciones y ser vicios\Microsoft\Windows\BitLocker-API . En las secciones siguientes se
proporciona más información sobre cómo resolver los eventos y mensajes de error indicados:
Id. de evento 853: Error: No se puede encontrar un dispositivo de seguridad de módulo de plataforma segura
(TPM) compatible en este equipo
Id. de evento 853: Error: BitLocker Drive Encryption detectó medios de arranque (CD o DVD) en el equipo
Identificador de evento 854: WinRE no está configurado
Id. de evento 851: póngase en contacto con el fabricante para actualizar el BIOS.
Mensaje de error: No se pudo leer la variable UEFI "SecureBoot"
Identificador de evento 846, 778 y 851: error 0x80072f9a
Mensaje de error: Configuración de directiva de grupo en conflicto para las opciones de recuperación en las
unidades del sistema operativo
Si no tiene un seguimiento claro de eventos o mensajes de error que seguir, otras áreas para investigar incluyen
las siguientes:
Revise los requisitos de hardware para usar Intune para administrar BitLocker en dispositivos
Revisión de la configuración de la directiva de BitLocker
Para obtener información sobre el procedimiento para comprobar si las directivas de Intune están aplicando
BitLocker correctamente, consulte Comprobación de que BitLocker funciona correctamente.

Id. de evento 853: Error: No se puede encontrar un dispositivo de

seguridad de módulo de plataforma segura (TPM) compatible en este
equipo
El identificador de evento 853 puede llevar mensajes de error diferentes, en función del contexto. En este caso, el
mensaje de error Id. de evento 853 indica que el dispositivo no parece tener un TPM. La información del evento
es similar a la siguiente:
Causa
Es posible que el dispositivo que intenta proteger no tenga un chip TPM o que el BIOS del dispositivo se haya
configurado para deshabilitar el TPM.
Resolución
Para resolver este problema, compruebe lo siguiente:
El TPM está habilitado en el BIOS del dispositivo.
El estado de TPM en la consola de administración de TPM es similar al siguiente:
Listo (TPM 2.0)
Inicializado (TPM 1.2)
Para obtener más información, consulte Solución de problemas del TPM.

Id. de evento 853: Error: BitLocker Drive Encryption detectó medios

de arranque (CD o DVD) en el equipo
En este caso, verá el identificador de evento 853 y el mensaje de error en el evento indica que los medios de
arranque están disponibles para el dispositivo. La información del evento es similar a la siguiente.

Causa
Durante el proceso de aprovisionamiento, el cifrado de unidad BitLocker registra la configuración del dispositivo
para establecer una línea base. Si la configuración del dispositivo cambia más adelante (por ejemplo, si quita los
medios), el modo de recuperación de BitLocker se inicia automáticamente.
Para evitar esta situación, el proceso de aprovisionamiento se detiene si detecta un medio de arranque extraíble.
Resolución
Quite el medio de arranque y reinicie el dispositivo. Después de reiniciar el dispositivo, compruebe el estado del
cifrado.
Identificador de evento 854: WinRE no está configurado
La información del evento es similar a la siguiente:

No se pudo habilitar el cifrado silencioso. WinRe no está configurado.

Error: Este equipo no admite el cifrado de dispositivos porque WinRE no está configurado correctamente.

Causa
Windows Recovery Environment (WinRE) es un sistema operativo Windows mínimo que se basa en el entorno
de preinstalación de Windows (Windows PE). WinRE incluye varias herramientas que un administrador puede
usar para recuperar o restablecer Windows y diagnosticar problemas de Windows. Si un dispositivo no puede
iniciar el sistema operativo Windows normal, el dispositivo intenta iniciar WinRE.
El proceso de aprovisionamiento habilita el cifrado de unidad de BitLocker en la unidad del sistema operativo
durante la fase de aprovisionamiento de Windows PE. Esta acción garantiza que la unidad esté protegida antes
de instalar el sistema operativo completo. El proceso de aprovisionamiento también crea una partición del
sistema para que WinRE la use si el sistema se bloquea.
Si WinRE no está disponible en el dispositivo, el aprovisionamiento se detiene.
Resolución
Para resolver este problema, compruebe la configuración de las particiones de disco, el estado de WinRE y la
configuración del cargador de arranque de Windows. Para ello, siga estos pasos.
Paso 1: Comprobar la configuración de las particiones de disco
Los procedimientos descritos en esta sección dependen de las particiones de disco predeterminadas que
Windows configura durante la instalación. Windows 11 y Windows 10 crear automáticamente una partición de
recuperación que contenga el archivo [Link]. La configuración de partición es similar a la siguiente.

Para comprobar la configuración de las particiones de disco, abra una ventana del símbolo del sistema con
privilegios elevados y ejecute los siguientes comandos:

diskpart
list volume
Si el estado de cualquiera de los volúmenes no es correcto o si falta la partición de recuperación, es posible que
tenga que volver a instalar Windows. Antes de hacerlo, compruebe la configuración de la imagen de Windows
que usa para el aprovisionamiento. Asegúrese de que la imagen usa la configuración de disco correcta. La
configuración de la imagen debe ser similar a la siguiente (este ejemplo es de Microsoft Configuration
Manager):
Paso 2: Comprobar el estado de WinRE
Para comprobar el estado de WinRE en el dispositivo, abra una ventana del símbolo del sistema con privilegios
elevados y ejecute el siguiente comando:

reagentc /info

La salida de este comando es similar a la siguiente.

Si el estado de Windows RE no está habilitado , ejecute el siguiente comando para habilitarlo:

reagentc /enable

Paso 3: Comprobar la configuración del cargador de arranque de Windows

Si el estado de la partición es correcto, pero el comando reagentc /enable produce un error, compruebe si el
cargador de arranque de Windows contiene el GUID de secuencia de recuperación. Para ello, ejecute el siguiente
comando en una ventana del símbolo del sistema con privilegios elevados:

bcdedit /enum all

La salida de este comando es similar a la siguiente:

En la salida, busque la sección Cargador de arranque de Windows que incluye el identificador de línea=
{current} . En esa sección, busque el atributo recover ysequence . El valor de este atributo debe ser un valor
GUID, no una cadena de ceros.

Id. de evento 851: Póngase en contacto con el fabricante para

obtener instrucciones de actualización del BIOS.
La información del evento es similar a la siguiente:

No se pudo habilitar el cifrado silencioso.

Error: El cifrado de unidad bitlocker no se puede habilitar en la unidad del sistema operativo. Póngase en
contacto con el fabricante del equipo para obtener instrucciones de actualización del BIOS.

Causa
El dispositivo debe tener el BIOS de la interfaz de firmware extensible unificada (UEFI). El cifrado de unidad de
BitLocker silencioso no admite el BIOS heredado.
Resolución
Para comprobar el modo BIOS, use la aplicación Información del sistema. Para ello, sigue estos pasos:
1. Seleccione Iniciar y escriba msinfo32 en el cuadro Buscar .
2. Compruebe que la configuración del modo BIOS es UEFI y no heredada .

3. Si la configuración del modo BIOS es Heredada , debe cambiar el BIOS al modo UEFI o EFI . Los pasos
para hacerlo son específicos del dispositivo.

NOTE
Si el dispositivo solo admite el modo heredado, no puede usar Intune para administrar el cifrado de dispositivos
BitLocker en el dispositivo.

Mensaje de error: No se pudo leer la variable UEFI "SecureBoot"

Recibirá un mensaje de error similar al siguiente:

Error : BitLocker no puede usar el arranque seguro para la integridad porque no se pudo leer la variable
 UEFI "SecureBoot". El cliente no tiene un privilegio necesario.

Causa
Un registro de configuración de plataforma (PCR) es una ubicación de memoria en el TPM. En concreto, PCR 7
mide el estado del arranque seguro. El cifrado de unidad de BitLocker silencioso requiere que se active el
arranque seguro.
Resolución
Para resolver este problema, compruebe el perfil de validación de PCR del TPM y el estado de arranque seguro.
Para ello, sigue estos pasos:
Paso 1: Comprobar el perfil de validación de PCR del TPM
Para comprobar que PCR 7 está en uso, abra una ventana del símbolo del sistema con privilegios elevados y
ejecute el siguiente comando:

Manage-bde -protectors -get %systemdrive%

En la sección TPM de la salida de este comando, compruebe si la configuración del perfil de validación de
PCR incluye 7 , como se indica a continuación:

Si el perfil de validación de PCR no incluye 7 (por ejemplo, los valores incluyen 0 , 2 , 4 y 11 , pero no 7 ), el
arranque seguro no está activado.
2. Compruebe el estado de arranque seguro.
Para comprobar el estado de arranque seguro, use la aplicación Información del sistema. Para ello, sigue estos
pasos:
1. Seleccione Iniciar y escriba msinfo32 en el cuadro Buscar .
2. Compruebe que la opción Estado de arranque seguro está activada , como se indica a continuación:

3. Si la configuración Estado de arranque seguro es No compatible , no puede usar cifrado bitlocker

silencioso en este dispositivo.
 NOTE
También puede usar el cmdlet Confirm-SecureBootUEFI para comprobar el estado de arranque seguro. Para ello, abra una
ventana de PowerShell con privilegios elevados y ejecute el siguiente comando:

PS C:\> Confirm-SecureBootUEFI

Si el equipo admite arranque seguro y el arranque seguro está habilitado, este cmdlet devuelve "True".
Si el equipo admite el arranque seguro y el arranque seguro está deshabilitado, este cmdlet devuelve "False".
Si el equipo no admite arranque seguro o es un equipo bios (que no es UEFI), este cmdlet devuelve "Cmdlet no
compatible con esta plataforma".

Identificador de evento 846, 778 y 851: error 0x80072f9a

En este caso, va a implementar Intune directiva para cifrar un Windows 11, Windows 10, versión 1809
dispositivo y almacenar la contraseña de recuperación en Azure Active Directory (Azure AD). Como parte de la
configuración de directiva, ha seleccionado la opción Permitir que los usuarios estándar habiliten el
cifrado durante la unión a Azure AD .
Se produce un error en la implementación de la directiva y el error genera los siguientes eventos (visibles en
Visor de eventos en la carpeta Registros de aplicaciones y ser vicios\Microsoft\Windows\BitLocker
API ):

Id. de evento:846
Evento: No se pudo realizar una copia de seguridad de la información de recuperación de cifrado de unidad
BitLocker para el volumen C: en Azure AD.
TraceId: {cbac2b6f-1434-4faa-a9c3-597b17c1dfa3} Error: Código de error HResult desconocido: 0x80072f9a

Id. de evento:778
Evento: El volumen de BitLocker C: se revirtió a un estado desprotegido.

Identificador de evento: 851

Evento: No se pudo habilitar el cifrado silencioso.
Error: Código de error HResult desconocido: 0x80072f9a.

Estos eventos hacen referencia al código de error 0x80072f9a.

Causa
Estos eventos indican que el usuario que ha iniciado sesión no tiene permiso para leer la clave privada en el
certificado que se genera como parte del proceso de aprovisionamiento e inscripción. Por lo tanto, se produce
un error en la actualización de la directiva MDM de BitLocker.
El problema afecta a Windows 11 y Windows 10 versión 1809.
Resolución
Para resolver este problema, instale la actualización del 21 de mayo de 2019 .

Mensaje de error: Hay una configuración de directiva de grupo en

conflicto para las opciones de recuperación en las unidades del
sistema operativo
Recibirá un mensaje similar al siguiente:

Error : El cifrado de unidad bitLocker no se puede aplicar a esta unidad porque hay configuraciones de
directiva de grupo en conflicto para las opciones de recuperación en las unidades del sistema operativo. No
se puede requerir el almacenamiento de información de recuperación en Servicios de dominio de Active
Directory cuando no se permite la generación de contraseñas de recuperación. Haga que el administrador
del sistema resuelva estos conflictos de directiva antes de intentar habilitar BitLocker...

Resolución
Para resolver este problema, revise la configuración del objeto de directiva de grupo (GPO) para ver si hay
conflictos. Para obtener más instrucciones, consulte la sección siguiente, Revisión de la configuración de la
directiva de BitLocker.
Para obtener más información sobre los GPO y BitLocker, vea Referencia de bitlocker directiva de grupo.

Revisión de la configuración de la directiva de BitLocker

Para obtener información sobre el procedimiento para usar la directiva junto con BitLocker y Intune, vea los
siguientes recursos:
Administración de BitLocker para empresas: administración de dispositivos unidos a Azure Active Directory
Referencia de directiva de grupo de BitLocker
Referencia de proveedor de servicios de configuración
BitLocker de CSP – de directiva
CSP de BitLocker
Habilitar las directivas respaldadas por ADMX en MDM
gpresult
Intune ofrece los siguientes tipos de cumplimiento para BitLocker:
Automático (se aplica cuando el dispositivo se une a Azure AD durante el proceso de aprovisionamiento.
Esta opción está disponible en Windows 10 versión 1703 y posteriores, o Windows 11).
Silencioso (directiva de Endpoint Protection. Esta opción está disponible en Windows 10 versión 1803 y
posteriores, o Windows 11).
Interactivo (directiva de punto de conexión para versiones de Windows anteriores a Windows 10 versión
1803 o Windows 11).
Si el dispositivo se ejecuta Windows 10 versión 1703 o posterior, o Windows 11, admite Modern Standby
(también conocido como Instant Go) y es compatible con HSTI, la unión del dispositivo a Azure AD desencadena
el cifrado automático de dispositivos. No se requiere una directiva de endpoint protection independiente para
aplicar el cifrado de dispositivos.
Si el dispositivo es compatible con HSTI pero no admite el modo de espera moderno, debe configurar una
directiva de endpoint protection para aplicar el cifrado silencioso de la unidad BitLocker. La configuración de
esta directiva debe ser similar a la siguiente:
Las referencias de OMA-URI para esta configuración son las siguientes:
OMA-URI: ./Device/Vendor/MSFT/BitLocker/RequireDeviceEncr yption
Tipo de valor: Integer
Valor: 1 (1 = Requerir, 0 = No configurado)
OMA-URI: ./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncr yption
Tipo de valor: Integer
Valor: 0 (0 = bloqueado, 1 = permitido)

NOTE
Debido a una actualización del CSP de directiva de BitLocker, si el dispositivo usa Windows 10 versión 1809 o posterior, o
Windows 11, puede usar una directiva de protección de puntos de conexión para aplicar el cifrado de dispositivos
BitLocker silencioso incluso si el dispositivo no es compatible con HSTI.

NOTE
Si la opción Adver tencia para otro cifrado de disco está establecida en No configurado , tendrá que iniciar
manualmente el Asistente para cifrado de unidad BitLocker.

Si el dispositivo no es compatible con Modern Standby pero es compatible con HSTI y usa una versión de
Windows anterior a Windows 10, versión 1803 o Windows 11, una directiva de endpoint protection que tenga
la configuración que se describe en este artículo entrega la configuración de directiva al dispositivo. Sin
embargo, Windows notifica al usuario que habilite manualmente el cifrado de unidad BitLocker. Para ello, el
usuario selecciona la notificación. Esta acción inicia el Asistente para cifrado de unidad BitLocker.
La versión Intune 1901 proporciona una configuración que puede usar para configurar el cifrado automático de
dispositivos de Autopilot para usuarios estándar. Cada dispositivo debe cumplir los siguientes requisitos:
Ser compatible con HSTI
Compatibilidad con el modo de espera moderno
Use Windows 10 versión 1803 o posterior, o Windows 11

Las referencias de OMA-URI para esta configuración son las siguientes:

OMA-URI: ./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncr yption
Tipo de valor: Valor entero : 1
 NOTE
Este nodo funciona junto con los nodos RequireDeviceEncr yption y AllowWarningForOtherDiskEncr yption . Por
este motivo, al establecer RequireDeviceEncr yption en 1 , AllowStandardUserEncr yption en 1 y
AllowWarningForOtherDiskEncr yption en 0 , Intune aplica el cifrado silencioso de BitLocker para los dispositivos
Autopilot que tienen perfiles de usuario estándar.

Comprobación de que BitLocker funciona correctamente

Durante las operaciones normales, el cifrado de unidad de BitLocker genera eventos como el identificador de
evento 796 y el identificador de evento 845.

También puede determinar si la contraseña de recuperación de BitLocker se ha cargado en Azure AD

comprobando los detalles del dispositivo en la sección Dispositivos de Azure AD.

En el dispositivo, compruebe el Editor del Registro para comprobar la configuración de la directiva en el

dispositivo. Compruebe las entradas en las subclaves siguientes:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\BitLocker
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device
 Desbloqueo de red de BitLocker: problemas
conocidos
08/11/2022 • 4 minutes to read

Mediante el uso de la característica de desbloqueo de red de BitLocker, puede administrar equipos de forma
remota sin tener que escribir un PIN de BitLocker cuando se inicia cada equipo. Para configurar este
comportamiento, el entorno debe cumplir los siguientes requisitos:
Cada equipo pertenece a un dominio.
Cada equipo tiene una conexión cableada a la red interna.
La red interna usa DHCP para administrar direcciones IP.
Cada equipo tiene un controlador DHCP implementado en su firmware de unified Extensible Firmware
Interface (UEFI).
Para obtener instrucciones generales sobre cómo solucionar problemas de desbloqueo de red, consulte
Habilitación del desbloqueo de red: Solución de problemas de desbloqueo de red.
En este artículo se describen varios problemas conocidos que puede encontrar al usar el desbloqueo de red y se
proporcionan instrucciones para solucionar estos problemas.

Sugerencia: Detectar si el desbloqueo de red de BitLocker está

habilitado en un equipo específico
Puede usar los pasos siguientes en equipos con firmware UEFI x64 o x32. También puede crear scripts de estos
comandos.
1. Abra una ventana del símbolo del sistema con privilegios elevados y ejecute el siguiente comando:

manage-bde -protectors -get <Drive>

manage-bde -protectors -get C:

Donde <Drive> es la letra de unidad, seguida de dos puntos ( : ), de la unidad de arranque. Si la salida
de este comando incluye un protector de clave de tipo TpmCer tificate (9), la configuración es correcta
para el desbloqueo de red de BitLocker.
2. Inicie el Editor del Registro y compruebe la siguiente configuración:
La entrada HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE: OSManageNKP se establece en 1 .
La subclave HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\FVE_NKP\Certificates
tiene una entrada cuyo nombre coincide con el nombre de la huella digital del certificado del
protector de clave de desbloqueo de red que encontró en el paso 1.

1. En un dispositivo Surface Pro 4, el desbloqueo de red de BitLocker

no funciona porque la pila de red UEFI está configurada
incorrectamente
Ha configurado el desbloqueo de red de BitLocker como se describe en BitLocker: Cómo habilitar el desbloqueo
de red. Ha configurado la UEFI del dispositivo para usar DHCP. Sin embargo, al reiniciar el dispositivo, sigue
solicitando el PIN de BitLocker.
Pruebe otro dispositivo, como un tipo diferente de tableta o equipo portátil que esté configurado para usar la
misma infraestructura. El dispositivo se reinicia según lo esperado, sin solicitar el PIN de BitLocker. Llega a la
conclusión de que la infraestructura está configurada correctamente y que el problema es específico del
dispositivo.
Causa del problema 1
La pila de red UEFI del dispositivo se configuró incorrectamente.
Resolución del problema 1
Para configurar correctamente la pila de red UEFI del Surface Pro 4, tienes que usar el Modo de administración
de Microsoft Surface Enterprise (SEMM). Para obtener información sobre SEMM, consulta Inscribir y configurar
dispositivos Surface con SEMM.

NOTE
Si no puede usar SEMM, es posible que pueda configurar el Surface Pro 4 para usar el desbloqueo de red de BitLocker
configurando el dispositivo para que use la red como su primera opción de arranque.

2. No se puede usar la característica de desbloqueo de red de

BitLocker en un equipo cliente De Windows
Ha configurado el desbloqueo de red de BitLocker como se describe en BitLocker: Cómo habilitar el desbloqueo
de red. Tiene un equipo cliente Windows 8 que está conectado a la red interna con un cable Ethernet. Sin
embargo, al reiniciar el equipo, sigue solicitando el PIN de BitLocker.
Causa del problema 2
A veces, un equipo cliente basado en Windows 8 o basado en Windows Server 2012 no recibe ni usa el
protector de desbloqueo de red, en función de si el cliente recibe respuestas BOOTP no relacionadas desde un
servidor DHCP o un servidor WDS.
Los servidores DHCP pueden enviar cualquier opción DHCP a un cliente BOOTP según lo permitido por las
opciones DHCP y las extensiones de proveedor de BOOTP. Este comportamiento significa que, dado que un
servidor DHCP admite clientes BOOTP, el servidor DHCP responde a las solicitudes BOOTP.
La manera en que un servidor DHCP controla un mensaje entrante depende en parte de si el mensaje usa la
opción Tipo de mensaje:
Los dos primeros mensajes que envía el cliente de desbloqueo de red de BitLocker son MENSAJES DHCP
DISCOVER\REQUEST. Usan la opción Tipo de mensaje, por lo que el servidor DHCP los trata como mensajes
DHCP.
El tercer mensaje que envía el cliente de desbloqueo de red de BitLocker no tiene la opción Tipo de mensaje.
El servidor DHCP trata el mensaje como una solicitud BOOTP.
Un servidor DHCP que admita clientes BOOTP debe interactuar con esos clientes según el protocolo BOOTP. El
servidor debe crear un mensaje BOOTP BOOTREPLY en lugar de un mensaje DHCP DHCPOFFER. (En otras
palabras, el servidor no debe incluir el tipo de opción de mensaje DHCP y no debe superar el límite de tamaño
de los mensajes BOOTREPLY). Una vez que el servidor envía el mensaje BOOTP BOOTREPLY, el servidor marca
un enlace para un cliente BOOTP como BOUND. Un cliente que no es DHCP no envía un mensaje
DHCPREQUEST, ni ese cliente espera un mensaje DHCPACK.
Si un servidor DHCP que no está configurado para admitir clientes BOOTP recibe un mensaje BOOTREQUEST de
un cliente BOOTP, ese servidor descarta de forma silenciosa el mensaje BOOTREQUEST.
Para obtener más información sobre el desbloqueo de red dhcp y BitLocker, vea BitLocker: Cómo habilitar el
desbloqueo de red: secuencia de desbloqueo de red.
Resolución del problema 2
Para resolver este problema, cambie la configuración del servidor DHCP cambiando la opción DHCP de DHCP
y BOOTP a DHCP .
 Recuperación de BitLocker: problemas conocidos
08/11/2022 • 12 minutes to read

En este artículo se describen problemas comunes que pueden impedir que BitLocker se comporte según lo
esperado al recuperar una unidad, o que pueden provocar que BitLocker inicie la recuperación de forma
inesperada. En el artículo también se proporcionan instrucciones para solucionar estos problemas.

NOTE
En este artículo, "contraseña de recuperación" hace referencia a la contraseña de recuperación de 48 dígitos y "clave de
recuperación" hace referencia a la clave de recuperación de 32 dígitos. Para obtener más información, vea Protectores de
claves de BitLocker.

Windows solicita una contraseña de recuperación de BitLocker no

existente
Windows le pide una contraseña de recuperación de BitLocker. Sin embargo, no configuró una contraseña de
recuperación de BitLocker.
Resolución
Las preguntas más frecuentes sobre BitLocker y Servicios de dominio de Active Directory (AD DS) abordan
situaciones que pueden producir este síntoma y proporcionan información sobre el procedimiento para resolver
el problema:
¿Qué ocurre si BitLocker está habilitado en un equipo antes de que el equipo se conecte al dominio?
¿Qué sucede si inicialmente se produce un error en la copia de seguridad? ¿Intentará BitLocker de nuevo
realizar la copia de seguridad?

No se ha realizado una copia de seguridad de la contraseña de

recuperación de un portátil y el equipo portátil está bloqueado
Tiene un portátil basado en Windows 11 o Windows 10 Home y tiene que recuperar su disco duro. El disco se
cifró mediante el cifrado de controladores de BitLocker. Sin embargo, no se ha realizado una copia de seguridad
de la contraseña de recuperación de BitLocker y el usuario habitual del portátil no está disponible para
proporcionar la contraseña.
Resolución
Puede usar cualquiera de los métodos siguientes para realizar manualmente una copia de seguridad o
sincronizar la información de recuperación existente de un cliente en línea:
Cree un script de Instrumental de administración de Windows (WMI) que realice una copia de seguridad
de la información. Para obtener más información, vea Proveedor de cifrado de unidad BitLocker.
En una ventana del símbolo del sistema con privilegios elevados, use el comando manage-bde para
realizar una copia de seguridad de la información.
Por ejemplo, para realizar una copia de seguridad de toda la información de recuperación de la unidad C:
en AD DS, abra una ventana del símbolo del sistema con privilegios elevados y ejecute el siguiente
comando:
 manage-bde -protectors -adbackup C:

NOTE
BitLocker no administra automáticamente este proceso de copia de seguridad.

Los dispositivos tableta no admiten el uso de Manage-bde -

forcerecovery para probar el modo de recuperación
Tiene una tableta o un dispositivo de pizarra e intenta probar la recuperación de BitLocker mediante la ejecución
del siguiente comando:

Manage-bde -forcerecovery

Sin embargo, después de escribir la contraseña de recuperación, el dispositivo no se puede iniciar.

Causa

IMPORTANT
Los dispositivos tableta no admiten el comando manage-bde -forcerecover y .

Este problema se produce porque el Administrador de arranque de Windows no puede procesar la entrada táctil
durante la fase previa al arranque del inicio. Si el Administrador de arranque detecta que el dispositivo es una
tableta, redirige el proceso de inicio al entorno de recuperación de Windows (WinRE), que puede procesar la
entrada táctil.
Si WindowsRE detecta el protector de TPM en el disco duro, realiza un reseal de PCR. Sin embargo, el comando
manage-bde -forcerecover y elimina los protectores de TPM en el disco duro. Por lo tanto, WinRE no puede
volver a sealar los PCR. Este error desencadena un ciclo de recuperación infinito de BitLocker e impide que
Windows se inicie.
Este comportamiento es por diseño para todas las versiones de Windows.
Solución alternativa
Para resolver el bucle de reinicio, siga estos pasos:
1. En la pantalla Recuperación de BitLocker, seleccione Omitir esta unidad .
2. Seleccione Solucionar problemas > del símbolo del sistema de opciones > avanzadas .
3. En la ventana símbolo del sistema, ejecute los comandos siguientes:

manage-bde –unlock C: -rp <48-digit BitLocker recovery password>

manage-bde -protectors -disable C:

4. Cierre la ventana del símbolo del sistema.

5. Apague el dispositivo.
6. Inicie el dispositivo. Windows debe iniciarse como de costumbre.
Después de instalar actualizaciones de firmware de UEFI o TPM en
Surface, BitLocker solicita la contraseña de recuperación.
Tienes un dispositivo Surface que tiene activado el cifrado de unidad BitLocker. Actualice el firmware del TPM del
dispositivo o instale una actualización que cambie la firma del firmware del sistema. Por ejemplo, instala la
actualización de TPM de Surface (IFX).
Experimentas uno o varios de los siguientes síntomas en el dispositivo Surface:
En el inicio, se le pedirá la contraseña de recuperación de BitLocker. Escriba la contraseña de recuperación
correcta, pero Windows no se inicia.
El inicio avanza directamente a la configuración de Surface Unified Extensible Firmware Interface (UEFI).
El dispositivo Surface parece estar en un bucle de reinicio infinito.
Causa
Este problema se produce si el TPM del dispositivo Surface está configurado para usar valores de Registro de
configuración de plataforma (PCR) distintos de los valores predeterminados de PCR 7 y PCR 11. Por ejemplo, las
siguientes opciones pueden configurar el TPM de esta manera:
El arranque seguro está desactivado.
Los valores de PCR se han definido explícitamente, como por directiva de grupo.
Los dispositivos que admiten el modo de espera conectado (también conocido como InstantGO o Always On,
equipos con conexión siempre conectada), incluidos los dispositivos Surface, deben usar PCR 7 del TPM. En su
configuración predeterminada en estos sistemas, BitLocker se enlaza a PCR 7 y PCR 11 si PCR 7 y Arranque
seguro están configurados correctamente. Para obtener más información, vea "Acerca del registro de
configuración de la plataforma (PCR)" en BitLocker directiva de grupo Settings).
Resolución
Para comprobar los valores de PCR que están en uso en un dispositivo, abra una ventana del símbolo del
sistema con privilegios elevados y ejecute el siguiente comando:

[Link] -protectors -get <OSDriveLetter>:

En este comando, <OSDriveLetter> representa la letra de unidad de la unidad del sistema operativo.
Para resolver este problema y reparar el dispositivo, siga estos pasos.
Paso 1: Deshabilitar los protectores de TPM en la unidad de arranque
Si ha instalado una actualización de TPM o UEFI y el dispositivo no se puede iniciar, incluso si escribe la
contraseña de recuperación correcta de BitLocker, puede restaurar la capacidad de empezar con la contraseña de
recuperación de BitLocker y una imagen de recuperación de Surface para quitar los protectores de TPM de la
unidad de arranque.
Para ello, sigue estos pasos:
1. Obtenga la contraseña de recuperación de BitLocker de la cuenta de [Link]. Si BitLocker se
administra mediante un método diferente, como Administración y supervisión de Microsoft BitLocker
(MBAM), póngase en contacto con el administrador para obtener ayuda.
2. Usa otro equipo para descargar la imagen de recuperación de Surface desde Descargar una imagen de
recuperación para Surface. Use la imagen descargada para crear una unidad de recuperación USB.
3. Inserta la unidad de imagen de recuperación de Surface USB en el dispositivo Surface e inicia el
dispositivo.
4. Cuando se le solicite, seleccione los siguientes elementos:
a. Idioma del sistema operativo.
b. Diseño del teclado.
5. Seleccione Solucionar problemas > del símbolo del sistema de opciones > avanzadas .
6. En la ventana símbolo del sistema, ejecute los comandos siguientes:

manage-bde -unlock -recoverypassword <Password> <DriveLetter>:

manage-bde -protectors -disable <DriveLetter>:

En estos comandos, <Password> es la contraseña de recuperación de BitLocker que obtuvo en el paso 1

y <DriveLetter> es la letra de unidad que se asigna a la unidad del sistema operativo.

NOTE
Para obtener más información sobre cómo usar este comando, consulte manage-bde: unlock.

7. Reinicie el equipo.
8. Cuando se le solicite, escriba la contraseña de recuperación de BitLocker que obtuvo en el paso 1.

NOTE
Después de deshabilitar los protectores de TPM, el cifrado de unidad de BitLocker ya no protege el dispositivo. Para volver
a habilitar el cifrado de unidad de BitLocker, seleccione Inicio , escriba Administrar BitLocker y, a continuación, presione
Entrar. Siga los pasos para cifrar la unidad.

Paso 2: Usar Surface BMR para recuperar datos y restablecer el dispositivo

Para recuperar datos del dispositivo Surface si no puedes iniciar Windows, sigue los pasos del 1 al 5 del paso 1
para volver a la ventana del símbolo del sistema y, a continuación, sigue estos pasos:
1. En el símbolo del sistema, ejecute el siguiente comando:

manage-bde -unlock -recoverypassword <Password> <DriveLetter>:

En este comando, <Password> es la contraseña de recuperación de BitLocker que obtuvo en el paso 1 del
paso 1 y <DriveLetter> es la letra de unidad que se asigna a la unidad del sistema operativo.
2. Una vez desbloqueada la unidad, use el comando copy o xcopy para copiar los datos del usuario en otra
unidad.

NOTE
Para obtener más información sobre estos comandos, vea los comandos de Windows.

3. Para restablecer el dispositivo mediante una imagen de recuperación de Surface, sigue las instrucciones
de la sección "Cómo restablecer surface con tu unidad de recuperación USB" en Creación y uso de una
unidad de recuperación USB.
Paso 3: Restauración de los valores de PCR predeterminados
Para evitar que este problema se repita, se recomienda encarecidamente restaurar la configuración
predeterminada de arranque seguro y los valores de PCR.
Para habilitar el arranque seguro en un dispositivo Surface, siga estos pasos:
1. Suspenda BitLocker. Para ello, abra una ventana de Windows PowerShell con privilegios elevados y
ejecute el siguiente cmdlet:

Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0

En este comando, <DriveLetter> es la letra que se asigna a la unidad.

2. Reinicie el dispositivo y, a continuación, edite el BIOS para establecer la opción Arranque seguro en
Solo Microsoft .
3. Reinicia el dispositivo.
4. Abra una ventana de PowerShell con privilegios elevados y ejecute el siguiente cmdlet:

Resume-BitLocker -MountPoint "<DriveLetter>:"

Para restablecer la configuración de PCR en el TPM, siga estos pasos:

1. Deshabilite cualquier directiva de grupo Objetos que configuren los valores de PCR o quite el dispositivo
de los grupos que aplican dichas directivas.
Para obtener más información, vea Configuraciones de las directivas de grupo de BitLocker.
2. Suspenda BitLocker. Para ello, abra una ventana de Windows PowerShell con privilegios elevados y
ejecute el siguiente cmdlet:

Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0

donde <driveLetter> es la letra asignada a la unidad.

3. Ejecute el siguiente cmdlet:

Resume-BitLocker -MountPoint "<DriveLetter>:"

Paso 4: Suspender BitLocker durante las actualizaciones de firmware de TPM o UEFI

Para evitar este escenario al instalar actualizaciones en el firmware del sistema o el firmware de TPM, suspenda
temporalmente BitLocker antes de aplicar dichas actualizaciones.

IMPORTANT
Las actualizaciones de firmware de TPM y UEFI pueden requerir varios reinicios mientras se instalan. Para mantener
BitLocker suspendido durante este proceso, debe usar Suspend-BitLocker y establecer el parámetro Reboot Count en
cualquiera de los siguientes valores:
2 o superior: este valor establece el número de veces que el dispositivo puede reiniciarse antes de que se reanude el
cifrado de dispositivos BitLocker.
0 : Este valor suspende el cifrado de unidad bitlocker indefinidamente, hasta que use Resume-BitLocker u otro
mecanismo para reanudar la protección.

Para suspender BitLocker mientras instala actualizaciones de firmware de TPM o UEFI:

1. Abra una ventana de Windows PowerShell con privilegios elevados y ejecute el siguiente cmdlet:

Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0

En este cmdlet <DriveLetter> es la letra que se asigna a la unidad.

2. Instale el controlador de dispositivo Surface y las actualizaciones de firmware.
3. Después de instalar las actualizaciones de firmware, reinicie el equipo, abra una ventana de PowerShell
con privilegios elevados y, a continuación, ejecute el siguiente cmdlet:

Resume-BitLocker -MountPoint "<DriveLetter>:"

Para volver a habilitar el cifrado de unidad de BitLocker, seleccione Inicio , escriba Administrar BitLocker y, a
continuación, presione Entrar. Siga los pasos para cifrar la unidad.

Después de instalar una actualización en un equipo habilitado para

Hyper V, BitLocker solicita la contraseña de recuperación y devuelve el
error 0xC0210000
Tiene un dispositivo que ejecuta Windows 11, Windows 10, versión 1703, Windows 10, versión 1607 o
Windows Server 2016. Además, Hyper-V está habilitado en el dispositivo. Después de instalar una actualización
afectada y reiniciar el dispositivo, el dispositivo entra en el modo de recuperación de BitLocker y verá el código
de error 0xC0210000.
Solución alternativa
Si el dispositivo ya está en este estado, puede iniciar Correctamente Windows después de suspender BitLocker
desde el entorno de recuperación de Windows (WinRE). Para ello, sigue estos pasos:
1. Recupere la contraseña de recuperación de BitLocker de 48 dígitos para la unidad del sistema operativo
desde el portal de la organización o desde cualquier lugar donde se almacenara la contraseña cuando se
activara por primera vez el cifrado de unidad bitlocker.
2. En la pantalla Recuperación, presione Entrar. Cuando se le solicite, escriba la contraseña de recuperación.
3. Si el dispositivo se inicia en (WinRE) y le pide la contraseña de recuperación de nuevo, seleccione Omitir
la unidad .
4. Seleccione Opciones > avanzadasSolución de problemas de > opciones > avanzadas Símbolo
del sistema .
5. En la ventana símbolo del sistema, ejecute los comandos siguientes:

Manage-bde -unlock c: -rp <48 digit numerical recovery password separated by “-“ in 6 digit group>
Manage-bde -protectors -disable c:
exit

Estos comandos desbloquean la unidad y, a continuación, suspenden BitLocker deshabilitando los

protectores de TPM en la unidad. El comando final cierra la ventana del símbolo del sistema.
 NOTE
Estos comandos suspenden BitLocker durante un reinicio del dispositivo. La opción -rc 1 solo funciona dentro del
sistema operativo y no funciona en el entorno de recuperación.

6. Selecciona Continuar . Windows debe iniciarse.

7. Una vez iniciado Windows, abra una ventana del símbolo del sistema con privilegios elevados y ejecute el
siguiente comando:

Manage-bde -protectors -enable c:

IMPORTANT
A menos que suspenda BitLocker antes de iniciar el dispositivo, este problema se repite.

Para suspender temporalmente BitLocker justo antes de reiniciar el dispositivo, abra una ventana del símbolo
del sistema con privilegios elevados y ejecute el siguiente comando:

Manage-bde -protectors -disable c: -rc 1

Resolución
Para resolver este problema, instale la actualización adecuada en el dispositivo afectado:
Para Windows 10, versión 1703 o Windows 11: 9 de julio de 2019: KB4507450 (compilación del sistema
operativo 15063.1928)
Para Windows 11, Windows 10, versión 1607 y Windows Server 2016: 9 de julio de 2019: KB4507460
(compilación del sistema operativo 14393.3085)

Credential Guard/Device Guard en TPM 1.2: en cada reinicio,

BitLocker solicita la contraseña de recuperación y devuelve el error
0xC0210000
Tiene un dispositivo que usa TPM 1.2 y ejecuta Windows 10, versión 1809 o Windows 11. Además, el dispositivo
usa características de seguridad basadas en virtualización , como Device Guard y Credential Guard. Cada vez
que inicie el dispositivo, el dispositivo entra en modo de recuperación de BitLocker y verá el código de error
0xc0210000 y un mensaje similar al siguiente.

Recuperación
El equipo o dispositivo debe repararse. No se pudo acceder a un archivo necesario porque la clave de
BitLocker no se cargó correctamente.
Código de error 0xc0210000
Tendrá que usar herramientas de recuperación. Si no tiene ningún medio de instalación (como un disco o un
dispositivo USB), póngase en contacto con el administrador del equipo o con el fabricante de pc/dispositivo.

Causa
TPM 1.2 no admite el inicio seguro. Para obtener más información, consulte Protección del sistema Secure
Launch and SMM protection: Requirements Met by Protección del sistema Enabled Machines
Para obtener más información sobre esta tecnología, consulte Windows Defender Protección del sistema: Cómo
una raíz de confianza basada en hardware ayuda a proteger Windows
Resolución
Para resolver este problema, realice una de las siguientes acciones:
Quite cualquier dispositivo que use TPM 1.2 de cualquier grupo que esté sujeto a GPO que exijan el inicio
seguro.
Edite el GPO Activar seguridad basada en vir tualización para establecer La configuración de inicio
seguro en Deshabilitado .
 Configuración de BitLocker: problemas conocidos
08/11/2022 • 7 minutes to read

En este artículo se describen problemas comunes que afectan a la configuración de BitLocker y a la

funcionalidad general. En este artículo también se proporcionan instrucciones para solucionar estos problemas.

El cifrado de BitLocker es más lento en Windows 10 y Windows 11

En Windows 11, Windows 10 y Windows 7, BitLocker se ejecuta en segundo plano para cifrar las unidades. Sin
embargo, en Windows 11 y Windows 10, BitLocker es menos agresivo en cuanto a la solicitud de recursos. Este
comportamiento reduce la posibilidad de que BitLocker afecte al rendimiento del equipo.
Para compensar estos cambios, BitLocker usa un nuevo modelo de conversión. Este modelo, (denominado
Cifrado en escritura), se asegura de que cualquier disco nuevo escribe en todas las SKU cliente y de que las
unidades internas siempre se cifran en cuanto se activa BitLocker.

IMPORTANT
Para conservar la compatibilidad con versiones anteriores, BitLocker usa el modelo de conversión anterior para cifrar las
unidades extraíbles.

Ventajas de usar el nuevo modelo de conversión

Mediante el uso del modelo de conversión anterior, no se puede considerar que una unidad interna esté
protegida (y cumpla con los estándares de protección de datos) hasta que la conversión de BitLocker se
complete al 100 %. Antes de que finalice el proceso, los datos que existían en la unidad antes de que comenzara
—el cifrado, es decir, los datos—potencialmente comprometidos se pueden leer y escribir sin cifrado. Por lo
tanto, debe esperar a que finalice el proceso de cifrado antes de almacenar datos confidenciales en la unidad. En
función del tamaño de la unidad, este retraso puede ser sustancial.
Mediante el nuevo modelo de conversión, puede almacenar de forma segura datos confidenciales en la unidad
en cuanto active BitLocker. No es necesario esperar a que finalice el proceso de cifrado y el cifrado no afecta
negativamente al rendimiento. El inconveniente es que el proceso de cifrado de los datos preexistetos tarda más
tiempo.
Otras mejoras de BitLocker
Después de que se publicara Windows 7, se mejoraron otras áreas de BitLocker:
Nuevo algoritmo de cifrado, XTS-AES . El nuevo algoritmo proporciona protección adicional contra
una clase de ataques a datos cifrados que se basan en la manipulación del texto cifrado para provocar
cambios predecibles en el texto sin formato.
De forma predeterminada, este algoritmo cumple con los Estándares federales de procesamiento de
información (FIPS). FIPS es un estándar Estados Unidos Government que proporciona un punto de
referencia para implementar software criptográfico.
Características de administración mejoradas . Puede administrar BitLocker en equipos u otros
dispositivos mediante las siguientes interfaces:
Asistente para BitLocker
manage-bde
objetos directiva de grupo (GPO)
 Directiva de Administración de dispositivos móvil (MDM)
Windows PowerShell
Interfaz de administración de Windows (WMI)
Integración con Azure Active Director y (Azure AD). BitLocker puede almacenar información de
recuperación en Azure AD para facilitar la recuperación.
Protección de puer tos de acceso directo a memoria (DMA). Mediante el uso de directivas MDM
para administrar BitLocker, puede bloquear los puertos DMA de un dispositivo y proteger el dispositivo
durante su inicio.
Desbloqueo de red de BitLocker . Si el equipo de escritorio o servidor habilitado para BitLocker está
conectado a una red corporativa cableada en un entorno de dominio, puede desbloquear
automáticamente su volumen de sistema operativo durante un reinicio del sistema.
Compatibilidad con unidades de disco duro cifradas . Las unidades de disco duro cifradas son una
nueva clase de unidades de disco duro que se cifran automáticamente en un nivel de hardware y
permiten el cifrado de hardware de disco completo. Al asumir esa carga de trabajo, las unidades de disco
duro cifradas aumentan el rendimiento de BitLocker y reducen el uso de CPU y el consumo de energía.
Compatibilidad con clases de discos híbridos HDD/SSD . BitLocker puede cifrar un disco que usa
un SSD pequeño como una caché no volátil delante de la unidad de disco duro, como la tecnología Intel
Rapid Storage.

Máquina virtual de Hyper-V Gen 2: no se puede acceder al volumen

después del cifrado de BitLocker
Tenga en cuenta el siguiente escenario:
1. Active BitLocker en una máquina virtual (VM) de generación 2 que se ejecuta en Hyper-V.
2. Los datos se agregan al disco de datos a medida que se cifran.
3. Reinicie la máquina virtual y observe lo siguiente:
El volumen del sistema no está cifrado.
El volumen cifrado no es accesible y el equipo enumera el sistema de archivos del volumen como
"Desconocido".
Verá un mensaje similar al siguiente: "Debe dar formato al disco en <x:> la unidad antes de poder
usarlo".
Causa
Este problema se produce porque el controlador de filtro de terceros [Link] (de StorageCraft) está instalado
en la máquina virtual.
Resolución
Para resolver este problema, quite el software de terceros.

Error en las instantáneas de producción para controladores de

dominio virtualizados que usan discos cifrados con BitLocker
Tiene un servidor de Hyper-V de Windows Server 2019 o 2016 que hospeda máquinas virtuales (invitados) que
están configurados como controladores de dominio de Windows. BitLocker ha cifrado los discos que almacenan
la base de datos de Active Directory y los archivos de registro. Al ejecutar una "instantánea de producción" de
los invitados del controlador de dominio, el servicio de Snap-Shot por volumen (VSS) no procesa correctamente
la copia de seguridad.
Este problema se produce independientemente de cualquiera de las siguientes variaciones en el entorno:
 Cómo se desbloquean los volúmenes del controlador de dominio.
Si las máquinas virtuales son de generación 1 o de generación 2.
Si el sistema operativo invitado es Windows Server 2019, 2016 o 2012 R2.
En el registro de aplicaciones del controlador de dominio, el origen de eventos de VSS registra el identificador
de evento 8229:

Identificador: 8229
Nivel: Advertencia
Origen: VSS
Mensaje: Un escritor de VSS ha rechazado un evento con 0x800423f4 de error. El escritor experimentó un
error no transitorio. Si se vuelve a intentar el proceso de copia de seguridad, es probable que el error vuelva
a producirse.
Los cambios realizados por el escritor en los componentes del escritor durante el control del evento no
estarán disponibles para el solicitante.
Compruebe el registro de eventos para ver los eventos relacionados de la aplicación que hospeda el escritor
de VSS.
Operación:
PostSnapshot (evento)
Contexto:
Contexto de ejecución: Identificador de clase writer: {b2014c9e-8711-4c5c-a5a9-3cf384484757}
Nombre del escritor: NTDS
Identificador de instancia de Writer: {d170b355-a523-47ba-a5c8-732244f70e75} Línea de comandos:
C:\Windows\system32\[Link]
Identificador de proceso: 680

En el registro de eventos de Directory Services del controlador de dominio, verá un evento similar al siguiente:

Error Microsoft-Windows-ActiveDirectory_DomainService 1168

Error interno de procesamiento interno: se ha producido un error de Servicios de dominio de Active
Directory.
Datos adicionales
Valor de error (decimal): -1022
Valor de error (hexadecimal): fffffc02
Identificador interno: 160207d9

NOTE
El identificador interno de este evento puede diferir en función de la versión del sistema operativo y el nivel de ruta de
acceso.

Una vez que se produce este problema, si ejecuta el comando VSSADMIN list writers , verá una salida similar
a la siguiente para el escritor de VSS de Servicios de dominio de Active Directory (NTDS):

Nombre del escritor: "NTDS"

Identificador de escritor: {b2014c9e-8711-4c5c-a5a9-3cf384484757}
Identificador de instancia de Writer: {08321e53-4032-44dc-9b03-7a1a15ad3eb8}
 Estado: [11] Error
Último error: Error no reintento

Además, no puede realizar copias de seguridad de las máquinas virtuales hasta que las reinicie.
Causa
Después de que VSS crea una instantánea de un volumen, el escritor de VSS realiza acciones de "post snapshot".
En el caso de una "instantánea de producción", que se inicia desde el servidor host, Hyper-V intenta montar el
volumen con instantáneas. Sin embargo, no puede desbloquear el volumen para el acceso sin cifrar. BitLocker en
el servidor de Hyper-V no reconoce el volumen. Por lo tanto, se produce un error en el intento de acceso y, a
continuación, se produce un error en la operación de instantánea.
Este comportamiento es así por diseño.
Solución alternativa
Hay una manera admitida de realizar copias de seguridad y restauración de un controlador de dominio
virtualizado:
Ejecute Copia de seguridad de Windows Server en el sistema operativo invitado.
Si tiene que tomar una instantánea de producción de un controlador de dominio virtualizado, puede suspender
BitLocker en el sistema operativo invitado antes de iniciar la instantánea de producción. Sin embargo, no se
recomienda este enfoque.
Para obtener más información y recomendaciones sobre la copia de seguridad de controladores de dominio
virtualizados, consulte Virtualización de controladores de dominio mediante Hyper-V: Consideraciones de copia
de seguridad y restauración para controladores de dominio virtualizados.
Más información
Cuando el escritor NTDS de VSS solicita acceso a la unidad cifrada, el servicio de subsistema de autoridad de
seguridad local (LSASS) genera una entrada de error similar a la siguiente:

\# for hex 0xc0210000 / decimal -1071579136

STATUS\_FVE\_LOCKED\_VOLUME ntstatus.h
\# This volume is locked by BitLocker Drive Encryption.

La operación genera la siguiente pila de llamadas:

\# Child-SP RetAddr Call Site
00 00000086\`b357a800 00007ffc\`ea6e7a4c KERNELBASE\!FindFirstFileExW+0x1ba \
[d:\\rs1\\minkernel\\kernelbase\\filefind.c @ 872\]
01 00000086\`b357abd0 00007ffc\`e824accb KERNELBASE\!FindFirstFileW+0x1c \
[d:\\rs1\\minkernel\\kernelbase\\filefind.c @ 208\]
02 00000086\`b357ac10 00007ffc\`e824afa1 ESENT\!COSFileFind::ErrInit+0x10b \
[d:\\rs1\\onecore\\ds\\esent\\src\\os\\[Link] @ 2476\]
03 00000086\`b357b700 00007ffc\`e827bf02 ESENT\!COSFileSystem::ErrFileFind+0xa1 \
[d:\\rs1\\onecore\\ds\\esent\\src\\os\\[Link] @ 1443\]
04 00000086\`b357b960 00007ffc\`e82882a9 ESENT\!JetGetDatabaseFileInfoEx+0xa2 \
[d:\\rs1\\onecore\\ds\\esent\\src\\ese\\[Link] @ 11503\]
05 00000086\`b357c260 00007ffc\`e8288166 ESENT\!JetGetDatabaseFileInfoExA+0x59 \
[d:\\rs1\\onecore\\ds\\esent\\src\\ese\\[Link] @ 11759\]
06 00000086\`b357c390 00007ffc\`e84c64fb ESENT\!JetGetDatabaseFileInfoA+0x46 \
[d:\\rs1\\onecore\\ds\\esent\\src\\ese\\[Link] @ 12076\]
07 00000086\`b357c3f0 00007ffc\`e84c5f23 ntdsbsrv\!CVssJetWriterLocal::RecoverJetDB+0x12f \
[d:\\rs1\\ds\\ds\\src\\jetback\\[Link] @ 2009\]
08 00000086\`b357c710 00007ffc\`e80339e0 ntdsbsrv\!CVssJetWriterLocal::OnPostSnapshot+0x293 \
[d:\\rs1\\ds\\ds\\src\\jetback\\[Link] @ 2190\]
09 00000086\`b357cad0 00007ffc\`e801fe6d VSSAPI\!CVssIJetWriter::OnPostSnapshot+0x300 \
[d:\\rs1\\base\\stor\\vss\\modules\\jetwriter\\[Link] @ 1704\]
0a 00000086\`b357ccc0 00007ffc\`e8022193 VSSAPI\!CVssWriterImpl::OnPostSnapshotGuard+0x1d \
[d:\\rs1\\base\\stor\\vss\\modules\\vswriter\\[Link] @ 5228\]
0b 00000086\`b357ccf0 00007ffc\`e80214f0 VSSAPI\!CVssWriterImpl::PostSnapshotInternal+0xc3b \
[d:\\rs1\\base\\stor\\vss\\modules\\vswriter\\[Link] @ 3552\]
 BitLocker no puede cifrar una unidad: problemas de
TPM conocidos
08/11/2022 • 5 minutes to read

En este artículo se describen problemas comunes que afectan al módulo de plataforma segura (TPM) que
podrían impedir que BitLocker cifre una unidad. En este artículo también se proporcionan instrucciones para
solucionar estos problemas.

NOTE
Si ha determinado que el problema de BitLocker no implica el TPM, consulte BitLocker cannot encrypt a drive: known
issues (No se puede cifrar una unidad: problemas conocidos).

El TPM está bloqueado y verá que "El TPM está defendiendo contra
ataques de diccionario y está en un período de tiempo de espera".
Cuando se activa el cifrado de unidad bitlocker, no se inicia. En su lugar, recibe un mensaje similar a "El TPM se
está defendiendo frente a ataques de diccionario y está en un período de tiempo de espera".
Causa
El TPM está bloqueado.
Resolución
Para resolver este problema, siga estos pasos:
1. Abra una ventana de PowerShell con privilegios elevados y ejecute el siguiente script:

$Tpm = Get-WmiObject -class Win32_Tpm -namespace "root\CIMv2\Security\MicrosoftTpm"

$ConfirmationStatus = $[Link](22).ConfirmationStatus
if($ConfirmationStatus -ne 4) {$[Link](22)}

2. Reinicie el equipo. Si se le pide en la pantalla de reinicio, presione F12 para aceptar.8

3. Vuelva a intentar iniciar el cifrado de unidad de BitLocker.

No puede preparar el TPM y verá que "El TPM se está defendiendo

frente a ataques de diccionario y está en un período de tiempo de
espera".
No se puede activar el cifrado de unidad bitlocker en un dispositivo. Use la consola de administración de TPM
([Link]) para preparar el TPM en un dispositivo. Se produce un error en la operación y recibe un mensaje
similar a "El TPM se está defendiendo frente a ataques de diccionario y está en un período de tiempo de espera".
Causa
El TPM está bloqueado.
Resolución
Para resolver este problema, deshabilite y vuelva a habilitar el TPM. Para ello, sigue estos pasos:
1. Reinicie el dispositivo y cambie la configuración del BIOS para deshabilitar el TPM.
2. Reinicie de nuevo el dispositivo y vuelva a la consola de administración de TPM. Se muestra el mensaje
siguiente:

No se puede encontrar el módulo de plataforma segura (TPM) compatible en este equipo.

Compruebe que este equipo tiene TPM 1.2 y que está activado en el BIOS.

3. Reinicie el dispositivo y cambie la configuración del BIOS para habilitar el TPM.

4. Reinicie el dispositivo y vuelva a la consola de administración de TPM.
Si todavía no puede preparar el TPM, borre las claves de TPM existentes. Para ello, siga las instrucciones de
Solución de problemas del TPM: Borrar todas las claves del TPM.

WARNING
Borrar el TPM puede provocar la pérdida de datos.

Acceso denegado: no se pudo realizar una copia de seguridad de la

información de autorización del propietario de TPM en Servicios de
dominio de Active Directory. Código de error: 0x80070005
Tiene un entorno que exige que no habilite BitLocker hasta que la información de recuperación se
almacene en la directiva de AD DS . Intenta activar el cifrado de unidad bitlocker en un equipo que ejecuta
Windows 7, pero se produce un error en la operación. Recibirá un mensaje similar a "Acceso denegado" o
"Derechos insuficientes".
Causa
El TPM no tenía permisos suficientes en el contenedor de dispositivos TPM de Servicios de dominio de Active
Directory (AD DS). Por lo tanto, no se pudo realizar una copia de seguridad de la información de recuperación
de BitLocker en AD DS y no se pudo ejecutar el cifrado de unidad bitlocker.
Este problema parece limitarse a los equipos que ejecutan versiones de Windows anteriores a Windows 10.
Resolución
Para comprobar que ha identificado correctamente este problema, use uno de los métodos siguientes:
Deshabilite la directiva o quite el equipo del dominio. A continuación, intente activar de nuevo el cifrado de
unidad de BitLocker. La operación debería realizarse correctamente.
Use ldap y herramientas de seguimiento de red para examinar los intercambios LDAP entre el cliente y el
controlador de dominio de AD DS para identificar la causa del error "Acceso denegado" o "Derechos
insuficientes". En este caso, debería ver el error cuando el cliente intenta acceder a su objeto en el contenedor
"CN=TPM Devices,DC=<domain>,DC=com".
1. Para revisar la información de TPM del equipo afectado, abra una ventana de Windows PowerShell con
privilegios elevados y ejecute el siguiente comando:

Get-ADComputer -Filter {Name -like "ComputerName"} -Property * | Format-Table name,msTPM-

TPMInformationForComputer

En este comando, NombreDeEquipo es el nombre del equipo afectado.

2. Para resolver el problema, use una herramienta como [Link] para asegurarse de que la lista de
 control de acceso de msTPM-TPMInformationForComputer concede permisos de lectura y escritura a
NTAUTHORITY/SELF.

No se puede preparar el TPM, error 0x80072030: "No hay ningún

objeto en el servidor"
Los controladores de dominio se actualizaron de Windows Server 2008 R2 a Windows Server 2012 R2. Un
objeto de directiva de grupo (GPO) exige que no habilite BitLocker hasta que la información de
recuperación se almacene en la directiva de AD DS .
No se puede activar el cifrado de unidad bitlocker en un dispositivo. Use la consola de administración de TPM
([Link]) para preparar el TPM en un dispositivo. Se produce un error en la operación y verá un mensaje
similar al siguiente:

0x80072030 No hay ningún objeto de este tipo en el servidor cuando se habilita una directiva para realizar
una copia de seguridad de la información de TPM en Active Directory.

Ha confirmado que los atributos ms-TPM-OwnerInformation y msTPM-TpmInformationForComputer

están presentes.
Causa
El nivel funcional de dominio y bosque del entorno todavía se puede establecer en Windows 2008 R2. Además,
es posible que los permisos de AD DS no se establezcan correctamente.
Resolución
Para resolver este problema, siga estos pasos:
1. Actualice el nivel funcional del dominio y el bosque a Windows Server 2012 R2.
2. Descargue [Link].
3. En el script, modifique el valor de strPathToDomain en el nombre de dominio.
4. Abra una ventana de PowerShell con privilegios elevados y ejecute el siguiente comando:

cscript <Path>[Link]

En este comando <Path> se encuentra la ruta de acceso al archivo de script.

Para obtener más información, consulta los artículos siguientes:
Realizar una copia de seguridad de la información de recuperación del TPM en AD DS
Preparar la organización para BitLocker: planificación y directivas
 BitLocker y TPM: otros problemas conocidos
08/11/2022 • 4 minutes to read

En este artículo se describen problemas comunes relacionados directamente con el módulo de plataforma de
confianza (TPM) y se proporcionan instrucciones para solucionar estos problemas.

Azure AD: Windows Hello para empresas y el inicio de sesión único

no funcionan
Tiene un equipo cliente unido a Azure Active Directory (Azure AD) que no se puede autenticar correctamente.
Experimenta uno o varios de los síntomas siguientes:
Windows Hello para empresas no funciona.
Se produce un error en el acceso condicional.
El inicio de sesión único (SSO) no funciona.
Además, el equipo registra la siguiente entrada para el identificador de evento 1026:

Nombre del registro: Sistema

Origen: Microsoft-Windows-TPM-WMI
Fecha: <Date and Time>
Identificador de evento: 1026
Categoría de tarea: Ninguno
Nivel: Información
palabras clave:
Usuario: SYSTEM
Computadora: <Computer name>
Descripción:
El hardware del módulo de plataforma segura (TPM) de este equipo no se puede aprovisionar para su uso
automáticamente. Para configurar el TPM de forma interactiva, use la consola de administración de TPM
(Start->[Link]) y use la acción para que el TPM esté listo.
Error: El TPM se está defendiendo frente a ataques de diccionario y está en un período de tiempo de espera.
Información adicional: 0x840000

Causa
Este evento indica que el TPM no está listo o que tiene alguna configuración que impide el acceso a las claves de
TPM.
Además, el comportamiento indica que el equipo cliente no puede obtener un token de actualización principal
(PRT).
Resolución
Para comprobar el estado del PRT, use el comando dsregcmd /status para recopilar información. En la salida de
la herramienta, compruebe que estado de usuario o de inicio de sesión único contiene el atributo
AzureAdPr t . Si el valor de este atributo es No , no se emitió el PRT. Esto puede indicar que el equipo no pudo
presentar su certificado para la autenticación.
Para resolver este problema, siga estos pasos para solucionar problemas del TPM:
1. Abra la consola de administración de TPM ([Link]). Para ello, seleccione Inicio y escriba [Link] en el
 cuadro Buscar .
2. Si ve un aviso para desbloquear el TPM o restablecer el bloqueo, siga estas instrucciones.
3. Si no ve un aviso de este tipo, revise la configuración del BIOS del equipo para ver cualquier configuración
que pueda usar para restablecer o deshabilitar el bloqueo.
4. Póngase en contacto con el proveedor de hardware para determinar si hay una corrección conocida para el
problema.
5. Si todavía no puede resolver el problema, borre y reinicialice el TPM. Para ello, siga las instrucciones de
Solución de problemas del TPM: Borrar todas las claves del TPM.

WARNING
Borrar el TPM puede provocar la pérdida de datos.

TPM 1.2 Error: Error al cargar la consola de administración. El

dispositivo requerido por el proveedor criptográfico no está listo para
su uso
Tiene un equipo basado en Windows 11 o Windows 10 versión 1703 que usa tpm versión 1.2. Al intentar abrir
la consola de administración de TPM, recibe el siguiente mensaje:

Error al cargar la consola de administración. El dispositivo requerido por el proveedor criptográfico no está
listo para su uso.
HRESULT 0x800900300x80090030 - NTE_DEVICE_NOT_READY
El dispositivo que requiere este proveedor criptográfico no está listo para su uso.
Versión de especificación de TPM: TPM v1.2

En otro dispositivo que ejecuta la misma versión de Windows, puede abrir la consola de administración de TPM.
Causa (sospecha)
Estos síntomas indican que el TPM tiene problemas de hardware o firmware.
Resolución
Para resolver este problema, cambie el modo de funcionamiento de TPM de la versión 1.2 a la versión 2.0.
Si esto no resuelve el problema, considere la posibilidad de reemplazar la placa base del dispositivo. Después de
reemplazar la placa base, cambie el modo de funcionamiento de TPM de la versión 1.2 a la versión 2.0.

Los dispositivos no se unen a Azure AD híbrido debido a un problema

de TPM
Tiene un dispositivo que está intentando unirse a una instancia híbrida de Azure AD. Sin embargo, parece que se
produce un error en la operación de combinación.
Para comprobar que la combinación se realizó correctamente, use el comando dsregcmd /status. En la salida de
la herramienta, los atributos siguientes indican que la combinación se realizó correctamente:
AzureAdJoined: SÍ
Nombrededominio: < on-prem Domain name >
Si el valor de AzureADJoined es No , se produjo un error en la operación de combinación.
Causas y resoluciones
Este problema puede producirse cuando el sistema operativo Windows no es el propietario del TPM. La
corrección específica de este problema depende de los errores o eventos que experimente, como se muestra en
la tabla siguiente:

M EN SA JE RA Z Ó N RESO L UC IÓ N

NTE_BAD_KEYSET (0x80090016/- Error en la operación tpm o no era Este problema probablemente se debe
2146893802) válida a una imagen de sysprep dañada.
Asegúrese de crear la imagen sysprep
mediante un equipo que no esté unido
ni registrado en Azure AD o Azure AD
híbrido.

TPM_E_PCP_INTERNAL_ERROR Error de TPM genérico. Si el dispositivo devuelve este error,

(0x80290407/-2144795641) deshabilite su TPM. Windows 10,
versión 1809 y versiones posteriores, o
Windows 11 detectar
automáticamente errores de TPM y
finalizar la unión a Azure AD híbrido
sin usar el TPM.

TPM_E_NOTFIPS (0x80280036/- Actualmente no se admite el modo Si el dispositivo produce este error,

2144862154) FIPS del TPM. deshabilite su TPM. Windows 10,
versión 1809 y versiones posteriores, o
Windows 11 detectar
automáticamente errores de TPM y
finalizar la unión a Azure AD híbrido
sin usar el TPM.

NTE_AUTHENTICATION_IGNORED El TPM está bloqueado. Este error es transitorio. Espere el

(0x80090031/-2146893775) período de reutilización y vuelva a
intentar la operación de unión.

Para obtener más información sobre los problemas de TPM, consulte los artículos siguientes:
Aspectos básicos de TPM: Anti-hammering
Solución de problemas de dispositivos híbridos unidos a Azure Active Directory
Solucionar problemas del TPM
 Descodificar registros de Arranque medido para
realizar un seguimiento de los cambios de PCR
08/11/2022 • 3 minutes to read

Los registros de configuración de plataforma (PCR) son ubicaciones de memoria en el módulo de plataforma
segura (TPM). BitLocker y sus tecnologías relacionadas dependen de configuraciones de PCR específicas.
Además, un cambio específico en los PCR puede hacer que un dispositivo o equipo entre en el modo de
recuperación de BitLocker.
Al realizar un seguimiento de los cambios en los PCR e identificar cuándo cambiaron, puede obtener
información sobre los problemas que se producen o saber por qué un dispositivo o equipo entró en el modo de
recuperación de BitLocker. Los registros de arranque medido registran los cambios de PCR y otra información.
Estos registros se encuentran en la carpeta C:\Windows\Logs\MeasuredBoot\.
En este artículo se describen las herramientas que puede usar para descodificar estos registros:
TBSLogGenerator y PCPTool.
Para obtener más información sobre el arranque medido y los PCR, consulte los artículos siguientes:
Aspectos básicos del TPM: Arranque medido con compatibilidad con la atestación
Descripción de los bancos de PCR en dispositivos con el TPM 2.0

Uso de TBSLogGenerator para descodificar registros de arranque

medido
Use TBSLogGenerator para descodificar los registros de arranque medido que ha recopilado de Windows 11,
Windows 10 y versiones anteriores. Puede instalar esta herramienta en los siguientes sistemas:
Un equipo que ejecuta Windows Server 2016 y que tiene un TPM habilitado
Una máquina virtual gen 2 (que se ejecuta en Hyper-V) que ejecuta Windows Server 2016 (puede usar el
TPM virtual)
Para instalar la herramienta, siga estos pasos:
1. Descargue el kit de laboratorio de hardware de Windows desde una de las siguientes ubicaciones:
Kit de laboratorio de hardware de Windows
Vínculo de descarga directa para Windows Server 2016: Windows HLK, versión 1607
2. Acepte la ruta de instalación predeterminada.
3. En Seleccionar las características que desea instalar , seleccione Controlador del kit—de
laboratorio de hardware de Windows + Studio .

4. Finalice la instalación.
Para usar TBSLogGenerator, siga estos pasos:
1. Una vez finalizada la instalación, abra una ventana del símbolo del sistema con privilegios elevados y
vaya a la carpeta siguiente:
C:\Archivos de programa (x86)\Windows Kits\10\Hardware Lab
Kit\Tests\amd64\NTTEST\BASETEST\ngscb
Esta carpeta contiene el archivo [Link].

2. Ejecuta el siguiente comando:

[Link] -LF <LogFolderName>\<LogFileName>.log > <DestinationFolderName>\

<DecodedFileName>.txt

donde las variables representan los valores siguientes:

<LogFolderName> = el nombre de la carpeta que contiene el archivo que se va a descodificar
<LogFileName> = el nombre del archivo que se va a descodificar
 <DestinationFolderName> = el nombre de la carpeta para el archivo de texto descodificado
<DecodedFileName> = el nombre del archivo de texto descodificado
Por ejemplo, en la ilustración siguiente se muestran los registros de arranque medido que se recopilaron
de un equipo Windows 10 y se colocaron en la carpeta C:\MeasuredBoot\. La ilustración también muestra
una ventana del símbolo del sistema y el comando para descodificar el archivo 0000000005-
[Link] :

[Link] -LF C:\MeasuredBoot\[Link] > C:\MeasuredBoot\0000000005-

[Link]

El comando genera un archivo de texto que usa el nombre especificado. En el caso del ejemplo, el archivo
se [Link] . El archivo se encuentra en la misma carpeta que el archivo .log
original.

El contenido de este archivo de texto es similar al siguiente.

 Para buscar la información de PCR, vaya al final del archivo.

Uso de PCPTool para descodificar registros de arranque medido

NOTE
PCPTool es una solución de Visual Studio, pero debe compilar el archivo ejecutable antes de empezar a usar esta
herramienta.

PCPTool forma parte del kit de herramientas de la plataforma TPM Crypto-Provider. La herramienta descodifica
un archivo de registro de arranque medido y lo convierte en un archivo XML.
Para descargar e instalar PCPTool, vaya a la página Kit de herramientas, seleccione Descargar y siga las
instrucciones.
Para descodificar un registro, ejecute el siguiente comando:

[Link] decodelog <LogFolderPath>\<LogFileName>.log > <DestinationFolderName>\<DecodedFileName>.xml

donde las variables representan los valores siguientes:

<LogFolderPath> = la ruta de acceso a la carpeta que contiene el archivo que se va a descodificar
<LogFileName> = el nombre del archivo que se va a descodificar
<DestinationFolderName> = el nombre de la carpeta para el archivo de texto descodificado
<DecodedFileName> = el nombre del archivo de texto descodificado
El contenido del archivo XML es similar al siguiente.
 Cifrado de datos personales (PDE)
08/11/2022 • 7 minutes to read

(Se aplica a: Windows 11, versión 22H2 y versiones posteriores de Enterprise y Education)
El cifrado de datos personales (PDE) es una característica de seguridad introducida en Windows 11, versión
22H2, que proporciona características de cifrado adicionales a Windows. PDE difiere de BitLocker en que cifra
archivos individuales en lugar de discos y volúmenes enteros. PDE se produce además de otros métodos de
cifrado como BitLocker.
PDE utiliza Windows Hello para empresas para vincular claves de cifrado de datos con credenciales de usuario.
Esta característica puede minimizar el número de credenciales que el usuario tiene que recordar para obtener
acceso a los archivos. Por ejemplo, al usar BitLocker con PIN, un usuario tendría que autenticarse dos veces, una
con el PIN de BitLocker y otra con las credenciales de Windows. Este requisito requiere que los usuarios
recuerden dos credenciales diferentes. Con PDE, los usuarios solo necesitan escribir un conjunto de credenciales
a través de Windows Hello para empresas.
PDE también es accesible. Por ejemplo, la pantalla de entrada del PIN de BitLocker no tiene opciones de
accesibilidad. Sin embargo, PDE usa Windows Hello para empresas, que tiene características de accesibilidad.
A diferencia de BitLocker que libera claves de cifrado de datos en el arranque, PDE no libera las claves de cifrado
de datos hasta que un usuario inicia sesión con Windows Hello para empresas. Los usuarios solo podrán
acceder a sus archivos cifrados PDE una vez que hayan iniciado sesión en Windows mediante Windows Hello
para empresas. Además, PDE tiene la capacidad de descartar también las claves de cifrado cuando el dispositivo
está bloqueado.

NOTE
Actualmente, PDE solo está disponible para los desarrolladores a través de las API de PDE. No hay ninguna interfaz de
usuario en Windows para habilitar PDE o cifrar archivos a través de PDE. Además, aunque hay una directiva MDM que
puede habilitar PDE, no hay directivas MDM que se puedan usar para cifrar archivos a través de PDE.

Requisitos previos
Obligatorio
Dispositivo unido a Azure AD
Windows Hello para empresas
Windows 11, versión 22H2 y versiones posteriores de Enterprise y Education
No compatible con PDE
Autenticación de clave de seguridad o FIDO
Inicio de sesión de reinicio automático de Winlogon (ARSO)
Para obtener información sobre cómo deshabilitar ARSO a través de Intune, vea Disable Winlogon
automatic restart sign-on (ARSO)).
Windows Information Protection (WIP)
Dispositivos unidos a la implementación híbrida de Azure AD
Conexiones de Escritorio remoto
Altamente recomendado
 Cifrado de unidad bitlocker habilitado
Aunque PDE funcionará sin BitLocker, se recomienda habilitar también BitLocker. PDE está diseñado
para complementar BitLocker y no reemplazarlo.
Solución de copia de seguridad, como OneDrive
En determinados escenarios, como restablecimientos de TPM o restablecimientos de PIN destructivos,
se pueden perder las claves usadas por PDE para descifrar archivos. En tales escenarios, ya no se
podrá acceder a cualquier archivo cifrado con PDE. La única manera de recuperar estos archivos sería
desde la copia de seguridad.
Windows Hello para empresas servicio de restablecimiento de PIN
Los restablecimientos de PIN destructivos harán que se pierdan las claves usadas por PDE para
descifrar archivos. El destructivo restablecimiento de PIN hará que cualquier archivo cifrado con PDE
ya no sea accesible después de un restablecimiento de PIN destructivo. Los archivos cifrados con PDE
tendrán que recuperarse de una copia de seguridad después de un restablecimiento de PIN
destructivo. Por este motivo, se recomienda Windows Hello para empresas servicio de
restablecimiento de PIN, ya que proporciona restablecimientos de PIN no destructivos.
Windows Hello seguridad de inicio de sesión mejorada
Proporciona seguridad adicional al autenticarse con Windows Hello para empresas a través de
biometría o PIN
Volcados de memoria del kernel y del modo de usuario deshabilitados
Los volcados de memoria pueden hacer que las claves usadas por PDE descifren archivos para
exponerse. Para mayor seguridad, deshabilite los volcados de memoria del kernel y del modo de
usuario. Para obtener información sobre cómo deshabilitar bloqueos tontos a través de Intune,
consulte Deshabilitar volcados de memoria.
Hibernación deshabilitada
Los archivos de hibernación pueden hacer que las claves usadas por PDE descifren archivos para
exponerse. Para mayor seguridad, deshabilite la hibernación. Para obtener información sobre cómo
deshabilitar bloqueos a través de Intune, consulte Deshabilitar hibernación.

Niveles de protección de PDE

PDE usa AES-CBC con una clave de 256 bits para cifrar archivos y ofrece dos niveles de protección. El nivel de
protección se determina en función de las necesidades de la organización. Estos niveles se pueden establecer a
través de las API de PDE.

EL EM EN TO N IVEL 1 N IVEL 2

Los datos son accesibles cuando el Sí Sí

usuario inicia sesión

Los datos son accesibles cuando el Sí No

usuario ha bloqueado su dispositivo

Se puede acceder a los datos después No No

de que el usuario cierre la sesión.

Los datos son accesibles cuando el No No

dispositivo se apaga

Claves de descifrado descartadas Después de que el usuario cierre la Después de que el usuario bloquee el
sesión dispositivo o cierre la sesión
Accesibilidad de archivos cifrados PDE
Cuando un archivo se cifra con PDE, su icono mostrará un candado. Si el usuario no ha iniciado sesión
localmente con Windows Hello para empresas o un usuario no autorizado intenta acceder a un archivo cifrado
PDE, se le denegará el acceso al archivo.
Entre los escenarios en los que se denegará a un usuario el acceso a un archivo cifrado PDE se incluyen:
El usuario ha iniciado sesión en Windows mediante una contraseña en lugar de iniciar sesión con Windows
Hello para empresas biometría o PIN.
Si se especifica a través de la protección de nivel 2, cuando el dispositivo está bloqueado.
Al intentar acceder a archivos en el dispositivo de forma remota. Por ejemplo, rutas de acceso de red UNC.
Sesiones de Escritorio remoto.
Otros usuarios del dispositivo que no son propietarios del archivo, incluso si han iniciado sesión a través de
Windows Hello para empresas y tienen permisos para navegar a los archivos cifrados PDE.

Habilitación de PDE
Para habilitar PDE en dispositivos, inserte una directiva MDM en los dispositivos con los parámetros siguientes:
Nombre: Cifrado de datos personales
OMA-URI: ./User/Vendor/MSFT/PDE/EnablePersonalDataEncr yption
Tipo de datos: Integer
Valor: 1
También hay un CSP de PDE disponible para las soluciones MDM que lo admiten.

NOTE
La habilitación de la directiva PDE en dispositivos solo habilita la característica PDE. No cifra ningún archivo. Para cifrar
archivos, use las API de PDE para crear scripts y aplicaciones personalizados con el fin de especificar qué archivos cifrar y
en qué nivel cifrar los archivos. Además, los archivos no se cifrarán a través de las API hasta que se haya habilitado esta
directiva.

Para obtener información sobre cómo habilitar PDE a través de Intune, consulte Habilitación del cifrado de datos
personales (PDE).

Diferencias entre PDE y BitLocker

EL EM EN TO P DE B IT LO C K ER

Liberación de la clave En el inicio de sesión del usuario a En el arranque

través de Windows Hello para
empresas

Claves descartadas En el cierre de sesión del usuario Durante el reinicio

Archivos cifrados Archivos especificados individualmente Volumen o unidad completos

Autenticación para acceder al archivo Windows Hello para empresas Cuando BitLocker con PIN está
cifrado habilitado, el PIN de BitLocker y el
inicio de sesión de Windows
 EL EM EN TO P DE B IT LO C K ER

Accesibilidad Windows Hello para empresas es BitLocker con PIN no tiene

accesible características de accesibilidad

Diferencias entre PDE y EFS

La principal diferencia entre cifrar archivos con PDE en lugar de EFS es el método que usan para cifrar el archivo.
PDE usa Windows Hello para empresas para proteger las claves para descifrar los archivos. EFS usa certificados
para proteger y cifrar los archivos.
Para ver si un archivo está cifrado con PDE o EFS:
1. Abrir las propiedades del archivo
2. En la pestaña General , seleccione Avanzadas...
3. En las ventanas Atributos avanzados , seleccione Detalles .
En el caso de los archivos cifrados PDE, en Estado de protección: habrá un elemento que aparezca como
Cifrado de datos personales: y tendrá el atributo Activado .
En el caso de los archivos cifrados de EFS, en Usuarios que pueden acceder a este archivo:, habrá una
huella digital de cer tificado junto a los usuarios con acceso al archivo. También habrá una sección en la
parte inferior con la etiqueta Cer tificados de recuperación para este archivo tal y como se define en la
directiva de recuperación: .
La información de cifrado, incluido el método de cifrado que se usa, se puede obtener con el comando de línea
[Link] /c de comandos.

Deshabilitar PDE y descifrar archivos

Actualmente no hay ningún método para deshabilitar PDE a través de la directiva MDM. Sin embargo, en
determinados escenarios, los archivos cifrados PDE se pueden descifrar mediante [Link] los pasos
siguientes:
1. Abrir las propiedades del archivo
2. En la pestaña General , seleccione Avanzadas...
3. Desactive la opción Cifrar contenido para proteger los datos .
4. Seleccione Aceptar y , a continuación , aceptar de nuevo.

IMPORTANT
Una vez que un usuario selecciona descifrar manualmente un archivo, no podrá volver a cifrar manualmente el archivo.

Aplicaciones de Windows que admiten PDE

Algunas aplicaciones de Windows admiten PDE de fábrica. Si PDE está habilitado en un dispositivo, estas
aplicaciones usarán PDE.
Correo
Admite el cifrado de cuerpos de correo electrónico y datos adjuntos

Ver también
Preguntas más frecuentes sobre el cifrado de datos personales (PDE)
Configurar las directivas de cifrado de datos personales (PDE) en Intune
 Configurar directivas de cifrado de datos personales
(PDE) en Intune
08/11/2022 • 4 minutes to read

Requisitos previos necesarios

Habilitar el cifrado de datos personales (PDE)
1. Inicie sesión en el Intune
2. Vaya aPerfiles de configuración de dispositivos >
3. Seleccione Crear perfil.
4. En Plataforma , seleccione Windows 10 y versiones posteriores .
5. En Tipo de perfil , seleccione Plantillas.
6. En Nombre de plantilla , seleccione Personalizadoy , a continuación, seleccione Crear.
7. En la pestaña **Basics :
a. Junto a Nombre , escriba Cifrado de datos personales .
b. Junto a Descripción , escriba una descripción.
8. Seleccione Siguiente.
9. En la pestaña Configuración , seleccione Agregar .
10. En la ventana Agregar fila :
a. Junto a Nombre , escriba Cifrado de datos personales .
b. Junto a Descripción , escriba una descripción.
c. Junto a OMA-URI , escriba ./User/Vendor/MSFT/PDE/EnablePersonalDataEncr yption .
d. Junto a Tipo de datos , seleccione Entero.
e. Junto a Valor , escriba 1 .
11. Seleccione Guardar y, a continuación, seleccione Siguiente.
12. En la pestaña Asignaciones :
a. En Grupos incluidos , seleccione Agregar grupos .
b. Seleccione los grupos en los que se debe implementar la directiva PDE.
c. Seleccione Seleccionar
d. Seleccione Siguiente.
13. En la pestaña Reglas de aplicabilidad , configure si es necesario y, a continuación, seleccione Siguiente.
14. En la pestaña Revisar y crear , revise la configuración para asegurarse de que todo está configurado
correctamente y, a continuación, seleccione Crear .
Deshabilitar el inicio de sesión de reinicio automático de Winlogon (ARSO)
1. Inicie sesión en el Intune
2. Vaya aPerfiles de configuración de dispositivos >
3. Seleccione Crear perfil.
4. En Plataforma , seleccione Windows 10 y versiones posteriores .
5. En Tipo de perfil , seleccione Plantillas.
6. En Nombre de plantilla , seleccione Plantillas administrativas y, a continuación, seleccione Crear .
7. En la pestaña **Basics :
a. Junto a Nombre , escriba Deshabilitar ARSO .
b. Junto a Descripción , escriba una descripción.
 8. Seleccione Siguiente.
9. En la pestaña Configuración , en Configuración del equipo , vaya a Componentes > deWindows
Opciones de inicio de sesión de Windows .
10. Seleccione Iniciar sesión y bloquear automáticamente el último usuario interactivo después de
reiniciar
11. En el inicio de sesión y bloqueo del último usuario interactivo automáticamente después de una
ventana de reinicio que se abre, seleccione Deshabilitado y, a continuación, seleccione Aceptar .
12. Seleccione Siguiente.
13. En la pestaña Etiquetas de ámbito , configure si es necesario y, a continuación, seleccione Siguiente.
14. En la pestaña Asignaciones :
a. En Grupos incluidos , seleccione Agregar grupos .
b. Seleccione los grupos en los que se debe implementar la directiva ARSO.
c. Seleccione Seleccionar
d. Seleccione Siguiente.
15. En la pestaña Revisar y crear , revise la configuración para asegurarse de que todo está configurado
correctamente y, a continuación, seleccione Crear .

Requisitos previos recomendados

Deshabilitar volcados de memoria
1. Inicie sesión en el Intune
2. Vaya aPerfiles de configuración de dispositivos >
3. Seleccione Crear perfil.
4. En Plataforma , seleccione Windows 10 y versiones posteriores .
5. En Tipo de perfil , seleccione Catálogo de configuración y, a continuación, seleccione Crear.
6. En la pestaña **Basics :
a. Junto a Nombre , escriba Deshabilitar hibernación .
b. Junto a Descripción , escriba una descripción.
7. Seleccione Siguiente.
8. En la pestaña Configuración , seleccione Agregar configuración .
9. En las ventanas del selector Configuración , seleccione Volcado de memoria .
10. Cuando la configuración aparezca en el panel inferior, en Nombre de configuración , seleccione Permitir
volcado de memoria y Permitir volcado en directo y, a continuación, seleccione la X en la esquina
superior derecha de la ventana del selector Configuración para cerrar la ventana.
11. Cambie Allow Live Dump (Permitir volcado dinámico ) y Allow Crash Dump (Permitir volcado de
bloqueo) a Block (Bloquear ) y, a continuación, seleccione Siguiente.
12. En la pestaña Etiquetas de ámbito , configure si es necesario y, a continuación, seleccione Siguiente.
13. En la pestaña Asignaciones :
a. En Grupos incluidos , seleccione Agregar grupos .
b. Seleccione los grupos en los que se debe implementar la directiva de volcados de memoria.
c. Seleccione Seleccionar
d. Seleccione Siguiente.
14. En la pestaña Revisar y crear , revise la configuración para asegurarse de que todo está configurado
correctamente y, a continuación, seleccione Crear .
Deshabilitación de la hibernación
1. Inicie sesión en el Intune
2. Vaya aPerfiles de configuración de dispositivos >
3. Seleccione Crear perfil.
 4. En Plataforma , seleccione Windows 10 y versiones posteriores .
5. En Tipo de perfil , seleccione Catálogo de configuración y, a continuación, seleccione Crear.
6. En la pestaña **Basics :
a. Junto a Nombre , escriba Deshabilitar hibernación .
b. Junto a Descripción , escriba una descripción.
7. Seleccione Siguiente.
8. En la pestaña Configuración , seleccione Agregar configuración .
9. En las ventanas del selector Configuración , seleccione Power (Energía).
10. Cuando la configuración aparezca en el panel inferior, en Nombre de configuración , seleccione Permitir
hibernar y, a continuación, seleccione la X en la esquina superior derecha de la ventana selector
Configuración para cerrar la ventana.
11. Cambie Allow Hibernate to Block ( Permitir hibernar a bloquear) y, a continuación, seleccione Siguiente.
12. En la pestaña Etiquetas de ámbito , configure si es necesario y, a continuación, seleccione Siguiente.
13. En la pestaña Asignaciones :
a. En Grupos incluidos , seleccione Agregar grupos .
b. Seleccione los grupos en los que se debe implementar la directiva de hibernación.
c. Seleccione Seleccionar
d. Seleccione Siguiente.
14. En la pestaña Revisar y crear , revise la configuración para asegurarse de que todo está configurado
correctamente y, a continuación, seleccione Crear .

Ver también
Cifrado de datos personales (PDE)
Preguntas más frecuentes sobre el cifrado de datos personales (PDE)
 Configuración de S/MIME para Windows
08/11/2022 • 3 minutes to read

Se aplica a
Windows10
Windows11
S/MIME significa Extensiones seguras multipropósito al correo de Internet y proporciona una capa de seguridad
adicional para correos electrónicos enviados a una cuenta de Exchange ActiveSync (EAS) y desde ella. S/MIME
permite a los usuarios cifrar los mensajes salientes y los datos adjuntos para que solo los destinatarios previstos
que tengan una identificación digital (ID), también conocida como certificado, puedan leerlos. Los usuarios
pueden firmar digitalmente un mensaje, lo que proporciona a los destinatarios una manera de comprobar la
identidad del remitente y que el mensaje no ha sido alterado.

Acerca del cifrado de mensajes

Los usuarios pueden enviar un mensaje cifrado a personas de su organización y a personas fuera de su
organización si tienen sus certificados de cifrado. Sin embargo, los usuarios que usan la aplicación De Correo de
Windows solo pueden leer mensajes cifrados si el mensaje se recibe en su cuenta de Exchange y tienen las
claves de descifrado correspondientes.
Solo los destinatarios que tengan un certificado pueden leer los mensajes cifrados. Si intenta enviar un mensaje
cifrado a los destinatarios cuyo certificado de cifrado no está disponible, la aplicación le pedirá que quite estos
destinatarios antes de enviar el correo electrónico.

Acerca de firmas digitales

Un mensaje firmado digitalmente asegura al destinatario que el mensaje no ha sido alterado y comprueba la
identidad del remitente. Los destinatarios solo pueden comprobar la firma digital si usan un cliente de correo
electrónico compatible con S/MIME.

Requisitos previos
S/MIME está habilitado para las cuentas de Exchange (local y Office 365). Los usuarios no pueden usar la
firma y el cifrado de S/MIME con una cuenta personal como [Link].
Se han instalado en el dispositivo certificados de intercambio de información personal (PFX) válidos.
Cómo crear perfiles de certificado PFX en el Administrador de configuración
Habilitar el acceso a recursos de la compañía mediante perfiles de certificado con Microsoft Intune

Elegir la configuración de S/MIME

En el dispositivo, sigue estos pasos: (agregar seleccionar certificado)
1. Abre la aplicación de correo.
2. Abre Configuración pulsando en el icono de engranaje en un equipo o en los puntos suspensivos (...) y,
a continuación, en el icono del engranaje en un teléfono.
3. Pulsa en Seguridad del correo electrónico .

4. En Seleccionar una cuenta , selecciona la cuenta para la que quieras configurar las opciones de
S/MIME.
5. Selecciona un certificado para la firma digital y cifrado.
Selecciona Automáticamente para permitir que la aplicación elija el certificado.
Selecciona Manualmente para especificar un certificado de la lista de certificados válidos en el
dispositivo.
6. (Opcional) Selecciona Firmar siempre con S/MIME , Cifrar siempre con S/MIME , o ambas opciones,
para firmar digitalmente o cifrar de forma automática todos los mensajes salientes.
 NOTE
La opción de firmar o cifrar se puede cambiar para los mensajes individuales, a menos que las directivas de EAS lo
impidan.

7. Pulsa en la flecha atrás.

Cifrar o firmar mensajes individuales

1. Al redactar un mensaje, elige Opciones en la cinta. En el teléfono, se puede acceder a Opciones
pulsando los puntos suspensivos (...).
2. Usa los iconos Firmar y Cifrar para activar la firma digital y el cifrado para este mensaje.

Leer mensajes firmados o cifrados

Cuando recibas un mensaje cifrado, la aplicación correo comprobará si hay un certificado disponible en el
equipo. Si hay un certificado disponible, el mensaje se descifrará cuando lo abras. Si el certificado está
almacenado en una tarjeta inteligente, se te pedirá que insertes la tarjeta inteligente para leer el mensaje. La
tarjeta inteligente también puede necesitar un PIN para acceder al certificado.

Instalar certificados de un mensaje recibido

Cuando recibe un correo electrónico firmado, la aplicación proporciona una característica para instalar el
certificado de cifrado correspondiente en el dispositivo si el certificado está disponible. Este certificado puede
usarse después para enviar correos electrónicos cifrados a esta persona.
1. Abre un correo electrónico con firma.
2. Pulsa o haz clic en el icono de firma digital del panel de lectura.
3. Pulsa en Instalar .
 Guía técnica de VPN de Windows
08/11/2022 • 2 minutes to read

Esta guía le guiará por las decisiones que tomará para Windows 10 o Windows 11 clientes de la solución VPN
empresarial y cómo configurar la implementación. En esta guía se hace referencia al proveedor de servicios de
configuración (CSP) VPNv2 y se proporcionan instrucciones de configuración de administración de dispositivos
móviles (MDM) mediante Microsoft Intune y la plantilla perfil de VPN para Windows 10 y Windows 11.
Para crear un perfil de configuración de dispositivo VPN de Windows 10, consulte: Windows 10 y Configuración
de dispositivos Holográficos de Windows para agregar conexiones VPN mediante Intune.

NOTE
En esta guía no se explica la implementación del servidor.

En esta guía
A RT ÍC ULO DESC RIP C IÓ N

Tipos de conexión de VPN Selecciona un cliente VPN y un protocolo de túnel

Decisiones de enrutamiento de VPN Elige entre una configuración de túnel dividido y túnel
forzado

Opciones de autenticación de VPN Selecciona un método para la autenticación del protocolo de

autenticación extensible (EAP).

VPN y acceso condicional Usa la evaluación de la directiva de Azure Active Directory

para establecer las directivas de acceso para las conexiones
VPN.

Resolución de nombres de VPN Decidir cómo debe funcionar la resolución de nombres

Opciones desencadenadas automáticamente de perfil de Configurar un perfil de VPN para conectarte

VPN automáticamente por aplicación o por nombre, para estar
"siempre activado" y para que no active VPN en redes de
confianza

Características de seguridad de VPN Configurar el filtrado de tráfico, conectar un perfil de VPN a

Windows Information Protection (WIP) y mucho más

Opciones de perfil de VPN Combinar la configuración en un único perfil de VPN

mediante XML

Más información
Creación de perfiles de VPN para conectarse a servidores VPN en Intune
 Tipos de conexión de VPN
08/11/2022 • 2 minutes to read

Las redes privadas virtuales (VPN) son conexiones de punto a punto en una red pública o privada, como
Internet. Un cliente VPN usa protocolos especiales TCP/IP o basados en UDP, denominados protocolos de túnel,
para realizar una llamada virtual a un puerto virtual en un servidor VPN. En una implementación típica de VPN,
un cliente inicia una conexión virtual de punto a punto en un servidor de acceso remoto a través de Internet. El
servidor de acceso remoto responde a la llamada, autentica al autor de la llamada y transfiere datos entre el
cliente VPN y de red privada de la organización.
Hay muchas opciones para los clientes VPN. En Windows 10 y Windows 11, el complemento integrado y la
plataforma de complemento vpn de Plataforma universal de Windows (UWP) se basan en la plataforma VPN de
Windows. Esta guía se centra en los clientes de la plataforma de VPN de Windows y en las características que
pueden configurarse.

Cliente VPN integrado

Protocolos de túnel
Intercambio de claves por red versión 2 (IKEv2)
Configura las propiedades criptográficas de túnel de IPsec/IKE mediante la opción Conjunto de
aplicaciones criptográficas en el Proveedor de servicios de configuración (CSP) VPNv2.
L2TP
L2TP con la autenticación de clave precompartida (PSK) puede configurarse mediante la opción
L2tpPsk en el VPNv2 CSP.
PPTP
SSTP
SSTP es compatible con las ediciones de escritorio de Windows únicamente. No se puede
configurar SSTP mediante la administración de dispositivos móviles (MDM), pero es uno de los
protocolos que se intenta en la opción Automático .
 NOTE
Cuando se usa un complemento de VPN, el adaptador se mostrará como un adaptador SSTP, aunque el
protocolo VPN usado sea el protocolo del complemento.

Automático
La opción Automático significa que el dispositivo intentará cada uno de los protocolos de túnel
integrados hasta que se establezca la conexión. Intentará desde el más seguro al menos seguro.
Configura Automático para la opción NativeProtocolType en el VPNv2 CSP.

Complemento de VPN de la Plataforma universal de Windows

Los complementos VPN de Plataforma universal de Windows (UWP) se introdujeron en Windows 10 y
Windows 11, aunque originalmente había una versión independiente disponible para la plataforma de pc
Windows 8.1. Con la plataforma UWP, los proveedores de VPN externos pueden crear complementos de
contenedores de aplicaciones mediante API de WinRT, lo que elimina la complejidad y los problemas a menudo
asociados con la escritura en controladores de nivel del sistema.
Hay un número de aplicaciones de VPN de la Plataforma universal de Windows, como Pulse Secure, Cisco
AnyConnect, F5 Access, Sonicwall Mobile Connect y Check Point Capsule. Si quieres usar un complemento de
VPN de UWP, trabaja con tu proveedor para conocer las opciones personalizadas necesarias para configurar la
solución VPN.

Configurar el tipo de conexión

Consulta Opciones de perfil de VPN y VPNv2 CSP para conocer la configuración de XML.
En la imagen siguiente se muestran las opciones de conexión de una directiva de configuración de perfil de VPN
mediante Microsoft Intune:
En Intune, también puede incluir XML personalizado para perfiles de complemento de terceros:
Temas relacionados
Guía técnica de VPN
Decisiones de enrutamiento de VPN
Opciones de autenticación de VPN
VPN y acceso condicional
Resolución de nombres de VPN
Opciones desencadenadas automáticamente de perfil de VPN
Características de seguridad de VPN
Opciones de perfil de VPN
 Decisiones de enrutamiento de VPN
08/11/2022 • 2 minutes to read

Las rutas de red son necesarias para que la pila comprenda qué interfaz usar para el tráfico saliente. Una de las
decisiones más importantes para la configuración de VPN es si quieres enviar todos los datos a través de VPN
(túnel forzado) o solo algunos datos a través de la VPN (túnel dividido). Esta decisión afecta a la configuración y
el planeamiento de capacidad, así como las expectativas de seguridad de la conexión.

Configuración de túnel dividido

En una configuración de túnel dividido, se pueden especificar las rutas para ir por VPN y todo el tráfico restante
pasará por la interfaz física.
Las rutas pueden configurarse mediante la opción VPNv2/ProfileName/RouteList en el proveedor de servicios
de configuración (CSP) VPNv2.
Para cada elemento de la ruta en la lista, puede especificarse lo siguiente:
Dirección : VPNv2/NombreDePerfil/ListaDeRuta/IdDeFilaDeRuta/Dirección
Tamaño de prefijo : VPNv2/NombreDePerfil/ListaDeRuta/IdDeFilaDeRuta/Prefijo
Ruta de exclusión : VPNv2/NombreDePerfil/ListaDeRuta/IdDeFilaDeRita/RutaDeExclusión
La plataforma de VPN de Windows ahora admite la capacidad de especificar las rutas de exclusión que en
concreto no deben incluirse en la interfaz física.
También pueden agregarse rutas en tiempo de conexión a través del servidor para aplicaciones VPN para UWP.

Configuración de túnel forzado

En una configuración de túnel forzado, todo el tráfico pasará por VPN. Esta es la configuración predeterminada y
surte efecto si no se especifica ninguna ruta.
La única implicación de esta configuración es la manipulación de las entradas de enrutamiento. En el caso de un
túnel forzado, las rutas VPN v4 y v6 predeterminadas (por ejemplo, [Link]/0) se agregan a la tabla de
enrutamiento con una métrica inferior a las de otras interfaces. Esto envía el tráfico a través de la VPN, siempre
y cuando no haya una ruta específica en la interfaz física misma.
Para una VPN integrada, esta decisión se controla mediante la opción de MDM
VPNv2/ProfileName/NativeProfile/RoutingPolicyType .
Para un complemento de VPN para UWP, la aplicación controla esta propiedad directamente. Si el complemento
VPN indica la ruta predeterminada para IPv4 e IPv6 como las dos únicas rutas de inclusión, la plataforma VPN
marca la conexión como Túnel forzado.

Configurar el enrutamiento
Consulta Opciones de perfil de VPN y VPNv2 CSP para conocer la configuración de XML.
Cuando configuras un perfil de VPN en Microsoft Intune, seleccionas una casilla para habilitar la configuración
de túnel dividido.
Luego, en Límites corporativos , agregas las rutas que deben usar la conexión VPN.

Temas relacionados
Guía técnica de VPN
Tipos de conexión de VPN
Opciones de autenticación de VPN
VPN y acceso condicional
Resolución de nombres de VPN
Opciones desencadenadas automáticamente de perfil de VPN
Características de seguridad de VPN
Opciones de perfil de VPN
 Opciones de autenticación de VPN
08/11/2022 • 3 minutes to read

Además de los métodos de autenticación basados en contraseña antiguos y menos seguros (que deben
evitarse), la solución VPN integrada usa el protocolo de autenticación extensible (EAP) para proporcionar una
autenticación segura con el nombre de usuario y la contraseña, y métodos basados en certificados. Solo puedes
configurar la autenticación basada en EAP si seleccionas un tipo VPN integrado (IKEv2, L2TP, PPTP o automático).
Windows admite una serie de métodos de autenticación de EAP.
EAP-Microsoft Challenge Handshake Authentication Protocol versión 2 (EAP-MSCHAPv2):
Autenticación por nombre de usuario y contraseña
Credenciales de Winlogon: puedes especificar la autenticación con credenciales de inicio de sesión del
equipo
Seguridad de la capa de EAP-Transport (EAP-TLS):
Admite los siguientes tipos de autenticación de certificados:
Certificado con claves en el proveedor de almacenamiento de claves (KSP) de software
Certificado con claves en módulo de plataforma segura (TPM) KSP
Certificados de tarjeta inteligente
Certificado de Windows Hello para empresas
Filtrado de certificados:
El filtrado de certificados puede habilitarse para buscar un determinado certificado que se
usará para autenticarse
El filtrado puede basarse en el emisor o basarse en el uso mejorado de claves (EKU)
Validación del servidor: con TLS, la validación del servidor se puede activar o desactivar:
Nombre de servidor: especifica el servidor para validar
Certificado de servidor: certificado raíz de confianza para validar el servidor
Notificación: especifica si el usuario debe recibir una notificación que le pregunte si confiar en
el servidor o no
Protocolo de autenticación extensible protegido (PEAP):
Validación del servidor: con PEAP, la validación del servidor se puede activar o desactivar:
Nombre de servidor: especifica el servidor para validar
Certificado de servidor: certificado raíz de confianza para validar el servidor
Notificación: especifica si el usuario debe recibir una notificación que le pregunte si confiar en
el servidor o no
Método interno: el método externo crea un túnel seguro dentro mientras que el método interno se
usa para completar la autenticación:
EAP-MSCHAPv2
EAP-TLS
Reconexión rápida: reduce el retraso entre un la solicitud de autenticación de un cliente y la
respuesta del servidor de directivas de redes (NPS) u otro servidor de Servicio de autenticación
remota telefónica de usuario (RADIUS). Esto reduce los requisitos de recursos del cliente y el
servidor, a la vez que minimiza el número de veces que se le piden las credenciales a los usuarios.
 Cryptobinding: al derivar e intercambiar valores del material de clave de la fase 1 de PEAP (clave
de túnel ) y del material de clave del método EAP interno de la fase 2 de PEAP (clave de sesión
interna ), es posible demostrar que las dos autenticaciones finalizan en las mismas dos entidades
(servidor PEAP del mismo nivel y PEAP). Este proceso, que se conoce como "cryptobinding", se usa
para proteger la negociación de PEAP contra los ataques "Man in the Middle".
Seguridad de capa de transporte de túnel (TTLS)
Método interno
Sin EAP
Protocolo de autenticación de contraseña (PAP)
CHAP
MSCHAP
MSCHAPv2
EAP
MSCHAPv2
TLS
Validación del servidor: en TTLS, el servidor debe validarse. Puede configurarse lo siguiente:
Nombre del servidor
Certificado raíz de confianza para el certificado de servidor
Si debe haber una notificación de validación de servidor
Para un complemento VPN de UWP, el proveedor de la aplicación controla el método de autenticación que se
usará. Pueden usarse los siguientes tipos de credenciales:
Tarjeta inteligente
Certificado
Windows Hello para empresas
Nombre de usuario y contraseña
Contraseña de un solo uso
Tipo de credencial personalizada

Configurar la autenticación
Consulta Configuración de EAP para conocer la configuración de EAP XML.

NOTE
Para configurar la autenticación de Windows Hello para empresas, sigue los pasos de configuración de EAP para crear un
certificado de tarjeta inteligente. Más información sobre Windows Hello para empresas.

La siguiente imagen muestra el campo para EAP XML en un perfil de VPN de Microsoft Intune. El campo de EAP
XML solo aparece cuando seleccionas un tipo de conexión integrada (automático, IKEv2, L2TP, PPTP).
Temas relacionados
Guía técnica de VPN
Tipos de conexión de VPN
Decisiones de enrutamiento de VPN
VPN y acceso condicional
Resolución de nombres de VPN
Opciones desencadenadas automáticamente de perfil de VPN
Características de seguridad de VPN
Opciones de perfil de VPN
 VPN y acceso condicional
08/11/2022 • 6 minutes to read

El cliente VPN ahora es capaz de integrarse con la plataforma de acceso condicional basado en la nube para
proporcionar una opción de cumplimiento del dispositivo para los clientes remotos. Acceso condicional es un
motor de evaluación basado en directivas que te permite crear reglas de acceso para cualquier aplicación
conectada de Azure Active Directory (Azure AD).

NOTE
Acceso condicional es una característica de Azure AD Premium.

Los componentes de la plataforma de acceso condicional usados para el cumplimiento del dispositivo incluyen
los siguientes servicios basados en la nube:
Marco de acceso condicional
Azure AD Connect Health
Servicio de atestación de estado de Windows (opcional)
Entidad de certificación de Azure AD: es obligatorio que el certificado de cliente usado para la solución de
cumplimiento del dispositivo basado en la nube sea emitido por una entidad de certificación (CA) basada
en Azure Active Directory. Una entidad de certificación de Azure AD es, básicamente, un inquilino de nube
miniCA en Azure. No puede configurarse la entidad de certificación de Azure AD como parte de una CA
empresarial local. Consulte también Always On implementación de VPN para Windows Server y
Windows 10.
Certificados emitidos por Azure AD de corta duración: cuando se realiza un intento de conexión a VPN, el
agente de tokens de Azure AD en el dispositivo local se comunica con Azure Active Directory, que, a
continuación, comprueba el estado en función de reglas de cumplimiento. Si cumple, Azure AD devuelve
un certificado de corta duración que se usa para autenticar la VPN. Ten en cuenta que pueden usarse
métodos de autenticación de certificados como EAP-TLS. Cuando expire ese certificado, el cliente
comprobará de nuevo con Azure AD la validación de estado antes de emitir un nuevo certificado.
Directivas de cumplimiento de dispositivo de Microsoft Intune: el cumplimiento de dispositivos basado
en la nube aprovecha las directivas de cumplimiento de Microsoft Intune, que son capaces de consultar el
estado del dispositivo y definir reglas de cumplimiento para lo siguiente, entre otras cosas.
Estado del antivirus
Estado de actualización automática y cumplimiento de actualización
Cumplimiento de la directiva de contraseñas
Cumplimiento de cifrado
Estado de atestación de estado de dispositivo (que se validan con el servicio de atestación después de
la consulta)
Los siguientes componentes del lado cliente también son obligatorios:
Proveedor de servicio de configuración (CSP) de HealthAttestation
Configuración del nodo VPNv2 CSP DeviceCompliance
Módulo de plataforma segura (TPM)
Cumplimiento del dispositivo VPN
En este momento, los certificados de Azure AD emitidos a los usuarios no contienen un punto de distribución crl
(CDP) y no son adecuados para que los centros de distribución de claves (KDC) emita tokens kerberos. Para que
los usuarios obtengan acceso a recursos locales, como archivos en un recurso compartido de red, los
certificados de autenticación de cliente deben implementarse en los perfiles de Windows de los usuarios y sus
perfiles VPNv2 deben contener la <sección SSO> .
Los requisitos de infraestructura del lado servidor para admitir el cumplimiento del dispositivo VPN incluyen:
El servidor VPN debe configurarse para la autenticación de certificado.
El servidor VPN debe confiar en la CA de Azure AD específica del inquilino.
Para el acceso de cliente mediante Kerberos/NTLM, se implementa un certificado de confianza de dominio en
el dispositivo cliente y está configurado para usarse para el inicio de sesión único (SSO).
Después de configurar el lado del servidor, los administradores de la VPN pueden agregar la configuración de
directiva para el acceso condicional en el perfil de VPN mediante el nodo VPNv2 DeviceCompliance.
Se aprovechan dos proveedores de servicios de configuración del lado cliente para el cumplimiento del
dispositivo VPN.
Configuración del dispositivo VPNv2 CSPCompliance:
Habilitado : habilita el flujo de cumplimiento del dispositivo para el cliente. Si se marca como true , el
cliente VPN intenta comunicarse con Azure AD para obtener un certificado que se usará para la
autenticación. La VPN debe configurarse para usar autenticación de certificado, y el servidor VPN
debe confiar en el servidor devuelto por Azure AD.
Sso : las entradas de SSO se deben usar para indicar al cliente VPN que use un certificado que no sea
el certificado de autenticación VPN al acceder a los recursos que requieren autenticación Kerberos.
Sso/Enabled : si este campo está establecido en true , el cliente VPN busca un certificado
independiente para la autenticación Kerberos.
Sso/IssuerHash : aplica una función hash para que el cliente VPN busque el certificado correcto para
la autenticación Kerberos.
Sso/Eku : lista separada por comas de extensiones de uso mejorado de clave (EKU) para que el cliente
VPN busque el certificado correcto para la autenticación Kerberos.
HealthAttestation CSP (no es un requisito): las funciones realizadas por el HealthAttestation CSP incluyen:
Recopila datos TPM que se usan para comprobar estados de mantenimiento
Reenvía los datos al servicio de atestación de estado (HAS)
Aprovisiona el certificado de atestación de estado recibido del HAS
A petición, reenvíe el certificado de atestación de estado (recibido de HAS) y la información de tiempo
de ejecución relacionada al servidor MDM para su comprobación.

NOTE
Actualmente, es necesario que los certificados usados para obtener vales de Kerberos se emita desde una entidad de
certificación local y que el inicio de sesión único se debe habilitar en el perfil de VPN del usuario. Esto permitirá al usuario
acceder a los recursos locales.
En el caso de dispositivos unidos solo a AzureAD (no dispositivos unidos a híbridos), si el certificado de usuario emitido
por la CA local tiene el UPN de usuario de AzureAD en Asunto y SAN (nombre alternativo del firmante), el perfil de VPN
debe modificarse para asegurarse de que el cliente no almacena en caché las credenciales usadas para la autenticación
VPN. Para ello, después de implementar el perfil de VPN en el cliente, modifique [Link] en el cliente cambiando la
entrada UseRasCredentials de 1 (valor predeterminado) a 0 (cero).
Flujo de conexión de cliente
El flujo de conexión del lado cliente VPN funciona de la siguiente manera:

Cuando se configura un perfil VPNv2 con <DeviceCompliance> <Enabled>true</Enabled> el cliente VPN usa
este flujo de conexión:
1. El cliente VPN llama al agente de tokens de Azure AD de Windows 10 o Windows 11, identificándose
como cliente VPN.
2. El agente de tokens de Azure AD se autentica en Azure AD y le proporciona información acerca del
dispositivo que intenta conectarse. El servidor de AD Azure comprueba si el dispositivo cumple con las
directivas.
3. Si es compatible, Azure AD solicita un certificado de corta duración.
4. Azure AD inserta un certificado de corta duración en el almacén de certificados mediante el agente de
tokens. El agente de tokens luego devuelve el control al cliente VPN para el procesamiento posterior de
conexión.
5. El cliente VPN usa el certificado emitido por AD Azure para autenticarse en el servidor VPN.

Configurar el acceso condicional

Consulta Opciones de perfil de VPN y VPNv2 CSP para conocer la configuración de XML.

Obtén más información sobre el acceso condicional y el estado de

Azure AD
Acceso condicional de Azure Active Directory
Introducción al acceso condicional de Azure Active Directory
Controlar el estado de los dispositivos basados en Windows 10
Controlar el estado de los dispositivos basados en Windows 11
Sugerencia: el marco de acceso condicional y cumplimiento del dispositivo para VPN (parte 1)
 Sugerencia: el marco de acceso condicional y cumplimiento del dispositivo para VPN (parte 2)
Sugerencia: el marco de acceso condicional y cumplimiento del dispositivo para VPN (parte 3)
Sugerencia: el marco de acceso condicional y cumplimiento del dispositivo para VPN (parte 4)

Temas relacionados
Guía técnica de VPN
Tipos de conexión de VPN
Decisiones de enrutamiento de VPN
Opciones de autenticación de VPN
Resolución de nombres de VPN
Opciones desencadenadas automáticamente de perfil de VPN
Características de seguridad de VPN
Opciones de perfil de VPN
 Resolución de nombres de VPN
08/11/2022 • 2 minutes to read

Cuando el cliente VPN se conecta al servidor VPN, el cliente VPN recibe la dirección IP del cliente. El cliente
también puede recibir la dirección IP del servidor de sistema de nombres de dominio (DNS) y la dirección IP del
servidor del Servicio de nombres Internet de Windows (WINS).
La configuración de resolución de nombre en el perfil de VPN configura cómo debe funcionar la resolución de
nombres en el sistema cuando se conecta la VPN. La pila de red primero busca las coincidencias en la tabla de
directivas de resolución de nombre (NRPT) e intenta una resolución en caso de hallar una coincidencia. Si no se
encuentra ninguna coincidencia, el sufijo DNS en la interfaz preferida en función de la métrica de interfaz se
anexa al nombre (en el caso de un nombre corto) y se envía una consulta DNS en la interfaz preferida. Si se
agota el tiempo de espera de la consulta, se usa la lista de búsqueda de sufijos DNS en orden y se envían
consultas DNS en todas las interfaces.

Tabla de directivas de resolución de nombres (NRPT)

La tabla NRPT es una tabla de espacios de nombres que determina el comportamiento del cliente DNS al emitir
las consultas de resolución de nombres y las respuestas de procesamiento. Es el primer lugar donde la pila
buscará DNSCache.
Hay 3 tipos de coincidencias de nombre que se pueden configurar para NRPT:
Nombre de dominio completo (FQDN) que puede usarse para una coincidencia directa con un nombre
La coincidencia de sufijos provoca una comparación de sufijos (para la resolución FQDN) o el anexado
del sufijo (en caso de un nombre corto)
Toda resolución debe intentar primero resolverse con el servidor proxy/servidor DNS con esta entrada
NRPT se establece mediante el nodo VPNv2/ ProfileName /DomainNameInformationList del VPNv2 CSP.
Este nodo configura también el servidor proxy web o servidores de nombres de dominio.
Obtén más información sobre NRPT

Sufijo DNS
Esta opción se usa para configurar el sufijo DNS principal de la interfaz VPN y la lista de búsqueda sufijos una
vez que se establece la conexión VPN.
El sufijo DNS principal se establece mediante el nodo VPNv2/ ProfileName /DnsSuffix .
Averigua más sobre el sufijo DNS principal

Persistente
También puedes configurar reglas de resolución de nombres persistente. La resolución de nombres de los
elementos especificados solo se realizará a través de la VPN.
La resolución de nombres persistente se establece mediante el nodo
VPNv2/ ProfileName /DomainNameInformationList// dniRowId /Persistent .

Configurar la resolución de nombres

Consulta Opciones de perfil de VPN y VPNv2 CSP para conocer la configuración de XML.
La siguiente imagen muestra las opciones de resolución de nombres en una directiva de configuración de perfil
de VPN con Microsoft Intune.

Los campos en Agregar o editar regla de DNS en el perfil de Intune correspondiente a la configuración de
XML que se muestra en la siguiente tabla.

CAMPO XM L

Nombre VPNv2/ProfileName /DomainNameInformationList/dn

iRowId /DomainName

Ser vidores (separados por comas) VPNv2/ProfileName /DomainNameInformationList/dn

iRowId /DnsSer vers

Ser vidor proxy VPNv2/ProfileName /DomainNameInformationList/dn

iRowId /WebSer vers

Temas relacionados
Guía técnica de VPN
Tipos de conexión de VPN
Decisiones de enrutamiento de VPN
Opciones de autenticación de VPN
VPN y acceso condicional
Opciones desencadenadas automáticamente de perfil de VPN
Características de seguridad de VPN
Opciones de perfil de VPN
 Opciones desencadenadas automáticamente de
perfil de VPN
08/11/2022 • 4 minutes to read

En Windows 10 y Windows 11, se han agregado una serie de características a la VPN de desencadenador
automático para que los usuarios no tengan que conectarse manualmente cuando se necesite VPN para acceder
a los recursos necesarios. Existen tres tipos diferentes de reglas de desencadenamiento automático:
Desencadenador de aplicaciones
Desencadenador basado en nombre
Siempre activado

NOTE
Las conexiones VPN desencadenadas automáticamente no funcionarán si está habilitada la redirección de carpetas para
AppData. El redireccionamiento de carpetas para AppData debe estar deshabilitado o el perfil de VPN desencadenado
automáticamente debe implementarse en el contexto del sistema, lo que cambia la ruta de acceso al lugar donde se
almacena el archivo [Link].

Desencadenador de aplicaciones
Los perfiles de VPN en Windows 10 o Windows 11 se pueden configurar para conectarse automáticamente al
iniciar un conjunto de aplicaciones especificado. Puedes configurar aplicaciones de escritorio o para Plataforma
universal de Windows (UWP) para desencadenar una conexión VPN. También puedes configurar VPN por
aplicación y especificar las reglas de tráfico para cada aplicación. Consulta Filtros de tráfico para obtener más
detalles.
El identificador de la aplicación para una aplicación de escritorio es una ruta de acceso de archivo. El
identificador de la aplicación para una aplicación para UWP es un nombre de familia de paquete.
Buscar un nombre de familia de paquete (PFN) para la configuración de VPN por aplicación

Desencadenador basado en nombre

Puedes configurar una regla basada en el nombre de dominio para que un nombre de dominio específico
desencadene la conexión VPN.
El desencadenador automático basado en nombre puede configurarse mediante la opción
VPNv2/ProfileName/DomainNameInformationList/dniRowId/AutoTrigger en el proveedor de servicios de
configuración (CSP) VPNv2.
Existen cuatro tipos de desencadenadores basados en nombre:
Nombre corto: por ejemplo, si HRweb está configurado como desencadenador y la pila ve una solicitud de
resolución DNS para HRweb , se activará la VPN.
Nombre de dominio completo (FQDN): por ejemplo, si [Link] está configurado como
un desencadenador y la pila ve una solicitud de resolución DNS para [Link] , se
activará la VPN.
Sufijo: por ejemplo, si .[Link] está configurado como desencadenador y la pila ve una solicitud
de resolución DNS con un sufijo coincidente (como [Link] ), se activará la VPN. Para las
 resoluciones de nombre corto, se activará la VPN y se consultará al servidor DNS por
[Link] .
Todo: si se usa, todas las resoluciones de DNS deberían activar la VPN.

Siempre activado
Always On es una característica de Windows 10 y Windows 11 que permite que el perfil de VPN activo se
conecte automáticamente en los siguientes desencadenadores:
Inicio de sesión de usuario
Cambio de red
Encendido de la pantalla del dispositivo
Cuando se produce el desencadenador, la VPN intenta conectarse. Si se produce un error o se necesita la
entrada de cualquier usuario, al usuario le aparece una notificación del sistema para que interactúe.
Cuando un dispositivo tiene varios perfiles con desencadenadores Siempre activado, el usuario puede
especificar el perfil activo en Configuración > Red e Internet > VPN > Perfil de VPN si selecciona la casilla
Permitir que las aplicaciones usen automáticamente esta conexión VPN . De manera predeterminada,
el primer perfil configurado por MDM está marcado como Activo . Los dispositivos con varios usuarios tienen la
misma restricción: solo un perfil y, por tanto, solo un usuario podrá usar los desencadenadores de Always On.

Conservación de las preferencias de Always On de usuario

Windows tiene una característica para conservar la preferencia AlwaysOn de un usuario. En caso de que un
usuario desactive manualmente la casilla "Conectar automáticamente", Windows recordará esta preferencia de
usuario para este nombre de perfil agregando el nombre del perfil al valor AutoTriggerDisabledProfilesList .
Si una herramienta de administración quita o agrega el mismo nombre de perfil de nuevo y establece
AlwaysOn en true , Windows no activará la casilla si el nombre del perfil existe en el siguiente valor del
Registro para conservar las preferencias del usuario.
Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Config
Valor : AutoTriggerDisabledProfilesList
Tipo: REG_MULTI_SZ

Detección de redes de confianza

Esta característica configura la VPN de modo que no se active si un usuario está en una red corporativa de
confianza. El valor de esta configuración es una lista de sufijos DNS. La pila de VPN examinará el nombre de red
del perfil de conexión de interfaz física y, si coincide con cualquiera en la lista configurada y la red es privada o
aprovisionada por MDM, la VPN no se desencadenará.
La detección de redes de confianza puede configurarse mediante la opción
VPNv2/ProfileName/TrustedNetworkDetection en VPNv2 CSP.

Configurar VPN activadas por aplicaciones

Consulta Opciones de perfil de VPN y VPNv2 CSP para conocer la configuración de XML.
La siguiente imagen muestra la asociación de una aplicación a una conexión VPN en una directiva de
configuración de perfil de VPN mediante Microsoft Intune.
Después de agregar una aplicación asociada, si seleccionas la casilla Solo estas aplicaciones pueden usar
esta conexión VPN (VPN por aplicación) , la aplicación pasa a estar disponible en Límites corporativos ,
donde puedes configurar las reglas de la aplicación. Consulta Filtros de tráfico para obtener más detalles.

Temas relacionados
Guía técnica de VPN
Tipos de conexión de VPN
Decisiones de enrutamiento de VPN
Opciones de autenticación de VPN
VPN y acceso condicional
Resolución de nombres de VPN
Características de seguridad de VPN
Opciones de perfil de VPN
 Características de seguridad de VPN
08/11/2022 • 4 minutes to read

Contenedores basados en Hyper-V y VPN

Windows admite diferentes tipos de contenedores basados en Hyper-V. Esta compatibilidad incluye, pero no se
limita a, Protección de aplicaciones de Microsoft Defender y Espacio aislado de Windows. Cuando se usan
soluciones VPN de terceros, es posible que estos contenedores basados en Hyper-V no puedan conectarse sin
problemas a Internet. Es posible que se necesiten cambios de configuración adicionales para resolver problemas
de conectividad.
Por ejemplo, para más información sobre una solución alternativa para Cisco AnyConnect VPN, vea guía del
administrador del cliente de movilidad segura de Cisco AnyConnect: Problemas de conectividad con
subsistemas basados en vm.

Integración de Windows Information Protection (WIP) con VPN

Windows Information Protection proporciona funcionalidades que permiten la separación y protección de los
datos empresariales frente a la divulgación en todos los dispositivos de propiedad personal y de la empresa, sin
necesidad de cambios adicionales en los entornos o en las propias aplicaciones. Además, cuando se usa con
Rights Management Services (RMS), WIP puede ayudar a proteger los datos empresariales localmente.
El nodo EdpModeId del proveedor de servicios de configuración de VPNv2 (CSP) permite que un cliente VPN
de Windows 10 o Windows 11 se integre con WIP, ampliando su funcionalidad a dispositivos remotos. Entre las
situaciones de uso para WIP se incluyen:
Funcionalidad principal: cifrado de archivos y bloqueo de acceso a archivos
Aplicación de directivas de la experiencia del usuario: restringir las operaciones de copiar y pegar, arrastrar y
colocar, y uso compartido
Aplicación de directivas de red de WIP: proteger los recursos de intranet a través de la red corporativa y VPN
Aplicación de directivas de red: proteger los recursos de nube en Internet y SMB a través de la red
corporativa y VPN
El valor de EdpModeId es un identificador de empresa. La pila de red buscará este identificador en el token de
la aplicación para determinar si debe activarse la VPN para esa aplicación en particular.
Además, al conectarse con WIP, el administrador no tiene que especificar reglas AppTriggerList y TrafficFilterList
por separado en este perfil (a menos que se necesite una configuración más avanzada) porque las directivas de
WIP y las listas de aplicaciones surten efecto automáticamente.
Más información sobre Windows Information Protection

Filtros de tráfico
Los filtros de tráfico permiten a las empresas decidir qué tráfico se permite en la red corporativa según las
directivas. Los administradores de red pueden usar filtros de tráfico para agregar de forma eficaz reglas de
firewall específicas de la interfaz de la interfaz VPN. Hay dos tipos de reglas de filtro de tráfico:
Reglas basadas en aplicaciones. Con las reglas basadas en aplicaciones, se puede marcar una lista de
aplicaciones para permitir que solo el tráfico procedente de estas aplicaciones vaya a través de la interfaz
VPN.
 Reglas basadas en el tráfico. Las reglas basadas en tráfico son directivas de tupla de 5 (puertos, direcciones,
protocolo) que se pueden especificar para permitir que solo el tráfico que coincida con estas reglas pase por
la interfaz VPN.
Puede haber varios conjuntos de reglas vinculados con el operador OR. En cada conjunto, puede haber reglas
basadas en aplicaciones y en el tráfico. Todas las propiedades del conjunto se vincularán mediante el operador
AND. Además, estas reglas pueden aplicarse en un nivel por aplicación o por dispositivo.
Por ejemplo, un administrador puede definir las reglas que especifican:
La aplicación de Recursos Humanos de Contoso debe tener permitido pasar por la VPN y acceder
únicamente al puerto 4545.
Las aplicaciones financieras de Contoso pueden pasar por la VPN y solo acceder a los intervalos ip remotos
de [Link] a [Link] en el puerto 5889.
Todas las demás aplicaciones en el dispositivo deben poder acceder únicamente a los puertos 80 o 443.

Configurar los filtros de tráfico

Consulta Opciones de perfil de VPN y VPNv2 CSP para conocer la configuración de XML.
En la imagen siguiente se muestra la interfaz para configurar las reglas de tráfico en una directiva de
configuración de perfil de VPN mediante Microsoft Intune.

VPN de bloqueo
Un perfil de VPN configurado con bloqueo protege el dispositivo para permitir solamente el tráfico de red a
través de la interfaz de VPN. Tiene las siguientes características:
El sistema intenta mantener la VPN conectada en todo momento.
El usuario no puede desconectar la conexión VPN.
El usuario no puede eliminar o modificar el perfil de VPN.
El perfil de bloqueo de VPN usa la conexión de túnel forzada.
Si la conexión VPN no está disponible, se bloquea el tráfico de red saliente.
Solo se permite un perfil de bloqueo de VPN en un dispositivo.
 NOTE
En el caso de VPN integrada, la VPN de bloqueo solo está disponible para el tipo de conexión de Internet Key Exchange
versión 2 (IKEv2).

Implemente esta característica con precaución, ya que la conexión resultante no podrá enviar ni recibir ningún
tráfico de red sin que la VPN se conecte.

Temas relacionados
Guía técnica de VPN
Tipos de conexión de VPN
Decisiones de enrutamiento de VPN
Opciones de autenticación de VPN
VPN y acceso condicional
Resolución de nombres de VPN
Opciones desencadenadas automáticamente de perfil de VPN
Opciones de perfil de VPN
 Opciones de perfil de VPN
08/11/2022 • 5 minutes to read

La mayoría de la configuración de VPN de Windows 10 y Windows 11 se puede configurar en perfiles de VPN

mediante Microsoft Intune o Microsoft Configuration Manager. Todas las configuraciones de VPN de Windows
10 y Windows 11 se pueden configurar mediante el nodo ProfileXML del proveedor de servicios de
configuración de VPNv2 (CSP).

NOTE
Si no estás familiarizado con los CSP, consulta antes Introducción a los proveedores de servicios de configuración (CSP).

En la siguiente tabla se enumeran las opciones de VPN y si las opciones pueden configurarse en Intune y
Configuration Manager, o solo se pueden configurarse mediante ProfileXML .

SE P UEDE C O N F IGURA R EN IN T UN E Y C O N F IGURAT IO N

C O N F IGURA C IÓ N DEL P ERF IL M A N A GER

Tipo de conexión Sí

Enrutamiento: rutas de túnel dividido Sí, excepto las rutas de exclusión

Enrutamiento: túnel forzado Sí

Autenticación (EAP) Sí, si el tipo de conexión está integrado

Acceso condicional Sí

Resolución de nombres: NRPT Sí

Resolución de nombres: sufijo DNS No

Resolución de nombres: persistente No

Desencadenador automático: desencadenador de Sí

aplicaciones

Desencadenador automático: desencadenador de nombres Sí

Desencadenador automático: Siempre activado Sí

Desencadenador automático: detección de redes de No

confianza

LockDown No

Windows Information Protection (WIP) Sí

Filtros de tráfico Sí
 SE P UEDE C O N F IGURA R EN IN T UN E Y C O N F IGURAT IO N
C O N F IGURA C IÓ N DEL P ERF IL M A N A GER

Configuración de proxy Sí, por archivo PAC/WPAD o servidor y puerto

NOTE
La configuración del proxy VPN solo se usa en Las conexiones de Force Tunnel. En Conexiones de túnel dividido, se usa la
configuración general del proxy.

El nodo ProfileXML se agregó al VPNv2 CSP para permitir que los usuarios implementen un perfil de VPN como
un blob único. Este nodo es útil para implementar perfiles con características que aún no son compatibles con
MDM. Puede obtener más ejemplos en el artículo ProfileXML XSD .

Perfil de VPN nativo de muestra

El ejemplo siguiente es un perfil de VPN nativa de ejemplo. Este blob estaría incluido en el nodo ProfileXML.

<VPNProfile>
<ProfileName>TestVpnProfile</ProfileName>
<NativeProfile>
<Servers>[Link]</Servers>
<NativeProtocolType>IKEv2</NativeProtocolType>

<!--Sample EAP profile (PEAP)-->

<Authentication>
<UserMethod>Eap</UserMethod>
<Eap>
<Configuration>
<EapHostConfig xmlns="[Link]
<EapMethod>
<Type xmlns="[Link]
<VendorId xmlns="[Link]
<VendorType xmlns="[Link]
<AuthorId xmlns="[Link]
</EapMethod>
<Config xmlns="[Link]
<Eap xmlns="[Link]
<Type>25</Type>
<EapType xmlns="[Link]
<ServerValidation>
<DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation>
<ServerNames></ServerNames>
<TrustedRootCA>d2 d3 8e ba 60 ca a1 c1 20 55 a2 e1 c8 3b 15 ad 45 01 10 c2
</TrustedRootCA>
<TrustedRootCA>d1 76 97 cc 20 6e d2 6e 1a 51 f5 bb 96 e9 35 6d 6d 61 0b 74
</TrustedRootCA>
</ServerValidation>
<FastReconnect>true</FastReconnect>
<InnerEapOptional>false</InnerEapOptional>
<Eap xmlns="[Link]
<Type>13</Type>
<EapType xmlns="[Link]
<CredentialsSource>
<CertificateStore>
<SimpleCertSelection>true</SimpleCertSelection>
</CertificateStore>
</CredentialsSource>
<ServerValidation>
<DisableUserPromptForServerValidation>true</DisableUserPromptForServerValidation>
<ServerNames></ServerNames>
<TrustedRootCA>d2 d3 8e ba 60 ca a1 c1 20 55 a2 e1 c8 3b 15 ad 45 01 10 c2
</TrustedRootCA>
</TrustedRootCA>
<TrustedRootCA>d1 76 97 cc 20 6e d2 6e 1a 51 f5 bb 96 e9 35 6d 6d 61 0b 74
</TrustedRootCA>
</ServerValidation>
<DifferentUsername>false</DifferentUsername>
<PerformServerValidation
xmlns="[Link]
<AcceptServerName
xmlns="[Link]
<TLSExtensions
xmlns="[Link]
<FilteringInfo
xmlns="[Link]
<EKUMapping>
<EKUMap>
<EKUName>AAD Conditional Access</EKUName>
<EKUOID>[Link].[Link]</EKUOID>
</EKUMap>
</EKUMapping>
<ClientAuthEKUList Enabled="true">
<EKUMapInList>
<EKUName>AAD Conditional Access</EKUName>
</EKUMapInList>
</ClientAuthEKUList>
</FilteringInfo>
</TLSExtensions>
</EapType>
</Eap>
<EnableQuarantineChecks>false</EnableQuarantineChecks>
<RequireCryptoBinding>true</RequireCryptoBinding>
<PeapExtensions>
<PerformServerValidation
xmlns="[Link]
<AcceptServerName
xmlns="[Link]
</PeapExtensions>
</EapType>
</Eap>
</Config>
</EapHostConfig>
</Configuration>
</Eap>
</Authentication>

<!--Sample routing policy: in this case, this is a split tunnel configuration with two routes
configured-->
<RoutingPolicyType>SplitTunnel</RoutingPolicyType>
<DisableClassBasedDefaultRoute>true</DisableClassBasedDefaultRoute>
</NativeProfile>
<Route>
<Address>[Link]</Address>
<PrefixSize>24</PrefixSize>
</Route>
<Route>
<Address>[Link]</Address>
<PrefixSize>16</PrefixSize>
</Route>

<!--VPN will be triggered for the two apps specified here-->

<AppTrigger>
<App>
<Id>Microsoft.MicrosoftEdge_8wekyb3d8bbwe</Id>
</App>
</AppTrigger>
<AppTrigger>
<App>
<Id>C:\windows\system32\[Link]</Id>
</App>
</AppTrigger>
 <!--Example of per-app VPN. This configures traffic filtering rules for two apps. Internet Explorer is
configured for force tunnel, meaning that all traffic allowed through this app must go over VPN. Microsoft
Edge is configured as split tunnel, so whether data goes over VPN or the physical interface is dictated by
the routing configuration.-->
<TrafficFilter>
<App>
<Id>%ProgramFiles%\Internet Explorer\[Link]</Id>
</App>
<Protocol>6</Protocol>
<LocalPortRanges>10,20-50,100-200</LocalPortRanges>
<RemotePortRanges>20-50,100-200,300</RemotePortRanges>
<RemoteAddressRanges>[Link]/16,[Link]-[Link]</RemoteAddressRanges>
<RoutingPolicyType>ForceTunnel</RoutingPolicyType>
</TrafficFilter>
<TrafficFilter>
<App>
<Id>Microsoft.MicrosoftEdge_8wekyb3d8bbwe</Id>
</App>
<LocalAddressRanges>[Link]/32,[Link]-[Link]</LocalAddressRanges>
</TrafficFilter>

<!--Name resolution configuration. The AutoTrigger node configures name-based triggering. In this profile,
the domain "[Link]" triggers VPN.-->
<DomainNameInformation>
<DomainName>[Link]</DomainName>
<DnsServers>[Link],[Link]</DnsServers>
<WebProxyServers>[Link]</WebProxyServers>
<AutoTrigger>true</AutoTrigger>
</DomainNameInformation>
<DomainNameInformation>
<DomainName>.[Link]</DomainName>
<DnsServers>[Link],[Link]</DnsServers>
<WebProxyServers>[Link]</WebProxyServers>
</DomainNameInformation>

<!--EDPMode is turned on for the enterprise ID "[Link]". When a user accesses an app with that
ID, VPN will be triggered.-->
<EdpModeId>[Link]</EdpModeId>
<RememberCredentials>true</RememberCredentials>

<!--Always On is turned off, and triggering VPN for the apps and domain name specified earlier in the
profile will not occur if the user is connected to the trusted network "[Link]".-->
<AlwaysOn>false</AlwaysOn>
<DnsSuffix>[Link]</DnsSuffix>
<TrustedNetworkDetection>[Link]</TrustedNetworkDetection>
<Proxy>
<Manual>
<Server>HelloServer</Server>
</Manual>
<AutoConfigUrl>[Link]</AutoConfigUrl>
</Proxy>

<!--Device compliance is enabled and an alternate certificate is specified for domain resource
authentication.-->
<DeviceCompliance>
<Enabled>true</Enabled>
<Sso>
<Enabled>true</Enabled>
<Eku>This is my Eku</Eku>
<IssuerHash>This is my issuer hash</IssuerHash>
</Sso>
</DeviceCompliance>
</VPNProfile>

Perfil de VPN de complemento de muestra

El ejemplo siguiente es un perfil de VPN de complemento de ejemplo. Este blob estaría incluido en el nodo
ProfileXML.

<VPNProfile>
<ProfileName>TestVpnProfile</ProfileName>
<PluginProfile>
<ServerUrlList>[Link];[Link]..com</ServerUrlList>
<PluginPackageFamilyName>JuniperNetworks.JunosPulseVpn_cw5n1h2txyewy</PluginPackageFamilyName>
<CustomConfiguration>&lt;pulse-
schema&gt;&lt;isSingleSignOnCredential&gt;true&lt;/isSingleSignOnCredential&gt;&lt;/pulse-schema&gt;
</CustomConfiguration>
</PluginProfile>
<Route>
<Address>[Link]</Address>
<PrefixSize>24</PrefixSize>
</Route>
<Route>
<Address>[Link]</Address>
<PrefixSize>16</PrefixSize>
</Route>
<AppTrigger>
<App>
<Id>Microsoft.MicrosoftEdge_8wekyb3d8bbwe</Id>
</App>
</AppTrigger>
<AppTrigger>
<App>
<Id>%ProgramFiles%\Internet Explorer\[Link]</Id>
</App>
</AppTrigger>
<TrafficFilter>
<App>
<Id>%ProgramFiles%\Internet Explorer\[Link]</Id>
</App>
<Protocol>6</Protocol>
<LocalPortRanges>10,20-50,100-200</LocalPortRanges>
<RemotePortRanges>20-50,100-200,300</RemotePortRanges>
<RemoteAddressRanges>[Link]/16,[Link]-[Link]</RemoteAddressRanges>
<!--<RoutingPolicyType>ForceTunnel</RoutingPolicyType>-->
</TrafficFilter>
<TrafficFilter>
<App>
<Id>Microsoft.MicrosoftEdge_8wekyb3d8bbwe</Id>
</App>
<LocalAddressRanges>[Link]/32,[Link]-[Link]</LocalAddressRanges>
</TrafficFilter>
<TrafficFilter>
<App>
<Id>Microsoft.MicrosoftEdge_8wekyb3d8bbwe</Id>
</App>
<Claims>O:SYG:SYD:(A;;CC;;;AU)</Claims>
<!--<RoutingPolicyType>SplitTunnel</RoutingPolicyType>-->
</TrafficFilter>
<DomainNameInformation>
<DomainName>[Link]</DomainName>
<DnsServers>[Link],[Link]</DnsServers>
<WebProxyServers>[Link]</WebProxyServers>
<AutoTrigger>false</AutoTrigger>
</DomainNameInformation>
<DomainNameInformation>
<DomainName>[Link]</DomainName>
<DnsServers>[Link],[Link]</DnsServers>
<WebProxyServers>[Link]</WebProxyServers>
</DomainNameInformation>
<!--<EdpModeId>[Link]</EdpModeId>-->
<RememberCredentials>true</RememberCredentials>
<AlwaysOn>false</AlwaysOn>
<DnsSuffix>[Link]</DnsSuffix>
 <DnsSuffix>[Link]</DnsSuffix>
<TrustedNetworkDetection>[Link],[Link]</TrustedNetworkDetection>
<Proxy>
<Manual>
<Server>HelloServer</Server>
</Manual>
<AutoConfigUrl>[Link]</AutoConfigUrl>
</Proxy>
</VPNProfile>

Aplicar ProfileXML con Intune

Después de configurar los valores que desea usar ProfileXML, puede crear un perfil personalizado en el Centro
de administración de Microsoft Endpoint Manager. Una vez creado, implemente este perfil en los dispositivos.
1. Inicie sesión en el Centro de administración de Microsoft Endpoint Manager.
2. Seleccione Dispositivos Perfiles > de configuración > Crear perfil .
3. Escriba las propiedades siguientes:
Plataforma : seleccione Windows 10 y versiones posteriores
Perfil : seleccione Plantillas > personalizadas .
4. Selecciona Crear .
5. En Aspectos básicos , escriba las propiedades siguientes:
Nombre : escriba un nombre descriptivo para el perfil. Asigne un nombre a los perfiles para que
pueda identificarlos fácilmente más adelante.
Descripción : escriba una descripción para el perfil. Esta configuración es opcional, pero se
recomienda.
6. Selecciona Siguiente .
7. En Configuración , escriba las propiedades siguientes:
OMA-URI : escriba ./user/vendor/MSFT/VPNv2/Your_VPN profile name_/ProfileXML .
Tipo de datos : seleccione String (XML file) .
Valor : vaya a y seleccione el archivo XML.
Para obtener más información sobre esta configuración, consulta Usar la configuración personalizada
para dispositivos Windows en Intune.
8. Seleccione Siguiente y continúe configurando la directiva. Para conocer los pasos y recomendaciones
específicos, consulte Creación de un perfil con la configuración personalizada en Intune.

Obtén más información

Creación de perfiles de VPN para conectarse a servidores VPN en Intune
Referencia del proveedor de servicio de configuración (CSP) VPNv2
Cómo crear perfiles de VPN en Configuration Manager

Artículos relacionados
Guía técnica de VPN
Tipos de conexión de VPN
Decisiones de enrutamiento de VPN
Opciones de autenticación de VPN
VPN y acceso condicional
Resolución de nombres de VPN
Opciones desencadenadas automáticamente de perfil de VPN
Características de seguridad de VPN
 Cómo configurar el Protocolo Diffie Hellman sobre
conexiones VPN IKEv2
08/11/2022 • 2 minutes to read

Se aplica a: Windows Server (canal de disponibilidad general), Windows Server 2016, Windows 10,
Windows 11

En conexiones VPN IKEv2, la configuración predeterminada del grupo Diffie Hellman es Grupo 2, que no es
segura para intercambios IKE.
Para proteger las conexiones, actualiza la configuración de los clientes y servidores de la VPN mediante la
ejecución de los cmdlets de VPN.

Servidor VPN
Para los servidores VPN que ejecuten Windows Server 2012 R2 o posterior, debes ejecutar Set-
VpnServerConfiguration para configurar el tipo de túnel. Esto hace que todos los intercambios IKE en el túnel
IKEv2 usen la configuración segura.

Set-VpnServerConfiguration -TunnelType IKEv2 -CustomPolicy

En una versión anterior de Windows Server, ejecute Set-VpnServerIPsecConfiguration. Dado que

Set-VpnServerIPsecConfiguration no tiene -TunnelType , la configuración se aplica a todos los tipos de túnel del
servidor.

Set-VpnServerIPsecConfiguration -CustomPolicy

Cliente VPN
Para el cliente VPN, deberás configurar cada conexión VPN. Por ejemplo, ejecuta Set-
VpnConnectionIPsecConfiguration (versión 4.0) y especifica el nombre de la conexión:

Set-VpnConnectionIPsecConfiguration -ConnectionName <String>

 Uso de single Sign-On (SSO) a través de VPN y
conexiones Wi-Fi
08/11/2022 • 5 minutes to read

En este artículo se explican los requisitos para habilitar single Sign-On (SSO) en recursos de dominio locales a
través de conexiones WiFi o VPN. Normalmente se usan los siguientes escenarios:
Conexión a una red mediante Wi-Fi o VPN.
Use las credenciales para la autenticación WiFi o VPN para autenticar también las solicitudes de acceso a un
recurso de dominio sin que se le pidan las credenciales de dominio.
Por ejemplo, quiere conectarse a una red corporativa y acceder a un sitio web interno que requiera autenticación
integrada de Windows.
Las credenciales que se usan para la autenticación de conexión se colocan en Credential Manager como
credenciales predeterminadas para la sesión de inicio de sesión. El Administrador de credenciales almacena las
credenciales que se pueden usar para recursos de dominio específicos. Se basan en el nombre de destino del
recurso:
En el caso de VPN, la pila de VPN guarda su credencial como valor predeterminado de la sesión.
Para WiFi, el Protocolo de autenticación extensible (EAP) proporciona compatibilidad.
Las credenciales se colocan en el Administrador de credenciales como una credencial "*Sesión". Una credencial
"*Session" implica que es válida para la sesión de usuario actual. Las credenciales también se limpian cuando se
desconecta la conexión WiFi o VPN.

NOTE
En Windows 10, versión 21h2 y posteriores, la credencial "*Session" no está visible en el Administrador de credenciales.

Por ejemplo, si alguien que usa Microsoft Edge intenta acceder a un recurso de dominio, Microsoft Edge tiene la
funcionalidad de autenticación empresarial adecuada. Esto permite a WinInet liberar las credenciales que
obtiene del Administrador de credenciales al SSP que lo solicita. Para obtener más información sobre la
funcionalidad de autenticación empresarial, consulte Declaraciones de funcionalidad de la aplicación.
La autoridad de seguridad local examinará la aplicación de dispositivo para determinar si tiene la funcionalidad
adecuada. Esto incluye elementos como una aplicación de Plataforma universal de Windows (UWP). Si la
aplicación no es una UWP, no importa. Pero si la aplicación es una aplicación para UWP, se evaluará en la
funcionalidad del dispositivo para la autenticación empresarial. Si tiene esa funcionalidad y si el recurso al que
está intentando acceder está en la zona intranet de las opciones de Internet (ZoneMap), se liberará la credencial.
Este comportamiento ayuda a evitar que terceros que no son de confianza usen mal las credenciales.

Zona Intranet
Para la zona intranet, de forma predeterminada solo permite nombres de etiqueta única, como Http://finance. Si
el recurso al que se debe acceder tiene varias etiquetas de dominio, la solución alternativa es usar el CSP del
Registro.
Establecer zonemap
ZoneMap se controla mediante un registro que se puede establecer a través de MDM. De forma
predeterminada, los nombres de etiqueta única como [Link] ya están en la zona de intranet. Para los
nombres de varias etiquetas, como [Link] es necesario actualizar ZoneMap.

Directiva MDM
Ejemplo de URI de OMA:
./Vendor/MSFT/Registry/HKU/S-1-5-21-2702878673-795188819-44403898 7-
2781/Software/Microsoft/Windows/CurrentVersion/Internet%20Settings/ZoneMap/Domains/ <domain name> /*
como un valor entero de 1 para cada uno de los dominios en los que desea iniciar sesión único desde el
dispositivo. Esto agrega los dominios especificados a la zona de intranet del explorador Microsoft Edge.

Requisitos de credenciales
Para VPN, los siguientes tipos de credenciales se agregarán al administrador de credenciales después de la
autenticación:
Nombre de usuario y contraseña
Autenticación basada en certificados:
Certificado del proveedor de almacenamiento de claves de TPM (KSP)
Certificados del proveedor de almacenamiento de claves de software (KSP)
Certificado de tarjeta inteligente
certificado de Windows Hello para empresas
El nombre de usuario también debe incluir un dominio al que se pueda acceder a través de la conexión (VPN o
WiFi).

Plantillas de certificado de usuario

Si las credenciales están basadas en certificados, los elementos de la tabla siguiente deben configurarse para las
plantillas de certificado para asegurarse de que también se pueden usar para la autenticación de cliente
Kerberos.

EL EM EN TO T EM P L AT E C O N F IGURA C IÓ N

SubjectName El nombre distintivo (DN) del usuario donde los

componentes de dominio del nombre distintivo reflejan el
espacio de nombres DNS interno cuando
SubjectAlternativeName no tiene el UPN completo necesario
para buscar el controlador de dominio.
Este requisito es relevante en entornos de varios bosques, ya
que garantiza que se pueda encontrar un controlador de
dominio.

SubjectAlternativeName El UPN completo del usuario donde un componente de

nombre de dominio del UPN del usuario coincide con el
espacio de nombres DNS del dominio interno de las
organizaciones.
Este requisito es relevante en entornos de varios bosques, ya
que garantiza que se puede encontrar un controlador de
dominio cuando SubjectName no tiene el DN necesario para
buscar el controlador de dominio.

Proveedor de almacenamiento de claves (KSP) Si el dispositivo está unido a Azure AD, se usa un certificado
de SSO discreto.
 EL EM EN TO T EM P L AT E C O N F IGURA C IÓ N

EnhancedKeyUsage Se requiere una o varias de las siguientes EEKU:

- Autenticación de cliente (para la VPN)
- OID de filtrado eap (para Windows Hello para empresas)
- SmartCardLogon (para dispositivos unidos a Azure AD)
Si los controladores de dominio requieren EKU de tarjeta
inteligente:
- SmartCardLogon
- id-pkinit-KPClientAuth ([Link].[Link])
De lo contrario:
- Autenticación de cliente TLS/SSL ([Link].[Link].2)

Configuración del servidor NDES

Es necesario configurar el servidor NDES para que las solicitudes SCEP entrantes se puedan asignar a la plantilla
correcta que se va a usar. Para obtener más información, vea Configurar la infraestructura de certificados para
SCEP.

Requisitos de Active Directory

Necesita conectividad IP con un servidor DNS y un controlador de dominio a través de la interfaz de red para
que la autenticación también se pueda realizar correctamente.
Los controladores de dominio deben tener certificados KDC adecuados para que el cliente confíe en ellos como
controladores de dominio. Dado que los teléfonos no están unidos a un dominio, la CA raíz del certificado del
KDC debe estar en la CA raíz de terceros o en el almacén raíz de confianza de tarjeta inteligente.
Los controladores de dominio deben usar certificados basados en la plantilla de certificado KDC actualizada
Autenticación Kerberos. Esto requiere que todos los controladores de dominio de autenticación ejecuten
Windows Server 2016, o deberá habilitar la validación estricta de KDC en controladores de dominio que
ejecutan versiones anteriores de Windows Server.
Para obtener más información, vea Habilitación de la validación estricta de KDC en Windows Kerberos.
 Optimización del tráfico de Office 365 para los
trabajadores remotos con el Windows 10 nativo y el
cliente VPN de Windows 11
08/11/2022 • 15 minutes to read

En este artículo se describe cómo configurar las recomendaciones del artículo Optimización de la conectividad
Office 365 para usuarios remotos mediante la tunelización dividida de VPN para el Windows 10 nativo y
Windows 11 cliente VPN. Esta guía permite a los administradores de VPN optimizar Office 365 uso, a la vez que
garantizan que el resto del tráfico pasa por la conexión VPN y a través de las herramientas y puertas de enlace
de seguridad existentes.
Esto se puede lograr para los Windows 10 nativos o integrados y Windows 11 cliente VPN mediante un enfoque
forzar tunelización con exclusiones. Esto le permite definir exclusiones basadas en IP incluso cuando se usa la
tunelización forzada para "dividir" cierto tráfico para usar la interfaz física mientras sigue forzando todo el resto
del tráfico a través de la interfaz VPN. Por lo tanto, el tráfico dirigido a destinos definidos específicamente (como
los que aparecen en las categorías de optimización de Office 365) seguirá una ruta de acceso mucho más
directa y eficaz, sin necesidad de atravesar o "horquilla" a través del túnel VPN y volver a salir de la red
corporativa. Para servicios en la nube como Office 365, esto supone una gran diferencia en el rendimiento y la
facilidad de uso de los usuarios remotos.

NOTE
El término forzar tunelización con exclusiones a veces se denomina confusamente "túneles divididos" por otros
proveedores y en alguna documentación en línea. Para Windows 10 y Windows 11 VPN, el término túnel dividido se
define de manera diferente, tal como se describe en el artículo Decisiones de enrutamiento de VPN.

Información general de la solución

La solución se basa en el uso de un perfil de referencia del proveedor de servicios de configuración de VPN
(CSP VPNv2) y profileXML incrustado. Se usan para configurar el perfil de VPN en el dispositivo. Se pueden usar
varios enfoques de aprovisionamiento para crear e implementar el perfil de VPN, como se describe en el
artículo Paso 6. Configure Windows 10 cliente Always On conexiones VPN.
Normalmente, estos perfiles de VPN se distribuyen mediante una solución de mobile Administración de
dispositivos como Intune, como se describe en Opciones de perfil de VPN y Configuración del cliente VPN
mediante Intune.
Para habilitar el uso de la tunelización forzada en Windows 10 o Windows 11 VPN, la <RoutingPolicyType>
configuración se configura normalmente con un valor de ForceTunnel en el XML de perfil (o script) existente
mediante la siguiente entrada, en la <NativeProfile></NativeProfile> sección :

<RoutingPolicyType>ForceTunnel</RoutingPolicyType>

Para definir exclusiones específicas del túnel de fuerza, debe agregar las siguientes líneas a su XML de perfil (o
script) existente para cada exclusión necesaria y colocarlas fuera de la sección de la
<NativeProfile></NativeProfile> siguiente manera:
 <Route>
<Address>[IP addresses or subnet]</Address>
<PrefixSize>[IP Prefix]</PrefixSize>
<ExclusionRoute>true</ExclusionRoute>
</Route>

En consecuencia, las entradas definidas por [IP Addresses or Subnet] las referencias y [IP Prefix] se
agregarán a la tabla de enrutamiento como entradas de ruta más específicas que usarán la interfaz conectada a
Internet como puerta de enlace predeterminada, en lugar de usar la interfaz VPN. Tendrá que definir una sección
única e independiente <Route></Route> para cada exclusión necesaria.
A continuación se muestra un ejemplo de una configuración XML de perfil con el formato correcto para forzar el
túnel con exclusiones:

<VPNProfile>
<NativeProfile>
<RoutingPolicyType>ForceTunnel</RoutingPolicyType>
</NativeProfile>
<Route>
<Address>[Link]</Address>
<PrefixSize>24</PrefixSize>
<ExclusionRoute>true</ExclusionRoute>
</Route>
<Route>
<Address>[Link]</Address>
<PrefixSize>22</PrefixSize>
<ExclusionRoute>true</ExclusionRoute>
</Route>
</VPNProfile>

NOTE
Las direcciones IP y los valores de tamaño de prefijo de este ejemplo se usan únicamente como ejemplos y no se deben
usar.

Implementación de soluciones
Por lo tanto, para Office 365, es necesario agregar exclusiones para todas las direcciones IP documentadas en
las categorías de optimización descritas en Office 365 direcciones URL e intervalos de direcciones IP para
asegurarse de que se excluyen de la tunelización forzada de VPN.
Esto se puede lograr manualmente agregando las direcciones IP definidas dentro de las entradas de categoría
de optimización a un archivo XML de perfil (o script) existente, o también se puede usar el siguiente script que
agrega dinámicamente las entradas necesarias a un script de PowerShell existente, o a un archivo XML, en
función de consultar directamente el servicio web basado en REST para asegurarse de que siempre se usan los
intervalos de direcciones IP correctos.
A continuación se proporciona un ejemplo de un script de PowerShell que se puede usar para actualizar una
conexión VPN de túnel forzado con exclusiones de Office 365.

# Copyright (c) Microsoft Corporation. All rights reserved.

#
# THIS SAMPLE CODE AND INFORMATION IS PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND,
# WHETHER EXPRESSED OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE IMPLIED
# WARRANTIES OF MERCHANTABILITY AND/OR FITNESS FOR A PARTICULAR PURPOSE.
# IF THIS CODE AND INFORMATION IS MODIFIED, THE ENTIRE RISK OF USE OR RESULTS IN
# CONNECTION WITH THE USE OF THIS CODE AND INFORMATION REMAINS WITH THE USER.
<#
.SYNOPSIS
Applies or updates recommended Office 365 optimize IP address exclusions to an existing force tunnel
Windows 10 and Windows 11 VPN profile
.DESCRIPTION
Connects to the Office 365 worldwide commercial service instance endpoints to obtain the latest
published IP address ranges
Compares the optimized IP addresses with those contained in the supplied VPN Profile (PowerShell or XML
file)
Adds or updates IP addresses as necessary and saves the resultant file with "-NEW" appended to the file
name
.PARAMETERS
Filename and path for a supplied Windows 10 or Windows 11 VPN profile file in either PowerShell or XML
format
.NOTES
Requires at least Windows 10 Version 1803 with KB4493437, 1809 with KB4490481, or later
.VERSION
1.0
#>

param (
[string]$VPNprofilefile
)

$usage=@"

This script uses the following parameters:

VPNprofilefile - The full path and name of the VPN profile PowerShell script or XML file

EXAMPLES

To check a VPN profile PowerShell script file:

Update-VPN-Profile-Office365-Exclusion-Routes.ps1 -VPNprofilefile [FULLPATH AND NAME OF POWERSHELL SCRIPT

FILE]

To check a VPN profile XML file:

Update-VPN-Profile-Office365-Exclusion-Routes.ps1 -VPNprofilefile [FULLPATH AND NAME OF XML FILE]

"@

# Check if filename has been provided #

if ($VPNprofilefile -eq "")
{
Write-Host "`nWARNING: You must specify either a PowerShell script or XML filename!" -ForegroundColor Red

$usage
exit
}

$FileExtension = [[Link]]::GetExtension($VPNprofilefile)

# Check if XML file exists and is a valid XML file #

if ( $VPNprofilefile -ne "" -and $FileExtension -eq ".xml")
{
if ( Test-Path $VPNprofilefile )
{
$xml = New-Object [Link]
try
{
$[Link]((Get-ChildItem -Path $VPNprofilefile).FullName)

}
catch [[Link]]
{
Write-Verbose "$VPNprofilefile : $($_.toString())"
Write-Host "`nWARNING: The VPN profile XML file is not a valid xml file or incorrectly
 Write-Host "`nWARNING: The VPN profile XML file is not a valid xml file or incorrectly
formatted!" -ForegroundColor Red
$usage
exit
}
}else
{
Write-Host "`nWARNING: VPN profile XML file does not exist or cannot be found!" -ForegroundColor Red
$usage
exit
}
}

# Check if VPN profile PowerShell script file exists and contains a VPNPROFILE XML section #
if ( $VPNprofilefile -ne "" -and $FileExtension -eq ".ps1")
{
if ( (Test-Path $VPNprofilefile) )
{
if (-Not $(Select-String -Path $VPNprofilefile -Pattern "<VPNPROFILE>") )
{
Write-Host "`nWARNING: PowerShell script file does not contain a valid VPN profile XML section
or is incorrectly formatted!" -ForegroundColor Red
$usage
exit
}
}else
{
Write-Host "`nWARNING: PowerShell script file does not exist or cannot be found!"-ForegroundColor
Red
$usage
exit
}
}

# Define Office 365 endpoints and service URLs #

$ws = "[Link]
$baseServiceUrl = "[Link]

# Path where client ID and latest version number will be stored #

$datapath = $Env:TEMP + "\endpoints_clientid_latestversion.txt"

# Fetch client ID and version if data file exists; otherwise create new file #
if (Test-Path $datapath)
{
$content = Get-Content $datapath
$clientRequestId = $content[0]
$lastVersion = $content[1]

}else
{
$clientRequestId = [GUID]::NewGuid().Guid
$lastVersion = "0000000000"
@($clientRequestId, $lastVersion) | Out-File $datapath
}

# Call version method to check the latest version, and pull new data if version number is different #
$version = Invoke-RestMethod -Uri ($ws + "/version?clientRequestId=" + $clientRequestId)

if ($version[0].latest -gt $lastVersion)

{

Write-Host
Write-Host "A new version of Office 365 worldwide commercial service instance endpoints has been
detected!" -ForegroundColor Cyan

# Write the new version number to the data file #

@($clientRequestId, $version[0].latest) | Out-File $datapath
}
# Invoke endpoints method to get the new data #
$uri = "$baseServiceUrl" + "/endpoints/worldwide?clientRequestId=$clientRequestId"

# Invoke endpoints method to get the data for the VPN profile comparison #
$endpointSets = Invoke-RestMethod -Uri ($uri)
$Optimize = $endpointSets | Where-Object { $_.category -eq "Optimize" }
$optimizeIpsv4 = $[Link] | Where-Object { ($_).contains(".") } | Sort-Object -Unique

# Temporarily include additional IP address until Teams client update is released

$optimizeIpsv4 += "[Link]/32"

# Process PowerShell script file start #

if ($VPNprofilefile -ne "" -and $FileExtension -eq ".ps1")
{
Write-host "`nStarting PowerShell script exclusion route check...`n" -ForegroundColor Cyan

# Clear Variables to allow re-run testing #

$ARRVPN=$null # Array to hold VPN addresses from VPN profile PowerShell file #
$In_Opt_Only=$null # Variable to hold IP addresses that only appear in the optimize list #
$In_VPN_Only=$null # Variable to hold IP addresses that only appear in the VPN profile
PowerShell file #

# Extract the Profile XML from the ps1 file #

$regex = '(?sm).*^*.<VPNProfile>\r?\n(.*?)\r?\n</VPNProfile>.*'

# Create xml format variable to compare with the optimize list #

$xmlbody=(Get-Content -Raw $VPNprofilefile) -replace $regex, '$1'

[xml]$VPNprofilexml="<VPNProfile>"+$xmlbody+"</VPNProfile>"

# Loop through each address found in VPNPROFILE XML section #

foreach ($Route in $[Link])
{
$VPNIP=$[Link]+"/"+$[Link]
[array]$ARRVPN=$ARRVPN+$VPNIP
}

# In optimize address list only #

$In_Opt_Only= $optimizeIpsv4 | Where {$ARRVPN -NotContains $_}

# In VPN list only #

$In_VPN_only =$ARRVPN | Where {$optimizeIpsv4 -NotContains $_}
[array]$Inpfile = get-content $VPNprofilefile

if ($In_Opt_Only.Count -gt 0 )
{
Write-Host "Exclusion route IP addresses are unknown, missing, or need to be updated in the VPN
profile`n" -ForegroundColor Red

[int32]$insline=0

for ($i=0; $i -lt $[Link]; $i++)

{
if ($Inpfile[$i] -match "</NativeProfile>")
{
$insline += $i # Record the position of the line after the NativeProfile section ends #
}
}
$OFS = "`r`n"
foreach ($NewIP in $In_Opt_Only)
{
# Add the missing IP address(es) #
$IPInfo=$[Link]("/")
$InpFile[$insline] += $OFS+" <Route>"
$InpFile[$insline] += $OFS+" <Address>"+$IPInfo[0].Trim()+"</Address>"
$InpFile[$insline] += $OFS+" <PrefixSize>"+$IPInfo[1].Trim()+"</PrefixSize>"
$InpFile[$insline] += $OFS+" <ExclusionRoute>true</ExclusionRoute>"
 $InpFile[$insline] += $OFS+" </Route>"
}
# Update fileName and write new PowerShell file #
$NewFileName=(Get-Item $VPNprofilefile).Basename + "-NEW.ps1"
$OutFile=$(Split-Path $VPNprofilefile -Parent)+"\"+$NewFileName
$InpFile | Set-Content $OutFile
Write-Host "Exclusion routes have been added to VPN profile and output to a separate PowerShell
script file; the original file has not been modified`n" -ForegroundColor Green
}else
{
Write-Host "Exclusion route IP addresses are correct and up to date in the VPN profile`n" -
ForegroundColor Green
$OutFile=$VPNprofilefile
}

if ( $In_VPN_Only.Count -gt 0 )
{
Write-Host "Unknown exclusion route IP addresses have been found in the VPN profile`n" -ForegroundColor
Yellow

foreach ($OldIP in $In_VPN_Only)

{
[array]$Inpfile = get-content $Outfile
$IPInfo=$[Link]("/")
Write-Host "Unknown exclusion route IP address"$IPInfo[0]"has been found in the VPN profile - Do
you wish to remove it? (Y/N)`n" -ForegroundColor Yellow
$matchstr="<Address>"+$IPInfo[0].Trim()+"</Address>"
$DelAns=Read-host
if ($[Link]() -eq "Y")
{
[int32]$insline=0
for ($i=0; $i -lt $[Link]; $i++)
{
if ($Inpfile[$i] -match $matchstr)
{
$insline += $i # Record the position of the line for the string match #
}
}
# Remove entries from XML #
$InpFile[$insline-1]="REMOVETHISLINE"
$InpFile[$insline]="REMOVETHISLINE"
$InpFile[$insline+1]="REMOVETHISLINE"
$InpFile[$insline+2]="REMOVETHISLINE"
$InpFile[$insline+3]="REMOVETHISLINE"
$InpFile=$InpFile | Where-Object {$_ -ne "REMOVETHISLINE"}

# Update filename and write new PowerShell file #

$NewFileName=(Get-Item $VPNprofilefile).Basename + "-[Link]"
$OutFile=$(Split-Path $VPNprofilefile -Parent)+"\"+$NewFileName
$Inpfile | Set-content $OutFile
Write-Host "`nAddress"$IPInfo[0]"exclusion route has been removed from the VPN
profile and output to a separate PowerShell script file; the original file has not been modified`n" -
ForegroundColor Green

}else
{
Write-Host "`nExclusion route IP address has *NOT* been removed from the VPN profile`n"
-ForegroundColor Green
}
}
}
}

# Process XML file start #

if ($VPNprofilefile -ne "" -and $FileExtension -eq ".xml")
{
Write-host "`nStarting XML file exclusion route check...`n" -ForegroundColor Cyan

# Clear variables to allow re-run testing #

 # Clear variables to allow re-run testing #
$ARRVPN=$null # Array to hold VPN addresses from the XML file #
$In_Opt_Only=$null # Variable to hold IP Addresses that only appear in optimize list #
$In_VPN_Only=$null # Variable to hold IP Addresses that only appear in the VPN profile XML file
#

# Extract the Profile XML from the XML file #

$regex = '(?sm).*^*.<VPNProfile>\r?\n(.*?)\r?\n</VPNProfile>.*'

# Create xml format variable to compare with optimize list #

$xmlbody=(Get-Content -Raw $VPNprofilefile) -replace $regex, '$1'
[xml]$VPNRulesxml="$xmlbody"

# Loop through each address found in VPNPROFILE file #

foreach ($Route in $[Link])
{
$VPNIP=$[Link]+"/"+$[Link]
[array]$ARRVPN=$ARRVPN+$VPNIP
}

# In optimize address list only #

$In_Opt_Only= $optimizeIpsv4 | Where {$ARRVPN -NotContains $_}

# In VPN list only #

$In_VPN_only =$ARRVPN | Where {$optimizeIpsv4 -NotContains $_}
[[Link]]$Inpfile = get-content $VPNprofilefile

if ($In_Opt_Only.Count -gt 0 )
{
Write-Host "Exclusion route IP addresses are unknown, missing, or need to be updated in the VPN
profile`n" -ForegroundColor Red

foreach ($NewIP in $In_Opt_Only)

{
# Add the missing IP address(es) #
$IPInfo=$[Link]("/")
$routes += "<Route>`n"+"`t<Address>"+$IPInfo[0].Trim()+"
</Address>`n"+"`t<PrefixSize>"+$IPInfo[1].Trim()+"
</PrefixSize>`n"+"`t<ExclusionRoute>true</ExclusionRoute>`n"+"</Route>`n"
}
$inspoint = $[Link]("</VPNProfile>")
$[Link]($inspoint,$routes)

# Update filename and write new XML file #

$NewFileName=(Get-Item $VPNprofilefile).Basename + "-[Link]"
$OutFile=$(Split-Path $VPNprofilefile -Parent)+"\"+$NewFileName
$InpFile | Set-Content $OutFile
Write-Host "Exclusion routes have been added to VPN profile and output to a separate XML file;
the original file has not been modified`n`n" -ForegroundColor Green

}else
{
Write-Host "Exclusion route IP addresses are correct and up to date in the VPN profile`n" -
ForegroundColor Green
$OutFile=$VPNprofilefile
}

if ( $In_VPN_Only.Count -gt 0 )
{
Write-Host "Unknown exclusion route IP addresses found in the VPN profile`n" -ForegroundColor
Yellow

foreach ($OldIP in $In_VPN_Only)

{
[array]$Inpfile = get-content $OutFile
$IPInfo=$[Link]("/")
Write-Host "Unknown exclusion route IP address"$IPInfo[0]"has been found in the VPN profile
- Do you wish to remove it? (Y/N)`n" -ForegroundColor Yellow
$matchstr="<Route>"+"<Address>"+$IPInfo[0].Trim()+"</Address>"+"
<PrefixSize>"+$IPInfo[1].Trim()+"</PrefixSize>"+"<ExclusionRoute>true</ExclusionRoute>"+"</Route>"
 <PrefixSize>"+$IPInfo[1].Trim()+"</PrefixSize>"+"<ExclusionRoute>true</ExclusionRoute>"+"</Route>"
$DelAns=Read-host
if ($[Link]() -eq "Y")
{
# Remove unknown IP address(es) #
$inspoint = $Inpfile[0].IndexOf($matchstr)
$Inpfile[0] = $Inpfile[0].Replace($matchstr,"")

# Update filename and write new XML file #

$NewFileName=(Get-Item $VPNprofilefile).Basename + "-[Link]"
$OutFile=$(Split-Path $VPNprofilefile -Parent)+"\"+$NewFileName
$Inpfile | Set-content $OutFile
Write-Host "`nAddress"$IPInfo[0]"exclusion route has been removed from the VPN
profile and output to a separate XML file; the original file has not been modified`n" -ForegroundColor Green

}else
{
Write-Host "`nExclusion route IP address has *NOT* been removed from the VPN
profile`n" -ForegroundColor Green
}
}
}
}

Compatibilidad con versiones

Esta solución es compatible con las siguientes versiones de Windows:
Windows11
Windows 10 1903/1909 y versiones posteriores: Incluido, no se necesita ninguna acción
Windows 10 1809: al menos KB4490481
Windows 10 1803: Al menos KB4493437
Windows 10 1709 y versiones inferiores: no se admiten rutas de exclusión
Windows 10 Enterprise 2019 LTSC: Al menos KB4490481
Windows 10 Enterprise 2016 LTSC: No se admiten rutas de exclusión
Windows 10 Enterprise LTSC de 2015: no se admiten rutas de exclusión
Microsoft recomienda encarecidamente que siempre se aplique la actualización acumulativa más reciente
disponible Windows 10.

Otras consideraciones
También debe poder adaptar este enfoque para incluir las exclusiones necesarias para otros servicios en la nube
que se pueden definir mediante direcciones IP conocidas o estáticas; las exclusiones necesarias para Cisco
WebEx o Zoom son buenos ejemplos.

Ejemplos
A continuación se proporciona un ejemplo de un script de PowerShell que se puede usar para crear una
conexión VPN de túnel forzado con exclusiones de Office 365, o bien consulte las instrucciones de Creación de
los archivos de configuración ProfileXML para crear el script de PowerShell inicial:

# Copyright (c) Microsoft Corporation. All rights reserved.

#
# THIS SAMPLE CODE AND INFORMATION IS PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND,
# WHETHER EXPRESSED OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE IMPLIED
# WHETHER EXPRESSED OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE IMPLIED
# WARRANTIES OF MERCHANTABILITY AND/OR FITNESS FOR A PARTICULAR PURPOSE.
# IF THIS CODE AND INFORMATION IS MODIFIED, THE ENTIRE RISK OF USE OR RESULTS IN
# CONNECTION WITH THE USE OF THIS CODE AND INFORMATION REMAINS WITH THE USER.

<#
.SYNOPSIS
Configures an AlwaysOn IKEv2 VPN Connection using a basic script
.DESCRIPTION
Configures an AlwaysOn IKEv2 VPN Connection with proxy PAC information and force tunneling
.PARAMETERS
Parameters are defined in a ProfileXML object within the script itself
.NOTES
Requires at least Windows 10 Version 1803 with KB4493437, 1809 with KB4490481, or later
.VERSION
1.0
#>

<#-- Define Key VPN Profile Parameters --#>

$ProfileName = 'Contoso VPN with Office 365 Exclusions'
$ProfileNameEscaped = $ProfileName -replace ' ', '%20'

<#-- Define VPN ProfileXML --#>

$ProfileXML = '<VPNProfile>
<RememberCredentials>true</RememberCredentials>
<DnsSuffix>[Link]</DnsSuffix>
<AlwaysOn>true</AlwaysOn>
<TrustedNetworkDetection>[Link]</TrustedNetworkDetection>
<NativeProfile>
<Servers>[Link]</Servers>
<RoutingPolicyType>ForceTunnel</RoutingPolicyType>
<NativeProtocolType>IKEv2</NativeProtocolType>
<Authentication>
<MachineMethod>Certificate</MachineMethod>
</Authentication>
</NativeProfile>
<Route>
<Address>[Link]</Address>
<PrefixSize>31</PrefixSize>
<ExclusionRoute>true</ExclusionRoute>
</Route>
<Route>
<Address>[Link]</Address>
<PrefixSize>31</PrefixSize>
<ExclusionRoute>true</ExclusionRoute>
</Route>
<Route>
<Address>[Link]</Address>
<PrefixSize>22</PrefixSize>
<ExclusionRoute>true</ExclusionRoute>
</Route>
<Route>
<Address>[Link]</Address>
<PrefixSize>20</PrefixSize>
<ExclusionRoute>true</ExclusionRoute>
</Route>
<Route>
<Address>[Link]</Address>
<PrefixSize>13</PrefixSize>
<ExclusionRoute>true</ExclusionRoute>
</Route>
<Route>
<Address>[Link]</Address>
<PrefixSize>15</PrefixSize>
<ExclusionRoute>true</ExclusionRoute>
</Route>
<Route>
<Address>[Link]</Address>
<PrefixSize>14</PrefixSize>
<ExclusionRoute>true</ExclusionRoute>
 <ExclusionRoute>true</ExclusionRoute>
</Route>
<Route>
<Address>[Link]</Address>
<PrefixSize>32</PrefixSize>
<ExclusionRoute>true</ExclusionRoute>
</Route>
<Route>
<Address>[Link]</Address>
<PrefixSize>16</PrefixSize>
<ExclusionRoute>true</ExclusionRoute>
</Route>
<Route>
<Address>[Link]</Address>
<PrefixSize>22</PrefixSize>
<ExclusionRoute>true</ExclusionRoute>
</Route>
<Route>
<Address>[Link]</Address>
<PrefixSize>22</PrefixSize>
<ExclusionRoute>true</ExclusionRoute>
</Route>
<Route>
<Address>[Link]</Address>
<PrefixSize>32</PrefixSize>
<ExclusionRoute>true</ExclusionRoute>
</Route>
<Route>
<Address>[Link]</Address>
<PrefixSize>22</PrefixSize>
<ExclusionRoute>true</ExclusionRoute>
</Route>
<Route>
<Address>[Link]</Address>
<PrefixSize>17</PrefixSize>
<ExclusionRoute>true</ExclusionRoute>
</Route>
<Route>
<Address>[Link]</Address>
<PrefixSize>14</PrefixSize>
<ExclusionRoute>true</ExclusionRoute>
</Route>
<Route>
<Address>[Link]</Address>
<PrefixSize>17</PrefixSize>
<ExclusionRoute>true</ExclusionRoute>
</Route>
<Route>
<Address>[Link]</Address>
<PrefixSize>22</PrefixSize>
<ExclusionRoute>true</ExclusionRoute>
</Route>
<Route>
<Address>[Link]</Address>
<PrefixSize>32</PrefixSize>
<ExclusionRoute>true</ExclusionRoute>
</Route>
<Route>
<Address>[Link]</Address>
<PrefixSize>18</PrefixSize>
<ExclusionRoute>true</ExclusionRoute>
</Route>
<Route>
<Address>[Link]</Address>
<PrefixSize>14</PrefixSize>
<ExclusionRoute>true</ExclusionRoute>
</Route>
<Route>
<Address>[Link]</Address>
<PrefixSize>14</PrefixSize>
 <PrefixSize>14</PrefixSize>
<ExclusionRoute>true</ExclusionRoute>
</Route>
<Proxy>
<AutoConfigUrl>[Link]
</Proxy>
</VPNProfile>'

<#-- Convert ProfileXML to Escaped Format --#>

$ProfileXML = $ProfileXML -replace '<', '&lt;'
$ProfileXML = $ProfileXML -replace '>', '&gt;'
$ProfileXML = $ProfileXML -replace '"', '&quot;'

<#-- Define WMI-to-CSP Bridge Properties --#>

$nodeCSPURI = './Vendor/MSFT/VPNv2'
$namespaceName = "root\cimv2\mdm\dmmap"
$className = "MDM_VPNv2_01"

<#-- Define WMI Session --#>

$session = New-CimSession

<#-- Detect and Delete Previous VPN Profile --#>

try
{
$deleteInstances = $[Link]($namespaceName, $className, $options)
foreach ($deleteInstance in $deleteInstances)
{
$InstanceId = $[Link]
if ("$InstanceId" -eq "$ProfileNameEscaped")
{
$[Link]($namespaceName, $deleteInstance, $options)
$Message = "Removed $ProfileName profile $InstanceId"
Write-Host "$Message"
} else {
$Message = "Ignoring existing VPN profile $InstanceId"
Write-Host "$Message"
}
}
}
catch [Exception]
{
$Message = "Unable to remove existing outdated instance(s) of $ProfileName profile: $_"
Write-Host "$Message"
exit
}

<#-- Create VPN Profile --#>

try
{
$newInstance = New-Object [Link] $className, $namespaceName
$property = [[Link]]::Create("ParentID", "$nodeCSPURI",
'String', 'Key')
$[Link]($property)
$property = [[Link]]::Create("InstanceID",
"$ProfileNameEscaped", 'String', 'Key')
$[Link]($property)
$property = [[Link]]::Create("ProfileXML", "$ProfileXML",
'String', 'Property')
$[Link]($property)

$[Link]($namespaceName, $newInstance, $options)

$Message = "Created $ProfileName profile."
Write-Host "$Message"
Write-Host "$ProfileName profile summary:"
$[Link]($namespaceName, $className, $options)
}
catch [Exception]
{
$Message = "Unable to create $ProfileName profile: $_"
 Write-Host "$Message"
exit
}

$Message = "Script Complete"

Write-Host "$Message"

A continuación se proporciona un ejemplo de un archivo XML listo para Intune que se puede usar para crear
una conexión VPN de túnel forzado con exclusiones de Office 365 o consulte las instrucciones de Creación de
los archivos de configuración ProfileXML para crear el archivo XML inicial.

NOTE
Este XML tiene formato para su uso con Intune y no puede contener ningún retorno de carro ni espacio en blanco.

<VPNProfile><RememberCredentials>true</RememberCredentials><DnsSuffix>[Link]</DnsSuffix>
<AlwaysOn>true</AlwaysOn><TrustedNetworkDetection>[Link]</TrustedNetworkDetection><NativeProfile>
<Servers>[Link]</Servers><RoutingPolicyType>ForceTunnel</RoutingPolicyType>
<NativeProtocolType>IKEv2</NativeProtocolType><Authentication><MachineMethod>Certificate</MachineMethod>
</Authentication></NativeProfile><Route><Address>[Link]</Address><PrefixSize>31</PrefixSize>
<ExclusionRoute>true</ExclusionRoute></Route><Route><Address>[Link]</Address>
<PrefixSize>31</PrefixSize><ExclusionRoute>true</ExclusionRoute></Route><Route>
<Address>[Link]</Address><PrefixSize>22</PrefixSize><ExclusionRoute>true</ExclusionRoute></Route>
<Route><Address>[Link]</Address><PrefixSize>20</PrefixSize><ExclusionRoute>true</ExclusionRoute>
</Route><Route><Address>[Link]</Address><PrefixSize>13</PrefixSize><ExclusionRoute>true</ExclusionRoute>
</Route><Route><Address>[Link]</Address><PrefixSize>15</PrefixSize><ExclusionRoute>true</ExclusionRoute>
</Route><Route><Address>[Link]</Address><PrefixSize>14</PrefixSize><ExclusionRoute>true</ExclusionRoute>
</Route><Route><Address>[Link]</Address><PrefixSize>32</PrefixSize>
<ExclusionRoute>true</ExclusionRoute></Route><Route><Address>[Link]</Address>
<PrefixSize>16</PrefixSize><ExclusionRoute>true</ExclusionRoute></Route><Route>
<Address>[Link]</Address><PrefixSize>22</PrefixSize><ExclusionRoute>true</ExclusionRoute></Route>
<Route><Address>[Link]</Address><PrefixSize>22</PrefixSize><ExclusionRoute>true</ExclusionRoute>
</Route><Route><Address>[Link]</Address><PrefixSize>32</PrefixSize>
<ExclusionRoute>true</ExclusionRoute></Route><Route><Address>[Link]</Address>
<PrefixSize>22</PrefixSize><ExclusionRoute>true</ExclusionRoute></Route><Route>
<Address>[Link]</Address><PrefixSize>17</PrefixSize><ExclusionRoute>true</ExclusionRoute></Route>
<Route><Address>[Link]</Address><PrefixSize>14</PrefixSize><ExclusionRoute>true</ExclusionRoute></Route>
<Route><Address>[Link]</Address><PrefixSize>17</PrefixSize><ExclusionRoute>true</ExclusionRoute>
</Route><Route><Address>[Link]</Address><PrefixSize>22</PrefixSize>
<ExclusionRoute>true</ExclusionRoute></Route><Route><Address>[Link]</Address>
<PrefixSize>32</PrefixSize><ExclusionRoute>true</ExclusionRoute></Route><Route>
<Address>[Link]</Address><PrefixSize>18</PrefixSize><ExclusionRoute>true</ExclusionRoute></Route>
<Route><Address>[Link]</Address><PrefixSize>14</PrefixSize><ExclusionRoute>true</ExclusionRoute></Route>
<Route><Address>[Link]</Address><PrefixSize>14</PrefixSize><ExclusionRoute>true</ExclusionRoute></Route>
<Proxy><AutoConfigUrl>[Link]
 firewall de Windows Defender con seguridad
avanzada
08/11/2022 • 3 minutes to read

Este tema es una introducción a las características Windows Defender Firewall con seguridad avanzada (WFAS)
y seguridad de protocolo de Internet (IPsec).

Introducción a Windows Defender Firewall con seguridad avanzada

Windows Defender Firewall en Windows 8, Windows 7, Windows Vista, Windows Server 2012, Windows Server
2008 y Windows Server 2008 R2 es un firewall de host con estado que ayuda a proteger el dispositivo, ya que
permite crear reglas que determinen qué tráfico de red puede entrar en el dispositivo desde la red y a qué
tráfico de red está permitido el dispositivo. enviar a la red. Windows Defender Firewall también admite la
seguridad del protocolo de Internet (IPsec), que puede usar para requerir la autenticación de cualquier
dispositivo que intente comunicarse con el dispositivo. Cuando se requiere autenticación, los dispositivos que
no se pueden autenticar como un dispositivo de confianza no se pueden comunicar con el dispositivo. También
puede usar IPsec para requerir que determinado tráfico de red esté cifrado para evitar que lo lean los
analizadores de paquetes de red que un usuario malintencionado podría asociar a la red.
El complemento MMC Windows Defender Firewall con seguridad avanzada es más flexible y proporciona
mucha más funcionalidad que la interfaz de firewall de Windows Defender fácil de usar que se encuentra en el
Panel de control. Ambas interfaces interactúan con los mismos servicios subyacentes, pero proporcionan
distintos niveles de control sobre esos servicios. Aunque el programa Panel de control firewall de Windows
Defender puede proteger un único dispositivo en un entorno doméstico, no proporciona suficientes
características centralizadas de administración o seguridad para ayudar a proteger el tráfico de red más
complejo que se encuentra en un entorno empresarial típico.

Descripción de la característica
Windows Defender Firewall con seguridad avanzada es una parte importante de un modelo de seguridad en
capas. Al proporcionar filtrado de tráfico de red bidireccional basado en host para un dispositivo, Windows
Defender Firewall bloquea el tráfico de red no autorizado que entra o sale del dispositivo local. Windows
Defender Firewall también funciona con Network Awareness para que pueda aplicar la configuración de
seguridad adecuada a los tipos de redes a las que está conectado el dispositivo. Windows Defender
configuración de firewall y seguridad de protocolo de Internet (IPsec) se integran en una única consola de
administración de Microsoft (MMC) denominada Windows Defender Firewall, por lo que Windows Defender
Firewall también es una parte importante de la estrategia de aislamiento de la red.

Aplicaciones prácticas
Para ayudar a abordar los desafíos de seguridad de la red de la organización, Windows Defender Firewall ofrece
las siguientes ventajas:
Reduce el riesgo de amenazas de seguridad de red. Windows Defender Firewall reduce la
superficie expuesta a ataques de un dispositivo, lo que proporciona una capa adicional al modelo de
defensa en profundidad. La reducción de la superficie expuesta a ataques de un dispositivo aumenta la
capacidad de administración y reduce la probabilidad de un ataque exitoso.
Protege la información confidencial y la propiedad intelectual. Con su integración con IPsec,
Windows Defender Firewall proporciona una manera sencilla de aplicar las comunicaciones de red
autenticadas de un extremo a otro. Proporciona acceso escalable y en niveles a los recursos de red de
confianza, lo que ayuda a aplicar la integridad de los datos y, opcionalmente, ayuda a proteger la
confidencialidad de los datos.
Amplía el valor de las inversiones existentes. Dado que Windows Defender Firewall es un firewall
basado en host que se incluye con el sistema operativo, no se requiere ningún otro hardware o software.
Windows Defender Firewall también está diseñado para complementar las soluciones de seguridad de
red existentes que no son de Microsoft a través de una interfaz de programación de aplicaciones (API)
documentada.
 Líneas base de seguridad
08/11/2022 • 4 minutes to read

Uso de las líneas base de seguridad en la organización

Microsoft se dedica a proporcionar a sus clientes sistemas operativos seguros, como Windows y Windows
Server, y aplicaciones seguras, como aplicaciones de Microsoft 365 para empresas y Microsoft Edge. Además de
la garantía de seguridad de sus productos, Microsoft también te permite tener un control preciso de tus
entornos al ofrecer distintas funciones de configuración.
Aunque Windows y Windows Server están diseñadas para ser seguros desde el primer momento, muchas
organizaciones quieren tener un control más aún detallado de las configuraciones de seguridad. Para navegar
por esta gran cantidad de controles, las organizaciones necesitan instrucciones para configurar diversas
características de seguridad. Microsoft brinda estas instrucciones en forma de líneas base de seguridad.
Se recomienda implementar una configuración estándar del sector que sea ampliamente conocida y ya
evaluada, por ejemplo, líneas base de seguridad de Microsoft, en lugar de crear una tú mismo. Esta
configuración estándar del sector ayuda a aumentar la flexibilidad y reducir los costos.
Para obtener más información, consulte la siguiente entrada de blog: Seguir con soluciones conocidas y
probadas.

¿Qué son las líneas base de seguridad?

Todas las organizaciones se enfrentan amenazas de seguridad. Sin embargo, los tipos de amenazas de
seguridad que más preocupan a una organización pueden ser diferentes de los de otra. Por ejemplo, una
empresa de comercio electrónico puede centrarse en proteger sus aplicaciones web orientadas a Internet,
mientras que un hospital puede centrarse en proteger la información confidencial de los pacientes. Lo único que
todas las organizaciones tienen en común es la necesidad de mantener sus aplicaciones y dispositivos seguros.
Estos dispositivos deben cumplir con los estándares de seguridad (o líneas base de seguridad) definidos por la
organización.
Una línea base de seguridad es un grupo de opciones de configuración recomendadas por Microsoft que explica
su implicación en la seguridad. Estas opciones de configuración se basan en comentarios de los equipos de
ingeniería de seguridad de Microsoft, los grupos de productos, los partners y los clientes.

¿Por qué se necesitan las líneas base de seguridad?

Las líneas base de seguridad son una ventaja esencial para los clientes porque reúnen los conocimientos
expertos de Microsoft, partners y clientes.
Por ejemplo, hay más de 3000 configuraciones de directiva de grupo para Windows 10, lo que no incluye más
de 1.800 configuraciones de Internet Explorer 11. De estas 4800 opciones de configuración, solo algunas de
ellas están relacionadas con la seguridad. Aunque Microsoft ofrece instrucciones detalladas sobre distintas
características de seguridad, explorar cada una de ellas lleva tiempo. Tendría que determinar la implicación de
seguridad de cada configuración por su cuenta. A continuación, tendrás que determinar el valor adecuado de
cada configuración.
En las organizaciones modernas, el panorama de amenazas de seguridad está en constante evolución y los
profesionales de TI y los responsables de las directivas deben mantenerse al día con las amenazas de seguridad
y realizar los cambios necesarios en la configuración de seguridad para ayudar a mitigar estas amenazas. Para
habilitar implementaciones más rápidas y facilitar la administración de productos de Microsoft, Microsoft
proporciona a los clientes líneas base de seguridad que están disponibles en formatos consumibles, como
copias de seguridad de objetos de directiva de grupo.

Principios de línea base

Nuestras recomendaciones siguen un enfoque simplificado y eficaz para las definiciones de línea base. La base
de ese enfoque es esencialmente:
Las líneas base están diseñadas para organizaciones bien administradas y conscientes de la seguridad en las
que los usuarios finales estándar no tienen derechos administrativos.
Una línea base aplica una configuración solo si mitiga una amenaza de seguridad contemporánea y no
provoca problemas operativos peores que los riesgos que mitigan.
Una línea base aplica un valor predeterminado solo si es probable que un usuario autorizado la establezca en
un estado no seguro:
Si un no administrador puede establecer un estado no seguro, aplique el valor predeterminado.
Si la configuración de un estado no seguro requiere derechos administrativos, aplique el valor
predeterminado solo si es probable que un administrador mal informado elija mal.

¿Cómo puedes usar las líneas base de seguridad?

Puedes usar las líneas base de seguridad para:
Asegúrate de que los valores de configuración de usuarios y dispositivos son conformes a la línea base.
Establecer opciones de configuración. Por ejemplo, puede usar la directiva de grupo, Microsoft Configuration
Manager o Microsoft Intune para configurar un dispositivo con los valores de configuración especificados en
la línea base.

¿Dónde puedo obtener las líneas base de seguridad?

Hay varias maneras de obtener y usar líneas base de seguridad:
1. Puedes descargar las líneas base en el Centro de descarga de Microsoft. Esta página de descarga está
destinada al Kit de herramientas de cumplimiento de seguridad (SCT), que consta de herramientas que
pueden ayudar a los administradores a administrar líneas base además de las líneas base de seguridad. El
SCT también incluye herramientas para ayudarle a administrar las líneas base de seguridad. También
puede obtener soporte técnico para las líneas base de seguridad.
2. Las líneas base de seguridad de administración de dispositivos móviles (MDM) funcionan como las líneas
base de seguridad basadas en directivas de grupo de Microsoft y pueden integrar fácilmente estas líneas
base en una herramienta de administración de MDM existente.
3. Las líneas base de seguridad mdm se pueden configurar fácilmente en Microsoft Intune en dispositivos
que ejecutan Windows 10 y Windows 11. Para obtener más información, consulte Lista de la
configuración de la línea de base de seguridad mdm de Windows 10/11 en Intune.

Comunidad
![MBlog de la Guía de seguridad de Microsoft].(./../images/[Link])

Vídeos relacionados

Ver también
Blog de la Guía de seguridad de Microsoft
Kit de herramientas de cumplimiento de seguridad de Microsoft
 Microsoft Security Compliance Toolkit 1.0: uso
08/11/2022 • 4 minutes to read

¿Qué es el Security Compliance Toolkit (SCT)?

El Security Compliance Toolkit (SCT) es un conjunto de herramientas que permite a los administradores de la
seguridad empresarial descargar, analizar, probar, editar y almacenar líneas base de configuración de seguridad
recomendadas por Microsoft para Windows y otros productos de Microsoft.
El SCT permite a los administradores administrar eficazmente los objetos de directiva de grupo (GPO) de tu
empresa. Al usar el kit de herramientas, los administradores pueden comparar sus GPO actuales con líneas base
recomendadas por Microsoft u otras líneas de base, editarlas, almacenarlas con un formato de archivo de copia
de seguridad de GPO y aplicarlas conjuntamente a través de Active Directory o de forma individual a través de
la directiva local.
El Security Compliance Toolkit está formado por lo siguiente:
Windows 11 línea base de seguridad
Windows 11, versión 22H2
Windows 11, versión 21H2
Líneas base de seguridad de Windows10
Windows 10, versión 22H2
Windows 10, versión 21H2
Windows 10, versión 21H1
Windows 10, versión 20H2
Windows 10, versión 1809
Windows 10, versión 1607
Windows 10, versión 1507
Líneas base de seguridad de Windows Server
Windows Server 2022
Windows Server 2019
Windows Server 2016
Windows Server 2012 R2
Línea base de seguridad de Microsoft Office
Office 2016
Aplicaciones Microsoft 365 para enterprise versión 2206
Línea base de seguridad de Microsoft Edge
Versión 98 de Edge
Herramientas
Analizador de directivas
Objeto de directiva de grupo local (LGPO)
Establecer seguridad de objetos
Reglas de gpo a directiva
Puedes descargar las herramientas junto con las líneas base para las versiones de Windows correspondientes.
Para obtener más información sobre las recomendaciones de línea de base de seguridad, consulte el blog Guía
de seguridad de Microsoft.

¿Qué es la herramienta Analizador de directivas?

El Analizador de directivas es una utilidad para analizar y comparar conjuntos de Objetos de directiva de grupo
(GPO). Sus características principales incluyen:
Resaltar cuando un conjunto de directivas de grupo tiene una configuración redundante o incoherencias
internas
Resaltar las diferencias entre las versiones o los conjuntos de directivas de grupo
Comparar los GPO con la directiva local actual y la configuración del registro local
Exportar los resultados a una hoja de cálculo de Microsoft Excel
El Analizador de directivas te permite tratar un conjunto de GPO como una sola unidad. Este tratamiento facilita
la determinación de si una configuración determinada se duplica en los GPO o si se establece en valores en
conflicto. El Analizador de directivas también te permite capturar una línea base y, a continuación, compararla
con una instantánea tomada en un momento posterior para identificar los cambios en cualquier lugar del
conjunto.
Puede encontrar más información sobre la herramienta Analizador de directivas en el blog Guía de seguridad de
Microsoft o descargando la herramienta.

¿Qué es la herramienta de objeto de directiva de grupo local (LGPO)?

[Link] es una utilidad de línea de comandos diseñada para ayudar a automatizar la administración de la
directiva de grupo local. Utilizar la directiva local ofrece a los administradores una manera sencilla de verificar
los efectos de la configuración de directiva de grupo y resulta de utilidad también para la administración de
sistemas no unidos a un dominio. [Link] puede importar y aplicar la configuración de archivos de directiva
del Registro ([Link]), plantillas de seguridad, archivos de copia de seguridad de auditoría avanzada y
archivos de "texto LGPO" con formato. Puede exportar la directiva local a una copia de seguridad de GPO. Puede
exportar el contenido de un archivo de directiva de registro al formato "Texto LGPO" que, a continuación, se
puede editar y puede crear un archivo de directiva de registro desde un archivo de texto LGPO.
La documentación de la herramienta LGPO se puede encontrar en el blog guía de seguridad de Microsoft o
descargando la herramienta.

¿Qué es la herramienta Set Object Security?

[Link] permite establecer el descriptor de seguridad para casi cualquier tipo de objeto protegible
de Windows, como archivos, directorios, claves del Registro, registros de eventos, servicios y recursos
compartidos SMB. Para el sistema de archivos y los objetos del Registro, puede elegir si desea aplicar reglas de
herencia. También puede elegir generar el descriptor de seguridad en una representación compatible con .reg-
file del descriptor de seguridad para un valor del Registro de REG_BINARY.
La documentación de la herramienta Establecer seguridad de objetos se puede encontrar en el blog líneas base
de seguridad de Microsoft o descargando la herramienta.

¿Qué es la herramienta GPO to Policy Rules?

Automatice la conversión de copias de seguridad de GPO al Analizador de directivas . PolicyRules archivos y
omitir la GUI. GPO2PolicyRules es una herramienta de línea de comandos que se incluye con la descarga del
Analizador de directivas.
La documentación de la herramienta GPO a PolicyRules se puede encontrar en el blog de Líneas base de
seguridad de Microsoft o descargando la herramienta.
 Obtener soporte técnico
08/11/2022 • 2 minutes to read

¿Qué es el Microsoft Security Compliance Manager (SCM)?

El Security Compliance Manager (SCM) se ha retirado así como su soporte técnico. El motivo es que SCM era un
programa extremadamente complejo y extenso que necesitaba actualizarse para cada nueva versión de
Windows. Se ha reemplazado por el Security Compliance Toolkit (SCT). Para proporcionar un mejor servicio a
nuestros clientes, hemos pasado a SCT con el que podemos publicar líneas base a través del Centro de descarga
de Microsoft en un archivo ligero .zip que contiene copias de seguridad de GPO, informes de GPO, hojas de
cálculo de Excel, filtros WMI y scripts para aplicar la configuración a la directiva local.
Encontrarás más información acerca de este cambio en el blog de Microsoft Security Guidance.
¿Dónde puedo obtener una versión anterior de una línea base de Windows?
Cualquier versión de línea base de Windows anterior a Windows 10 1703 aún se puede descargar mediante
SCM. Todas las futuras versiones de línea base de Windows estarán disponibles a través de SCT. Consulta la
matriz de versión en este artículo para ver si tu versión de línea base de Windows está disponible en SCT.
Descargar SCM 4.0
Preguntas más frecuentes (P+F) sobre SCM
Notas de la versión de SCM
Ayuda de descarga de línea base de SCM
¿Qué formatos de archivo son compatibles con el nuevo SCT?
El kit de herramientas admite formatos creados por la característica de copia de seguridad de Windows GPO
(.pol, .inf y .csv). El Analizador de directivas guarda sus datos en archivos XML con una .PolicyRules extensión
de archivo. LGPO también admite su propio formato de archivo de texto LGPO como un archivo analógico
basado en texto para el formato .pol de registro binario. Para obtener más información, consulte la
documentación de LGPO. Tenga en cuenta que ya no se admiten los archivos .cab de los SCMs.
¿Es compatible el SCT con el formato de archivo de configuración de estado deseado (DSC)?
No. El DSC basado en PowerShell está ganando popularidad rápidamente y más herramientas DSC ya están en
línea para convertir GPO y DSC y validar la configuración del sistema.
¿Admite SCT la creación de paquetes de DCM de Microsoft Configuration Manager?
No. Una posible alternativa es la configuración de estado deseado (DSC), una característica de Windows
Management Framework. Puede encontrar una herramienta que admita la conversión de copias de seguridad
de GPO al formato DSC aquí.
¿Es compatible SCT con la creación de las directivas de formato del protocolo de automatización
de contenido (SCAP) de seguridad?
No. SCM solo admitía SCAP 1.0, que no se actualizó a medida que SCAP evolucionaba. El nuevo kit de
herramientas tampoco incluye compatibilidad con SCAP.

Matriz de versión
Versiones de cliente

F EC H A DE L A N Z A M IEN TO H ERRA M IEN TA S DE

N O M B RE VERSIÓ N DE L A L ÍN EA B A SE SEGURIDA D

Windows11 22H2 Septiembre de 2022 SCT 1.0

Windows10 22H2 Octubre de 2022 SCT 1.0

21H2 Diciembre de 2021
21H1 Mayo de 2021
20H2 Diciembre de 2020
1809 Octubre de 2018
1607 Octubre de 2016
1507 Enero de 2016

Windows 8.1 9600 (Actualización de abril) Octubre de 2013 SCM 4.0

Versión de ser vidor

F EC H A DE L A N Z A M IEN TO H ERRA M IEN TA S DE

N O M B RE VERSIÓ N DE L A L ÍN EA B A SE SEGURIDA D

Windows Server 2022 SecGuide Septiembre de 2021 SCT 1.0

Windows Server 2019 SecGuide Noviembre de 2018 SCT 1.0

WindowsServer2016 SecGuide Octubre de 2016 SCT 1.0

WindowsServer2012R2 SecGuide Agosto de 2014 SCT 1.0

Productos de Microsoft

N O M B RE DETA L L ES H ERRA M IEN TA S DE SEGURIDA D

Aplicaciones Microsoft 365 para SecGuide SCT 1.0

empresas, versión 2206

Microsoft Edge, versión 98 SecGuide SCT 1.0

Ver también
Líneas de base de seguridad de Windows
 Protección contra amenazas de Windows
08/11/2022 • 2 minutes to read

Se aplica a:
Windows10
Windows11
En el cliente Windows, el hardware y el software funcionan juntos para ayudarle a protegerse de amenazas
nuevas y emergentes. Las protecciones de seguridad ampliadas en Windows 11 ayudan a aumentar la
seguridad desde el chip hasta la nube.

Protección contra amenazas de Windows

Consulte los artículos siguientes para obtener más información sobre las distintas áreas de protección contra
amenazas de Windows:
Control de la aplicación
Reglas de reducción de superficie expuesta a ataques
Acceso controlado a carpetas
Protección contra vulnerabilidades
Protección de aplicaciones de Microsoft Defender
Device Guard de Microsoft Defender
SmartScreen de Microsoft Defender
Protección de red
Virtualization-Based protección de la integridad del código
Protección web
Firewall de Windows
Espacio aislado de Windows
Protección de última generación
La protección de próxima generación está diseñada para identificar y bloquear amenazas nuevas y emergentes.
Con tecnología de aprendizaje automático y en la nube, Microsoft Defender Antivirus puede ayudar a detener
los ataques en tiempo real.
Servicio de espacio aislado automatizado
Behavior monitoring
Protección basada en la nube
Aprendizaje automático
Protección de direcciones URL
 Invalidar opciones de mitigación de procesos para
facilitar la aplicación de directivas de seguridad
relacionadas con las aplicaciones
08/11/2022 • 4 minutes to read

Se aplica a:
Windows 10, versión 1607
Windows Server 2016
Windows 10 incluye grupo Directiva configurable "Proceso opciones de mitigación de" que agregar avanzada
protección contra ataques basados en la memoria, es decir, los ataques de donde malware manipula la memoria
para obtener el control de un sistema. Por ejemplo, malware podría intentar usar saturaciones del búfer para
insertar código ejecutable malintencionado en la memoria, pero las opciones de mitigación de procesos pueden
impedir la ejecución de código malintencionado.

IMPORTANT
Se recomienda intentar estas mitigaciones en un laboratorio de pruebas antes de implementar en la organización, para
determinar si interfieren con las aplicaciones necesarias de la organización.

La configuración de directiva de grupo en este tema está relacionados con tres tipos de las mitigaciones de
proceso. En Windows 10, los tres tipos están en aplicaciones de 64 bits de forma predeterminada, pero
mediante el uso de la configuración de directiva de grupo que se describe en este tema, puedes configurar
protecciones adicionales. Los tipos de las mitigaciones de proceso son:
Prevención de ejecución de datos (DEP) es una característica de protección de memoria de nivel del
sistema que permite al sistema operativo marcar una o varias páginas de memoria como no ejecutables,
para evitar que el código se ejecute desde esa región de la memoria, para ayudar a evitar ataques de
saturaciones del búfer. DEP ayuda a impedir que el código se ejecute desde páginas de datos, como el
montón predeterminado, pilas y bloques de memoria. Para obtener más información, consulta La
prevención de ejecución de datos.
Estructurados excepción sobrescritura de control protección (SEHOP) está diseñado para
impedir que usa el controlador de excepciones estructurado (SEH) sobrescribe la técnica de
vulnerabilidades de seguridad. Dado que este mecanismo de protección se proporciona en tiempo de
ejecución, ayuda a proteger las aplicaciones, independientemente de si se han compilado con las mejoras
más recientes. Para obtener más información, consulta Estructurados controlar la protección contra
sobrescritura excepciones.
Selección aleatoria del diseño de espacio de direcciones (ASLR) carga los archivos DLL en
direcciones de memoria aleatorias en tiempo de arranque para mitigar contra el malware que se ha
diseñado para atacar ubicaciones de memoria específicas, donde se espera se va a cargar archivos DLL
específicos. Para obtener más información, consulta la Selección aleatoria del diseño de espacio de
direcciones. Para obtener protecciones ASLR adicionales en la siguiente tabla, busque IMAGES o ASLR .

El siguiente procedimiento describe cómo usar la directiva de grupo para invalidar la configuración de
Opciones de mitigación de procesos individuales.
Para modificar las opciones de mitigación de proceso
1. Abre el editor de directivas de grupo y ve a la configuración de Las opciones de mitigación de
 Options\Process Templates\System\Mitigation administrativas .

2. Haga clic en habilitada y, a continuación, en el área de Opciones , haga clic en la muestra para abrir el
cuadro de Mostrar contenido , donde podrás agregar las aplicaciones y los valores de marca bits
adecuada, tal como se muestra en la Configuración del campo de bits y ejemplo secciones de este tema.
Impor tante
Para cada aplicación que quieras incluir, debes incluir:
Nombre del valor. El nombre de archivo de aplicación, incluida la extensión. Por ejemplo,
[Link].
Valor. En concreto, un campo de bits con una serie de bits indicadores posiciones. ¿Bits pueden
establecerse en 0 (donde la configuración se fuerza desactivado), 1 (donde la configuración se
fuerza en), o? (donde la configuración conserva el valor existente anterior).
Nota
¿Indicadores de bits de configuración en posiciones no especificadas aquí en algo distinto? puede
provocar un comportamiento no definido.
Establece el campo de bits
Esta es una representación visual de las ubicaciones de la marca de bits para las distintas configuraciones de
opciones de mitigación de proceso:

Donde los indicadores de bits se leen de derecha a izquierda y se definen como:

B A N DERA UB IC A C IÓ N DE B IT S A JUST E DETA L L ES

A 0 Activa en la prevención de
PROCESS_CREATION_MITIGATION_POLICY_DEP_ENABLE
(0x00000001) ejecución de datos (DEP)
para los procesos
secundarios.
 B A N DERA UB IC A C IÓ N DE B IT S A JUST E DETA L L ES

B 1 Activa la emulación de
PROCESS_CREATION_MITIGATION_POLICY_DEP_ATL_THUNK_ENABLE
(0x00000002) invocación de ATL DEP ATL
de procesos secundarios.
DEP-la emulación de
invocación de ATL permite
los errores (NX) no
ejecutable de intersección
del sistema que se originan
desde la capa de invocación
de ATL Active Template
Library (ATL) y, a
continuación, emulan y
controlan las instrucciones
para que pueda continuar el
proceso ejecutar.

C 2 Activa en estructurados
PROCESS_CREATION_MITIGATION_POLICY_SEHOP_ENABLE
(0x00000004) controlador sobrescritura
excepciones protección
(SEHOP) para los procesos
secundarios. Ayuda a
SEHOP para bloquear las
vulnerabilidades de
seguridad que usan el
controlador de excepciones
estructurado (SEH)
sobrescribe técnica.

D 8 Usa la selección aleatoria

PROCESS_CREATION_MITIGATION_POLICY_FORCE_RELOCATE_IMAGES_ALWAYS_ON
(0x00000100) del diseño de espacio de
direcciones (ASLR) de fuerza
establecer se comporte
como si se produjo una
colisión de imagen base en
tiempo de carga, reajuste
forzosamente imágenes que
no son dinámicas base
compatibles. No pueden
cargar imágenes sin la
sección de reubicación base
si se necesitan reubicación.

E 15 Activa la directiva de
PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_ON
(0x00010000) selección aleatoria de abajo
a arriba, que incluye
opciones de selección
aleatoria de pila y hace una
ubicación aleatoria que se
usará como la dirección de
usuario más baja.

F 16 Desactiva la directiva de
PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ALWAYS_OFF
(0x00020000) selección aleatoria de abajo
a arriba, que incluye
opciones de selección
aleatoria de pila y hace una
ubicación aleatoria que se
usará como la dirección de
usuario más baja.

Ejemplo
Si quieres activar la configuración de PROCESS_CREATION_MITIGATION_POLICY_DEP_ENABLE y
PROCESS_CREATION_MITIGATION_POLICY_FORCE_RELOCATE_IMAGES_ALWAYS_ON , desactivar la
PROCESS_CREATION_MITIGATION_POLICY_BOTTOM_UP_ASLR_ ALWAYS_OFF establecer y todo lo
demás como los valores predeterminados dejar, puede que desee escribe un valor de
???????????????0???????1???????1 .
 Uso de reenvío de eventos de Windows para
facilitar la detección de intrusiones
08/11/2022 • 30 minutes to read

Se aplica a
Windows 10
Windows Server
Obtén información acerca de un enfoque para recopilar eventos de dispositivos de tu organización. En este
artículo se habla acerca de eventos en operaciones normales y cuando se sospecha que hay una intrusión.
El reenvío de eventos de Windows (WEF) lee cualquier registro de eventos operativos o administrativos en un
dispositivo de su organización y reenvía los eventos que elija a un servidor de Recopilador de eventos de
Windows (WEC).
Para lograr esta funcionalidad, hay dos suscripciones diferentes publicadas en los dispositivos cliente: la
suscripción de línea base y la suscripción sospechosa. La suscripción de línea base inscribe todos los
dispositivos de su organización y una suscripción sospechosa solo incluye los dispositivos que ha agregado
usted. La suscripción Suspect recopila más eventos para ayudar a crear contexto para la actividad del sistema y
se puede actualizar rápidamente para dar cabida a nuevos eventos o escenarios según sea necesario sin afectar
a las operaciones de línea base.
Esta implementación ayuda a diferenciar dónde se almacenan los eventos en última instancia. Los eventos de
línea base se pueden enviar a dispositivos con funcionalidad analítica en línea, como Security Event Manager
(SEM), al tiempo que se envían eventos a un sistema MapReduce, como HDInsight o Hadoop, para un
almacenamiento a largo plazo y un análisis más profundo. Los eventos de la suscripción Suspect se envían
directamente a un sistema MapReduce debido al volumen y a una menor proporción de señal/ruido, que se
usan en gran medida para el análisis forense del host.
La fuerza de un SEM radica en poder inspeccionar, correlacionar eventos y generar alertas para patrones
conocidos y alertar al personal de seguridad a la velocidad de la máquina.
Un sistema MapReduce tiene un tiempo de retención más largo (años frente a meses para un SEM), una mayor
capacidad de entrada (cientos de terabytes al día) y la capacidad de realizar operaciones más complejas en los
datos, como análisis estadístico y de tendencias, análisis de clústeres de patrones o aplicación de algoritmos de
Machine Learning.
Esta es una guía de escalado aproximada para eventos WEF:

IN T ERVA LO DE EVEN TO S/ SEGUN DO A L M A C ÉN DE DATO S

0 - 5,000 SQL o SEM

5,000 - 50,000 Sem

50,000+ Hadoop/HDInsight/Data Lake

La generación de eventos en un dispositivo debe habilitarse por separado o como parte del GPO para la
implementación de WEF de línea base, incluida la habilitación de registros de eventos deshabilitados y la
configuración de permisos de canal. Para obtener más información, consulte Apéndice C: Configuración del
canal de eventos (habilitar y acceder al canal). Esta condición se debe a que WEF es un sistema pasivo con
respecto al registro de eventos. No puede cambiar el tamaño de los archivos de registro de eventos, habilitar
canales de eventos deshabilitados, cambiar los permisos de canal ni ajustar una directiva de auditoría de
seguridad. WEF solo consulta los canales de eventos para los eventos existentes. Además, tener que la
generación de eventos ya se produzca en un dispositivo permite crear una recopilación de eventos más
completa con un historial completo de la actividad del sistema. De lo contrario, se limitará a la velocidad de los
ciclos de actualización de suscripciones de GPO y WEF para realizar cambios en lo que se genera en el
dispositivo. En los dispositivos modernos, habilitar más canales de eventos y expandir el tamaño de los archivos
de registro de eventos no ha dado lugar a diferencias de rendimiento notables.
Para obtener la directiva de auditoría mínima recomendada y la configuración de ACL del sistema de registro,
consulte Apéndice A - Directiva de auditoría mínima recomendada y Apéndice B: Directiva de ACL de sistema de
registro mínima recomendada.

Nota: Estos son solo los valores mínimos que deben cumplir con lo que selecciona la suscripción de WEF.

Desde una perspectiva de administración de suscripciones WEF, las consultas de eventos proporcionadas deben
usarse en dos suscripciones independientes para facilitar el mantenimiento; solo se permitiría el acceso a la
suscripción de destino a las máquinas que cumplen criterios específicos; este acceso se determinaría mediante
un algoritmo o la dirección de un analista. Todos los dispositivos deben tener acceso a la suscripción de línea
base.
Este sistema de suscripción dual significa que crearía dos suscripciones base:
Suscripción de WEF de línea base . Eventos recopilados de todos los hosts; Estos eventos incluyen
algunos eventos específicos del rol, que solo los emitirán esas máquinas.
Suscripción de WEF de destino . Eventos recopilados de un conjunto limitado de hosts debido a una
actividad inusual o a un mayor reconocimiento de esos sistemas.
Cada una de ellas con la consulta de eventos correspondiente a continuación. Para la suscripción de destino, la
habilitación de la opción "leer eventos existentes" debe establecerse en true para permitir la recopilación de
eventos existentes de los sistemas. De forma predeterminada, las suscripciones DE WEF solo reenviarán los
eventos generados después de que el cliente haya recibido la suscripción de WEF.
En el Apéndice E : Consulta de eventos de suscripción de línea base anotada y Apéndice F : Consulta de eventos
de suscripción sospechosa anotada, el XML de consulta de eventos se incluye al crear suscripciones DE WEF.
Estas suscripciones se anotan con fines de consulta y claridad. El elemento Query> individual <se puede quitar
o editar sin que afecte al resto de la consulta.
Preguntas comunes de WEF
En esta sección se abordan las preguntas comunes de los profesionales de TI y los clientes.
¿Observará el usuario si su máquina está habilitada para WEF o si WEF encuentra un error?
La respuesta corta es: No.
La respuesta más larga es: el canal de eventos Eventlog-for wardingPlugin/Operational registra los eventos
de éxito, advertencia y error relacionados con las suscripciones de WEF presentes en el dispositivo. A menos que
el usuario abra Visor de eventos y navegue a ese canal, no observará WEF a través del consumo de recursos ni
de los elementos emergentes de la interfaz gráfica de usuario. Incluso si hay un problema con la suscripción de
WEF, no hay ninguna interacción del usuario ni degradación del rendimiento. Todos los eventos de éxito,
advertencia y error se registran en este canal de eventos operativos.
¿Es WEF Push o Pull?
Una suscripción de WEF se puede configurar para insertarse o extraerse, pero no ambas. La implementación de
TI más sencilla y flexible con la mayor escalabilidad se puede lograr mediante una suscripción de inserción o
iniciada por el origen. Los clientes WEF se configuran mediante un GPO y se activa el cliente de reenvío
integrado. En el caso de la extracción iniciada por el recopilador, la suscripción en el servidor WEC está
preconfigurada con los nombres de los dispositivos cliente WEF desde los que se seleccionarán los eventos.
Esos clientes deben configurarse con antelación para permitir que las credenciales usadas en la suscripción
accedan a sus registros de eventos de forma remota (normalmente agregando la credencial al grupo de
seguridad local integrado Lectores de registro de eventos). Un escenario útil: supervisar estrechamente un
conjunto específico de máquinas.
¿WEF funcionará a través de VPN o RAS?
WEF controla bien los escenarios de VPN, RAS y DirectAccess y se volverá a conectar y enviará cualquier trabajo
pendiente acumulado de eventos cuando se restablezca la conexión al recopilador de WEF.
¿Cómo se realiza el seguimiento del progreso del cliente?
El servidor WEC mantiene en su registro la información del marcador y la hora del último latido de cada origen
de eventos para cada suscripción de WEF. Cuando un origen de eventos se vuelve a conectar a un servidor WEC,
la última posición del marcador se envía al dispositivo para usarla como punto de partida para reanudar los
eventos de reenvío. Si un cliente WEF no tiene eventos para enviar, el cliente WEF se conectará periódicamente
para enviar un latido al servidor WEC para indicar que está activo. Este valor de latido se puede configurar
individualmente para cada suscripción.
¿WEF funcionará en un entorno IPv4, IPv6 o mixto IPv4/IPv6?
Sí. WEF es independiente del transporte y funcionará a través de IPv4 o IPv6.
¿Se cifran los eventos WEF? Veo una opción HTTP/HTTPS.
En una configuración de dominio, la conexión usada para transmitir eventos WEF se cifra mediante Kerberos de
forma predeterminada (con NTLM como opción de reserva, que se puede deshabilitar mediante un GPO). Solo
el recopilador wef puede descifrar la conexión. Además, la conexión entre el cliente WEF y el servidor WEC se
autentica mutuamente independientemente del tipo de autenticación (Kerberos o NTLM). Hay opciones de GPO
para forzar a la autenticación a usar solo Kerberos.
Esta autenticación y cifrado se realizan independientemente de si se selecciona HTTP o HTTPS.
La opción HTTPS está disponible si se usa la autenticación basada en certificados, en los casos en los que la
autenticación mutua basada en Kerberos no es una opción. El certificado SSL y los certificados de cliente
aprovisionados se usan para proporcionar autenticación mutua.
¿Los clientes WEF tienen un búfer independiente para eventos?
El registro de eventos local de máquinas cliente WEF es el búfer de WEF para cuando se pierde la conexión con
el servidor WEC. Para aumentar el "tamaño del búfer", aumente el tamaño máximo de archivo del archivo de
registro de eventos específico donde se seleccionan los eventos. Para obtener más información, vea Apéndice C :
Métodos de configuración del canal de eventos (habilitar y acceso al canal).
Cuando el registro de eventos sobrescribe los eventos existentes (lo que da lugar a la pérdida de datos si el
dispositivo no está conectado al recopilador de eventos), no se envía ninguna notificación al recopilador wef de
que los eventos se pierden del cliente. Tampoco hay un indicador de que se encontró una brecha en el flujo de
eventos.
¿Qué formato se usa para los eventos reenviados?
WEF tiene dos modos para eventos reenviados. El valor predeterminado es "Texto representado" que incluye la
descripción textual del evento como lo vería en Visor de eventos. La inclusión de esta descripción significa que el
tamaño del evento se duplica o se triplica en función del tamaño de la descripción representada. El modo
alternativo es "Eventos" (también conocido a veces como formato "binario") – que es simplemente el propio
XML de evento enviado en formato XML binario (como se escribiría en el archivo evtx). Este formato es
compacto y puede duplicar más del doble el volumen de eventos que un único servidor WEC puede acomodar.
Se puede configurar una suscripción "testSubscription" para usar el formato Eventos a través de la utilidad
WECUTIL:

@rem required to set the DeliveryMaxItems or DeliveryMaxLatencyTime

Wecutil ss “testSubscription” /cf:Events

¿Con qué frecuencia se entregan los eventos WEF?

Las opciones de entrega de eventos forman parte de los parámetros de configuración de la suscripción de WEF:
hay tres opciones de entrega de suscripciones integradas: Normal, Minimizar ancho de banda y Minimizar
latencia. Hay disponible un cuarto objeto catch-all denominado "Personalizado", pero no se puede seleccionar ni
configurar a través de la interfaz de usuario de WEF mediante Visor de eventos. La opción Entrega personalizada
debe seleccionarse y configurarse mediante la aplicación de línea de comandos [Link]. Todas las
opciones de suscripción definen un recuento máximo de eventos y una antigüedad máxima de eventos, si se
supera cualquiera de los límites, los eventos acumulados se envían al recopilador de eventos.
En esta tabla se describen las opciones de entrega integradas:

O P C IO N ES DE O P T IM IZ A C IÓ N DE EN T REGA DE EVEN TO S DESC RIP C IÓ N

Normal Esta opción garantiza la entrega confiable de eventos y no

intenta conservar el ancho de banda. Es la opción adecuada
a menos que necesite un control más estricto sobre el uso
del ancho de banda o necesite eventos reenviados
entregados lo antes posible. Usa el modo de entrega de
extracción, procesa por lotes 5 elementos a la vez y establece
un tiempo de espera de lote de 15 minutos.

Minimizar el ancho de banda Esta opción garantiza que el uso del ancho de banda de red
para la entrega de eventos esté estrictamente controlado. Es
una opción adecuada si desea limitar la frecuencia de las
conexiones de red realizadas para entregar eventos. Usa el
modo de entrega push y establece un tiempo de espera por
lotes de 6 horas. Además, usa un intervalo de latido de 6
horas.

Minimizar la latencia Esta opción garantiza que los eventos se entreguen con un
retraso mínimo. Es una opción adecuada si va a recopilar
alertas o eventos críticos. Usa el modo de entrega push y
establece un tiempo de espera por lotes de 30 segundos.

Para obtener más información sobre las opciones de entrega, vea Configurar opciones avanzadas de
suscripción.
La diferencia principal está en la latencia que los eventos se envían desde el cliente. Si ninguna de las opciones
integradas cumple sus requisitos, puede establecer opciones de entrega de eventos personalizados para una
suscripción determinada desde un símbolo del sistema con privilegios elevados:

@rem required to set the DeliveryMaxItems or DeliveryMaxLatencyTime

Wecutil ss “SubscriptionNameGoesHere” /cm:Custom
@rem set DeliveryMaxItems to 1 event
Wecutil ss “SubscriptionNameGoesHere” /dmi:1
@rem set DeliveryMaxLatencyTime to 10 ms
Wecutil ss “SubscriptionNameGoesHere” /dmlt:10

Cómo controlar qué dispositivos tienen acceso a una suscripción de WEF?

Para las suscripciones iniciadas por el origen: cada suscripción de WEF en un servidor WEC tiene su propia ACL
para las cuentas de equipo o los grupos de seguridad que contienen cuentas de equipo (no cuentas de usuario)
que pueden participar explícitamente en esa suscripción o a las que se les deniega explícitamente el acceso. Esta
ACL solo se aplica a una sola suscripción de WEF (ya que puede haber varias suscripciones WEF en un servidor
WEC determinado), otras suscripciones WEF tienen su propia ACL independiente.
Para las suscripciones iniciadas por el recopilador: la suscripción contiene la lista de máquinas desde las que el
servidor WEC va a recopilar eventos. Esta lista se administra en el servidor WEC y las credenciales usadas para
la suscripción deben tener acceso para leer los registros de eventos de los clientes WEF; las credenciales pueden
ser la cuenta de equipo o una cuenta de dominio.
¿Puede un cliente comunicarse con varios recopiladores de eventos WEF?
Sí. Si desea un entorno de High-Availability, configure varios servidores WEC con la misma configuración de
suscripción y publique ambos URI de servidor WEC en clientes WEF. Los clientes WEF reenviarán eventos
simultáneamente a las suscripciones configuradas en los servidores WEC, si tienen el acceso adecuado.
¿Cuáles son las limitaciones del servidor WEC?
Hay tres factores que limitan la escalabilidad de los servidores WEC. La regla general para un servidor WEC
estable en hardware básico está planeando un total de 3000 eventos por segundo en promedio para todas las
suscripciones configuradas.
E/S de disco . El servidor WEC no procesa ni valida el evento recibido, sino que almacena en búfer el
evento recibido y, a continuación, lo registra en un archivo de registro de eventos local (archivo EVTX). La
velocidad de registro en el archivo EVTX está limitada por la velocidad de escritura del disco. Aislar el
archivo EVTX en su propia matriz o usar discos de alta velocidad puede aumentar el número de eventos
por segundo que puede recibir un único servidor WEC.
Conexiones de red . Aunque un origen WEF no mantiene una conexión permanente y persistente con el
servidor WEC, no se desconecta inmediatamente después de enviar sus eventos. Esta clemencia significa
que el número de orígenes WEF que pueden conectarse simultáneamente al servidor WEC se limita a los
puertos TCP abiertos disponibles en el servidor WEC.
Tamaño del Registro . Para cada dispositivo único que se conecta a una suscripción de WEF, hay una
clave del Registro (correspondiente al FQDN del cliente WEF) creada para almacenar información de
marcador y latido de origen. Si esta información no se elimina para quitar clientes inactivos, este
conjunto de claves del Registro puede aumentar a un tamaño que no se puede administrar con el tiempo.
Cuando una suscripción tiene >1000 orígenes WEF conectados a ella a lo largo de su duración
operativa, también conocida como orígenes WEF de duración, Visor de eventos puede dejar de
responder durante unos minutos al seleccionar el nodo Suscripciones en el panel de navegación
izquierdo, pero funcionará normalmente después.
Con >50 000 orígenes WEF de duración, Visor de eventos ya no es una opción y [Link] (incluido
con Windows) debe usarse para configurar y administrar suscripciones.
Con >100 000 orígenes WEF de duración, el registro no será legible y es probable que el servidor
WEC tenga que volver a generarse.

Información sobre la suscripción

A continuación se enumeran todos los elementos que recopila cada suscripción, el XML de suscripción real está
disponible en un Apéndice. Estos elementos se separan en Línea base y Destino. La intención es suscribir todos
los hosts a línea base y, a continuación, inscribir (y quitar) hosts según sea necesario en la suscripción dirigida.
Suscripción de línea base
Aunque esta suscripción parece ser la suscripción más grande, realmente es el volumen más bajo por
dispositivo. (Se deben permitir excepciones para dispositivos inusuales: se puede esperar que un dispositivo que
realice tareas complejas relacionadas con desarrolladores cree un volumen inusualmente alto de eventos de
creación de procesos y AppLocker). Esta suscripción no requiere una configuración especial en los dispositivos
cliente para habilitar canales de eventos o modificar permisos de canal.
La suscripción es básicamente una colección de instrucciones de consulta aplicadas al registro de eventos. Esta
suscripción significa que es modular por naturaleza y una instrucción de consulta determinada se puede quitar
o cambiar sin afectar a otra instrucción de consulta de la suscripción. Además, suprima las instrucciones que
filtran eventos específicos, solo se aplican dentro de esa instrucción de consulta y no se aplican a toda la
suscripción.
Requisitos de suscripción de línea base
Para obtener el máximo valor de la suscripción de línea base, se recomienda establecer los siguientes requisitos
en el dispositivo para asegurarse de que los clientes ya están generando los eventos necesarios para reenviarse
fuera del sistema.
Aplique una directiva de auditoría de seguridad que sea un superconjunto de la directiva de auditoría
mínima recomendada. Para obtener más información, consulte Apéndice A: Directiva de auditoría mínima
recomendada. Esta directiva garantiza que el registro de eventos de seguridad genera los eventos
necesarios.
Aplique al menos una directiva de AppLocker Audit-Only a los dispositivos.
Si ya está permitiendo o restringendo eventos mediante AppLocker, se cumple este requisito.
Los eventos de AppLocker contienen información útil, como el hash de archivos y la información de
firma digital para archivos ejecutables y scripts.
Habilite los canales de eventos deshabilitados y establezca el tamaño mínimo para los archivos de
eventos modernos.
Actualmente, no hay ninguna plantilla de GPO para habilitar o establecer el tamaño máximo de los
archivos de eventos modernos. Este umbral debe definirse mediante un GPO. Para obtener más
información, vea Apéndice C : Métodos de configuración del canal de eventos (habilitar y acceso al canal).
La consulta de eventos anotados se puede encontrar en lo siguiente. Para obtener más información, vea
Apéndice F : Consulta de eventos de suscripción sospechosa anotada.
Eventos antimalware de Microsoft Antimalware o Windows Defender. Estos eventos se pueden configurar
para cualquier producto antimalware determinado fácilmente si escribe en el registro de eventos de
Windows.
Proceso de proceso de registro de eventos de seguridad Crear eventos.
Eventos de creación de procesos de AppLocker (EXE, script, instalación y ejecución de aplicaciones
empaquetadas).
Eventos de modificación del Registro. Para obtener más información, consulte Apéndice B: Directiva de
ACL de sistema de registro mínima recomendada.
Inicio y apagado del sistema operativo
Los eventos de inicio incluyen la versión del sistema operativo, el nivel de Service Pack, la versión de
QFE y el modo de arranque.
Instalación del servicio
Incluye el nombre del servicio, la ruta de acceso de la imagen y quién instaló el servicio.
Eventos de auditoría de entidad de certificación
Estos eventos solo son aplicables en sistemas con el rol entidad de certificación instalado.
Registra las solicitudes y respuestas de certificado.
Eventos de perfil de usuario
El uso de un perfil temporal o la imposibilidad de crear un perfil de usuario puede indicar que un
intruso inicia sesión interactivamente en un dispositivo, pero no quiere dejar un perfil persistente
atrás.
Error de inicio del servicio
Los códigos de error están localizados, por lo que debe comprobar los valores en el archivo DLL del
mensaje.
Eventos de acceso a recursos compartidos de red
Filtre los recursos compartidos de archivos IPC$ y /NetLogon, que son esperados y ruidosos.
Solicitudes de inicio de cierre del sistema
Averigüe qué inició el reinicio de un dispositivo.
Evento de cierre de sesión interactivo iniciado por el usuario
Las sesiones de Servicios de Escritorio remoto se conectan, vuelven a conectar o desconectan.
Eventos EMET, si está instalado EMET.
Eventos del complemento de reenvío de eventos
Para supervisar las operaciones de suscripción de WEF, como eventos de éxito parcial. Este evento es
útil para diagnosticar problemas de implementación.
Creación y eliminación de recursos compartidos de red
Permite la detección de la creación de recursos compartidos no autorizados.

NOTE
Todos los recursos compartidos se vuelven a crear cuando se inicia el dispositivo.

Sesiones de inicio de sesión

Inicio de sesión correcto para interactivo (local y remoto interactivo/Escritorio remoto)
Inicie sesión correcta para los servicios de cuentas no integradas, como LocalSystem, LocalNetwork,
etc.
Inicio de sesión correcto para sesiones por lotes
Cierre de sesión de inicio de sesión, que es eventos de cierre de sesión para sesiones que no son de
red.
Informe de errores de Windows (solo eventos de bloqueo de aplicación)
Esta sesión puede ayudar a detectar los primeros signos de intruso que no están familiarizados con el
entorno empresarial mediante malware de destino.
Eventos del servicio de registro de eventos
Errores, eventos de inicio y detención de eventos para el servicio de registro de eventos de Windows.
Registro de eventos desactivado (incluido el registro de eventos de seguridad)
Este evento podría indicar un intruso que cubre sus pistas.
Privilegios especiales asignados al nuevo inicio de sesión
Esta asignación indica que, en el momento de iniciar sesión, un usuario es administrador o tiene el
acceso suficiente para hacerse administrador.
Intentos de sesión de Servicios de Escritorio remoto de salida
 Visibilidad de posibles cabezas de playa para intrusos
Tiempo del sistema cambiado
Cliente SMB (conexiones de unidad asignadas)
Validación de credenciales de cuenta
Cuentas locales o cuentas de dominio en controladores de dominio
Se ha agregado o quitado un usuario del grupo de seguridad administradores local.
Clave privada de Crypto API a la que se tiene acceso
Asociado a objetos de firma mediante la clave privada almacenada localmente.
Creación y eliminación de tareas del Programador de tareas
El Programador de tareas permite a los intrusos ejecutar código en horas especificadas como
LocalSystem.
Inicio de sesión con credenciales explícitas
Detecte cambios en el uso de credenciales por parte de intrusos para acceder a más recursos.
Eventos de verificación del titular de tarjetas inteligentes
Este evento detecta cuándo se usa una tarjeta inteligente.
Suscripción sospechosa
Esta suscripción agrega alguna actividad posible relacionada con el intruso para ayudar a los analistas a refinar
aún más sus determinaciones sobre el estado del dispositivo.
Creación de sesiones de inicio de sesión para sesiones de red
Permite el análisis de series temporales de gráficos de red.
Eventos RADIUS y VPN
Útil si usa una implementación de RADIUS/VPN de Microsoft IAS. Muestra la asignación de
direcciones IP de usuario> con dirección IP remota que se conecta a la empresa.
Objetos X509 de crypto API y eventos de cadena de compilación
Detecta un certificado incorrecto conocido, una ca o una sub ca
Detecta el uso inusual del proceso de CAPI
Grupos asignados al inicio de sesión local
Proporciona visibilidad a los grupos que habilitan el acceso a toda la cuenta
Permite un mejor planeamiento de los esfuerzos de corrección
Excluye cuentas del sistema bien conocidas e integradas.
Cierre de sesión de inicio de sesión
Específico para las sesiones de inicio de sesión de red.
Eventos de búsqueda de DNS de cliente
Devuelve qué proceso realizó una consulta DNS y los resultados devueltos desde el servidor DNS.
Salida del proceso
Permite comprobar si los procesos finalizan inesperadamente.
Validación de credenciales locales o inicio de sesión con credenciales explícitas
Se genera cuando el SAM local es autoritativo para las credenciales de cuenta que se autentican.
Ruido en los controladores de dominio
 En los dispositivos cliente, solo se genera cuando las cuentas locales inician sesión.
Eventos de auditoría de modificación del Registro
Solo cuando se crea, modifica o elimina un valor del Registro.
Autenticación inalámbrica 802.1x
Detección de una conexión inalámbrica con una dirección MAC del mismo nivel
registro de Windows PowerShell
Cubre Windows PowerShell 2.0 y versiones posteriores e incluye las mejoras de registro de Windows
PowerShell 5.0 para ataques en memoria mediante Windows PowerShell.
Incluye Windows PowerShell registro remoto
Evento "Driver Loaded" de Marco de controladores en modo de usuario
Es posible que detecte un dispositivo USB que cargue varios controladores de dispositivo. Por
ejemplo, un dispositivo USB_STOR que carga el controlador de teclado o de red.

Apéndice A: directiva de auditoría mínima recomendada

Si la directiva de auditoría de la organización permite realizar más auditorías para satisfacer sus necesidades, no
pasa nada. La directiva siguiente es la configuración mínima de la directiva de auditoría necesaria para habilitar
los eventos recopilados por las suscripciones de línea base y de destino.

C AT EGO RÍA SUB C AT EGO RÍA C O N F IGURA C IÓ N DE A UDITO RÍA

Inicio de sesión de la cuenta Validación de credenciales Éxito y error

Administración de cuentas Administración de grupos de Correcto

seguridad

Administración de cuentas Administración de cuentas de usuario Éxito y error

Administración de cuentas Administración de cuentas de equipo Éxito y error

Administración de cuentas Otros eventos de administración de Éxito y error

cuentas

Seguimiento detallado Creación de procesos Correcto

Seguimiento detallado Finalización del proceso Correcto

Inicio de sesión o cierre de sesión Notificaciones de usuario o dispositivo No configurado

Inicio de sesión o cierre de sesión Modo extendido de IPsec No configurado

Inicio de sesión o cierre de sesión Modo rápido de IPsec No configurado

Inicio de sesión o cierre de sesión Sesión Éxito y error

Inicio de sesión o cierre de sesión La opción de cierre de sesión Correcto

Inicio de sesión o cierre de sesión Otros eventos de inicio de sesión o Éxito y error
cierre de sesión
 C AT EGO RÍA SUB C AT EGO RÍA C O N F IGURA C IÓ N DE A UDITO RÍA

Inicio de sesión o cierre de sesión Inicio de sesión especial Éxito y error

Inicio de sesión o cierre de sesión Bloqueo de cuenta Correcto

Acceso a objetos Generado por la aplicación No configurado

Acceso a objetos Recurso compartido de archivos Correcto

Acceso a objetos Sistema de archivos No configurado

Acceso a objetos Otros eventos de acceso a objetos No configurado

Acceso a objetos Registro No configurado

Acceso a objetos Almacenamiento extraíble Correcto

Cambio de directiva Cambio de directiva de auditoría Éxito y error

Cambio de directiva Cambio de directiva de MPSSVC Rule- Éxito y error

Level

Cambio de directiva Otros eventos de cambio de directiva Éxito y error

Cambio de directiva Cambio de directiva de autenticación Éxito y error

Cambio de directiva Cambio de directiva de autorización Éxito y error

Uso de privilegios Uso de privilegios confidenciales No configurado

Sistema Cambio de estado de seguridad Éxito y error

Sistema Extensión del sistema de seguridad Éxito y error

Sistema Integridad del sistema Éxito y error

Apéndice B: directiva de ACL del sistema de registro mínimo

recomendado
Las claves Run y RunOnce son útiles para los intrusos y la persistencia de malware. Permite ejecutar código (o
ejecutarlo solo una vez, respectivamente) cuando un usuario inicia sesión en el sistema.
Esta implicación se puede extender fácilmente a otras claves de puntos de inicio de ejecución automática en el
Registro.
Use las siguientes ilustraciones para ver cómo puede configurar esas claves del Registro.
Apéndice C: métodos de configuración del canal de eventos
(habilitación y acceso de canal)
Algunos canales están deshabilitados de forma predeterminada y deben estar habilitados. Otros, como
Microsoft-Windows-CAPI2/Operational, deben tener el acceso al canal modificado para permitir que el grupo de
seguridad integrado Lectores de registro de eventos lea de él.
La manera recomendada y más eficaz de realizar esta personalización es configurar el GPO de línea base para
ejecutar una tarea programada para configurar los canales de evento (habilitar, establecer el tamaño máximo y
ajustar el acceso al canal). Esta configuración surtirá efecto en el siguiente ciclo de actualización de GPO y tendrá
un impacto mínimo en el dispositivo cliente.
El siguiente fragmento de código de GPO realiza las siguientes tareas:
Habilita el canal de eventos Microsoft-Windows-Capi2/Operational .
Establece el tamaño máximo de archivo para Microsoft-Windows-Capi2/Operational en 100 MB.
Establece el tamaño máximo de archivo para Microsoft-Windows-AppLocker/EXE y DLL en 100 MB.
Establece el acceso máximo al canal para Microsoft-Windows-Capi2/Operational para incluir el grupo
de seguridad lectores de registro de eventos integrado.
Habilita el canal de eventos Microsoft-Windows-DriverFrameworks-UserMode/Operational .
Establece el tamaño máximo de archivo para Microsoft-Windows-DriverFrameworks-
UserMode/Operational en 50 MB.
Apéndice D: GPO mínimo para la configuración del cliente WEF
Estos son los pasos mínimos para que WEF funcione:
1. Configure los URI del recopilador.
2. Inicie el servicio WinRM.
3. Agregue la cuenta de servicio de red al grupo de seguridad lectores de registro de eventos integrado. Esta
adición permite leer desde un canal de eventos protegido, como el canal de eventos de seguridad.
Apéndice E: consulta de eventos de suscripción de línea base anotada
<QueryList>
<Query Id="0" Path="System">
<!-- Anti-malware *old* events, but only detect events (cuts down noise) -->
<Select Path="System">*[System[Provider[@Name='Microsoft Antimalware'] and (EventID &gt;= 1116 and
EventID &lt;= 1119)]]</Select>
</Query>
<!-- AppLocker EXE events or Script events -->
<Query Id="1" Path="Microsoft-Windows-AppLocker/EXE and DLL">
<Select Path="Microsoft-Windows-AppLocker/EXE and DLL">*[UserData[RuleAndFileData[PolicyName="EXE"]]]
</Select>
<Select Path="Microsoft-Windows-AppLocker/MSI and Script">*</Select>
</Query>
<Query Id="2" Path="Security">
<!-- Wireless Lan 802.1x authentication events with Peer MAC address -->
<Select Path="Security">*[System[(EventID=5632)]]</Select>
</Query>
<Query Id="3" Path="Microsoft-Windows-TaskScheduler/Operational">
<!-- Task scheduler Task Registered (106), Task Registration Deleted (141), Task Deleted (142) -->
<Select Path="Microsoft-Windows-TaskScheduler/Operational">*[System[Provider[@Name='Microsoft-Windows-
TaskScheduler'] and (EventID=106 or EventID=141 or EventID=142 )]]</Select>
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-TaskScheduler'] and (EventID=106 or
EventID=141 or EventID=142 )]]</Select>
</Query>
<Query Id="4" Path="System">
<!-- System startup (12 - includes OS/SP/Version) and shutdown -->
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Kernel-General'] and (EventID=12 or
EventID=13)]]</Select>
</Query>
<Query Id="5" Path="System">
 <!-- Service Install (7000), service start failure (7045), new service (4697) -->
<Select Path="System">*[System[Provider[@Name='Service Control Manager'] and (EventID = 7000 or
EventID=7045)]]</Select>
<Select Path="Security">*[System[(EventID=4697)]]</Select>
</Query>
<Query Id="6" Path="Security">
<!-- TS Session reconnect (4778), TS Session disconnect (4779) -->
<Select Path="Security">*[System[(EventID=4778 or EventID=4779)]]</Select>
</Query>
<Query Id="7" Path="Security">
<!-- Network share object access without IPC$ and Netlogon shares -->
<Select Path="Security">*[System[(EventID=5140)]] and (*
[EventData[Data[@Name="ShareName"]!="\\*\IPC$"]]) and (*
[EventData[Data[@Name="ShareName"]!="\\*\NetLogon"]])</Select>
</Query>
<Query Id="8" Path="Security">
<!-- System Time Change (4616) -->
<Select Path="Security">*[System[(EventID=4616)]]</Select>
</Query>
<Query Id="9" Path="System">
<!-- Shutdown initiate requests, with user, process and reason (if supplied) -->
<Select Path="System">*[System[Provider[@Name='USER32'] and (EventID=1074)]]</Select>
</Query>
<!-- AppLocker packaged (Modern UI) app execution -->
<Query Id="10" Path="Microsoft-Windows-AppLocker/Packaged app-Execution">
<Select Path="Microsoft-Windows-AppLocker/Packaged app-Execution">*</Select>
</Query>
<!-- AppLocker packaged (Modern UI) app installation -->
<Query Id="11" Path="Microsoft-Windows-AppLocker/Packaged app-Deployment">
<Select Path="Microsoft-Windows-AppLocker/Packaged app-Deployment">*</Select>
</Query>
<Query Id="12" Path="Application">
<!-- EMET events -->
<Select Path="Application">*[System[Provider[@Name='EMET']]]</Select>
</Query>
<Query Id="13" Path="System">
<!-- Event log service events -->
<Select Path="System">*[System[Provider[@Name='Microsoft-Windows-Eventlog']]]</Select>
</Query>
<Query Id="14" Path="Security">
<!-- Local logons without network or service events -->
<Select Path="Security">*[System[(EventID=4624)]] and (*[EventData[Data[@Name="LogonType"]!="3"]]) and
(*[EventData[Data[@Name="LogonType"]!="5"]])</Select>
</Query>
<Query Id="15" Path="Application">
<!-- WER events for application crashes only -->
<Select Path="Application">*[System[Provider[@Name='Windows Error Reporting']]] and (*[EventData[Data[3]
="APPCRASH"]])</Select>
</Query>
<Query Id="16" Path="Security">
<!-- Security Log cleared events (1102), EventLog Service shutdown (1100)-->
<Select Path="Security">*[System[(EventID=1102 or EventID = 1100)]]</Select>
</Query>
<Query Id="17" Path="System">
<!-- Other Log cleared events (104)-->
<Select Path="System">*[System[(EventID=104)]]</Select>
</Query>
<Query Id="18" Path="Security">
<!-- user initiated logoff -->
<Select Path="Security">*[System[(EventID=4647)]]</Select>
</Query>
<Query Id="19" Path="Security">
<!-- user logoff for all non-network logon sessions-->
<Select Path="Security">*[System[(EventID=4634)]] and (*[EventData[Data[@Name="LogonType"] != "3"]])
</Select>
</Query>
<Query Id="20" Path="Security">
<!-- Service logon events if the user account isn't LocalSystem, NetworkService, LocalService -->
<Select Path="Security">*[System[(EventID=4624)]] and (*[EventData[Data[@Name="LogonType"]="5"]]) and (*
 <Select Path="Security">*[System[(EventID=4624)]] and (*[EventData[Data[@Name="LogonType"]="5"]]) and (*
[EventData[Data[@Name="TargetUserSid"] != "S-1-5-18"]]) and (*[EventData[Data[@Name="TargetUserSid"] != "S-
1-5-19"]]) and (*[EventData[Data[@Name="TargetUserSid"] != "S-1-5-20"]])</Select>
</Query>
<Query Id="21" Path="Security">
<!-- Network Share create (5142), Network Share Delete (5144) -->
<Select Path="Security">*[System[(EventID=5142 or EventID=5144)]]</Select>
</Query>
<Query Id="22" Path="Security">
<!-- Process Create (4688) -->
<Select Path="Security">*[System[EventID=4688]]</Select>
</Query>
<Query Id="23" Path="Security">
<!-- Event log service events specific to Security channel -->
<Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Eventlog']]]</Select>
</Query>
<Query Id="26" Path="Security">
<!-- Special Privileges (Admin-equivalent Access) assigned to new logon, excluding LocalSystem-->
<Select Path="Security">*[System[(EventID=4672)]]</Select>
<Suppress Path="Security">*[EventData[Data[1]="S-1-5-18"]]</Suppress>
</Query>
<Query Id="27" Path="Security">
<!-- New user added to local security group-->
<Select Path="Security">*[System[(EventID=4732)]]</Select>
</Query>
<Query Id="28" Path="Security">
<!-- New user added to global security group-->
<Select Path="Security">*[System[(EventID=4728)]]</Select>
</Query>
<Query Id="29" Path="Security">
<!-- New user added to universal security group-->
<Select Path="Security">*[System[(EventID=4756)]]</Select>
</Query>
<Query Id="30" Path="Security">
<!-- User removed from local Administrators group-->
<Select Path="Security">*[System[(EventID=4733)]] and (*
[EventData[Data[@Name="TargetUserName"]="Administrators"]])</Select>
</Query>
<Query Id="31" Path="Microsoft-Windows-TerminalServices-RDPClient/Operational">
<!-- Log attempted TS connect to remote server -->
<Select Path="Microsoft-Windows-TerminalServices-RDPClient/Operational">*[System[(EventID=1024)]]
</Select>
</Query>
<Query Id="32" Path="Security">
<!-- Certificate Services received certificate request (4886), Approved and Certificate issued (4887),
Denied request (4888) -->
<Select Path="Security">*[System[(EventID=4886 or EventID=4887 or EventID=4888)]]</Select>
</Query>
<Query Id="34" Path="Security">
<!-- New User Account Created(4720), User Account Enabled (4722), User Account Disabled (4725), User
Account Deleted (4726) -->
<Select Path="Security">*[System[(EventID=4720 or EventID=4722 or EventID=4725 or EventID=4726)]]
</Select>
</Query>
<Query Id="35" Path="Microsoft-Windows-SmartCard-Audit/Authentication">
<!-- Gets all Smart-card Card-Holder Verification (CHV) events (success and failure) performed on the
host. -->
<Select Path="Microsoft-Windows-SmartCard-Audit/Authentication">*</Select>
</Query>
<Query Id="36" Path="Microsoft-Windows-SMBClient/Operational">
<!-- get all UNC/mapped drive successful connection -->
<Select Path="Microsoft-Windows-SMBClient/Operational">*[System[(EventID=30622 or EventID=30624)]]
</Select>
</Query>
<Query Id="37" Path="Application">
<!-- User logging on with Temporary profile (1511), cannot create profile, using temporary profile
(1518)-->
<Select Path="Application">*[System[Provider[@Name='Microsoft-Windows-User Profiles Service'] and
(EventID=1511 or EventID=1518)]]</Select>
</Query>
 </Query>
<Query Id="39" Path="Microsoft-Windows-Sysmon/Operational">
<!-- Modern SysMon event provider-->
<Select Path="Microsoft-Windows-Sysmon/Operational">*</Select>
</Query>
<Query Id="40" Path="Application">
<!-- Application crash/hang events, similar to WER/1001. These include full path to faulting
EXE/Module.-->
<Select Path="Application">*[System[Provider[@Name='Application Error'] and (EventID=1000)]]</Select>
<Select Path="Application">*[System[Provider[@Name='Application Hang'] and (EventID=1002)]]</Select>
</Query>
<Query Id="41" Path="Microsoft-Windows-Windows Defender/Operational">
<!-- Modern Windows Defender event provider Detection events (1006-1009) and (1116-1119) -->
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[( (EventID &gt;= 1006 and EventID
&lt;= 1009) )]]</Select>
<Select Path="Microsoft-Windows-Windows Defender/Operational">*[System[( (EventID &gt;= 1116 and EventID
&lt;= 1119) )]]</Select>
</Query>
<Query Id="42" Path="Security">
<!-- An account Failed to Log on events -->
<Select Path="Security">*[System[(EventID=4625)]] and (*[EventData[Data[@Name="LogonType"]!="2"]])
</Select>
</Query>

</QueryList>

Apéndice F: consulta de eventos de suscripción sospechosa anotada

<QueryList>
<Query Id="0" Path="Security">
<!-- Network logon events-->
<Select Path="Security">*[System[(EventID=4624)]] and (*[EventData[Data[@Name="LogonType"]="3"]])
</Select>
</Query>
<Query Id="1" Path="System">
<!-- RADIUS authentication events User Assigned IP address (20274), User successfully authenticated
(20250), User Disconnected (20275) -->
<Select Path="System">*[System[Provider[@Name='RemoteAccess'] and (EventID=20274 or EventID=20250 or
EventID=20275)]]</Select>
</Query>
<Query Id="2" Path="Microsoft-Windows-CAPI2/Operational">
<!-- CAPI events Build Chain (11), Private Key accessed (70), X509 object (90)-->
<Select Path="Microsoft-Windows-CAPI2/Operational">*[System[(EventID=11 or EventID=70 or EventID=90)]]
</Select>
</Query>
<Query Id="3" Path="Security">
<!-- CA stop/Start events CA Service Stopped (4880), CA Service Started (4881), CA DB row(s) deleted
(4896), CA Template loaded (4898) -->
<Select Path="Security">*[System[(EventID=4880 or EventID = 4881 or EventID = 4896 or EventID = 4898)]]
</Select>
</Query>
<Query Id="4" Path="Microsoft-Windows-LSA/Operational">
<!-- Groups assigned to new login (except for well known, built-in accounts)-->
<Select Path="Microsoft-Windows-LSA/Operational">*[System[(EventID=300)]] and (*
[EventData[Data[@Name="TargetUserSid"] != "S-1-5-20"]]) and (*[EventData[Data[@Name="TargetUserSid"] != "S-
1-5-18"]]) and (*[EventData[Data[@Name="TargetUserSid"] != "S-1-5-19"]])</Select>
</Query>
<Query Id="5" Path="Security">
<!-- Logoff events - for Network Logon events-->
<Select Path="Security">*[System[(EventID=4634)]] and (*[EventData[Data[@Name="LogonType"] = "3"]])
</Select>
</Query>
<Query Id="6" Path="Security">
<!-- RRAS events – only generated on Microsoft IAS server -->
<Select Path="Security">*[System[( (EventID &gt;= 6272 and EventID &lt;= 6280) )]]</Select>
</Query>
<Query Id="7" Path="Microsoft-Windows-DNS-Client/Operational">
 <Query Id="7" Path="Microsoft-Windows-DNS-Client/Operational">
<!-- DNS Client events Query Completed (3008) -->
<Select Path="Microsoft-Windows-DNS-Client/Operational">*[System[(EventID=3008)]]</Select>
<!-- suppresses local machine name resolution events -->
<Suppress Path="Microsoft-Windows-DNS-Client/Operational">*
[EventData[Data[@Name="QueryOptions"]="140737488355328"]]</Suppress>
<!-- suppresses empty name resolution events -->
<Suppress Path="Microsoft-Windows-DNS-Client/Operational">*[EventData[Data[@Name="QueryResults"]=""]]
</Suppress>
</Query>
<Query Id="8" Path="Security">
<!-- Process Terminate (4689) -->
<Select Path="Security">*[System[(EventID = 4689)]]</Select>
</Query>
<Query Id="9" Path="Security">
<!-- Local credential authentication events (4776), Logon with explicit credentials (4648) -->
<Select Path="Security">*[System[(EventID=4776 or EventID=4648)]]</Select>
</Query>
<Query Id="10" Path="Security">
<!-- Registry modified events for Operations: New Registry Value created (%%1904), Existing Registry
Value modified (%%1905), Registry Value Deleted (%%1906) -->
<Select Path="Security">*[System[(EventID=4657)]] and ((*[EventData[Data[@Name="OperationType"] =
"%%1904"]]) or (*[EventData[Data[@Name="OperationType"] = "%%1905"]]) or (*
[EventData[Data[@Name="OperationType"] = "%%1906"]]))</Select>
</Query>
<Query Id="11" Path="Security">
<!-- Request made to authenticate to Wireless network (including Peer MAC (5632) -->
<Select Path="Security">*[System[(EventID=5632)]]</Select>
</Query>
<Query Id="12" Path="Microsoft-Windows-PowerShell/Operational">
<!-- PowerShell execute block activity (4103), Remote Command(4104), Start Command(4105), Stop
Command(4106) -->
<Select Path="Microsoft-Windows-PowerShell/Operational">*[System[(EventID=4103 or EventID=4104 or
EventID=4105 or EventID=4106)]]</Select>
</Query>
<Query Id="13" Path="Microsoft-Windows-DriverFrameworks-UserMode/Operational">
<!-- Detect User-Mode drivers loaded - for potential BadUSB detection. -->
<Select Path="Microsoft-Windows-DriverFrameworks-UserMode/Operational">*[System[(EventID=2004)]]
</Select>
</Query>
<Query Id="14" Path="Windows PowerShell">
<!-- Legacy PowerShell pipeline execution details (800) -->
<Select Path="Windows PowerShell">*[System[(EventID=800)]]</Select>
</Query>
</QueryList>

Apéndice G: Recursos en línea

Puede obtener más información con los vínculos siguientes:
Selección de eventos
Consultas de eventos y XML de eventos
Esquema de consulta de eventos
Recopilador de eventos de Windows
4625(F): no se pudo iniciar sesión en una cuenta
 Bloquear fuentes que no son de confianza en una
empresa
08/11/2022 • 6 minutes to read

Se aplica a:
Windows 10

Obtén más información sobre las características y funcionalidades que se admiten en cada edición de
Windows en Comparar las ediciones de Windows 10.

Para ayudar a proteger su empresa frente a ataques que pueden originarse a partir de archivos de fuentes que
no son de confianza o controlados por atacantes, hemos creado la característica Bloquear fuentes que no son de
confianza. Con esta característica, puedes activar una configuración global que evite que los empleados carguen
fuentes que no son de confianza procesadas mediante la Interfaz de dispositivo gráfico (GDI) en tu red. Las
fuentes que no son de confianza incluyen cualquier fuente fuera del directorio %windir%/Fonts . El bloqueo de
fuentes que no son de confianza ayuda a evitar ataques remotos (basados en web o en correo electrónico) y
ataques de EOP locales que pueden producirse durante el proceso de análisis de archivos de fuentes.

¿Qué significa esto para mí?

El bloqueo de fuentes que no son de confianza te ayuda a mejorar la protección de la red y de los empleados
contra los ataques relacionados con el procesamiento de fuentes. De forma predeterminada, esta característica
no está activada.

¿Cómo funciona esta característica?

Hay tres maneras de usar esta característica:
Activar. Evita que cualquier fuente procesada con la GDI se cargue fuera del directorio %windir%/Fonts .
También activa el registro de eventos.
Auditoría. Activa el registro de eventos pero no bloquea la carga de las fuentes, independientemente de
la ubicación. El nombre de las aplicaciones que usan fuentes que no son de confianza aparece en el
registro de eventos.

NOTE
Si no está listo para implementar esta característica en su organización, puede ejecutarla en modo auditoría para
ver si no cargar fuentes que no son de confianza provoca problemas de uso o compatibilidad.

Excluye aplicaciones para cargar fuentes que no son de confianza. Puedes excluir aplicaciones
específicas y permitir que carguen fuentes que no son de confianza incluso si la característica está
activada. Para obtener instrucciones, consulta Corregir aplicaciones que tienen problemas a causa de
fuentes bloqueadas.

Posibles reducciones de la funcionalidad

Después de activar esta característica, los empleados pueden experimentar una funcionalidad reducida cuando:
 Enviar un trabajo de impresión a un servidor de impresora remoto que usa esta característica y donde no
se ha excluido el proceso de cola. En esta situación, las fuentes que todavía no estén disponibles en la
carpeta %windir%/Fonts del servidor no se usarán.
Imprimen usando fuentes proporcionadas por el archivo .dll de elementos gráficos de la impresora
instalada, fuera de la carpeta %windir%/Fonts. Para obtener más información, consulta Introducción a los
archivos DLL de elementos gráficos de impresora.
Usan aplicaciones propias o de terceros que usan fuentes basadas en memoria.
Usan Internet Explorer para ver sitios web que usan fuentes incrustadas. En esta situación, la característica
bloquea la fuente incrustada, lo que provoca que el sitio web use una fuente predeterminada. Sin
embargo, no todas las fuentes tienen todos los caracteres, por lo que es posible que la representación del
sitio web sea diferente.
Usan Office de escritorio para ver documentos con fuentes incrustadas. En esta situación, el contenido se
muestra con una fuente predeterminada que Office elige.

Activar y usar la característica de bloqueo de fuentes que no son de

confianza
Usar la directiva de grupo o el Registro para activar o desactivar esta característica, o usar el modo de auditoría.
Activar y usar la característica de bloqueo de fuentes que no son de confianza mediante la
directiva de grupo
1. Abre el Editor de administración de directivas de grupo ([Link]) y ve a
Computer Configuration\Administrative Templates\System\Mitigation Options\Untrusted Font Blocking .
2. Haga clic en Habilitado para activar la característica y, a continuación, haga clic en una de las siguientes
opciones de mitigación :
Bloquear fuentes y eventos de registro que no son de confianza. Activa la característica,
bloqueando las fuentes que no son de confianza y registrando los intentos de instalación en el
registro de eventos.
No bloquear fuentes que no son de confianza- Activa la característica, pero no bloquea
fuentes que no son de confianza ni registra los intentos de instalación en el registro de eventos.
Eventos de registro sin bloqueo de fuentes que no son de confianza . Activa la
característica, registrando intentos de instalación en el registro de eventos, pero no bloqueando
fuentes que no son de confianza.
3. Haz clic en Aceptar .
Activar y usar la característica de bloqueo de fuentes que no son de confianza a través del
Registro Para activar o desactivar esta característica, o usar el modo auditoría:
1. Abre el editor del registro ([Link]) y ve a
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\ .
2. Si la clave MitigationOptions no existe, haz clic con el botón derecho, agrega un nuevo Valor de
QWORD (64 bits) y cámbiale el nombre a MitigationOptions .
3. Haga clic con el botón derecho en la clave MitigationOptions y luego haz clic en Modificar .
Se abre el cuadro de diálogo Editar valor de QWORD (64 bits) .
4. Comprueba que la opción Base es Hexadecimal y actualiza el campo Información del valor .
 Asegúrate de conservar el valor existente, como en la nota importante que se incluye a continuación:
Para activar esta característica. Escribe 1000000000000 .
Para desactivar esta característica. Escribe 2000000000000 .
Para auditar con esta característica. Escribe 3000000000000 .

IMPORTANT
Los valores existentes de MitigationOptions deberían guardarse durante la actualización. Por ejemplo, si
el valor actual es 1000, el valor actualizado debería ser 1000000001000.

5. Reinicia el equipo.

Ver el registro de eventos

Después de activar esta característica o de empezar a usar el modo auditoría, puede consultar los registros de
eventos para obtener más información.
Para ver el registro de eventos
1. Abre el Visor de eventos ([Link]) y ve a Registros de aplicaciones y
ser vicios/Microsoft/Windows/Win32k/Operational .
2. Desplázate hacia abajo hasta EventID: 260 y revisa los eventos pertinentes.
Ejemplo de evento1: Microsoft Word
[Link] intentó cargar una fuente que está restringida por la directiva de carga de fuentes.
FontType: Memory
FontPath:
Bloqueado: true

NOTE
Dado que FontType es Memory, no hay ningún valor de FontPath asociado.

Ejemplo de evento2: WinLogon

[Link] intentó cargar una fuente que está restringida por la directiva de carga de fuentes.
FontType: File
FontPath: \??\C:\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\EQUATION\[Link]
Bloqueado: true

NOTE
Dado que FontType es File, tampoco hay ningún valor de FontPath asociado.

Ejemplo de evento3: Internet Explorer ejecutado en modo Auditoría

[Link] intentó cargar una fuente que está restringida por la directiva de carga de fuentes.
FontType: Memory
FontPath:
Bloqueado: false
 NOTE
En modo Auditoría, se registra el problema pero no se bloquea la fuente.

Corregir aplicaciones que tienen problemas a causa de fuentes

bloqueadas
Es posible que tu empresa necesite aplicaciones que tienen problemas a causa de fuentes bloqueadas, por lo
que se recomienda ejecutar primero esta característica en el modo Auditoría para determinar qué fuentes están
causando los problemas.
Después de averiguar las fuentes problemáticas, puede intentar corregir las aplicaciones de dos maneras:
instalando directamente las fuentes en el directorio %windir%/Fonts o excluyendo los procesos subyacentes y
dejando que se carguen las fuentes. Como solución predeterminada, es muy recomendable que instale la fuente
problemática. La instalación de fuentes es más segura que la exclusión de aplicaciones porque las aplicaciones
excluidas pueden cargar cualquier fuente, ya sea de confianza o no.
Para corregir las aplicaciones mediante la instalación de las fuentes problemáticas (recomendado)
En cada equipo con la aplicación instalada, haz clic con el botón derecho en el nombre de la fuente y haz clic
en Instalar .
La fuente se debe instalar automáticamente en el directorio %windir%/Fonts . Si no se instala, deberás
copiar manualmente los archivos de la fuente en el directorio Fuentes y ejecutar la instalación desde allí.
Para corregir las aplicaciones mediante la exclusión de procesos
1. En cada equipo con la aplicación instalada, abre [Link] y ve a
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
<process_image_name>
.

Del mismo modo, si quieres excluir procesos de Microsoft Word, usarás

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\[Link]
.
2. Agregue otros procesos que deben excluirse aquí y, a continuación, active la característica Bloquear
fuentes que no son de confianza, mediante los pasos descritos en Activar y usar la característica Bloquear
fuentes que no son de confianza, anteriormente en este artículo.

Contenidos relacionados
Descartar la opción de configuración "Bloqueo de fuentes que no son de confianza"
 Protege los datos de tu empresa con Windows
Information Protection (WIP)
08/11/2022 • 16 minutes to read

NOTE
A partir de julio de 2022, Microsoft está desusando Windows Information Protection (WIP). Microsoft seguirá admitiendo
WIP en las versiones compatibles de Windows. Las nuevas versiones de Windows no incluirán nuevas funcionalidades
para WIP y no se admitirán en versiones futuras de Windows. Para obtener más información, vea Anuncio de la puesta del
sol de Windows Information Protection.
Para sus necesidades de protección de datos, Microsoft recomienda usar Microsoft Purview Information Protection y
Prevención de pérdida de datos de Microsoft Purview. Purview simplifica la configuración y proporciona un conjunto
avanzado de funcionalidades.

Se aplica a:
Windows10
Windows11
Con el aumento de los dispositivos propiedad de los empleados en la empresa, también existe un riesgo
creciente de pérdida accidental de datos a través de aplicaciones y servicios, como el correo electrónico, las
redes sociales y la nube pública, que están fuera del control de la empresa. Por ejemplo, cuando un empleado
envía imágenes de la ingeniería más reciente desde su cuenta de correo personal, copia y pega información de
productos en un tweet o guarda un informe de ventas en curso en su almacenamiento en la nube pública.
Windows Information Protection (WIP), anteriormente denominado Protección de datos de empresa (EDP),
ayuda a proteger contra esta fuga de datos en potencia sin interferir de ninguna manera con la experiencia de
los empleados. WIP también ayuda a proteger las aplicaciones y los datos de la empresa contra la pérdida
accidental de datos en dispositivos de empresa y dispositivos personales que los empleados llevan al trabajo sin
necesidad de cambios en el entorno u otras aplicaciones. Azure Rights Management, otra tecnología de
protección de datos, también funciona junto con WIP. Amplía la protección de datos para los datos que
abandonan el dispositivo, como cuando se envían datos adjuntos de correo electrónico desde una versión
compatible con la empresa de un cliente de correo de administración de derechos.

IMPORTANT
Aunque Windows Information Protection puede detener las pérdidas accidentales de datos de empleados honestos, no
está pensada para impedir que los usuarios internos malintencionados quiten datos empresariales. Para obtener más
información sobre las ventajas que proporciona WIP, consulte ¿Por qué usar WIP? más adelante en este tema.

Vídeo: Protección de los datos empresariales de que se copien

accidentalmente en un lugar incorrecto

Requisitos previos
Necesitará este software para ejecutar Windows Information Protection en su empresa:
 SIST EM A O P ERAT IVO SO L UC IÓ N DE A DM IN IST RA C IÓ N

Windows10, versión 1607 o posterior Microsoft Intune

O bien

Microsoft Configuration Manager

O bien

La solución actual de administración de dispositivos móviles

(MDM) de terceros en toda la empresa. Para obtener
información sobre las soluciones MDM de terceros, consulte
la documentación que incluye el producto. Si su MDM de
terceros no tiene compatibilidad con la interfaz de usuario
para las directivas, consulte la documentación de CSP de
EnterpriseDataProtection .

¿Qué es el control de datos de empresa?

Colaboración eficaz significa que necesitas compartir datos con otras personas de tu empresa. Este uso
compartido puede ser desde un extremo donde todo el mundo tiene acceso a todo sin ninguna seguridad. Otro
extremo es cuando la gente no puede compartir nada y todo está muy seguro. La mayoría de las empresas se
ubican en algún lugar entre los dos extremos, donde el éxito está equilibrado entre proporcionar el acceso
necesario y que exista la posibilidad de divulgar datos inapropiados.
Como administrador, puedes dar respuesta a la pregunta de quién obtiene acceso a los datos mediante el uso de
controles de acceso, como credenciales de empleado. Sin embargo, el hecho de que alguien tenga derecho a
acceder a los datos no garantiza que los datos permanezcan dentro de las ubicaciones protegidas de la empresa.
Por lo tanto, los controles de acceso son un buen comienzo, no son suficientes.
Al final, todas estas medidas de seguridad tienen una cosa en común: los empleados solo tolerarán estas
molestias antes de buscar formas para superar las restricciones de seguridad. Por ejemplo, si no permite que los
empleados compartan archivos a través de un sistema protegido, los empleados recurrirán a una aplicación
externa que probablemente carece de controles de seguridad.
Uso de sistemas de prevención contra pérdida de datos
Para ayudar a solucionar esta insuficiencia de seguridad, las empresas desarrollaron sistemas de prevención de
pérdida de datos (también conocidos como DLP). Los sistemas de prevención contra pérdida de datos necesitan:
Un conjunto de reglas acerca de cómo el sistema puede identificar y clasificar los datos que
necesita para estar protegido. Por ejemplo, un conjunto de reglas puede contener una regla que
identifique los números de tarjeta de crédito y otra regla que identifique los números de la Seguridad
Social.
Un modo de analizar los datos de la empresa para ver si coinciden con alguna de las reglas
definidas. Actualmente, Microsoft Exchange Server y Exchange Online proporcionan este servicio para
correos electrónicos en tránsito, mientras que Microsoft SharePoint y SharePoint Online proporcionan
este servicio para el contenido almacenado en bibliotecas de documentos.
La capacidad de especificar qué sucede cuando los datos coinciden con una regla, incluso si
los empleados pueden omitir la aplicación. Por ejemplo, en Microsoft SharePoint y SharePoint
Online, el sistema de Prevención de pérdida de datos de Microsoft Purview le permite advertir a los
empleados de que los datos compartidos incluyen información confidencial y compartirlo de todos
modos (con una entrada de registro de auditoría opcional).
Desgraciadamente, los sistemas de prevención contra pérdida de datos tienen sus propios problemas. Por
ejemplo, cuanto menos detallado sea el conjunto de reglas, más falsos positivos se crearán. Este
comportamiento puede llevar a los empleados a creer que las reglas ralentizan su trabajo y deben omitirse para
seguir siendo productivos, lo que puede provocar que los datos se bloqueen o liberen incorrectamente. Otro
problema importante es que los sistemas de prevención contra pérdida de datos deben implementarse
ampliamente para resultar eficaces. Por ejemplo, si una empresa usa un sistema de prevención contra pérdida
de datos para el correo electrónico, pero no para recursos compartidos de archivos o almacenamiento de
documentos, es posible que los datos salgan por los canales desprotegidos. Quizás el mayor problema con los
sistemas de prevención de pérdida de datos es que proporciona una experiencia agotadora que interrumpe el
flujo de trabajo natural de los empleados. Puede detener algunas operaciones (como enviar un mensaje con
datos adjuntos que el sistema etiqueta como confidencial) al tiempo que permite otras, a menudo según reglas
sutiles que el empleado no ve y no puede entender.
Usar sistemas de administración de derechos de información
Para ayudar a solucionar los posibles problemas de los sistemas de prevención contra pérdida de datos, las
empresas han desarrollado sistemas de administración de derechos de información (también conocidos como
IRM). Los sistemas de administración de derechos de información incrustan protección directamente en los
documentos, de modo que, cuando un empleado crea un documento, determina qué tipo de protección se le
aplicará. Por ejemplo, un empleado puede elegir si el documento no se puede reenviar, imprimir, compartir fuera
de la organización, etc.
Después de establecer el tipo de protección, la aplicación cifra el documento para que solo las personas
autorizadas puedan abrirlo, incluso entonces, solo en aplicaciones compatibles. Después de que un empleado
abra el documento, la aplicación se convierte en responsable del cumplimiento de las protecciones
especificadas. Dado que la protección viaja con el documento, si una persona autorizada lo envía a una persona
no autorizada, la persona no autorizada no podrá leerlo ni cambiarlo. Sin embargo, para que esto funcione de
manera eficaz, los sistemas de administración de derechos de información necesitan que implementes y
configures un servidor y un entorno de cliente. Además, dado que solo los clientes compatibles pueden trabajar
con documentos protegidos, el trabajo de los empleados podría verse interrumpido inesperadamente si intenta
usar una aplicación no compatible.
¿Y qué pasa cuando un empleado abandona la empresa o anula la inscripción de un dispositivo?
Por último, existe el riesgo de que se filtren datos de la empresa cuando un empleado deja o anula la inscripción
de un dispositivo. Anteriormente, borraba todos los datos corporativos del dispositivo, junto con cualquier otro
dato personal del dispositivo.

Ventajas de WIP
Windows Information Protection proporciona:
Separación obvia entre los datos personales y corporativos, sin necesidad de que los empleados cambien
de entornos o aplicaciones.
Protección de datos adicional para aplicaciones de línea de negocio sin necesidad de actualizar las
aplicaciones.
Capacidad de borrar datos corporativos de dispositivos inscritos en MDM de Intune, dejando solamente
los datos personales.
Uso de informes de auditoría para realizar seguimientos y acciones correctoras.
Integración con el sistema de administración existente (Microsoft Intune, Microsoft Configuration
Manager o el sistema de administración de dispositivos móviles (MDM) actual) para configurar,
implementar y administrar windows Information Protection para su empresa.

Motivos para usar WIP

Windows Information Protection es el mecanismo de administración de aplicaciones móviles (MAM) en
Windows 10. WIP le ofrece una nueva manera de administrar la aplicación de directivas de datos para
aplicaciones y documentos en Windows 10 sistemas operativos de escritorio, junto con la capacidad de quitar el
acceso a los datos empresariales desde dispositivos personales y empresariales (después de la inscripción en
una solución de administración empresarial, como Intune).
Cambia tu concepto de la aplicación de directivas de datos. Como administrador de la empresa,
debes mantener el cumplimiento de la directiva de datos y del acceso a datos. Windows Information
Protection ayuda a proteger la empresa en dispositivos corporativos y propiedad de los empleados,
incluso cuando el empleado no usa el dispositivo. Cuando los empleados crean contenido en un
dispositivo protegido de la empresa, pueden guardarlo como documento de trabajo. Si es un documento
de trabajo, se mantiene localmente como datos empresariales.
Administra los documentos, las aplicaciones y los modos de cifrado de la empresa.
Copiar o descargar datos de empresa. Cuando un empleado o una aplicación descargan
contenido de una ubicación como SharePoint, un recurso compartido de red o una ubicación web
empresarial, mientras usa un dispositivo protegido WIP, WIP cifra los datos en el dispositivo.
Uso de aplicaciones protegidas. Las aplicaciones administradas (aplicaciones que ha incluido
en la lista aplicaciones protegidas de la directiva de WIP) pueden acceder a los datos
empresariales e interactuarán de manera diferente cuando se usen con aplicaciones no
autorizadas, no compatibles con la empresa o solo personales. Por ejemplo, si se establece la
administración WIP en Bloquear , tus empleados podrán copiar en una aplicación protegida y
pegar en otra aplicación protegida, pero no en aplicaciones personales. Imagine que una persona
de RR. HH. quiere copiar una descripción del trabajo de una aplicación protegida en el sitio web
interno de carrera, una ubicación protegida por la empresa, pero comete un error e intenta
pegarlo en una aplicación personal en su lugar. Se produce un error en la acción pegar y aparece
una notificación que indica que la aplicación no se pudo pegar debido a una restricción de
directiva. Entonces, la persona de RR. HH. realiza la acción de pegar correctamente en el sitio web
de empleo y funciona sin problemas.
Aplicaciones administradas y restricciones. Con WIP puedes controlar qué aplicaciones
tienen acceso y pueden usar los datos de tu empresa. Después de agregar una aplicación a la lista
de aplicaciones protegidas , esta se considera de confianza para los datos empresariales. Todas las
aplicaciones que no aparecen en esta lista se detienen para que no tengan acceso a los datos de la
empresa, en función del modo de administración de WIP.
No es necesario modificar aplicaciones de línea de negocio que nunca toquen datos personales
para enumerarlas como aplicaciones protegidas; solo tiene que incluirlas en la lista de aplicaciones
protegidas.
Decidir el nivel de acceso a los datos. WIP te permite bloquear, permitir invalidaciones o
auditar las acciones de uso compartido de datos entre los empleados. Ocultar invalidaciones
detiene la acción inmediatamente. Si se permite la invalidación, se comunica al empleado que hay
un riesgo, pero se le permite seguir compartiendo los datos, aunque se registra y se audita la
acción. Silent solo registra la acción sin detener nada que el empleado podría haber invalidado al
usar esa configuración; recopilar información que puede ayudarle a ver patrones de uso
compartido inadecuado para que pueda realizar acciones educativas o buscar aplicaciones que se
deben agregar a la lista de aplicaciones protegidas. Para obtener información sobre cómo
recopilar los archivos de registro de auditoría, consulta Cómo recopilar registros de eventos de
auditoría de Windows Information Protection (WIP).
Cifrado de datos en reposo. Windows Information Protection ayuda a proteger los datos
empresariales en archivos locales y en medios extraíbles.
 Aplicaciones como Microsoft Word funcionan con WIP para proteger tus datos en archivos locales
y medios extraíbles. Se hace referencia a estas aplicaciones como conscientes de la empresa. Por
ejemplo, si un empleado abre contenido cifrado con WIP desde Word, edita el contenido y, a
continuación, intenta guardar la versión editada con un nombre diferente, Word aplica
automáticamente Windows Information Protection al nuevo documento.
Evita la revelación accidental de datos en espacios públicos. Windows Information
Protection ayuda a proteger los datos empresariales de que se compartan accidentalmente en
espacios públicos, como el almacenamiento en la nube pública. Por ejemplo, si Dropbox™ no está
en la lista de aplicaciones protegidas, los empleados no podrán sincronizar archivos cifrados con
su almacenamiento personal en la nube. En cambio, si el empleado almacena el contenido en una
aplicación de la lista de aplicaciones permitidas, como Microsoft OneDrive para la Empresa, los
archivos cifrados se sincronizan libremente con la nube de la empresa y se conserva el cifrado
localmente.
Evitar la revelación accidental de datos en otros medios extraíbles. Windows Information
Protection ayuda a evitar que se filtren datos empresariales cuando se copian o transfieren a
medios extraíbles. Por ejemplo, si un empleado coloca datos empresariales en una unidad de bus
serie universal (USB) que también tiene datos personales, los datos empresariales permanecen
cifrados mientras los datos personales no lo hacen.
Eliminar el acceso a datos de empresa en dispositivos protegidos por la empresa. Windows
Information Protection ofrece a los administradores la capacidad de revocar datos empresariales de uno
o varios dispositivos inscritos en MDM, al tiempo que dejan solos los datos personales. Esto es una
ventaja cuando un empleado deja la empresa o si se roba un dispositivo. Después de determinar que se
debe eliminar el acceso a los datos, puedes usar Microsoft Intune para anular la inscripción del
dispositivo. De este modo, cuando se conecte a la red, se revocará la clave de cifrado del usuario para el
dispositivo y los datos de la empresa serán ilegibles.

NOTE
Para la administración de dispositivos Surface, se recomienda usar la rama actual de Microsoft Configuration
Manager.
Configuration Manager también permite revocar datos empresariales. Sin embargo, lo hace mediante el
restablecimiento de fábrica del dispositivo.

Cómo funciona WIP

Windows Information Protection ayuda a abordar los desafíos cotidianos de la empresa. Incluidos:
Ayudar a evitar la pérdida de datos de empresa, incluso en los dispositivos pertenecientes a los
empleados que no se pueden bloquear.
Reducir la frustración de los empleados debido a las directivas restrictivas de administración de datos en
los dispositivos de empresa.
Ayudar a mantener la propiedad y el control de los datos de empresa.
Ayudar a controlar el acceso a la red y los datos y el uso compartido de datos para aplicaciones que no
son compatibles con la empresa
Escenarios empresariales
Windows Information Protection aborda actualmente estos escenarios empresariales:
Puedes cifrar datos empresariales en dispositivos pertenecientes a los empleados y pertenecientes a la
empresa.
 Puedes borrar los datos empresariales de equipos administrados forma remota, incluidos los equipos
pertenecientes a los empleados, sin que ello afecte a los datos personales.
Puede proteger aplicaciones específicas que pueden acceder a datos empresariales claramente
reconocibles para los empleados. También puedes detener el acceso de las aplicaciones no protegidas a
datos empresariales.
Los empleados no verán interrumpido su trabajo de ninguna manera al cambiar entre aplicaciones
personales y empresariales mientras las directivas de empresa estén implementadas. No es necesario
cambiar entornos o iniciar sesión varias veces.
Modos de protección de WIP
Los datos empresariales se cifran automáticamente después de cargarlos en un dispositivo desde un origen de
empresa o si un empleado marca los datos como corporativos. A continuación, cuando los datos empresariales
se escriben en disco, Windows Information Protection usa el sistema de cifrado de archivos (EFS) proporcionado
por Windows para protegerlos y asociarlos a su identidad empresarial.
La directiva de windows Information Protection incluye una lista de aplicaciones de confianza que están
protegidas para acceder a datos corporativos y procesarlos. Esta lista de aplicaciones se implementa mediante la
funcionalidad AppLocker, que permite controlar qué aplicaciones se pueden ejecutar e informar al sistema
operativo Windows que las aplicaciones pueden editar datos corporativos. Las aplicaciones incluidas en esta
lista no tienen que modificarse para abrir datos corporativos porque su presencia en la lista permite a Windows
determinar si se les concede acceso. Sin embargo, como novedad para Windows10, los desarrolladores de
aplicaciones pueden usar un nuevo conjunto de interfaces de programación de aplicaciones (API) para crear
aplicaciones habilitadas que pueden usar y editar datos personales y empresariales. Una gran ventaja para
trabajar con aplicaciones habilitadas es que las aplicaciones de doble uso, como Microsoft Word, se pueden usar
con menos preocupación sobre el cifrado de datos personales por error porque las API permiten a la aplicación
determinar si los datos pertenecen a la empresa o si son propiedad personal.

NOTE
Para obtener información sobre cómo recopilar los archivos de registro de auditoría, consulta Cómo recopilar registros de
eventos de auditoría de Windows Information Protection (WIP).

Puede establecer la directiva de windows Information Protection para usar 1 de 4 modos de protección y
administración:

M O DO DESC RIP C IÓ N

Bloquear Windows Information Protection busca prácticas de uso

compartido de datos inapropiadas y evita que el empleado
complete la acción. Esto puede incluir el uso compartido de
datos de la empresa con aplicaciones no protegidas por la
empresa, además del uso compartido de datos de la
empresa entre aplicaciones o el intento de uso compartido
fuera de la red de la organización.

Permitir invalidaciones Windows Information Protection busca un uso compartido

de datos inadecuado y advierte a los empleados si hacen
algo que se considera potencialmente no seguro. Sin
embargo, este modo de administración permite a los
empleados invalidar la directiva y compartir los datos,
registrando la acción en el registro de auditoría.
 M O DO DESC RIP C IÓ N

Silencio Windows Information Protection se ejecuta de forma

silenciosa, registrando un uso compartido de datos
inadecuado, sin detener nada de lo que se hubiera pedido
para la interacción de los empleados en el modo Permitir
invalidaciones. Las acciones no autorizadas siguen detenidas,
como, por ejemplo, el intento de acceso inapropiado de
aplicaciones a un recurso de red o datos protegidos por WIP.

Desactivado Windows Information Protection está desactivado y no

ayuda a proteger ni auditar los datos.
Tras desactivar WIP, se intentan descifrar los archivos
etiquetados de WIP en las unidades conectadas
localmente. La información de directiva y descifrado
anterior no se vuelve a aplicar automáticamente si
vuelves a activar Windows Information Protection.

Desactivar WIP
Puedes desactivar Windows Information Protection y todas las restricciones, descifrando de todos los
dispositivos administrados mediante WIP y revertiendo al estado antes de WIP, sin perder datos. Sin embargo,
esto no se recomienda. Si decide desactivar WIP, siempre puede volver a activarlo, pero la información de
descifrado y directiva no se volverá a aplicar automáticamente.

Pasos siguientes
Después de decidir usar WIP en su entorno, cree una directiva de Windows Information Protection (WIP).
 Crear una directiva de Windows Information
Protection (WIP) con Microsoft Intune
08/11/2022 • 2 minutes to read

Se aplica a:
Windows 10, versión 1607 y versiones posteriores
Microsoft Intune ayuda a crear e implementar la directiva de protección de datos empresariales (WIP). También
le permite elegir las aplicaciones protegidas, el nivel de protección wip y cómo buscar datos empresariales en la
red.

En esta sección:
A RT ÍC ULO DESC RIP C IÓ N

Cree una directiva de Windows Information Protection (WIP) Detalles sobre cómo usar Microsoft Intune para crear e
mediante el Azure Portal para Microsoft Intune implementar la directiva de WIP con MDM (Mobile
Administración de dispositivos), incluida la opción de elegir
las aplicaciones protegidas, el nivel de protección wip y cómo
buscar datos empresariales en la red.

Crear y comprobar un certificado del Agente de Pasos para crear, comprobar y realizar una recuperación
recuperación de datos (DRA) del Sistema de cifrado de rápida mediante un certificado del Agente de recuperación
archivos (EFS) de datos (DRA) del sistema de cifrado de archivos (EFS).

Determinar el contexto de empresa de una aplicación que se Usa el Administrador de tareas para determinar si Windows
ejecuta en Windows Information Protection (WIP) Information Protection (WIP) considera una aplicación como
de trabajo, personal o exenta.
 Crear una directiva de Windows Information
Protection en Microsoft Intune
08/11/2022 • 23 minutes to read

NOTE
A partir de julio de 2022, Microsoft está desusando Windows Information Protection (WIP). Microsoft seguirá admitiendo
WIP en las versiones compatibles de Windows. Las nuevas versiones de Windows no incluirán nuevas funcionalidades
para WIP y no se admitirán en versiones futuras de Windows. Para obtener más información, vea Anuncio de la puesta del
sol de Windows Information Protection.
Para sus necesidades de protección de datos, Microsoft recomienda usar Microsoft Purview Information Protection y
Prevención de pérdida de datos de Microsoft Purview. Purview simplifica la configuración y proporciona un conjunto
avanzado de funcionalidades.

Se aplica a:
Windows10
Windows11
Microsoft Intune tiene una manera fácil de crear e implementar una directiva de Windows Information
Protection (WIP). Puede elegir qué aplicaciones proteger, el nivel de protección y cómo buscar datos
empresariales en la red. Los dispositivos pueden administrarse completamente mediante Mobile Administración
de dispositivos (MDM) o mediante Mobile Application Management (MAM), donde Intune solo administra las
aplicaciones en el dispositivo personal de un usuario.

Diferencias entre MDM y MAM para WIP

Puede crear una directiva de protección de aplicaciones en Intune con la inscripción de dispositivos para MDM o
sin la inscripción de dispositivos para MAM. El proceso para crear cualquiera de las directivas es similar, pero
hay diferencias importantes:
MAM tiene más configuración de acceso para Windows Hello para empresas.
MAM puede borrar selectivamente los datos de la empresa del dispositivo personal de un usuario.
MAM requiere una licencia Premium de Azure Active Directory (Azure AD).
También se requiere una licencia de Azure AD Premium para la recuperación automática de WIP, donde un
dispositivo puede volver a inscribirse y recuperar el acceso a los datos protegidos. La recuperación
automática de WIP depende del registro de Azure AD para realizar una copia de seguridad de las claves de
cifrado, lo que requiere la inscripción automática de dispositivos con MDM.
MAM solo admite un usuario por dispositivo.
MAM solo puede administrar aplicaciones habilitadas.
Solo MDM puede usar directivas de CSP de BitLocker .
Si el mismo usuario y dispositivo están destinados a MDM y MAM, la directiva MDM se aplicará a los
dispositivos unidos a Azure AD. En el caso de los dispositivos personales unidos al área de trabajo (es decir,
que se agregan mediante Configuración > Email & cuentas > Agregar una cuenta profesional o
educativa ), se prefiere la directiva solo MAM, pero es posible actualizar la administración de dispositivos a
MDM en Configuración . Windows Home edition solo admite WIP solo para MAM; La actualización a la
directiva MDM en home edition revocará el acceso a datos protegidos por WIP.
Requisitos previos
Para poder crear una directiva WIP mediante Intune, debe configurar un proveedor de MDM o MAM en Azure
Active Directory (Azure AD). MAM requiere una licencia Premium de Azure Active Directory (Azure AD). También
se requiere una licencia de Azure AD Premium para la recuperación automática de WIP, donde un dispositivo
puede volver a inscribirse y recuperar el acceso a los datos protegidos. La recuperación automática de WIP se
basa en el registro de Azure AD para realizar una copia de seguridad de las claves de cifrado, lo que requiere la
inscripción automática del dispositivo con MDM.

Configuración del proveedor de MDM o MAM

1. Inicie sesión en el Azure Portal.
2. Seleccione Azure Active Director y > Mobility (MDM y MAM) > Microsoft Intune .
3. Seleccione Restaurar direcciones URL predeterminadas o escriba la configuración del ámbito de
usuario MDM o MAM y seleccione Guardar :

Creación de una directiva wip

1. Inicie sesión en el Centro de administración de Microsoft Endpoint Manager.
2. Abra Microsoft Intune y seleccione Aplicaciones > Protección de aplicaciones directivas > Crear
directiva .
3. En la pantalla Directiva de aplicación, seleccione Agregar una directiva y rellene los campos:
Nombre. Escriba un nombre (obligatorio) para tu nueva directiva.
Descripción. Escribe una descripción opcional.
Plataforma. Elija Windows 10 .
Estado de inscripción. Elija Sin inscripción para MAM o Con inscripción para MDM.

4. Seleccione Aplicaciones protegidas y, después, Agregar aplicaciones .

 Puede agregar estos tipos de aplicaciones:
Aplicaciones recomendadas
Tienda de aplicaciones
Aplicaciones de escritorio

NOTE
Una aplicación podría devolver errores de acceso denegado después de quitarlo de la lista de aplicaciones protegidas. En
lugar de quitarla de la lista, desinstale y vuelva a instalar la aplicación o eximirla de la directiva WIP.

Incorporación de aplicaciones recomendadas

Seleccione Aplicaciones recomendadas y seleccione cada aplicación a la que quiera acceder a los datos de la
empresa o selecciónelas todas y seleccione Aceptar .
Agregar aplicaciones de la Tienda
Seleccione Aplicaciones de la Tienda , escriba el nombre y el publicador del producto de la aplicación y
seleccione Aceptar . Por ejemplo, para agregar la aplicación Power BI Mobile desde la Tienda, escriba lo
siguiente:
Nombre : Microsoft Power BI
Publicador : CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
Nombre del producto : [Link]
Para agregar varias aplicaciones de la Tienda, seleccione los puntos suspensivos … .
Si no conoce el publicador de aplicaciones de la Tienda o el nombre del producto, puede encontrarlos siguiendo
estos pasos.
1. Ve al sitio web de Microsoft Store para Empresas y busca la aplicación. Por ejemplo, Power BI Mobile
Aplicación.
2. Copia el valor de identificador de la dirección URL de la aplicación. Por ejemplo, la dirección URL del
identificador de aplicación de Power BI Mobile es
[Link] y copiaría el valor del identificador,
9nblgggzlxn1 .

3. En un explorador, ejecuta la API web del portal de Store para empresas para devolver un archivo de
notación de objetos JavaScript (JSON) que incluya los valores de nombre del editor y del producto. Por
ejemplo, ejecute
[Link] , donde
9nblgggzlxn1 se reemplaza por el valor de identificador.

La API se ejecuta y abre un editor de texto con los detalles de la aplicación.

{
"packageIdentityName": "[Link]",
"publisherCertificateName": "CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond,
S=Washington, C=US"
}

4. Copia el valor publisherCertificateName en el cuadro Editor y el valor packageIdentityName en el cuadro

Nombre de Intune.

IMPORTANT
El archivo JSON también puede devolver un valor windowsPhoneLegacyId para ambos cuadros Nombre del
editor y Nombre del producto . Esto significa que tiene una aplicación que usa un paquete XAP y que debe
establecer el nombre del producto como windowsPhoneLegacyId y establecer el nombre del publicador
como CN= seguido de . windowsPhoneLegacyId
Por ejemplo:

{
"windowsPhoneLegacyId": "ca05b3ab-f157-450c-8c49-a1f127f5e71d",
}

Agregar aplicaciones de escritorio

Para agregar aplicaciones de escritorio , complete los campos siguientes, en función de los resultados que
quiera devolver.

CAMPO A DM IN IST RA

Todos los campos marcados como * Todos los archivos firmados por cualquier editor. (No se
recomienda y es posible que no funcione)

Solo editor Si solo rellena este campo, obtendrá todos los archivos
firmados por el publicador con nombre. Esto puede ser útil si
tu empresa es el editor y el firmante de las aplicaciones de
línea de negocio internas.

Publisher and Name only Si solo rellena estos campos, obtendrá todos los archivos del
producto especificado, firmados por el publicador con
nombre.

Publisher, Name, and File only Si solo rellena estos campos, obtendrá cualquier versión del
archivo o paquete con nombre para el producto
especificado, firmado por el publicador con nombre.

Publisher, Name, File, and Min version only Si solo rellena estos campos, obtendrá la versión especificada
o las versiones más recientes del archivo o paquete con
nombre para el producto especificado, firmado por el
publicador con nombre. Se recomienda esta opción para las
aplicaciones habilitadas que no estaban habilitadas
anteriormente.

Publisher, Name, File, and Max version only Si solo rellena estos campos, obtendrá la versión especificada
o versiones anteriores del archivo o paquete con nombre
para el producto especificado, firmado por el publicador con
nombre.

All fields completed Si rellena todos los campos, obtendrá la versión especificada
del archivo o paquete con nombre para el producto
especificado, firmado por el publicador con nombre.

Para agregar otra aplicación de escritorio, seleccione los puntos suspensivos … . Después de escribir la
información en los campos, seleccione Aceptar .

Si no está seguro de qué incluir para el publicador, puede ejecutar este comando de PowerShell:
 Get-AppLockerFileInformation -Path "<path_of_the_exe>"

En el que "<path_of_the_exe>" va a la ubicación de la aplicación en el dispositivo. Por ejemplo:

Get-AppLockerFileInformation -Path "C:\Program Files\Windows NT\Accessories\[Link]"

En este ejemplo, obtendrías la información siguiente:

Path Publisher
---- ---------
%PROGRAMFILES%\WINDOWS NT\ACCESSORIES\[Link] O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US

Donde O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US es el nombre del publicador y [Link] es
el nombre de archivo .
Con respecto a cómo obtener el nombre del producto para las aplicaciones que desea agregar, póngase en
contacto con el equipo de soporte técnico de Windows para solicitar las directrices.
Importación de una lista de aplicaciones
En esta sección se tratan dos ejemplos de uso de un archivo XML de AppLocker en la lista Aplicaciones
protegidas . Usará esta opción si desea agregar varias aplicaciones al mismo tiempo.
Creación de una regla de aplicación empaquetada para aplicaciones de la Tienda
Creación de una regla ejecutable para aplicaciones sin signo
Para obtener más información sobre AppLocker, consulta el contenido de AppLocker.
Creación de una regla de aplicación empaquetada para aplicaciones de la Tienda
1. Abre el complemento Directiva de seguridad local ([Link]).
2. Expanda Directivas de control de aplicaciones, expanda AppLocker y, a continuación, seleccione
Reglas de aplicación empaquetadas .

3. Haga clic con el botón derecho en el lado derecho y, a continuación, seleccione Crear nueva regla .
Se muestra el asistente Create Packaged app Rules .
4. En la página Antes de comenzar , seleccione Siguiente .
5. En la página Permisos , asegúrese de que acción está establecida en Permitir y el usuario o grupo
está establecido en Todos y, a continuación, seleccione Siguiente .

6. En la página Publicador , elija Seleccionar en el área Usar una aplicación empaquetada instalada
como referencia .
7. En el cuadro Seleccionar aplicaciones , elija la aplicación que desea usar como referencia para la regla
y, a continuación, seleccione Aceptar . En este ejemplo, se usa Microsoft Dynamics 365.

8. En la página publicador actualizada, seleccione Crear .

 9. Seleccione No en el cuadro de diálogo que aparece y pregunte si desea crear las reglas predeterminadas.
No cree reglas predeterminadas para la directiva WIP.

10. Revisa el complemento Directiva de seguridad Local para asegurarte de que la regla sea correcta.

11. A la izquierda, haga clic con el botón derecho en AppLocker y seleccione Expor tar directiva .
 Se abre el cuadro Expor tar directiva , que permite exportar y guardar la nueva directiva como XML.

12. En el cuadro Expor tar directiva , vaya a donde se debe almacenar la directiva, asigne un nombre a la
directiva y, a continuación, seleccione Guardar .
La directiva se guarda y verá un mensaje que indica que se exportó una regla de la directiva.
Archivo XML de ejemplo
Este es el archivo XML que AppLocker crea para Microsoft Dynamics 365.

<?xml version="1.0"?>
<AppLockerPolicy Version="1">
<RuleCollection EnforcementMode="NotConfigured" Type="Appx">
<FilePublisherRule Action="Allow" UserOrGroupSid="S-1-1-0" Description=""
Name="Microsoft.MicrosoftDynamicsCRMforWindows10, version [Link] and above, from Microsoft
Corporation" Id="3da34ed9-aec6-4239-88ba-0afdce252ab4">
<Conditions>
<FilePublisherCondition BinaryName="*"
ProductName="Microsoft.MicrosoftDynamicsCRMforWindows10" PublisherName="CN=Microsoft Corporation,
O=Microsoft Corporation, L=Redmond, S=Washington, C=US">
<BinaryVersionRange HighSection="*" LowSection="[Link]"/>
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
</RuleCollection>
<RuleCollection EnforcementMode="NotConfigured" Type="Dll"/>
<RuleCollection EnforcementMode="NotConfigured" Type="Exe"/>
<RuleCollection EnforcementMode="NotConfigured" Type="Msi"/>
<RuleCollection EnforcementMode="NotConfigured" Type="Script"/>
</AppLockerPolicy>

13. Después de crear el archivo XML, debe importarlo mediante Microsoft Intune.

Creación de una regla ejecutable para aplicaciones sin signo

La regla ejecutable ayuda a crear una regla de AppLocker para firmar las aplicaciones sin firmar. Permite agregar
la ruta de acceso del archivo o el publicador de la aplicación contenido en la firma digital del archivo necesaria
para que se aplique la directiva WIP.
1. Abre el complemento Directiva de seguridad local ([Link]).
2. En el panel izquierdo, seleccione Directivas > de control de aplicaciones****Reglas ejecutables de
 AppLocker > .
3. Haga clic con el botón derecho en Reglas > ejecutables****Crear nueva regla .

4. En la página Antes de comenzar , seleccione Siguiente .

5. En la página Permisos , asegúrese de que acción está establecida en Permitir y el usuario o grupo
está establecido en Todos y, a continuación, seleccione Siguiente .
6. En la página Condiciones , seleccione Ruta de acceso y, a continuación, seleccione Siguiente .
7. Seleccione Examinar carpetas... y seleccione la ruta de acceso de las aplicaciones sin firmar. En este
ejemplo, se usa "C:\Archivos de programa".
 8. En la página Excepciones , agregue las excepciones y, a continuación, seleccione Siguiente .
9. En la página Nombre , escriba un nombre y una descripción para la regla y, a continuación, seleccione
Crear .
10. En el panel izquierdo, haga clic con el botón derecho en Directivade expor tación de AppLocker > .
11. En el cuadro Expor tar directiva , vaya a donde se debe almacenar la directiva, asigne un nombre a la
directiva y, a continuación, seleccione Guardar .
La directiva se guarda y verá un mensaje que indica que se exportó una regla de la directiva.
12. Después de crear el archivo XML, debe importarlo mediante Microsoft Intune.
Para impor tar una lista de aplicaciones protegidas mediante Microsoft Intune
1. En Aplicaciones protegidas , seleccione Impor tar aplicaciones .

A continuación, importe el archivo.

2. Vaya al archivo de directiva de AppLocker exportado y seleccione Abrir .

Las importaciones de archivos y las aplicaciones se agregan a la lista aplicaciones protegidas .
Exención de aplicaciones de una directiva WIP
Si la aplicación no es compatible con WIP, pero aún debe usarse con datos empresariales, puede excluir la
aplicación de las restricciones de WIP. Esto significa que las aplicaciones no incluirán cifrado automático ni
etiquetado, y que no respetarán las restricciones de la red. Esto también significa que las aplicaciones exentas
podrían sufrir fugas.
1. En Aplicaciones cliente: directivas de Protección de aplicaciones , seleccione Aplicaciones
exentas .
2. En Aplicaciones exentas , seleccione Agregar aplicaciones .
Al excluir aplicaciones, se les permite omitir las restricciones de WIP y acceder a los datos corporativos.
3. Rellene el resto de la información de la aplicación, en función del tipo de aplicación que va a agregar:
Agregar aplicaciones recomendadas
Agregar aplicaciones de la Tienda
Agregar aplicaciones de escritorio
Importación de aplicaciones
4. Seleccione Aceptar .

Administrar el modo de protección de WIP de los datos empresariales

Después de agregar las aplicaciones que quieres proteger con WIP, deberás aplicar un modo de administración y
protección.
Se recomienda comenzar con Silencio o Permitir invalidaciones al comprobar con un grupo reducido que
tienes las aplicaciones correctas en la lista de aplicaciones protegidas. Una vez que haya terminado, puede
cambiar a la directiva de cumplimiento final, Bloquear .
1. En Protección de aplicaciones directiva , seleccione el nombre de la directiva y, a continuación,
seleccione Configuración necesaria .
 M O DO DESC RIP C IÓ N

Bloquear WIP busca prácticas de uso compartido inapropiado de

datos e impide que el empleado complete la acción. Esto
puede incluir compartir información entre aplicaciones
no protegidas por la empresa, además de compartir
datos de la empresa con otros contactos y dispositivos
fuera de la empresa.

Permitir invalidaciones WIP busca usos compartidos inapropiados de datos y

advierte a los empleados si realizan acciones
potencialmente no seguras. Sin embargo, este modo de
administración permite a los empleados invalidar la
directiva y compartir los datos, registrando la acción en
el registro de auditoría. Para obtener información sobre
cómo recopilar los archivos de registro de auditoría,
consulta Cómo recopilar registros de eventos de
auditoría de Windows Information Protection (WIP).

Silencio WIP se ejecuta de forma silenciosa, registrando el uso

compartido de datos inadecuado, sin bloquear nada que
se hubiera pedido para la interacción de los empleados
mientras se encuentra en el modo Permitir invalidación.
Las acciones no autorizadas siguen detenidas, como, por
ejemplo, el intento de acceso inapropiado de aplicaciones
a un recurso de red o datos protegidos por WIP.

Desactivado WIP está desactivo y no ayuda a proteger ni auditar los

datos.

Tras desactivar WIP, se intentan descifrar los archivos

etiquetados de WIP en las unidades conectadas
localmente. Tenga en cuenta que la información previa de
directiva y descifrado no se vuelve a aplicar
automáticamente si vuelve a activar la protección WIP.
Para obtener más información, consulta Cómo
deshabilitar Windows Information Protection.

2. Selecciona Guardar .

Definir la identidad corporativa administrada por la empresa

La identidad corporativa, que normalmente se expresa como dominio principal de Internet (por ejemplo,
[Link]), ayuda a identificar y etiquetar los datos corporativos de las aplicaciones que ha marcado como
protegidas por WIP. Por ejemplo, los correos electrónicos que usan [Link] se identifican como
corporativos y están restringidos por las directivas de Windows Information Protection.
A partir de Windows 10, versión 1703, Intune determina automáticamente tu identidad corporativa y la agrega
al campo Identidad corporativa .
Para cambiar la identidad corporativa
1. En Directiva de aplicación , seleccione el nombre de la directiva y, a continuación, seleccione
Configuración necesaria .
2. Si la identidad definida automáticamente no es correcta, puede cambiar la información en el campo
Identidad corporativa .

3. Para agregar dominios, como los nombres de dominio de correo electrónico, seleccione Configurar
opciones > avanzadasAgregar límite de red y seleccione Dominios protegidos .

Elegir cuándo las aplicaciones pueden obtener acceso a los datos

empresariales
Una vez que hayas agregado un modo de protección a las aplicaciones, deberás decidir el lugar de la red donde
estas aplicaciones pueden acceder a los datos empresariales. Todas las directivas de WIP deben incluir las
ubicaciones de red empresariales.
No existen ubicaciones predeterminadas incluidas con WIP, debes agregar cada una de las ubicaciones de red.
Esta área se aplica a cualquier dispositivo de punto de conexión de red que obtenga una dirección IP en el
intervalo de la empresa y que también esté enlazado a uno de los dominios empresariales, incluidos los
recursos compartidos SMB. Las ubicaciones del sistema de archivos local solo deberían mantener el cifrado (por
ejemplo, en FAT, ExFAT y NTFS local).
Para definir los límites de red, seleccione Directiva de aplicación > el nombre de la directiva >
Configuración > avanzadaAgregar límite de red .

Selecciona el tipo de límite de red que se agregará en el cuadro Tipo de límite . Escriba un nombre para el
límite en el cuadro Nombre , agregue los valores al cuadro Valor , en función de las opciones que se describen
en las subsecciones siguientes y, a continuación, seleccione Aceptar .
Recursos en la nube
Especifica los recursos de nube que deben tratarse como corporativos y protegidos por WIP. Para cada recurso
de nube, también puedes especificar un servidor proxy desde la lista de servidores proxy internos que redirija el
tráfico para este recurso de nube. Todo el tráfico enrutado a través de los servidores proxy internos se considera
empresarial.
Separe varios recursos con el delimitador "|". Por ejemplo:

URL <,proxy>|URL <,proxy>

Las aplicaciones personales pueden acceder a un recurso en la nube que tenga un espacio en blanco o un
carácter no válido, como un punto final en la dirección URL.
Para agregar un subdominio para un recurso en la nube, use un punto (.) en lugar de un asterisco (*). Por
ejemplo, para agregar todos los subdominios dentro de [Link], use ".[Link]" (sin comillas).
En algunos casos, como cuando una aplicación se conecta directamente a un recurso en la nube a través de una
dirección IP, Windows no puede saber si intenta conectarse a un recurso de nube empresarial o a un sitio
personal. En este caso, Windows bloquea la conexión de forma predeterminada. Para impedir que Windows
bloquee estas conexiones automáticamente, puedes agregar la cadena /*AppCompat*/ a la configuración. Por
ejemplo:

URL <,proxy>|URL <,proxy>|/*AppCompat*/

Al usar esta cadena, se recomienda activar también el acceso condicional de Azure Active Directory, mediante la
opción Unido a dominio o marcada como compatible , que impide que las aplicaciones accedan a los
recursos de nube empresarial protegidos por el acceso condicional.
Formato de valor con proxy:

[Link],[Link]|[Link],[Link]

Formato de valor sin proxy:

[Link]|[Link]|[Link],

Dominios protegidos
Especifique los dominios usados para las identidades del entorno. Todo el tráfico a los dominios completos que
aparecen en esta lista se protegerá. Separe varios dominios con el delimitador "|".

[Link]|[Link]|[Link]

Dominios de red
Especifica los sufijos DNS que se usan en el entorno. Todo el tráfico a los dominios completos que aparecen en
esta lista se protegerá. Separe varios recursos con el delimitador "".

[Link],[Link]

Servidores proxy
Especifica los servidores proxy por los que pasarán los dispositivos para llegar a tus recursos de nube. El uso de
este tipo de servidor indica que los recursos en la nube a los que se va a conectar son recursos empresariales.
Esta lista no debe incluir ningún servidor enumerado en la lista Servidores proxy internos. Los servidores proxy
deben usarse solo para el tráfico no protegido con WIP (no empresarial). Separe varios recursos con el
delimitador ";".

[Link];[Link]

Servidores proxy internos

Especifica los servidores proxy internos por los que pasarán los dispositivos para llegar a tus recursos de nube.
El uso de este tipo de servidor indica que los recursos en la nube a los que se va a conectar son recursos
empresariales.
Esta lista no debe incluir ningún servidor que aparezca en la lista servidores proxy. Los servidores proxy
internos deben usarse solo para el tráfico protegido con WIP (empresarial). Separe varios recursos con el
delimitador ";".

[Link];[Link]

Intervalos IPv4
Especifica las direcciones de un intervalo de valores IPv4 válido dentro de la intranet. Estas direcciones, que se
usan con los Nombres de dominio de red, definen los límites de tu red corporativa. No se admite la notación de
enrutamiento de Inter-Domain sin clase (CIDR).
Separe varios intervalos con el delimitador ",".
Dirección IPv4 inicial: [Link]
Dirección IPv4 final: [Link]
URI personalizado: [Link]-[Link],
[Link]-[Link]
Intervalos IPv6
A partir de Windows 10, versión 1703, este campo es opcional.
Especifica las direcciones de un intervalo de valores IPv6 válido dentro de la intranet. Estas direcciones, que se
usan con los nombres de dominio de red, definen los límites de la red corporativa. No se admite la notación de
enrutamiento de Inter-Domain sin clase (CIDR).
Separe varios intervalos con el delimitador ",".
Dirección IPv6 inicial: [Link]
Dirección IPv6 final: [Link]
URI personalizado:
[Link],'<br>'fd00::-[Link]

Recursos neutros
Especifica los extremos de redirección de autenticación de tu empresa. Estas ubicaciones se consideran
empresariales o personales en función del contexto de la conexión antes de la redirección. Separe varios
recursos con el delimitador "".

[Link],[Link]

Decida si quiere que Windows busque más configuración de red:

La lista Ser vidores proxy de la empresa es autoritativa (no usar detección automática). Active
esta opción si desea que Windows trate los servidores proxy especificados en la definición de límites de
red como la lista completa de servidores proxy disponibles en la red. Si desactiva esta opción, Windows
buscará más servidores proxy en la red inmediata.
La lista Inter valos IP de la empresa es autoritativa (no usar detección automática). Active esta
opción si desea que Windows trate los intervalos IP especificados en la definición de límites de red como
la lista completa de intervalos IP disponibles en la red. Si desactiva esta opción, Windows buscará más
intervalos IP en cualquier dispositivo unido a un dominio conectado a la red.

Cargar tu certificado del Agente de recuperación de datos (DRA)

Después de crear e implementar la directiva wip en los empleados, Windows comienza a cifrar los datos
corporativos en la unidad de dispositivo local de los empleados. Si de alguna manera las claves de cifrado local
de los empleados se pierden o revocan, los datos cifrados pueden volverse irrecuperables. Para evitar esta
posibilidad, el certificado Agente de recuperación de datos (DRA) permite que Windows use una clave pública
incluida para cifrar los datos locales mientras mantienes la clave privada que puede descifrar los datos.
 IMPORTANT
El uso de un certificado DRA no es obligatorio. Sin embargo, es muy recomendable. Para obtener más información sobre
cómo buscar y exportar el certificado de recuperación de datos, consulte Data Recovery and Encrypting File System (EFS).
Para obtener más información sobre cómo crear y comprobar el certificado DE EFS DRA, consulte Creación y
comprobación de un certificado del Agente de recuperación de datos (DRA) del sistema de archivos de cifrado (EFS).

Para cargar tu cer tificado DRA

1. En Directiva de aplicación , seleccione el nombre de la directiva y, a continuación, seleccione
Configuración avanzada en el menú que aparece.
Se muestra la configuración avanzada .
2. En el cuadro Cargar un cer tificado de Agente de recuperación de datos (DRA) para permitir la
recuperación de datos cifrados , seleccione Examinar para agregar un certificado de recuperación de
datos para la directiva.

Elegir la configuración opcional relacionada con WIP

Después de decidir dónde pueden acceder las aplicaciones protegidas a los datos empresariales de la red, puede
elegir la configuración opcional.

Revocar claves de cifrado al anular la inscripción. Determina si se revocan las claves de cifrado local de
un usuario de un dispositivo cuando se anula la inscripción de Windows Information Protection. En la hoja
Directiva de aplicaciones, haz clic en el nombre de la directiva y, a continuación, haz clic en Configuración
avanzada en el menú que [Link] se revocan las claves de cifrado, un usuario ya no podrá acceder a datos
corporativos cifrados. Las opciones son:
Activado o No configurado (recomendada). Revoca las claves de cifrado local de un dispositivo
durante la anulación de la inscripción.
Desactivado. Las claves de cifrado local de un dispositivo dejan de revocarse durante la anulación de la
inscripción. Por ejemplo, si va a migrar entre soluciones de Mobile Administración de dispositivos (MDM).
Mostrar el icono de protección de datos empresariales. Determina si aparece la superposición de iconos
de Windows Information Protection en archivos corporativos en las vistas Guardar como y Explorador de
archivos. Las opciones son:
Activar. Permite que la superposición de iconos de Windows Information Protection aparezca en
archivos corporativos en las vistas Guardar como y Explorador de archivos. Además, para aplicaciones no
habilitadas pero protegidas, la superposición de iconos también aparece en el icono de la aplicación y con
texto administrado en el nombre de la aplicación en el menú Inicio .
Desactivado o No configurado (recomendada). Impide que la superposición de iconos de windows
Information Protection aparezca en archivos corporativos o aplicaciones no habilitadas, pero protegidas.
La opción predeterminada es No configurado.
Usa Azure RMS para WIP. Determina si WIP usa Microsoft Azure Rights Management para aplicar el cifrado
EFS a los archivos que se copian de Windows 10 a USB u otras unidades extraíbles para que se puedan
compartir de forma segura con los empleados. En otras palabras, WIP usa Azure Rights Management
"maquinaria" para aplicar el cifrado EFS a los archivos cuando se copian en unidades extraíbles. Ya debe tener
Azure Rights Management configurado. La clave de cifrado de archivos EFS está protegida por la licencia de la
plantilla rms. Solo los usuarios con permiso para esa plantilla pueden leerla desde la unidad extraíble. WIP
también se puede integrar con Azure RMS mediante la configuración de MDM AllowAzureRMSForEDP y
RMSTemplateIDForEDP en el CSP de EnterpriseDataProtection.
Activado. Protege los archivos que se copian en una unidad extraíble. Puede escribir un GUID de
TemplateID para especificar quién puede acceder a los archivos protegidos Azure Rights Management y
durante cuánto tiempo. La plantilla RMS solo se aplica a los archivos en medios extraíbles y solo se usa
para el control de acceso; en realidad, no aplica Azure Information Protection a los archivos.
Si no especifica una plantilla rms, es un archivo EFS normal mediante una plantilla rms predeterminada a
la que todos los usuarios pueden acceder.
Desactivado o no configurado. Impide que WIP cifre Azure Rights Management archivos que se
copian en una unidad extraíble.

NOTE
Independientemente de esta configuración, todos los archivos de OneDrive para la Empresa se cifrarán, incluidas
las carpetas conocidas movidas.

Permitir que Windows Search Indexer busque archivos cifrados. Determina si se va a permitir que el
indexador de Windows Search indexe los elementos cifrados, como los archivos protegidos por WIP.
Activado. Inicia Windows Search Indexer para indexar archivos cifrados.
Desactivado o no configurado. Impide que el indexador de Búsqueda de Windows indexe archivos
cifrados.

Extensiones de archivo cifradas

Puede restringir qué archivos están protegidos por WIP cuando se descargan desde un recurso compartido
SMB dentro de las ubicaciones de red de la empresa. Si esta configuración está configurada, solo se cifrarán los
archivos con las extensiones de la lista. Si no se especifica esta configuración, se aplica el comportamiento de
cifrado automático existente.
Artículos relacionados
Cómo recopilar registros de eventos de auditoría de Windows Information Protection (WIP)
Instrucciones generales y procedimientos recomendados para Windows Information Protection (WIP)
¿Qué es Azure Rights Management?
Creación de una directiva de protección de Windows Information Protection (WIP) mediante Microsoft
Intune
MAM de Intune sin inscripción
Actualización de la documentación de Azure RMS para mayo de 2016
 Implementar la directiva de Windows Information
Protection (WIP) mediante el portal Azure para
MicrosoftIntune
08/11/2022 • 2 minutes to read

Aplicable a:
Windows 10, versión 1607 y versiones posteriores
Una vez creada la directiva de Windows Information Protection (WIP), tienes que implementarla en los
dispositivos inscritos de tu organización. La inscripción se puede hacer para dispositivos personales o
empresariales, lo que permite que los dispositivos usen aplicaciones administradas y se sincronicen con la
información y el contenido administrados.

Para implementar la directiva de WIP

1. En el panel Protección de aplicaciones directivas , haga clic en la directiva recién creada, en
Asignaciones y, a continuación, seleccione grupos para incluir o excluir de la directiva.
2. Elige el grupo al que quieras aplicar la directiva y, a continuación, haz clic en Seleccionar para
implementar la directiva.
La directiva se implementará en los dispositivos de los usuarios seleccionados.

NOTE
Para ayudarnos a mejorar este tema, proporciónanos ediciones, adiciones y comentarios. Para obtener información sobre
cómo contribuir a este tema, consulta La edición de la documentación profesional de TI de Windows.

Temas relacionados
Instrucciones generales y procedimientos recomendados para Windows Information Protection (WIP)
 Asociar e implementar una directiva de VPN para
Windows Information Protection (WIP) mediante
Microsoft Intune
08/11/2022 • 2 minutes to read

Se aplica a:
Windows 10, versión 1607 y versiones posteriores
Después de crear e implementar la directiva de Windows Information Protection (WIP), puedes usar Microsoft
Intune para asociar e implementar una directiva de red privada virtual (VPN) y vincularla a la directiva de WIP.

Asocie la directiva de WIP a la directiva de VPN mediante Intune

Para asociar la directiva de WIP a la directiva de VPN existente de su organización, siga estos pasos:
1. Inicie sesión en el Centro de administración de Microsoft Endpoint Manager.
2. Seleccione Dispositivos Perfiles > de configuración > Crear perfil .
3. Escriba las propiedades siguientes:
Plataforma : seleccione Windows 10 y versiones posteriores
Perfil : seleccione Plantillas > personalizadas .
4. Selecciona Crear .
5. En Aspectos básicos , escriba las propiedades siguientes:
Nombre : escriba un nombre descriptivo para el perfil. Asigne un nombre a los perfiles para que
pueda identificarlos fácilmente más adelante.
Descripción : escriba una descripción para el perfil. Esta configuración es opcional, pero se
recomienda.
6. Selecciona Siguiente .
7. En Configuración , escriba las propiedades siguientes:
Nombre : escriba un nombre para la configuración. Por ejemplo, escriba EDPModeID .
OMA-URI : escriba ./Vendor/MSFT/VPNv2/YourVPNProfileName/EDPModeId .
Tipo de datos : seleccione String .
Valor : escriba el dominio completo que debe usar la configuración de OMA-URI. Por ejemplo, escriba
[Link] .
Para obtener más información sobre esta configuración, consulta Usar la configuración personalizada
para dispositivos Windows en Intune.
8. Seleccione Siguiente y continúe configurando la directiva. Para conocer los pasos y recomendaciones
específicos, consulte Creación de un perfil con la configuración personalizada en Intune.

Implementar la directiva de VPN con Microsoft Intune

Después de crear la directiva de VPN, deberás implementarla en el mismo grupo en el que implementaste la
directiva de Windows Information Protection (WIP).
1. En la hoja Directiva de aplicación, seleccione la directiva recién creada, seleccione Grupos de usuarios
en el menú que aparece y, a continuación, seleccione Agregar grupo de usuarios .
En la hoja Agregar grupo de usuarios aparece una lista de grupos de usuarios, compuesta por todos
los grupos de seguridad de Azure Active Directory.
2. Elija el grupo al que desea que se aplique la directiva y, a continuación, seleccione Seleccionar para
implementar la directiva.
La directiva se implementará en los dispositivos de los usuarios seleccionados.

NOTE
Para ayudarnos a mejorar este tema, proporciónanos ediciones, adiciones y comentarios. Para obtener información sobre
cómo contribuir a este tema, consulta La edición de la documentación profesional de TI de Windows.
 Crear y comprobar un certificado del Agente de
recuperación de datos (DRA) del Sistema de cifrado
de archivos (EFS)
08/11/2022 • 7 minutes to read

NOTE
A partir de julio de 2022, Microsoft está desusando Windows Information Protection (WIP). Microsoft seguirá admitiendo
WIP en las versiones compatibles de Windows. Las nuevas versiones de Windows no incluirán nuevas funcionalidades
para WIP y no se admitirán en versiones futuras de Windows. Para obtener más información, vea Anuncio de la puesta del
sol de Windows Information Protection.
Para sus necesidades de protección de datos, Microsoft recomienda usar Microsoft Purview Information Protection y
Prevención de pérdida de datos de Microsoft Purview. Purview simplifica la configuración y proporciona un conjunto
avanzado de funcionalidades.

Se aplica a:
Windows10
Windows11
Si aún no tiene un certificado EFS DRA, deberá crear y extraer uno del sistema para poder usar Windows
Information Protection (WIP), anteriormente conocido como protección de datos empresariales (EDP), en su
organización. Para los fines de esta sección, usaremos el nombre de archivo EFSDRA; sin embargo, este nombre
se puede reemplazar por cualquier cosa que tenga sentido para usted.

IMPORTANT
Si ya tienes un certificado DRA de EFS para la organización, puedes omitir crear uno nuevo. Simplemente, usa el
certificado DRA de EFS actual en la directiva. Para obtener más información sobre cuándo usar una PKI y la estrategia
general que debes usar para implementar certificados DRA, consulta el artículo Vigilancia de seguridad Implementación
de EFS: Parte 1 en TechNet. Para obtener información más general acerca de la protección de EFS, consulta Protecting
Data by Using EFS to Encrypt Hard Drives (Protección de datos mediante EFS para cifrar unidades de disco duro).

Si el certificado DRA ha expirado, no podrá cifrar los archivos con él. Para corregir esto, deberás crear un nuevo certificado
siguiendo los pasos de este tema y, después, implementarlo mediante la directiva.

Creación manual de un certificado DE EFS DRA

1. En un equipo sin un certificado DRA de EFS instalado, abre un símbolo del sistema con permisos
elevados y, después, desplázate a la ubicación donde quieres almacenar el certificado.
2. Ejecuta este comando:

cipher /r:EFSRA

Donde EFSRA es el nombre de los .cer archivos y .pfx que desea crear.
3. Cuando se te pida, escribe y confirma una contraseña para ayudar a proteger el nuevo archivo de
 intercambio de información personal (.pfx).
Los archivos [Link] y [Link] se crean en la ubicación especificada en el paso 1.

IMPORTANT
Dado que las claves privadas de los archivos .pfx de DRA pueden usarse para descifrar cualquier archivo WIP,
debes protegerlos en consecuencia. Se recomienda encarecidamente almacenar estos archivos sin conexión,
mantener copias en una tarjeta inteligente con protección segura para el uso normal y copias maestras en una
ubicación física protegida.

4. Agregue el certificado EFS DRA a la directiva wip mediante una herramienta de implementación, como
Microsoft Intune o Microsoft Configuration Manager.

NOTE
Este certificado se puede usar en Intune para directivas tanto con inscripción de dispositivos (MDM) como sin
inscripción de dispositivos (MAM).

Comprobar que el certificado de recuperación de datos está

configurado correctamente en un equipo cliente WIP
1. Busca o crea un archivo cifrado con Windows Information Protection. Por ejemplo, podría abrir una
aplicación en la lista de aplicaciones permitidas y, a continuación, crear y guardar un archivo para que wip
lo cifre.
2. Abra una aplicación en la lista de aplicaciones protegidas y, a continuación, cree y guarde un archivo para
que wip lo cifre.
3. Abre un símbolo del sistema con permisos elevados, desplázate a la ubicación donde almacenaste el
archivo recién creado y, después, ejecuta este comando:

cipher /c filename

Donde nombre de archivo es el nombre del archivo que creaste en el paso 1.

4. Asegúrate de que el certificado de recuperación de datos se muestre en la lista Cer tificados de
recuperación .

Recuperación de los datos mediante el certificado EFS DRA en un

entorno de prueba
1. Copia el archivo cifrado con WIP en una ubicación donde tengas acceso de administrador.
2. Instala el archivo [Link] usando su contraseña.
3. Abre un símbolo del sistema con permisos elevados, desplázate al archivo cifrado y, después, ejecuta este
comando:

cipher /d [Link]

Donde archivo_cifrado.extensión es el nombre del archivo cifrado. Por ejemplo, [Link] .

Recuperación de wip protegido después de la anulación de la
inscripción
Es posible que puedas revocar los datos de un dispositivo cuya inscripción se haya anulado, por si quieres
restaurarlo todo posteriormente. Esto puede suceder en el caso de la devolución de un dispositivo que falta o si
un empleado cuya inscripción se ha anulado se inscribe nuevamente. Si el empleado se inscribe de nuevo con el
perfil de usuario original y el almacén de claves revocado sigue en el dispositivo, todos los datos revocados se
pueden restaurar a la vez.

IMPORTANT
Para mantener el control sobre los datos empresariales y para poder revocar datos de nuevo en el futuro, solo tienes que
realizar este proceso cuando el empleado haya vuelto a inscribir el dispositivo.

1. Pida al empleado que inicie sesión en el dispositivo no inscrito, abra un símbolo del sistema con
privilegios elevados y escriba:

Robocopy "%localappdata%\Microsoft\EDP\Recovery" "new_location" * /EFSRAW

Donde "new_location" está en un directorio diferente. Esto puede ser en el dispositivo del empleado o en
una carpeta compartida en un equipo que ejecuta Windows 8 o Windows Server 2012 o más reciente y
se puede acceder a él mientras inicia sesión como agente de recuperación de datos.
Para iniciar Robocopy en modo S, abra el Administrador de tareas. Haga clic en Ejecutar > archivo
nueva tarea , escriba el comando y haga clic en Crear esta tarea con privilegios administrativos .

Si el empleado realizó una instalación limpia y no hay ningún perfil de usuario, debe recuperar las claves
de la carpeta Volumen del sistema en cada unidad. Tipo:

Robocopy "drive_letter:\System Volume Information\EDP\Recovery\" "new_location" * /EFSRAW

2. Inicia sesión en otro dispositivo con credenciales de administrador que tengan acceso al certificado DRA
de la organización, y escribe lo siguiente para descifrar y recuperar el archivo:

[Link] /D "new_location"

3. Pide al empleado que inicie sesión en el dispositivo cuya inscripción se ha anulado y escribe lo siguiente:

Robocopy "new_location" "%localappdata%\Microsoft\EDP\Recovery\Input"

4. Pide al empleado que bloquee y desbloquee el dispositivo.

 El servicio de credenciales de Windows recupera automáticamente las claves revocadas anteriormente
del empleado de la Recovery\Input ubicación.

Recuperación automática de las claves de cifrado

A partir de Windows 10, versión 1709, WIP incluye una característica de recuperación de datos que permite el
acceso de recuperación automática a los empleados para archivos de trabajo si se pierde la clave de cifrado y los
archivos ya no son accesibles. Esto suele ocurrir si un empleado vuelve a crear una imagen de la partición del
sistema operativo, quitando la información de la clave WIP o si se notifica que se ha perdido un dispositivo y
que indicó para anulación de la inscripción un dispositivo equivocado.
Para asegurarse de que los empleados siempre pueden acceder a los archivos, WIP crea una clave de
recuperación automática de la que se hace una copia de seguridad en su identidad de Azure Active Directory
(Azure AD).
La experiencia de los empleados se basa en el inicio de sesión con una cuenta profesional de Azure AD. El
empleado puede:
Agrega una cuenta profesional a través del menú Configuración de Windows > Cuentas > Obtener
acceso a trabajo o escuela > Conectar .
O bien
Abre Configuración de Windows > Cuentas > Obtener acceso a trabajo o escuela > Conectar
y elija el vínculo Unir este dispositivo a Azure Active Director y en Alternar acciones .

NOTE
Para realizar una unión a un dominio de Azure AD desde la página Configuración, el empleado debe tener
privilegios de administrador para el dispositivo.

Después de iniciar sesión, la información de la clave WIP se desacarga automáticamente y los empleados
pueden obtener a los archivos de nuevo.
Para probar qué ve el empleado durante el proceso de recuperación de claves WIP
1. Intenta abrir un archivo de trabajo en un dispositivo cuya inscripción se ha anulado.
Aparece el cuadro Connect to Work to access work files .
2. Haz clic en Connect .
Aparecerá la página Access work or school settings .
3. Inicia sesión en Azure AD como el empleado y comprueba que los archivos están abiertos ahora.

Temas relacionados
Vigilancia de seguridad: implementación de EFS; parte 1
Protecting Data by Using EFS to Encrypt Hard Drives (Protección de datos mediante EFS para cifrar
unidades de disco duro)
Crear una directiva de Windows Information Protection (WIP) con Microsoft Intune
Creación de una directiva de Windows Information Protection (WIP) mediante Microsoft Configuration
Manager
Creación de un agente de recuperación basado en dominio
 Determinar el contexto de empresa de una
aplicación que se ejecuta en Windows Information
Protection (WIP)
08/11/2022 • 2 minutes to read

Se aplica a:
Windows 10, versión 1607 y versiones posteriores

Obtén más información sobre las características y las funcionalidades que se admiten en cada edición de
Windows en Comparar ediciones de Windows10.

Usa el Administrador de tareas para comprobar el contexto de tus aplicaciones mientras se ejecutan Windows
Information Protection (WIP) para asegurarte de que las directivas de tu organización se aplican y funcionan
correctamente.

Ver la columna Enterprise Context en el Administrador de tareas

Debes agregar la columna Enterprise Context a la pestaña Detalles del Administrador de tareas.
1. Asegúrese de que tiene una directiva de Windows Information Protection activa implementada y activada
en su organización.
2. Abre el Administrador de tareas ([Link]), haz clic en la pestaña Detalles , haz clic con el botón
derecho en el área de encabezado de columna y haz clic en Seleccionar columnas .
Aparece el cuadro Seleccionar columnas .

3. Desplázate hacia abajo y marca la opción Enterprise Context y luego haz clic en Aceptar para cerrar el
cuadro.
La columna Enterprise Context ahora debería estar disponible en el Administrador de tareas.
Revisar Enterprise Context
La columna Enterprise Context te muestra lo que cada aplicación puede hacer con los datos empresariales:
Dominio. Muestra el dominio de trabajo del empleado (por ejemplo, [Link]). Esta aplicación
se considera relacionada con el trabajo y puede acceder y abrir libremente datos y recursos laborales.
Personal. Muestra el texto, Personal. Esta aplicación se considera no relacionada con el trabajo y no
puede acceder a datos ni recursos laborales.
Exempt. Muestra el texto, Exempt. Las directivas de windows Information Protection no se aplican a estas
aplicaciones (por ejemplo, componentes del sistema).

IMPORTANT
Las aplicaciones pueden cambiar entre Trabajo y Personal, dependiendo de los datos a los que se accede. Por
ejemplo, Microsoft Word2016 muestra como Personal cuando un empleado abre una carta personal, pero
cambia a Trabajo cuando ese mismo empleado abre la información financiera de la empresa.
 Creación de una directiva de Windows Information
Protection (WIP) mediante Microsoft Configuration
Manager
08/11/2022 • 2 minutes to read

Se aplica a:
Windows 10, versión 1607 y versiones posteriores
Microsoft Configuration Manager le ayuda a crear e implementar la directiva de protección de datos
empresariales (WIP). Le permite elegir las aplicaciones protegidas, el nivel de protección wip y cómo buscar
datos empresariales en la red.

En esta sección:
A RT ÍC ULO DESC RIP C IÓ N

Creación e implementación de una directiva de Windows Microsoft Configuration Manager le ayuda a crear e
Information Protection (WIP) mediante Microsoft implementar la directiva wip. Además, le permite elegir las
Configuration Manager aplicaciones protegidas, el nivel de protección wip y cómo
buscar datos empresariales en la red.

Crear y comprobar un certificado del Agente de Pasos para crear, comprobar y realizar una recuperación
recuperación de datos (DRA) del Sistema de cifrado de rápida mediante un certificado del Agente de recuperación
archivos (EFS) de datos (DRA) del sistema de cifrado de archivos (EFS).

Determinar el contexto de empresa de una aplicación que se Usa el Administrador de tareas para determinar si Windows
ejecuta en Windows Information Protection (WIP) Information Protection (WIP) considera una aplicación como
de trabajo, personal o exenta.
 Creación e implementación de una directiva de
windows Information Protection en Configuration
Manager
08/11/2022 • 23 minutes to read

NOTE
A partir de julio de 2022, Microsoft está desusando Windows Information Protection (WIP). Microsoft seguirá admitiendo
WIP en las versiones compatibles de Windows. Las nuevas versiones de Windows no incluirán nuevas funcionalidades
para WIP y no se admitirán en versiones futuras de Windows. Para obtener más información, vea Anuncio de la puesta del
sol de Windows Information Protection.
Para sus necesidades de protección de datos, Microsoft recomienda usar Microsoft Purview Information Protection y
Prevención de pérdida de datos de Microsoft Purview. Purview simplifica la configuración y proporciona un conjunto
avanzado de funcionalidades.

Se aplica a:
Windows10
Windows11
Microsoft Configuration Manager le ayuda a crear e implementar la directiva de Windows Information
Protection (WIP). Puede elegir las aplicaciones protegidas, el modo de protección WIP y cómo buscar datos
empresariales en la red.

Agregar una directiva de WIP

Después de instalar y configurar Configuration Manager para su organización, debe crear un elemento de
configuración para WIP, que a su vez se convierte en la directiva de WIP.

TIP
Revise el artículo Limitaciones al usar Windows Information Protection (WIP) antes de crear un nuevo elemento de
configuración para evitar problemas comunes.

Para crear un elemento de configuración para WIP

1. Abra la consola de Configuration Manager, seleccione el nodo Activos y compatibilidad , expanda el
nodo Información general , expanda el nodo Configuración de cumplimiento y, a continuación,
expanda el nodo Elementos de configuración .
2. Seleccione el botón Crear elemento de configuración .
Se inicia el Asistente para crear elemento de configuración .
3. En la pantalla de información general , escribe un nombre (obligatorio) y una descripción opcional
para la directiva en los cuadros Nombre y Descripción .
4. En el área Especificar el tipo de elemento de configuración que desea crear , seleccione la opción
que representa si usa Configuration Manager para la administración de dispositivos y, a continuación,
seleccione Siguiente .
Configuración para los dispositivos administrados con el cliente Configuration
Manager : Windows 10
O bien
Configuración para los dispositivos administrados sin el cliente Configuration
Manager : Windows 8.1 y Windows 10
5. En la pantalla Plataformas admitidas , seleccione el cuadro Windows 10 y, a continuación, seleccione
Siguiente .

6. En la pantalla Configuración del dispositivo , seleccione Windows Information Protection y, a

continuación, seleccione Siguiente .
Se muestra la página Configure Windows Information Protection settings , en la que se configura la
directiva de la organización.

Agregar reglas de aplicación a la directiva

Durante el proceso de creación de directivas en Configuration Manager, puede elegir las aplicaciones que desea
conceder acceso a los datos empresariales a través de Windows Information Protection. Las aplicaciones que se
incluyen en esta lista pueden proteger datos en nombre de la empresa y no tienen permiso para copiar ni
mover datos empresariales a aplicaciones desprotegidas.
Los pasos para agregar las reglas de aplicación se basan en el tipo de plantilla de regla que se aplica. Puedes
agregar una aplicación de store (también conocida como una aplicación para la Plataforma universal de
Windows [UWP]), una aplicación de escritorio de Windows firmada o un archivo de directiva de AppLocker.

IMPORTANT
Se espera que las aplicaciones optimizadas impidan que los datos empresariales se transmitan a ubicaciones de red
desprotegidas y eviten el cifrado de datos personales. Por otro lado, las aplicaciones sin reconocimiento de WIP podrían
no respetar los límites de la red corporativa y cifrarán todos los archivos que creen o modifiquen. Esto significa que
podrían cifrar datos personales y provocar la pérdida de datos durante el proceso de revocación.
Debe tener cuidado para obtener una instrucción de soporte técnico del proveedor de software de que su aplicación es
segura con Windows Information Protection antes de agregarla a la lista de reglas de la aplicación . Si no obtiene esta
instrucción, es posible que pueda experimentar problemas de compatibilidad de aplicaciones debido a que una aplicación
pierde la capacidad de acceder a un archivo necesario después de la revocación.
Agregar una regla de aplicación de store a la directiva
En este ejemplo, vamos a agregar Microsoft OneNote, una aplicación de tienda, a la lista Reglas de aplicación.
Agregar una aplicación de store
1. En el área Reglas de aplicación, seleccione Agregar .
Aparece el cuadro Agregar regla de aplicación .

2. Agrega un nombre descriptivo para la aplicación en el cuadro Título . En este ejemplo, es Microsoft
OneNote.
3. Seleccione Permitir en la lista desplegable Modo de windows Information Protection .
Permitir activa WIP, lo que ayuda a proteger los datos corporativos de esa aplicación a través del
cumplimiento de las restricciones de WIP. Si quieres excluir una aplicación, puedes seguir los pasos de la
sección Excluir aplicaciones de las restricciones de WIP.
4. Elige Aplicación de Store de la lista desplegable Plantilla de regla .
El cuadro cambia para mostrar las opciones de las reglas de aplicación de store.
5. Escriba el nombre de la aplicación y el nombre de su publicador y, a continuación, seleccione Aceptar .
Para este ejemplo de aplicación para UWP, el Editor es
CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond, S=Washington, C=US y el Nombre del
 producto es [Link] .

Si no conoce el publicador o el nombre del producto, puede encontrarlos para ambos dispositivos de escritorio
siguiendo estos pasos.
Buscar los valores de Editor y Nombre del producto para aplicaciones de Store sin instalarlas
1. Ve al sitio web de Microsoft Store para Empresas y busca la aplicación. Por ejemplo, Microsoft OneNote.

NOTE
Si la aplicación ya está instalada en los dispositivos de escritorio, puedes usar el complemento MMC de directiva
de seguridad local de AppLocker con la finalidad de recopilar la información para agregar la aplicación a la lista de
aplicaciones protegidas. Para obtener información sobre cómo hacerlo, consulta los pasos descritos en Agregar un
archivo de directiva de AppLocker en este artículo.

2. Copia el valor de identificador de la dirección URL de la aplicación. Por ejemplo, la dirección URL del
identificador de Microsoft OneNote es [Link]
copiaría el valor de identificador, 9wzdncrfhvjl .
3. En un explorador, ejecuta la API web del portal de Store para empresas para devolver un archivo de
notación de objetos JavaScript (JSON) que incluya los valores de nombre del editor y del producto. Por
ejemplo, ejecute
[Link] donde
9wzdncrfhvjl se reemplaza por el valor de identificador.

La API se ejecuta y abre un editor de texto con los detalles de la aplicación.

{
"packageIdentityName": "[Link]",
"publisherCertificateName": "CN=Microsoft Corporation, O=Microsoft Corporation, L=Redmond,
S=Washington, C=US"
}

4. Copia el valor publisherCertificateNamey pégalo en el cuadro Nombre del editor y copia el valor
packageIdentityName en el cuadro Nombre del producto de Intune.

IMPORTANT
El archivo JSON también puede devolver un valor windowsPhoneLegacyId para ambos cuadros, Nombre del
editor y Nombre del producto . Esto significa que tiene una aplicación que usa un paquete XAP y que debe
establecer el nombre del producto como windowsPhoneLegacyId y establecer el nombre del publicador
como "CN=" seguido de . windowsPhoneLegacyId
Por ejemplo:

{
"windowsPhoneLegacyId": "ca05b3ab-f157-450c-8c49-a1f127f5e71d",
}

Agregar una regla de aplicación de escritorio a la directiva

En este ejemplo, vamos a agregar Internet Explorer, una aplicación de escritorio, a la lista Reglas de aplicación.
Agregar una aplicación de escritorio a la directiva
1. En el área Reglas de aplicación, seleccione Agregar .
 Aparece el cuadro Agregar regla de aplicación .

2. Agrega un nombre descriptivo para la aplicación en el cuadro Título . En este ejemplo, es Internet
Explorer.
3. Seleccione Permitir en la lista desplegable Modo de windows Information Protection .
Permitir activa WIP, lo que ayuda a proteger los datos corporativos de esa aplicación a través del
cumplimiento de las restricciones de WIP. Si quieres excluir una aplicación, puedes seguir los pasos de la
sección Excluir aplicaciones de las restricciones de WIP.
4. Elige Aplicación de escritorio de la lista desplegable Plantilla de regla .
El cuadro cambia para mostrar las opciones de reglas de aplicación de escritorio.
5. Elija las opciones que desea incluir para la regla de aplicación (vea la tabla) y, a continuación, seleccione
Aceptar .

O P C IÓ N A DM IN IST RA

Todos los campos que quedan como "*" Todos los archivos firmados por cualquier editor. (No se
recomienda).

Publicador seleccionado Todos los archivos firmados por el editor con nombre.
Esto puede ser útil si tu empresa es el editor y el
firmante de las aplicaciones de línea de negocio internas.

Publicador y nombre del producto seleccionados Todos los archivos para el producto especificado,
firmados por el editor con nombre.

Publicador , Nombre del producto y Nombre Cualquier versión del archivo con nombre o del paquete
binario seleccionados para el producto especificado, firmados por el editor con
nombre.
 O P C IÓ N A DM IN IST RA

Publisher , Product Name , Binar y name y File Versión especificada o versiones más recientes del
Version, y versiones posteriores , seleccionados archivo con nombre o del paquete para el producto
especificado, firmado por el editor con nombre. Se
recomienda esta opción para las aplicaciones habilitadas
que no estaban habilitadas anteriormente.

Publisher , Product Name , Binar y name y File Versión especificada o versiones anteriores del archivo
Version y, a continuación, seleccionado con nombre o del paquete para el producto especificado,
firmado por el editor con nombre.

Publisher , Product Name, Binar y name y File Version( Versión especificada del archivo con nombre o del
Editor, Nombre del producto , Nombre binario y paquete para el producto especificado, firmados por el
Versión del archivo), seleccionados exactamente editor con nombre.

Si no está seguro de qué incluir para el publicador, puede ejecutar este comando de PowerShell:

Get-AppLockerFileInformation -Path "<path of the exe>"

En el que "<path of the exe>" va a la ubicación de la aplicación en el dispositivo. Por ejemplo:

Get-AppLockerFileInformation -Path "C:\Program Files\Internet Explorer\[Link]" .

En este ejemplo, obtendrías la información siguiente:

Path Publisher
---- ---------
%PROGRAMFILES%\INTERNET EXPLORER\[Link] O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON,
C=US\INTERNET EXPLOR...

En el que el texto, O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US , es el nombre del editor que se debe
escribir en el cuadro Nombre del editor .
Agregar un archivo de directiva de AppLocker
En este ejemplo, vamos a agregar un archivo XML de AppLocker a la lista Reglas de aplicación . Usará esta
opción si desea agregar varias aplicaciones al mismo tiempo. Para obtener más información sobre AppLocker,
consulta el contenido de AppLocker.
Crear una regla de aplicación y un archivo .xml mediante la herramienta AppLocker
1. Abre el complemento Directiva de seguridad local ([Link]).
2. En el panel izquierdo, expanda Directivas de control de aplicaciones, expanda AppLocker y, a
continuación, seleccione Reglas de aplicación empaquetadas .
3. Haga clic con el botón derecho en el panel derecho y, a continuación, seleccione Crear nueva regla .
Se muestra el asistente Create Packaged app Rules .
4. En la página Antes de comenzar , seleccione Siguiente .
5. En la página Permisos , asegúrese de que acción está establecida en Permitir y el usuario o grupo
está establecido en Todos y, a continuación, seleccione Siguiente .

6. En la página Publicador , seleccione Seleccionar en el área Usar una aplicación empaquetada

instalada como referencia .
7. En el cuadro Seleccionar aplicaciones , elija la aplicación que desea usar como referencia para la regla
y, a continuación, seleccione Aceptar . En este ejemplo, se usa Fotos de Microsoft.

8. En la página publicador actualizada, seleccione Crear .

 9. Revisa el complemento Directiva de seguridad Local para asegurarte de que la regla sea correcta.

10. En el panel izquierdo, haga clic con el botón derecho en AppLocker y seleccione Expor tar directiva .
Se abre el cuadro Expor tar directiva , que permite exportar y guardar la nueva directiva como XML.
11. En el cuadro Expor tar directiva , vaya a donde se debe almacenar la directiva, asigne un nombre a la
directiva y, a continuación, seleccione Guardar .
La directiva se guarda y verá un mensaje que indica que se exportó una regla de la directiva.
Archivo XML de ejemplo
Este es el archivo XML que AppLocker crea para Fotos de Microsoft.

<AppLockerPolicy Version="1">
<RuleCollection Type="Exe" EnforcementMode="NotConfigured" />
<RuleCollection Type ="Msi" EnforcementMode="NotConfigured" />
<RuleCollection Type ="Script" EnforcementMode="NotConfigured" />
<RuleCollection Type ="Dll" EnforcementMode="NotConfigured" />
<RuleCollection Type ="Appx" EnforcementMode="NotConfigured">
<FilePublisherRule Id="5e0c752b-5921-4f72-8146-80ad5f582110" Name="[Link],
version [Link] and above, from Microsoft Corporation" Description="" UserOrGroupSid="S-1-1-0"
Action="Allow">
<Conditions>
<FilePublisherCondition PublisherName="CN=Microsoft Corporation, O=Microsoft
Corporation, L=Redmond, S=Washington, C=US" ProductName="[Link]" BinaryName="*">
<BinaryVersionRange LowSection="[Link]" HighSection="*" />
</FilePublisherCondition>
</Conditions>
</FilePublisherRule>
</RuleCollection>
</AppLockerPolicy>

12. Después de crear el archivo XML, debe importarlo mediante Configuration Manager.
Para impor tar la regla de aplicación de archivo de directiva de AppLocker mediante Configuration
Manager
1. En el área Reglas de aplicación, seleccione Agregar .
Aparece el cuadro Agregar regla de aplicación .
2. Agrega un nombre descriptivo para la aplicación en el cuadro Título . En este ejemplo, es Lista de
aplicaciones permitidas.
3. Seleccione Permitir en la lista desplegable Modo de windows Information Protection .
Permitir activa WIP, lo que ayuda a proteger los datos corporativos de esa aplicación a través del
cumplimiento de las restricciones de WIP. Si quieres excluir una aplicación, puedes seguir los pasos de la
sección Excluir aplicaciones de las restricciones de WIP.
4. Elige Archivo de directiva de AppLocker de la lista desplegable Plantilla de regla .
El cuadro cambia para que puedas importar el archivo de directiva XML de AppLocker.
5. Seleccione los puntos suspensivos (...) para buscar el archivo XML de AppLocker, seleccione Abrir y, a
continuación, seleccione Aceptar para cerrar el cuadro Agregar regla de aplicación .
El archivo se importa y las aplicaciones se agregan a la lista Reglas de aplicación .
Excluir aplicaciones de las restricciones de WIP
Si tiene problemas de compatibilidad en los que la aplicación no es compatible con Windows Information
Protection (WIP), pero todavía debe usarse con datos empresariales, puede excluir la aplicación de las
restricciones de WIP. Esto significa que las aplicaciones no incluirán cifrado automático ni etiquetado, y que no
respetarán las restricciones de la red. Esto también significa que las aplicaciones exentas podrían sufrir fugas.
Excluir una aplicación de store, una aplicación de escritorio o una regla de aplicación del archivo
de directiva de AppLocker
1. En el área Reglas de aplicación, seleccione Agregar .
Aparece el cuadro Agregar regla de aplicación .
2. Agrega un nombre descriptivo para la aplicación en el cuadro Título . En este ejemplo, se trata de la lista
Aplicaciones exentas.
3. Seleccione Exento en la lista desplegable Modo de windows Information Protection .
Al excluir aplicaciones, se les permite omitir las restricciones de WIP y acceder a los datos corporativos.
Para permitir aplicaciones, consulte Agregar reglas de aplicación a la directiva en este artículo.
4. Rellene el resto de la información de la regla de aplicación, en función del tipo de regla que va a agregar:
Aplicación de Store. Siga las instrucciones del publicador y el nombre del producto de la
sección Agregar una regla de aplicación de tienda a la directiva de este artículo.
Aplicación de escritorio. Siga las instrucciones Publicador , Nombre del producto , Nombre
binario y Versión de la sección Agregar una regla de aplicación de escritorio a la directiva de este
artículo.
Archivo de directiva de AppLocker. Siga las instrucciones de impor tación de la sección
Agregar un archivo de directiva de AppLocker de este artículo, con una lista de aplicaciones
exentas.
5. Seleccione Aceptar .

Administrar el nivel de protección WIP de los datos empresariales

Después de agregar las aplicaciones que quieres proteger con WIP, deberás aplicar un modo de administración y
protección.
Se recomienda comenzar con Silencio o Invalidar al comprobar con un grupo reducido que tienes las
aplicaciones correctas en la lista de aplicaciones protegidas. Cuando termines, puedes cambiar a la directiva de
aplicación final, o bien a Invalidar o Bloquear .

NOTE
Para obtener información sobre cómo recopilar los archivos de registro de auditoría, consulta Cómo recopilar registros de
eventos de auditoría de Windows Information Protection (WIP).

M O DO DESC RIP C IÓ N

Bloquear WIP busca prácticas de uso compartido inapropiado de

datos e impide que el empleado complete la acción. Esto
puede incluir compartir información entre aplicaciones no
protegidas por la empresa, además de compartir datos de la
empresa con otros contactos y dispositivos fuera de la
empresa.

Invalidar WIP busca usos compartidos inapropiados de datos y

advierte a los empleados si realizan acciones potencialmente
no seguras. Sin embargo, este modo de administración
permite a los empleados invalidar la directiva y compartir los
datos, registrando la acción en el registro de auditoría.
 M O DO DESC RIP C IÓ N

Silencio WIP se ejecuta de forma silenciosa, registrando el uso

compartido de datos inadecuado, sin bloquear nada que se
le hubiera pedido para la interacción de los empleados
mientras se encuentra en modo de invalidación. Las acciones
no autorizadas siguen bloqueadas, como, por ejemplo, el
intento de acceso inapropiado de aplicaciones a un recurso
de red o datos protegidos por WIP.

Desactivado WIP está desactivo y no ayuda a proteger ni auditar los

datos.
Tras desactivar WIP, se intentan descifrar los archivos
etiquetados de WIP en las unidades conectadas
localmente. Tenga en cuenta que la información previa
de directiva y descifrado no se vuelve a aplicar
automáticamente si vuelve a activar la protección WIP.
Para obtener más información, consulta Cómo
deshabilitar Windows Information Protection.

Definir los dominios de identidad administrada de empresa

La identidad corporativa, que normalmente se expresa como dominio de Internet principal (por ejemplo,
[Link]), ayuda a identificar y etiquetar los datos corporativos de las aplicaciones que ha marcado como
protegidas por WIP. Por ejemplo, los correos electrónicos que usan [Link] se identifican como
corporativos y están restringidos por las directivas de Windows Information Protection.
Puede especificar varios dominios propiedad de la empresa si los separa con el | carácter . Por ejemplo,
[Link]|[Link] . Con varios dominios, el primero se designa como identidad corporativa y todos los
demás como propiedad del primero. Se recomienda encarecidamente incluir todos los dominios de dirección de
correo electrónico de esta lista.
Agregar la identidad corporativa
Escribe el nombre de tu identidad corporativa en el campo Identidad corporativa . Por ejemplo,
[Link] o [Link]|[Link] .

Elegir cuándo las aplicaciones pueden obtener acceso a los datos

empresariales
Una vez que hayas agregado un modo de protección a las aplicaciones, deberás decidir el lugar de la red donde
estas aplicaciones pueden acceder a los datos empresariales.
No existen ubicaciones predeterminadas incluidas con WIP, debes agregar cada una de las ubicaciones de red.
Esta área se aplica a cualquier dispositivo de punto de conexión de red que obtenga una dirección IP en el
intervalo de la empresa y que también esté enlazado a uno de los dominios empresariales, incluidos los
recursos compartidos SMB. Las ubicaciones del sistema de archivos local solo deberían mantener el cifrado (por
ejemplo, en FAT, ExFAT y NTFS local).

IMPORTANT
Todas las directivas de WIP deben incluir una directiva que defina las ubicaciones de red de empresa.
No se admite la notación de enrutamiento de Inter-Domain sin clase (CIDR) para las configuraciones de WIP.

Para definir dónde pueden encontrar y enviar datos empresariales las aplicaciones protegidas en
la red
1. Para agregar ubicaciones de red adicionales a las que puedan acceder tus aplicaciones, haz clic en
Agregar .
Se muestra el cuadro Agregar o editar una definición de red corporativa .
2. Escribe un nombre para el elemento de red corporativa en el cuadro Nombre y, después, elige qué tipo
de elemento de red es en el cuadro desplegable Elemento de red . Puede incluir cualquiera de las
opciones de la tabla siguiente.
Recursos de Enterprise Cloud : especifique los recursos en la nube que se tratarán como
corporativos y protegidos por WIP.
Para cada recurso en la nube, también puede especificar opcionalmente un servidor proxy de la
lista de servidores proxy internos para enrutar el tráfico de este recurso en la nube. Todo el tráfico
enrutado a través de los servidores proxy internos se considera empresarial.
Si tiene varios recursos, debe separarlos mediante el | delimitador. Si no usa servidores proxy,
también debe incluir el , delimitador justo antes de | . Por ejemplo: URL <,proxy>|URL <,proxy> .

Ejemplos de formato :
Con proxy :
[Link],[Link]|[Link],[Link]

Sin proxy : [Link]|[Link]

IMPORTANT
En algunos casos, como cuando una aplicación se conecta directamente a un recurso en la nube a través
de una dirección IP, Windows no puede saber si intenta conectarse a un recurso de nube empresarial o a
un sitio personal. En este caso, Windows bloquea la conexión de forma predeterminada. Para impedir que
Windows bloquee automáticamente estas conexiones, puede agregar la cadena /AppCompat/ a la
configuración. Por ejemplo: url <, proxy>| Url <,proxy>|/AppCompat/.

Nombres de dominio de red empresarial (obligatorios): especifique los sufijos DNS usados
en su entorno. Todo el tráfico a los dominios completos que aparecen en esta lista se protegerá.
Esta opción funciona con la configuración de intervalos IP para detectar si un extremo de red es
empresarial o personal en las redes privadas.
Si tienes varios recursos, debes usar el delimitador "," para separarlos.
Ejemplos de formato : [Link],[Link]
 Ser vidores proxy : especifique los servidores proxy por los que pasarán los dispositivos para
llegar a los recursos en la nube. El uso de este tipo de servidor indica que los recursos en la nube a
los que se va a conectar son recursos empresariales.
Esta lista no debe incluir ningún servidor enumerado en la lista Servidores proxy internos. Los
servidores proxy internos deben usarse solo para el tráfico protegido con WIP (empresarial).
Si tienes varios recursos, debes usar el delimitador ";" para separarlos.
Ejemplos de formato : [Link];[Link]

Ser vidores proxy internos : especifique los servidores proxy internos por los que pasarán los
dispositivos para llegar a los recursos en la nube. El uso de este tipo de servidor indica que los
recursos en la nube a los que se va a conectar son recursos empresariales.
Esta lista no debe incluir ningún servidor que aparezca en la lista servidores proxy. Los servidores
proxy deben usarse solo para el tráfico no protegido con WIP (no empresarial).
Si tienes varios recursos, debes usar el delimitador ";" para separarlos.
Ejemplos de formato : [Link];[Link]

Inter valo IPv4 empresarial (obligatorio): especifique las direcciones de un intervalo de

valores IPv4 válido dentro de la intranet. Estas direcciones, que se usan con los nombres de
dominio de red de empresa, definen los límites de tu red corporativa.
Si tienes varios intervalos, debes usar el delimitador "," para separarlos.
Ejemplos de formato :
Dirección IPv4 inicial: [Link]
Dirección IPv4 final: [Link]
URI personalizado: [Link]-[Link], [Link]-[Link]
Inter valo IPv6 empresarial: especifique las direcciones de un intervalo de valores IPv6 válido
dentro de la intranet. Estas direcciones, que se usan con los nombres de dominio de red de
empresa, definen los límites de tu red corporativa.
Si tienes varios intervalos, debes usar el delimitador "," para separarlos.
Ejemplos de formato :
Dirección IPv6 inicial: [Link]
Dirección IPv6 final: [Link]
URI personalizado:
[Link],fd00::-[Link]
Recursos neutros : especifique los puntos de conexión de redireccionamiento de autenticación
para su empresa. Estas ubicaciones se consideran empresariales o personales en función del
contexto de la conexión antes de la redirección.
Si tienes varios recursos, debes usar el delimitador "," para separarlos.
Ejemplos de formato : [Link],[Link]

3. Agregue tantas ubicaciones como necesite y, a continuación, seleccione Aceptar .

El cuadro Agregar o editar una definición de red corporativa se cierra.
4. Decide si quieres que Windows busque configuraciones de red adicionales y si quieres mostrar el icono
de WIP en los archivos corporativos en el Explorador de archivos.
 La lista Ser vidores proxy de la empresa ese autoritativa (no usar detección
automática). Seleccione este cuadro si desea que Windows trate los servidores proxy
especificados en la definición de límites de red como la lista completa de servidores proxy
disponibles en la red. Si desactivas esta casilla, Windows buscará servidores proxy adicionales en
la red más próxima. La opción predeterminada es No configurado.
La lista Inter valos IP de la empresa es autoritativa (no usar detección automática).
Seleccione este cuadro si desea que Windows trate los intervalos IP especificados en la definición
de límites de red como la lista completa de intervalos IP disponibles en la red. Si desactivas esta
casilla, Windows buscará intervalos IP adicionales en los dispositivos unidos a dominio que estén
conectados a la red. La opción predeterminada es No configurado.
Muestra la superposición de iconos de Windows Information Protection en las
aplicaciones permitidas sin reconocimiento de WIP en los archivos corporativos en el
Explorador de archivos. Seleccione este cuadro si desea que la superposición del icono de
Windows Information Protection aparezca en los archivos corporativos en las vistas Guardar como
y Explorador de archivos. Además, para las aplicaciones no optimizadas, pero permitidas, la
superposición de iconos también aparece en el icono de la aplicación y con texto Administrado en
el nombre de la aplicación en el menú Inicio . La opción predeterminada es No configurado.
5. En el cuadro Necesario Cargar un cer tificado de Agente de recuperación de datos (DRA) para
permitir la recuperación de datos cifrados , seleccione Examinar para agregar un certificado de
recuperación de datos para la directiva.
 Después de crear e implementar la directiva wip en los empleados, Windows comenzará a cifrar los datos
corporativos en la unidad de dispositivo local de los empleados. Si de alguna manera las claves de cifrado
local de los empleados se pierden o revocan, los datos cifrados pueden volverse irrecuperables. Para
evitar esta posibilidad, el certificado DRA permite que Windows use una clave pública incluida para cifrar
los datos locales, mientras mantienes la clave privada que puede descifrar los datos.
Para obtener más información sobre cómo buscar y exportar el certificado de recuperación de datos,
consulte Data Recovery and Encrypting File System (EFS). Para obtener más información sobre cómo
crear y comprobar el certificado DE EFS DRA, consulte Creación y comprobación de un certificado del
Agente de recuperación de datos (DRA) del sistema de archivos de cifrado (EFS).

Elegir la configuración opcional relacionada con WIP

Después de decidir dónde pueden acceder las aplicaciones protegidas a los datos empresariales de la red, se le
pedirá que decida si desea agregar alguna configuración de WIP opcional.

Establecer la configuración opcional

1. Elige si quieres establecer algunas o la totalidad de las opciones de configuración opcionales:
 Permitir que Windows Search busque datos corporativos cifrados y aplicaciones de
Store. Determina si Windows Search puede buscar e indexar datos corporativos cifrados y
aplicaciones de Store. Las opciones son:
Sí. Permite que Windows Search busque e indexe datos corporativos cifrados y aplicaciones
de Store.
No o No configurado (recomendada). Hace que Windows Search deje de buscar e
indexar datos corporativos cifrados y aplicaciones de Store.
Revoque las claves de cifrado local durante el proceso de anulación de la inscripción.
Determina si se revocan las claves de cifrado local de un usuario de un dispositivo cuando se anula
la inscripción de Windows Information Protection. En la hoja Directiva de aplicaciones, haz clic en
el nombre de la directiva y, a continuación, haz clic en Configuración avanzada en el menú que
[Link] se revocan las claves de cifrado, un usuario ya no podrá acceder a datos corporativos
cifrados. Las opciones son:
Sí o No configurado (recomendada). Revoca las claves de cifrado local de un
dispositivo durante la anulación de la inscripción.
No. Las claves de cifrado local de un dispositivo dejan de revocarse durante la anulación de
la inscripción. Por ejemplo, si va a migrar entre soluciones de Mobile Administración de
dispositivos (MDM).
Permitir Azure RMS. Permite el uso compartido seguro de archivos mediante medios extraíbles,
como unidades USB. Para obtener más información sobre cómo funciona RMS con WIP, consulte
Creación de una directiva wip mediante Intune. Para confirmar qué plantillas tiene el inquilino,
ejecute Get-AadrmTemplate desde el módulo de PowerShell de AADRM. Si no especifica una
plantilla, WIP usa una clave de una plantilla RMS predeterminada a la que todos los usuarios del
inquilino tendrán acceso.
2. Después de elegir todas las opciones de configuración que desea incluir, seleccione Resumen .

Revisar las opciones de configuración en la pantalla Resumen

Cuando termines de configurar la directiva, podrás revisar toda la información en la pantalla Resumen .
Ver la pantalla Resumen
Seleccione el botón Resumen para revisar las opciones de directiva y, a continuación, seleccione
Siguiente para finalizar y guardar la directiva.
 Aparece una barra de progreso que muestra el progreso de la directiva. Cuando haya terminado,
seleccione Cerrar para volver a la página Elementos de configuración .

Implementar la directiva de WIP

Después de crear la directiva WIP, deberá implementarla en los dispositivos de la organización. Para obtener
más información sobre las opciones de implementación, consulte los artículos siguientes:
Creación de líneas base de configuración en Configuration Manager
Cómo implementar líneas base de configuración en Configuration Manager

Artículos relacionados
Cómo recopilar registros de eventos de auditoría de Windows Information Protection (WIP)
Instrucciones generales y procedimientos recomendados para Windows Information Protection (WIP)
Limitaciones al usar Windows Information Protection (WIP)
 Crear y comprobar un certificado del Agente de
recuperación de datos (DRA) del Sistema de cifrado
de archivos (EFS)
08/11/2022 • 7 minutes to read

NOTE
A partir de julio de 2022, Microsoft está desusando Windows Information Protection (WIP). Microsoft seguirá admitiendo
WIP en las versiones compatibles de Windows. Las nuevas versiones de Windows no incluirán nuevas funcionalidades
para WIP y no se admitirán en versiones futuras de Windows. Para obtener más información, vea Anuncio de la puesta del
sol de Windows Information Protection.
Para sus necesidades de protección de datos, Microsoft recomienda usar Microsoft Purview Information Protection y
Prevención de pérdida de datos de Microsoft Purview. Purview simplifica la configuración y proporciona un conjunto
avanzado de funcionalidades.

Se aplica a:
Windows10
Windows11
Si aún no tiene un certificado EFS DRA, deberá crear y extraer uno del sistema para poder usar Windows
Information Protection (WIP), anteriormente conocido como protección de datos empresariales (EDP), en su
organización. Para los fines de esta sección, usaremos el nombre de archivo EFSDRA; sin embargo, este nombre
se puede reemplazar por cualquier cosa que tenga sentido para usted.

IMPORTANT
Si ya tienes un certificado DRA de EFS para la organización, puedes omitir crear uno nuevo. Simplemente, usa el
certificado DRA de EFS actual en la directiva. Para obtener más información sobre cuándo usar una PKI y la estrategia
general que debes usar para implementar certificados DRA, consulta el artículo Vigilancia de seguridad Implementación
de EFS: Parte 1 en TechNet. Para obtener información más general acerca de la protección de EFS, consulta Protecting
Data by Using EFS to Encrypt Hard Drives (Protección de datos mediante EFS para cifrar unidades de disco duro).

Si el certificado DRA ha expirado, no podrá cifrar los archivos con él. Para corregir esto, deberás crear un nuevo certificado
siguiendo los pasos de este tema y, después, implementarlo mediante la directiva.

Creación manual de un certificado DE EFS DRA

1. En un equipo sin un certificado DRA de EFS instalado, abre un símbolo del sistema con permisos
elevados y, después, desplázate a la ubicación donde quieres almacenar el certificado.
2. Ejecuta este comando:

cipher /r:EFSRA

Donde EFSRA es el nombre de los .cer archivos y .pfx que desea crear.
3. Cuando se te pida, escribe y confirma una contraseña para ayudar a proteger el nuevo archivo de
 intercambio de información personal (.pfx).
Los archivos [Link] y [Link] se crean en la ubicación especificada en el paso 1.

IMPORTANT
Dado que las claves privadas de los archivos .pfx de DRA pueden usarse para descifrar cualquier archivo WIP,
debes protegerlos en consecuencia. Se recomienda encarecidamente almacenar estos archivos sin conexión,
mantener copias en una tarjeta inteligente con protección segura para el uso normal y copias maestras en una
ubicación física protegida.

4. Agregue el certificado EFS DRA a la directiva wip mediante una herramienta de implementación, como
Microsoft Intune o Microsoft Configuration Manager.

NOTE
Este certificado se puede usar en Intune para directivas tanto con inscripción de dispositivos (MDM) como sin
inscripción de dispositivos (MAM).

Comprobar que el certificado de recuperación de datos está

configurado correctamente en un equipo cliente WIP
1. Busca o crea un archivo cifrado con Windows Information Protection. Por ejemplo, podría abrir una
aplicación en la lista de aplicaciones permitidas y, a continuación, crear y guardar un archivo para que wip
lo cifre.
2. Abra una aplicación en la lista de aplicaciones protegidas y, a continuación, cree y guarde un archivo para
que wip lo cifre.
3. Abre un símbolo del sistema con permisos elevados, desplázate a la ubicación donde almacenaste el
archivo recién creado y, después, ejecuta este comando:

cipher /c filename

Donde nombre de archivo es el nombre del archivo que creaste en el paso 1.

4. Asegúrate de que el certificado de recuperación de datos se muestre en la lista Cer tificados de
recuperación .

Recuperación de los datos mediante el certificado EFS DRA en un

entorno de prueba
1. Copia el archivo cifrado con WIP en una ubicación donde tengas acceso de administrador.
2. Instala el archivo [Link] usando su contraseña.
3. Abre un símbolo del sistema con permisos elevados, desplázate al archivo cifrado y, después, ejecuta este
comando:

cipher /d [Link]

Donde archivo_cifrado.extensión es el nombre del archivo cifrado. Por ejemplo, [Link] .

Recuperación de wip protegido después de la anulación de la
inscripción
Es posible que puedas revocar los datos de un dispositivo cuya inscripción se haya anulado, por si quieres
restaurarlo todo posteriormente. Esto puede suceder en el caso de la devolución de un dispositivo que falta o si
un empleado cuya inscripción se ha anulado se inscribe nuevamente. Si el empleado se inscribe de nuevo con el
perfil de usuario original y el almacén de claves revocado sigue en el dispositivo, todos los datos revocados se
pueden restaurar a la vez.

IMPORTANT
Para mantener el control sobre los datos empresariales y para poder revocar datos de nuevo en el futuro, solo tienes que
realizar este proceso cuando el empleado haya vuelto a inscribir el dispositivo.

1. Pida al empleado que inicie sesión en el dispositivo no inscrito, abra un símbolo del sistema con
privilegios elevados y escriba:

Robocopy "%localappdata%\Microsoft\EDP\Recovery" "new_location" * /EFSRAW

Donde "new_location" está en un directorio diferente. Esto puede ser en el dispositivo del empleado o en
una carpeta compartida en un equipo que ejecuta Windows 8 o Windows Server 2012 o más reciente y
se puede acceder a él mientras inicia sesión como agente de recuperación de datos.
Para iniciar Robocopy en modo S, abra el Administrador de tareas. Haga clic en Ejecutar > archivo
nueva tarea , escriba el comando y haga clic en Crear esta tarea con privilegios administrativos .

Si el empleado realizó una instalación limpia y no hay ningún perfil de usuario, debe recuperar las claves
de la carpeta Volumen del sistema en cada unidad. Tipo:

Robocopy "drive_letter:\System Volume Information\EDP\Recovery\" "new_location" * /EFSRAW

2. Inicia sesión en otro dispositivo con credenciales de administrador que tengan acceso al certificado DRA
de la organización, y escribe lo siguiente para descifrar y recuperar el archivo:

[Link] /D "new_location"

3. Pide al empleado que inicie sesión en el dispositivo cuya inscripción se ha anulado y escribe lo siguiente:

Robocopy "new_location" "%localappdata%\Microsoft\EDP\Recovery\Input"

4. Pide al empleado que bloquee y desbloquee el dispositivo.

 El servicio de credenciales de Windows recupera automáticamente las claves revocadas anteriormente
del empleado de la Recovery\Input ubicación.

Recuperación automática de las claves de cifrado

A partir de Windows 10, versión 1709, WIP incluye una característica de recuperación de datos que permite el
acceso de recuperación automática a los empleados para archivos de trabajo si se pierde la clave de cifrado y los
archivos ya no son accesibles. Esto suele ocurrir si un empleado vuelve a crear una imagen de la partición del
sistema operativo, quitando la información de la clave WIP o si se notifica que se ha perdido un dispositivo y
que indicó para anulación de la inscripción un dispositivo equivocado.
Para asegurarse de que los empleados siempre pueden acceder a los archivos, WIP crea una clave de
recuperación automática de la que se hace una copia de seguridad en su identidad de Azure Active Directory
(Azure AD).
La experiencia de los empleados se basa en el inicio de sesión con una cuenta profesional de Azure AD. El
empleado puede:
Agrega una cuenta profesional a través del menú Configuración de Windows > Cuentas > Obtener
acceso a trabajo o escuela > Conectar .
O bien
Abre Configuración de Windows > Cuentas > Obtener acceso a trabajo o escuela > Conectar
y elija el vínculo Unir este dispositivo a Azure Active Director y en Alternar acciones .

NOTE
Para realizar una unión a un dominio de Azure AD desde la página Configuración, el empleado debe tener
privilegios de administrador para el dispositivo.

Después de iniciar sesión, la información de la clave WIP se desacarga automáticamente y los empleados
pueden obtener a los archivos de nuevo.
Para probar qué ve el empleado durante el proceso de recuperación de claves WIP
1. Intenta abrir un archivo de trabajo en un dispositivo cuya inscripción se ha anulado.
Aparece el cuadro Connect to Work to access work files .
2. Haz clic en Connect .
Aparecerá la página Access work or school settings .
3. Inicia sesión en Azure AD como el empleado y comprueba que los archivos están abiertos ahora.

Temas relacionados
Vigilancia de seguridad: implementación de EFS; parte 1
Protecting Data by Using EFS to Encrypt Hard Drives (Protección de datos mediante EFS para cifrar
unidades de disco duro)
Crear una directiva de Windows Information Protection (WIP) con Microsoft Intune
Creación de una directiva de Windows Information Protection (WIP) mediante Microsoft Configuration
Manager
Creación de un agente de recuperación basado en dominio
 Determinar el contexto de empresa de una
aplicación que se ejecuta en Windows Information
Protection (WIP)
08/11/2022 • 2 minutes to read

Se aplica a:
Windows 10, versión 1607 y versiones posteriores

Obtén más información sobre las características y las funcionalidades que se admiten en cada edición de
Windows en Comparar ediciones de Windows10.

Usa el Administrador de tareas para comprobar el contexto de tus aplicaciones mientras se ejecutan Windows
Information Protection (WIP) para asegurarte de que las directivas de tu organización se aplican y funcionan
correctamente.

Ver la columna Enterprise Context en el Administrador de tareas

Debes agregar la columna Enterprise Context a la pestaña Detalles del Administrador de tareas.
1. Asegúrese de que tiene una directiva de Windows Information Protection activa implementada y activada
en su organización.
2. Abre el Administrador de tareas ([Link]), haz clic en la pestaña Detalles , haz clic con el botón
derecho en el área de encabezado de columna y haz clic en Seleccionar columnas .
Aparece el cuadro Seleccionar columnas .

3. Desplázate hacia abajo y marca la opción Enterprise Context y luego haz clic en Aceptar para cerrar el
cuadro.
La columna Enterprise Context ahora debería estar disponible en el Administrador de tareas.
Revisar Enterprise Context
La columna Enterprise Context te muestra lo que cada aplicación puede hacer con los datos empresariales:
Dominio. Muestra el dominio de trabajo del empleado (por ejemplo, [Link]). Esta aplicación
se considera relacionada con el trabajo y puede acceder y abrir libremente datos y recursos laborales.
Personal. Muestra el texto, Personal. Esta aplicación se considera no relacionada con el trabajo y no
puede acceder a datos ni recursos laborales.
Exempt. Muestra el texto, Exempt. Las directivas de windows Information Protection no se aplican a estas
aplicaciones (por ejemplo, componentes del sistema).

IMPORTANT
Las aplicaciones pueden cambiar entre Trabajo y Personal, dependiendo de los datos a los que se accede. Por
ejemplo, Microsoft Word2016 muestra como Personal cuando un empleado abre una carta personal, pero
cambia a Trabajo cuando ese mismo empleado abre la información financiera de la empresa.
 Tareas y opciones de configuración necesarias para
activar Windows Information Protection (WIP)
08/11/2022 • 2 minutes to read

Se aplica a:
Windows 10, versión 1607 y versiones posteriores
Esta lista incluye todas las tareas y opciones de configuración del sistema operativo necesarias para activar
Windows Information Protection (WIP) en tu empresa, anteriormente conocido como Protección de datos de
empresa (EDP).

TA REA DESC RIP C IÓ N

Agrega al menos una aplicación de cada tipo (Tienda y Debe tener al menos una aplicación de la Tienda y una
escritorio) a la lista Aplicaciones protegidas de la directiva aplicación de escritorio agregadas a la lista aplicaciones
WIP. protegidas . Para obtener más información sobre dónde
está esta área y cómo agregar aplicaciones, consulta la
sección Agregar aplicaciones a las aplicaciones
protegidas de los temas de creación de directivas.

Elija el nivel de protección de windows Information Debe elegir el nivel de protección que desea aplicar al
Protection. contenido protegido por WIP, como Permitir
invalidaciones , Silencio o Bloquear . Para obtener más
información sobre dónde está esta área y cómo decidir el
nivel de protección, consulta la sección Administrar el modo
de windows Information Protection para tu empresa de los
temas de creación de directivas. Para obtener información
sobre cómo recopilar los archivos de registro de auditoría,
consulta Cómo recopilar registros de eventos de auditoría de
Windows Information Protection (WIP).

Especifica tu identidad corporativa. Microsoft Intune rellena este campo automáticamente por ti.
Sin embargo, debes corregirlo manualmente si no es
correcto o si tienes que agregar dominios adicionales. Para
obtener más información sobre dónde se encuentra esta
área y lo que significa, consulta la sección de los temas sobre
la creación de directivas Definir la identidad corporativa
de la administración empresarial.

Especificar los nombres de dominio de la red A partir de Windows 10, versión 1703, este campo es
opcional.

Especifica los sufijos DNS que se usan en el entorno. Se

protegerá todo el tráfico de los dominios completos que
aparezcan en esta lista. Para obtener más información sobre
dónde se encuentra esta área y cómo agregar tus sufijos,
consulta la tabla que aparece en la sección de los temas
sobre la creación de directivas Elegir dónde pueden
acceder las aplicaciones a los datos empresariales .
TA REA DESC RIP C IÓ N

Especifica los intervalos IPv4 o IPv6 de tu empresa. A partir de Windows 10, versión 1703, este campo es
opcional.

Especifica las direcciones de un intervalo de valor IPv4 o IPv6

válido de la intranet. Estas direcciones, que se usan con los
nombres de dominio de red, definen los límites de tu red
corporativa. Para obtener más información sobre dónde se
encuentra esta área y lo que significa, consulta la tabla que
aparece en la sección de los temas sobre la creación de
directivas Definir la identidad corporativa de la
administración empresarial.

Incluye tu certificado del Agente de recuperación de datos A partir de Windows 10, versión 1703, este campo es
(DRA). opcional. Pero te recomendamos encarecidamente que
agregues un certificado.

Este certificado garantiza que los datos cifrados de WIP se

puedan descifrar, incluso en caso de perder las claves de
seguridad. Para obtener más información sobre dónde se
encuentra esta área y lo que significa, consulta el tema
Create and verify an Encrypting File System (EFS) Data
Recovery Agent (DRA) certificate [Crear y comprobar un
certificado de agente de recuperación de datos (DRA) del
Sistema de cifrado de archivos (EFS)].

NOTE
Para ayudarnos a mejorar este tema, proporciónanos ediciones, adiciones y comentarios. Para obtener información sobre
cómo contribuir a este tema, consulta La edición de la documentación profesional de TI de Windows.
 Escenarios de prueba para Windows Information
Protection (WIP)
08/11/2022 • 7 minutes to read

Se aplica a:
Windows 10, versión 1607 y versiones posteriores
Elaboramos una lista de los escenarios de prueba sugeridos que puedes usar para probar Windows Information
Protection (WIP) en tu empresa.

Escenarios de prueba
Puedes probar cualquiera de los procesos incluidos en estos escenarios, pero debes centrarte en los que podrías
encontrar en la organización.

IMPORTANT
Si alguno de estos escenarios no funciona, primero tome nota de si wip se ha revocado. Si es así, las aplicaciones no
habilitadas tendrán que desinstalarse y volver a instalarse, ya que sus archivos de configuración permanecerán cifrados.

Cifre y descifre archivos mediante Explorador de archivos :

1. Abre el Explorador de archivos, haz clic con el botón derecho en un documento de trabajo y, a
continuación, haz clic en Trabajo en el menú Propiedad del archivo .
Asegúrate de que el archivo está cifrado. Para ello, vuelve a hacer clic con el botón derecho en el
archivo, haz clic en Opciones avanzadas en la pestaña General y, a continuación, haz clic en
Detalles en el área Atributos de compresión y cifrado . El archivo debe aparecer en el
encabezado , Este dominio empresarial puede quitar o revocar el acceso:
*<your_enterprise_identity>* . Por ejemplo, [Link] .

2. En el Explorador de archivos, haz clic con el botón derecho en el mismo documento y, a

continuación, haz clic en Personal en el menú Propiedad del archivo .
Asegúrate de que el archivo esté descifrado. Para ello, haz clic con el botón derecho en el archivo
de nuevo, haz clic en Opciones avanzadas en la pestaña General y, a continuación, comprueba
que el botón Detalles no esté disponible.
Creación de documentos de trabajo en aplicaciones permitidas por la empresa : inicie una
aplicación no habilitada pero permitida, como una aplicación de línea de negocio, y, a continuación, cree
un nuevo documento y guarde los cambios.
Asegúrate de que el documento está cifrado con la identidad de la empresa. Esto puede tardar unos
minutos y es necesario que cierres y vuelvas a abrir el archivo.

IMPORTANT
Algunos tipos de archivos, como .exe y .dll , junto con determinadas rutas de acceso de archivo, como
%windir% y %programfiles% , están excluidos del cifrado automático.
Para obtener más información sobre enterprise identity y agregar aplicaciones a la lista de aplicaciones
permitidas, consulta Crear una directiva de Windows Information Protection (WIP) mediante Microsoft
Intune o Crear una directiva de Windows Information Protection (WIP) mediante Microsoft. Configuration
Manager, en función del sistema de implementación.
Bloquear datos empresariales de aplicaciones que no son de empresa :
1. Inicia una aplicación que no aparezca en tu lista de aplicaciones permitidas y luego intenta abrir un
archivo cifrado de trabajo.
La aplicación no debe poder acceder al archivo.
2. Intenta pulsar el archivo cifrado de trabajo o hacer doble clic en él. Si la asociación de aplicaciones
predeterminada es una aplicación que no está en la lista de aplicaciones permitidas, recibirás un
mensaje de error de Acceso denegado .
Copie y pegue desde aplicaciones empresariales en aplicaciones que no son de empresa :
1. Copia el contenido (CTRL+C) de una aplicación de la lista de aplicaciones permitidas y luego
intenta pegarlo (CTRL+V) en una aplicación que no aparezca en dicha lista.
Verás un cuadro de advertencia relacionado con WIP, que te pedirá que hagas clic en Cambiar a
personal o Mantener en trabajo .
2. Haz clic en Mantener en trabajo . El contenido no se pega en la aplicación que no es de la
empresa.
3. Repite el paso 1, pero esta vez haz clic en Cambiar a personal e intenta pegar de nuevo el
contenido.
El contenido se pega en la aplicación que no es de la empresa.
4. Intenta copiar y pegar contenido de una aplicación de la lista de aplicaciones permitidas a otra. El
contenido se debe copiar y pegar de una aplicación a otra sin que recibas ningún mensaje de
advertencia.
Arrastre y coloque desde aplicaciones empresariales a aplicaciones que no sean de empresa :
1. Arrastra contenido de una aplicación de la lista de aplicaciones permitidas e intenta colocarlo en
una aplicación que no aparezca en dicha lista.
Verás un cuadro de advertencia relacionado con WIP, que te pedirá que hagas clic en Mantener
en trabajo o Cambiar a personal .
2. Haz clic en Mantener en trabajo . El contenido no se coloca en la aplicación que no es de la
empresa.
3. Repite el paso 1, pero esta vez haz clic en Cambiar a personal e intenta colocar de nuevo el
contenido.
El contenido se coloca en la aplicación que no es de la empresa.
4. Intenta arrastrar y colocar contenido de una aplicación de la lista de aplicaciones permitidas a otra.
El contenido se debe mover de una aplicación a otra sin que recibas ningún mensaje de
advertencia.
Uso compar tido entre aplicaciones empresariales y aplicaciones que no son de empresa :
1. Abre una aplicación de la lista de aplicaciones permitidas, como Fotos de Microsoft, e intenta
compartir contenido con una aplicación que no aparezca en dicha lista, como Facebook.
 Verás un cuadro de advertencia relacionado con WIP, que te pedirá que hagas clic en Mantener
en trabajo o Cambiar a personal .
2. Haz clic en Mantener en trabajo . El contenido no se comparte en Facebook.
3. Repite el paso 1, pero esta vez haz clic en Cambiar a personal e intenta compartir de nuevo el
contenido.
El contenido se comparte en Facebook.
4. Intenta compartir contenido de una aplicación de la lista de aplicaciones permitidas a otra. El
contenido se debe compartir de una aplicación a otra sin que recibas ningún mensaje de
advertencia.
Compruebe que los componentes del sistema windows pueden usar WIP :
1. Inicia Windows Journal e Internet Explorer 11 para crear, editar y guardar archivos en ambas
aplicaciones.
Asegúrate de que todos los archivos con los que trabajes se cifren con la identidad configurada
para la empresa. En algunos casos, es posible que tengas que cerrar el archivo y esperar unos
instantes para que se cifren automáticamente.
2. Abre el Explorador de archivos y asegúrate de que los archivos modificados aparecen con un icono
de candado .
3. Intenta copiar y pegar, arrastrar y colocar, y compartir datos que se usan en estas aplicaciones con
otras aplicaciones que aparezcan y no aparezcan en la lista de aplicaciones permitidas.

NOTE
La mayoría de los componentes firmados por Windows, como Explorador de archivos (cuando se ejecutan
en el contexto del usuario), deben tener acceso a los datos empresariales.
Se incluyen algunas excepciones importantes como algunas de las aplicaciones incluidas en el nivel de
usuario, por ejemplo, Wordpad, el Bloc de notas y Microsoft Paint. Estas aplicaciones no tienen acceso de
manera predeterminada, pero pueden agregarse a la lista de aplicaciones permitidas.

Use WIP en sistemas NTFS, FAT y exFAT :

1. Inicia una aplicación que use el sistema de archivos FAT o exFAT (por ejemplo, una tarjeta SD o unidad
flash USB) y que aparezca en la lista de aplicaciones permitidas.
2. Crea, edita, escribe, guarda, copia y mueve archivos. Las operaciones básicas de archivos y carpetas,
como copiar, mover, cambiar el nombre, eliminar, etc., deben funcionar correctamente en los archivos
cifrados.
Compruebe que los archivos compar tidos pueden usar WIP :
1. Descarga un archivo desde un recurso compartido de archivos protegidos y asegúrate de que el
archivo está cifrado. Para ello, busca el icono de maletín junto al nombre del archivo.
2. Abre el mismo archivo, haz un cambio, guárdalo y, a continuación, intenta cargarlo de nuevo en el
recurso compartido de archivos. De nuevo, esto debería funcionar sin generar advertencias.
3. Abre una aplicación que no aparezca en la lista de aplicaciones permitidas e intenta acceder al
recurso compartido de archivos con WIP habilitado.
La aplicación no debe poder acceder al recurso compartido de archivos.
Compruebe que los recursos en la nube pueden usar WIP :
 1. Agrega Internet Explorer 11 y Microsoft Edge a tu lista de aplicaciones permitidas.
2. Abre SharePoint (o cualquier otro recurso en la nube que forme parte de la directiva) y accede a
un recurso con WIP habilitado mediante IE11 y Microsoft Edge.
Ambos exploradores deben respetar el límite empresarial y personal.
3. Quita Internet Explorer 11 de la lista de aplicaciones permitidas y, a continuación, intenta acceder a
un sitio de intranet o a un recurso en la nube relacionado con la empresa.
IE11 no debe poder acceder a los sitios.

NOTE
Cualquier archivo descargado desde el sitio de SharePoint de trabajo o cualquier otro recurso en la nube
con WIP habilitado, se marca automáticamente como Trabajo .

Compruebe que la red privada vir tual (VPN) se puede desencadenar automáticamente :
1. Configura tu red VPN para que se inicie con la configuración WIPModeID . Para obtener
información específica, consulta Crear e implementar una directiva de VPN para Windows
Information Protection (WIP) mediante Microsoft Intune.
2. Inicia una aplicación de la lista de aplicaciones permitidas. La red VPN debe iniciarse
automáticamente.
3. Desconéctate de la red y, a continuación, inicia una aplicación que no esté en la lista de
aplicaciones permitidas.
La VPN no se debe iniciar y la aplicación no debe poder acceder a la red de empresa.
Anular la inscripción de dispositivos cliente desde WIP : desenrolle un dispositivo de WIP yendo a
Configuración , haga clic en Cuentas , en Trabajo , en el nombre del dispositivo que desea anular la
inscripción y, a continuación, haga clic en Quitar .
El dispositivo debe quitarse y todo el contenido de la empresa para esa cuenta administrada debe
desaparecer.

IMPORTANT
En los dispositivos cliente, los datos no se quitan y se pueden recuperar. Por lo tanto, debe asegurarse de que el
contenido está marcado como Revocado y que el acceso se deniega para el empleado.

NOTE
Para ayudarnos a mejorar este tema, proporciónanos ediciones, adiciones y comentarios. Para obtener información sobre
cómo contribuir, consulta Editar documentación profesional de TI de Windows.
 Limitaciones al usar Windows Information
Protection (WIP)
08/11/2022 • 9 minutes to read

Se aplica a:
Windows10
Windows11
En esta lista siguiente se proporciona información sobre los problemas más comunes que puede encontrar al
ejecutar Windows Information Protection en su organización.
Limitación : es posible que los datos empresariales de las unidades USB estén asociados al dispositivo en
el que se protegía, en función de la configuración de Azure RMS.
Cómo aparece :
Si usa Azure RMS: los usuarios autenticados pueden abrir datos empresariales en unidades
USB, en equipos que ejecutan Windows 10, versión 1703.
Si no usa Azure RMS: los datos de la nueva ubicación permanecen cifrados, pero se vuelven
inaccesibles en otros dispositivos y para otros usuarios. Por ejemplo, el archivo no se abre o el
archivo se abre, pero no contiene texto legible.
Solución alternativa : Comparta archivos con otros empleados a través de servidores de
archivos empresariales o ubicaciones de nube empresarial. Si los datos se deben compartir a
través de USB, los empleados pueden descifrar los archivos protegidos, pero serán auditados.
Te recomendamos encarecidamente informar a los empleados acerca de cómo limitar o eliminar la
necesidad del descifrado.
Limitación : el acceso directo no es compatible con windows Information Protection.
Cómo aparece : Direct Access puede experimentar problemas con la forma en que Windows
Information Protection aplica el comportamiento de la aplicación y el movimiento de datos debido
a cómo WIP determina qué es y no es un recurso de red corporativo.
Solución alternativa : se recomienda usar VPN para el acceso de cliente a los recursos de la
intranet.

NOTE
La VPN es opcional y no es necesaria para Windows Information Protection.

Limitación : la configuración de directiva de grupo de administración de redes tiene prioridad sobre la

configuración de directiva MDM.
Cómo aparece : la configuración de directiva de grupo NetworkIsolation puede configurar los
valores de red que también se pueden configurar mediante MDM. WIP se basa en que estas directivas
estén configuradas correctamente.
Solución alternativa : si usa directiva de grupo y MDM para configurar la configuración de
NetworkIsolation , debe asegurarse de que esas mismas opciones se implementan en su
organización mediante directiva de grupo y MDM.
Limitación : Cortana puede permitir potencialmente la pérdida de datos si está en la lista de aplicaciones
permitidas.
Cómo aparece : si Cortana está en la lista de permitidos, es posible que algunos archivos se cifren
inesperadamente después de que un empleado realice una búsqueda mediante Cortana. Los
empleados seguirán pudiendo usar Cortana para buscar y proporcionar resultados de
documentos y ubicaciones de la empresa, pero los resultados podrán enviarse a Microsoft.
Solución alternativa : no se recomienda agregar Cortana a la lista de aplicaciones permitidas. Sin
embargo, si deseas usar Cortana y no te importa que los resultados puedan enviarse a Microsoft,
puedes hacer que Cortana sea una aplicación exenta.

Limitación : Windows Information Protection está diseñado para su uso por un único usuario por
dispositivo.
Cómo aparece : un usuario secundario de un dispositivo puede experimentar problemas de
compatibilidad de aplicaciones cuando las aplicaciones no habilitadas comienzan a cifrarse
automáticamente para todos los usuarios. Además, solo se puede revocar el contenido inicial del
usuario inscrito durante el proceso de anulación de la inscripción.
Solución alternativa : solo tiene un usuario por dispositivo administrado.
Si se produce este escenario, puede ser posible mitigarlo. Una vez deshabilitada la protección, un
segundo usuario puede quitar la protección cambiando la propiedad del archivo. Aunque la
protección está en su lugar, el archivo sigue siendo accesible para el usuario.
Limitación : es posible que los instaladores copiados de un recurso compartido de archivos de red
empresarial no funcionen correctamente.
Cómo aparece : es posible que una aplicación no se instale correctamente porque no puede leer un
archivo de datos o configuración necesario, como un archivo .cab o .xml necesario para la instalación,
que estaba protegido por la acción de copia.
Solución alternativa : Para corregir esto, puede:
Iniciar el programa de instalación directamente desde el recurso compartido de archivos.
O bien,
Descifrar los archivos copiados localmente necesarios el programa de instalación.
O bien,
Marque el recurso compartido de archivos con el medio de instalación como "personal".
Para ello, tendrá que establecer los intervalos IP de empresa como Autoritativo y, a
continuación, excluir la dirección IP del servidor de archivos, o bien debe colocar el servidor
de archivos en la lista Servidor proxy empresarial.
Limitación : no se admite el cambio de la identidad corporativa principal.
Cómo aparece : es posible que experimente varias capacidades, entre las que se incluyen, entre otras,
errores de acceso a la red y a los archivos, y la posibilidad de conceder acceso incorrecto.
Solución alternativa : desactive windows Information Protection para todos los dispositivos antes de
cambiar la identidad corporativa principal (primera entrada de la lista), reiniciar y, por último, volver a
implementarla.
Limitación : las carpetas redirigidas con almacenamiento en caché de Client-Side no son compatibles con
windows Information Protection.
Cómo aparece : es posible que las aplicaciones encuentren errores de acceso al intentar leer un
archivo sin conexión almacenado en caché.
 Solución alternativa : migre para usar otro método de sincronización de archivos, como
Carpetas de trabajo o OneDrive para la Empresa.

NOTE
Para obtener más información sobre carpetas de trabajo y archivos sin conexión, consulta el blog carpetas
de trabajo y archivos sin conexión para Windows Information Protection blog. Si tiene problemas para
abrir archivos sin conexión mientras usa Archivos sin conexión y Windows Information Protection, consulte
No se pueden abrir archivos sin conexión cuando se usan archivos sin conexión y Windows Information
Protection.

Limitación : un dispositivo no administrado puede usar el Protocolo de Escritorio remoto (RDP) para
conectarse a un dispositivo administrado por WIP.
Cómo aparece :
Los datos copiados del dispositivo administrado por WIP se marcan como Trabajo .
Los datos copiados en el dispositivo administrado por WIP no están marcados como Trabajo .
Los datos de trabajo local copiados en el dispositivo administrado por WIP siguen siendo
datos de trabajo .
Los datos de trabajo que se copian entre dos aplicaciones de la misma sesión siguen siendo
** datos.
Solución alternativa : deshabilite RDP para impedir el acceso porque no hay ninguna manera de
restringir el acceso solo a los dispositivos administrados por Windows Information Protection.
RDP está deshabilitado de forma predeterminada.
Limitación : no se puede cargar un archivo empresarial en una ubicación personal mediante Microsoft
Edge o Internet Explorer.
Cómo aparece : aparece un mensaje que indica que el contenido está marcado como Trabajo y que
el usuario no tiene la opción de invalidar a Personal .
Solución alternativa : abra Explorador de archivos y cambie la propiedad del archivo a Personal
antes de cargarla.
Limitación : los controles ActiveX se deben usar con precaución.
Cómo aparece : las páginas web que usan controles ActiveX pueden comunicarse potencialmente
con otros procesos externos que no están protegidos mediante Windows Information Protection.
Solución alternativa : se recomienda cambiar al uso de Microsoft Edge, el explorador más
seguro y seguro que impide el uso de controles ActiveX. También te recomendamos que limites el
uso de InternetExplorer11 solo para aquellas aplicaciones de línea de negocio que requieren la
tecnología heredada.
Para obtener más información, consulta Bloqueo de controles ActiveX obsoletos.
Limitación : El sistema de archivos resistente (ReFS) no se admite actualmente con Windows Information
Protection.
Cómo aparece : se producirá un error al intentar guardar o transferir archivos de Windows
Information Protection a ReFS.
Solución alternativa : dar formato a la unidad para NTFS o usar una unidad diferente.
Limitación : Windows Information Protection no está activado si alguna de las siguientes carpetas tiene
la opción MakeFolderAvailableOfflineDisabled establecida en False :
AppDataRoaming
 Escritorio
StartMenu
Documentos
Imágenes
Música
Vídeos
Favoritos
Contactos
Descargas
Vínculos
Búsquedas
SavedGames

Cómo aparece : Windows Information Protection no está activado para los empleados de la
organización. El código de error 0x807c0008 se producirá si Windows Information Protection se
implementa mediante Microsoft Configuration Manager.
Solución alternativa : no establezca la opción MakeFolderAvailableOfflineDisabled en False
para ninguna de las carpetas especificadas. Puede configurar este parámetro, como se describe
Deshabilitar archivos sin conexión en carpetas redirigidas individuales.
Si actualmente usa carpetas redirigidas, se recomienda migrar a una solución de sincronización de
archivos que admita windows Information Protection, como Carpetas de trabajo o OneDrive para
la Empresa. Además, si aplica carpetas redirigidas después de que Windows Information
Protection ya esté en su lugar, es posible que no pueda abrir los archivos sin conexión.
Para obtener más información sobre estos posibles errores de acceso, consulta Can't open files
offline when you use Offline Files and Windows Information Protection (No se pueden abrir
archivos sin conexión cuando se usa Archivos sin conexión y Windows Information Protection).
Limitación : solo las aplicaciones habilitadas se pueden administrar sin inscripción de dispositivos
Cómo aparece : si un usuario inscribe un dispositivo para Mobile Application Management
(MAM) sin inscripción de dispositivos, solo se administrarán las aplicaciones habilitadas. Esto es
por diseño para evitar que las aplicaciones no habilitadas cifren involuntariamente los archivos
personales.
Las aplicaciones no habilitadas que necesitan acceder al trabajo mediante MAM deben volver a
compilarse como aplicaciones LOB o administrarse mediante MDM con inscripción de dispositivos.
Solución alternativa : si es necesario administrar todas las aplicaciones, inscriba el dispositivo
para MDM.
Limitación : por diseño, los archivos del directorio de Windows (%windir% o C:/Windows) no se pueden
cifrar porque cualquier usuario debe acceder a ellos. Si un usuario cifra un archivo en el directorio de
Windows, otros usuarios no podrán acceder a él.
Cómo aparece : cualquier intento de cifrar un archivo en el directorio de Windows devolverá un error
de acceso a archivos denegado. Pero si copia o arrastra y coloca un archivo cifrado en el directorio de
Windows, conservará el cifrado para respetar la intención del propietario.
Solución alternativa : si necesita guardar un archivo cifrado en el directorio de Windows, cree y cifre
el archivo en otro directorio y cópielo.
Limitación : los blocs de notas de OneNote en OneDrive para la Empresa deben estar configurados
correctamente para que funcionen con Windows Information Protection.
 Cómo aparece : OneNote podría encontrar errores al sincronizar un cuaderno de OneDrive para
la Empresa y sugerir cambiar la propiedad del archivo a Personal. Si intenta ver el cuaderno en
OneNote Online en el explorador, se mostrará un error y no podrá verlo.
Solución alternativa : los cuadernos de OneNote que se copian recientemente en la carpeta
OneDrive para la Empresa de Explorador de archivos deben corregirse automáticamente. Para ello,
sigue estos pasos:
1. Cierre el cuaderno en OneNote.
2. Mueva la carpeta del cuaderno a través de Explorador de archivos fuera de la carpeta OneDrive
para la Empresa a otra ubicación, como el escritorio.
3. Copie la carpeta del cuaderno y péguela de nuevo en la carpeta OneDrive para la Empresa.
Espere unos minutos para permitir que OneDrive termine de sincronizar & actualizar el cuaderno
y la carpeta debe convertirse automáticamente en un acceso directo a Internet. Al abrir el acceso
directo, se abrirá el cuaderno en el explorador, que se puede abrir en el cliente de OneNote
mediante el botón "Abrir en la aplicación".
Limitación : los archivos de datos sin conexión de Microsoft Office Outlook (archivos PST y OST) no
están marcados como archivos de trabajo y, por tanto, no están protegidos.
Cómo aparece : si Microsoft Office Outlook está establecido para funcionar en modo almacenado en
caché (configuración predeterminada) o si algunos correos electrónicos se almacenan en un archivo
PST local, los datos se desprotegieron.
Solución alternativa : Se recomienda usar Microsoft Office Outlook en modo en línea o usar el
cifrado para proteger archivos OST y PST manualmente.

NOTE
Cuando los datos corporativos se escriben en disco, Windows Information Protection usa el sistema de cifrado de
archivos (EFS) proporcionado por Windows para protegerlos y asociarlos a su identidad empresarial. Una
advertencia a tener en cuenta es que el panel de vista previa de Explorador de archivos no funcionará para los
archivos cifrados.
Para ayudarnos a mejorar este tema, proporciónanos ediciones, adiciones y comentarios. Para obtener información
acerca de cómo contribuir a este tema, consulta Contributing to TechNet content (Contribución a nuestro
contenido).
 Cómo recopilar registros de eventos de auditoría de
Windows Information Protection (WIP)
08/11/2022 • 7 minutes to read

Se aplica a:
Windows 10, versión 1607 y versiones posteriores
Windows Information Protection (WIP) crea eventos de auditoría en las siguientes situaciones:
Si un empleado cambia la propiedad de un archivo de Trabajo a Personal .
Si los datos se marcan como Trabajo , pero se comparten para una página web o aplicación personal. Por
ejemplo, mediante copiar y pegar, arrastrar y colocar, compartir un contacto, cargar en una página web
personal, o si el usuario concede a una aplicación personal acceso temporal a un archivo de trabajo.
Si una aplicación tiene eventos de auditoría personalizados.

Recopilar registros de auditoría WIP mediante el proveedor de

servicios de configuración (CSP) de informes
Recopila los registros de auditoría WIP de los dispositivos de tus empleados siguiendo las instrucciones
proporcionadas por la documentación Proveedor de servicios de configuración (CSP) de informes. Este tema
proporciona información sobre los eventos de auditoría reales.

NOTE
El elemento Datos de la respuesta incluye los registros de auditoría solicitados en un formato XML con codificación.

Atributos y elementos de usuario

En esta tabla se incluyen todos los atributos disponibles para el elemento Usuario .

AT RIB UTO T IP O DE VA LO R DESC RIP C IÓ N

UserID Cadena El identificador de seguridad (SID) del

usuario correspondiente a este informe
de auditoría.

EnterpriseID Cadena El identificador de la empresa

correspondiente a este informe de
auditoría.

Atributos y elementos de registro

En esta tabla se incluyen todos los atributos y elementos disponibles para el elemento Registro . La respuesta
puede contener cero (0) o más elementos de Registro .

AT RIB UTO O EL EM EN TO T IP O DE VA LO R DESC RIP C IÓ N

ProviderType Cadena Esto siempre es EDPAudit .

AT RIB UTO O EL EM EN TO T IP O DE VA LO R DESC RIP C IÓ N

LogType Cadena Incluye:

DataCopied. Los datos de
trabajo se copian o comparten
en una ubicación personal.
ProtectionRemoved.
Windows Information
Protection se quita de un
archivo definido por el trabajo.
ApplicationGenerated.
Registro de auditoría
personalizada proporcionado
por una aplicación.

TimeStamp Entero Usa la estructura FILETIME para

representar la hora en que se produjo
el evento.

Directiva Cadena Cómo se compartieron los datos de

trabajo con la ubicación personal:
CopyPaste. Los datos de
trabajo se pegaron en una
aplicación o ubicación personal.
ProtectionRemoved. Los
datos de trabajo se cambiaron
a desprotegidos.
DragDrop. Los datos de
trabajo se colocaron en una
aplicación o ubicación personal.
Share. Los datos de trabajo se
compartieron con una
aplicación o ubicación personal.
NULL. Cualquier otra forma en
que los datos de trabajo se
pudieran volver personales más
allá de las opciones anteriores.
Por ejemplo, cuando se abre un
archivo de trabajo mediante
una aplicación personal
(también conocido como
acceso temporal).

Justification Cadena Sin implementar. Estará siempre en

blanco o será NULL.

Nota
Reservado para uso futuro para
recopilar la justificación del usuario del
cambio de Trabajo a Personal.

Objeto Cadena Descripción de los datos de trabajo

compartidos. Por ejemplo, si un
empleado abre un archivo de trabajo
mediante una aplicación personal, esta
sería la ruta de acceso del archivo.
AT RIB UTO O EL EM EN TO T IP O DE VA LO R DESC RIP C IÓ N

DataInfo Cadena Información adicional acerca de cómo

cambió el archivo de trabajo:
Ruta de acceso del archivo.
Si un empleado carga un
archivo de trabajo en un sitio
web personal mediante
Microsoft Edge o Internet
Explorer, aquí se incluye la ruta
del archivo.
Tipos de datos del
Por tapapeles. Si un empleado
pega los datos de trabajo en
una aplicación personal, aquí se
incluyen la lista de los tipos de
datos del Portapapeles
proporcionada por la aplicación
de trabajo. Para obtener más
información, consulta la sección
Ejemplo de este tema.

Acción Entero Proporciona información acerca de lo

qué ha ocurrido cuando los datos de
trabajo se compartieron en personal,
incluido:
1. Descifrado de archivo.
2. Copia en la ubicación.
3. Envío al destinatario.
4. Otros.

FilePath Cadena La ruta al archivo especificado en el

evento de auditoría. Por ejemplo, la
ubicación de un archivo que se ha
descifrado por un empleado o se ha
cargado en un sitio web personal.

SourceApplicationName Cadena El sitio web o la aplicación de origen.

Para la aplicación de origen, esta es la
identidad de AppLocker. Para el sitio
web de origen, este es el nombre de
host.

SourceName Cadena Cadena proporcionada por la

aplicación que está registrando el
evento. Está pensado para describir el
origen de los datos de trabajo.
 AT RIB UTO O EL EM EN TO T IP O DE VA LO R DESC RIP C IÓ N

DestinationEnterpriseID Cadena El valor de identificador de empresa

para la aplicación o el sitio web donde
el empleado está compartiendo los
datos.

NULL , Personal, o en blanco

significa que no hay ningún
identificador de empresa porque los
datos de trabajo se compartieron en
una ubicación personal. Dado que no
admitimos actualmente varias
inscripciones, siempre verás uno de
estos valores.

DestinationApplicationName Cadena El sitio web o la aplicación de destino.

Para la aplicación de destino, esta es la
identidad de AppLocker. Para el sitio
web de destino, este es el nombre de
host.

DestinationName Cadena Cadena proporcionada por la

aplicación que está registrando el
evento. Está pensado para describir el
destino de los datos de trabajo.

Aplicación Cadena La identidad de AppLocker para la

aplicación en la que se produjo el
evento de auditoría.

Ejemplos
Estos son algunos ejemplos de respuestas de Reporting CSP.
La propiedad de un archivo cambia de trabajo a personal

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd>
<Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd>
<Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd>
<Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source>
<LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta>
<Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="[Link]/2.0/MDM/Reporting">
<User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="[Link]">
<Log ProviderType="EDPAudit" LogType="ProtectionRemoved" TimeStamp="131357166318347527">
<Policy>Protection removed</Policy>
<Justification>NULL</Justification>
<FilePath>C:\Users\TestUser\Desktop\tmp\demo\Work [Link]</FilePath>
</Log>
</User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Se carga un archivo de trabajo en una página web personal en Edge

 <SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd>
<Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd>
<Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd>
<Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source>
<LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta>
<Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="[Link]/2.0/MDM/Reporting">
<User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="[Link]">
<Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357192409318534">
<Policy>CopyPaste</Policy>
<Justification>NULL</Justification>
<SourceApplicationName>NULL</SourceApplicationName>
<DestinationEnterpriseID>NULL</DestinationEnterpriseID>
<DestinationApplicationName>[Link]</DestinationApplicationName>
<DataInfo>C:\Users\TestUser\Desktop\tmp\demo\Work [Link]</DataInfo>
</Log>
</User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Los datos de trabajo se pegan en una página web personal

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd>
<Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd>
<Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd>
<Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source>
<LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta>
<Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="[Link]/2.0/MDM/Reporting">
<User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="[Link]">
<Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357193734179782">
<Policy>CopyPaste</Policy>
<Justification>NULL</Justification>
<SourceApplicationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT OFFICE
2016\[Link]\16.0.8027.1000</SourceApplicationName>
<DestinationEnterpriseID>NULL</DestinationEnterpriseID>
<DestinationApplicationName>[Link]</DestinationApplicationName>
<DataInfo>EnterpriseDataProtectionId|Object Descriptor|Rich Text Format|HTML
Format|AnsiText|Text|EnhancedMetafile|Embed Source|Link Source|Link Source
Descriptor|ObjectLink|Hyperlink</DataInfo>
</Log>
</User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Se abre un archivo de trabajo con una aplicación personal

 <SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd>
<Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd>
<Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd>
<Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source>
<LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta>
<Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="[Link]/2.0/MDM/Reporting">
<User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="[Link]">
<Log ProviderType="EDPAudit" LogType="ApplicationGenerated" TimeStamp="131357194991209469">
<Policy>NULL</Policy>
<Justification></Justification>
<Object>C:\Users\TestUser\Desktop\tmp\demo\Work [Link]</Object>
<Action>1</Action>
<SourceName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT® WINDOWS® OPERATING
SYSTEM\[Link]\10.0.15063.2</SourceName>
<DestinationEnterpriseID>Personal</DestinationEnterpriseID>
<DestinationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT® WINDOWS® OPERATING
SYSTEM\[Link]\10.0.15063.2</DestinationName>
<Application>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT® WINDOWS® OPERATING
SYSTEM\[Link]\10.0.15063.2</Application>
</Log>
</User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Los datos de trabajo se pegan en una página web personal

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd>
<Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd>
<Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd>
<Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source>
<LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta>
<Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="[Link]/2.0/MDM/Reporting">
<User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="[Link]">
<Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357196076537270">
<Policy>CopyPaste</Policy>
<Justification>NULL</Justification>
<SourceApplicationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT OFFICE
2016\[Link]\16.0.8027.1000</SourceApplicationName>
<DestinationEnterpriseID>NULL</DestinationEnterpriseID>
<DestinationApplicationName></DestinationApplicationName>
<DataInfo>EnterpriseDataProtectionId|Object Descriptor|Rich Text Format|HTML
Format|AnsiText|Text|EnhancedMetafile|Embed Source|Link Source|Link Source
Descriptor|ObjectLink|Hyperlink</DataInfo>
</Log>
</User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Recopilar registros de auditoría WIP mediante el Reenvío de eventos

de Windows (solo para dispositivos unidos a dominio del escritorio de
Windows)
Usa el reenvío de eventos de Windows para recopilar y agregar los eventos de auditoría de Windows
Information Protection. Puedes ver los eventos de auditoría en el Visor de eventos.
Ver los eventos de WIP en el Visor de eventos.
1. Abre el Visor de eventos.
2. En el árbol de consola, en Registros de aplicaciones y ser vicios\Microsoft\Windows , haz clic en
EDP-Audit-Regular y EDP-Audit-TCB .
Recopilación de registros de auditoría de WIP mediante Azure
Monitor
Puede recopilar registros de auditoría mediante Azure Monitor. Consulte Orígenes de datos del registro de
eventos de Windows en Azure Monitor.
Para ver los eventos WIP en Azure Monitor
1. Use un área de trabajo de Log Analytics existente o cree una nueva.
2. EnConfiguración avanzada de Log Analytics > , seleccione Datos . En Registros de eventos de
Windows, agregue registros para recibir:

Microsoft-Windows-EDP-Application-Learning/Admin
Microsoft-Windows-EDP-Audit-TCB/Admin

NOTE
Si usa registros de eventos de Windows, los nombres del registro de eventos se pueden encontrar en Propiedades
del evento en la carpeta Eventos (Registros de aplicaciones y servicios\Microsoft\Windows, haga clic en EDP-Audit-
Regular y EDP-Audit-TCB).

3. Descargue Microsoft Monitoring Agent.

4. Para obtener MSI para Intune instalación, como se indica en el artículo de Azure Monitor, extraiga:
[Link] /c /t:

Instale Microsoft Monitoring Agent en dispositivos WIP mediante el identificador de área de trabajo y la
clave principal. Puede encontrar más información sobre el identificador del área de trabajo y la clave
principal enConfiguración avanzada de Log Analytics > .
5. Para implementar MSI a través de Intune, en los parámetros de instalación, agregue:
/q /norestart NOAPM=1 ADD_OPINSIGHTS_WORKSPACE=1 OPINSIGHTS_WORKSPACE_AZURE_CLOUD_TYPE=0
OPINSIGHTS_WORKSPACE_ID=<WORKSPACE_ID> OPINSIGHTS_WORKSPACE_KEY=<WORKSPACE_KEY>
AcceptEndUserLicenseAgreement=1

NOTE
Reemplace <WORKSPACE_ID> & <WORKSPACE_KEY> recibidos del paso 5. En los parámetros de instalación, no
coloque <WORKSPACE_ID> & <WORKSPACE_KEY> entre comillas ("" o "").

6. Una vez implementado el agente, los datos se recibirán en un plazo aproximado de 10 minutos.
7. Para buscar registros, vaya aRegistros del área > de trabajo de Log Analytics y escriba Evento en la
búsqueda.
Por ejemplo:

Event | where EventLog == "Microsoft-Windows-EDP-Audit-TCB/Admin"

Recursos adicionales
Cómo implementar la aplicación a través de Intune
Creación de un área de trabajo de registro
Uso de Microsoft Monitoring Agents para Windows
 Instrucciones generales y procedimientos
recomendados para Windows Information
Protection (WIP)
08/11/2022 • 2 minutes to read

Se aplica a:
Windows 10, versión 1607 y versiones posteriores
En esta sección se incluye información sobre las aplicaciones habilitadas para Microsoft, incluido cómo
agregarlas a tu lista de aplicaciones permitidas en Microsoft Intune. También se incluyen algunos escenarios de
prueba que se recomienda ejecutar a través de Windows Information Protection (WIP).

En esta sección
T EM A DESC RIP C IÓ N

Aplicaciones habilitadas para su uso con Windows Descubre la diferencia entre aplicaciones habilitadas y no
Information Protection (WIP) habilitadas y, luego, revisa la lista de aplicaciones habilitadas
proporcionadas por Microsoft, junto con el texto que
deberás usar para agregarlas a tu lista de aplicaciones
permitidas.

Comportamiento de las aplicaciones no habilitadas y Descubre la diferencia entre los comportamientos de las
habilitadas mientras se usa Windows Information Protection aplicaciones habilitadas y no habilitadas.
(WIP)

Configuración de red recomendada de Recursos de Adiciones recomendadas para la configuración de red de

Enterprise Cloud y Recursos neutros con Windows Recursos de Enterprise Cloud y Recursos neutros, cuando se
Information Protection (WIP) usa con Windows Information Protection (WIP).

Usar Outlook en la Web con Windows Information Opciones para usar Outlook en la Web con Windows
Protection (WIP) Information Protection (WIP).

NOTE
Para ayudarnos a mejorar este tema, proporciónanos ediciones, adiciones y comentarios. Para obtener información sobre
cómo contribuir a este tema, consulta La edición de la documentación profesional de TI de Windows.
 Lista de aplicaciones habilitadas de Microsoft para
su uso con Windows Information Protection (WIP)
08/11/2022 • 5 minutes to read

Se aplica a:
Windows 10, versión 1607 y versiones posteriores
Descubre la diferencia entre aplicaciones habilitadas y no habilitadas y luego revisa la lista de aplicaciones
habilitadas proporcionadas por Microsoft, junto con el texto que deberás usar para agregarlas a tu lista de
aplicaciones permitidas.

Aplicaciones habilitadas frente a deshabilitadas

Las aplicaciones pueden estar habilitadas o deshabilitadas:
Aplicaciones habilitadas : pueden distinguir entre datos corporativos y datos personales para
determinar así correctamente qué datos deben protegerse, según las directivas.
Aplicaciones no habilitadas : consideran que todos los datos son corporativos y cifran todo. Por lo
general, se puede identificar una aplicación no habilitada porque:
Escritorio de Windows la muestra como siempre ejecutándose en modo de empresa.
Las experiencias Guardar como de Windows únicamente permiten guardar los archivos como
empresariales.
Las aplicaciones de windows Information Protection solo funcionan son aplicaciones de línea
de negocio no habilitadas que se han probado y considerado seguras para su uso en una empresa con
soluciones WIP y Mobile App Management (MAM) sin inscripción de dispositivos. Las aplicaciones sin
iluminar dirigidas por WIP sin inscripción se ejecutan en modo personal.

Lista de aplicaciones de Microsoft habilitadas

Microsoft ha realizado un esfuerzo conjunto para habilitar muchas de nuestras aplicaciones más populares,
entre ellas:
Visor 3D de Microsoft
Microsoft Edge
Internet Explorer 11
Contactos de Microsoft
Aplicaciones móviles de Office, incluidas Word, Excel, PowerPoint, OneNote y Correo y Calendario de
Outlook
Aplicaciones Microsoft 365 para empresas aplicaciones, como Word, Excel, PowerPoint, OneNote y
Outlook
Aplicación OneDrive
Cliente de sincronización de OneDrive ([Link], el cliente de sincronización de la próxima
generación)
 Fotos de Microsoft
Groove Música
Bloc de notas
Microsoft Paint
Películas y TV de Microsoft
Mensajes de Microsoft
Escritorio remoto de Microsoft
Microsoft To Do

NOTE
Microsoft Visio, Microsoft Office Access, Microsoft Project y Microsoft Publisher no son aplicaciones habilitadas y deben
estar exentas de la directiva de windows Information Protection. Si se permiten, existe el riesgo de pérdida de datos. Por
ejemplo, si un dispositivo está unido al área de trabajo y administrado y el usuario deja la empresa, los archivos de
metadatos en los que dependen las aplicaciones permanecen cifrados y las aplicaciones dejan de funcionar.

Lista de aplicaciones solo con trabajo en curso de Microsoft

Microsoft sigue teniendo aplicaciones que no están habilitadas, pero que se han probado y considerado seguras
para su uso en una empresa con soluciones de Windows Information Protection y MAM.
Skype Empresarial
Microsoft Teams (compilación 1.3.00.12058 y versiones posteriores)

Agregar aplicaciones de Microsoft habilitadas a la lista de aplicaciones

permitidas
NOTE
A partir de enero de 2019 ya no es necesario agregar Portal de empresa de Intune como una aplicación exenta, ya que
ahora se incluye en la lista predeterminada de aplicaciones protegidas.

Puedes agregar cualquiera de las aplicaciones de Microsoft habilitadas (o todas ellas) a la lista de aplicaciones
permitidas. Aquí se incluyen el nombre del publicador , el nombre del producto o del archivo y la
información del tipo de aplicación para Microsoft Intune y Microsoft Configuration Manager.

N O M B RE DEL P RO DUC TO IN F O RM A C IÓ N DE L A A P L IC A C IÓ N

Visor 3D de Microsoft Editor :

CN=Microsoft Corporation, O=Microsoft Corporation,
L=Redmond, S=Washington, C=US
Nombre del producto: Microsoft.Microsoft3DViewer
Tipo de aplicación: aplicación universal
N O M B RE DEL P RO DUC TO IN F O RM A C IÓ N DE L A A P L IC A C IÓ N

Microsoft Edge Editor :

CN=Microsoft Corporation, O=Microsoft Corporation,
L=Redmond, S=Washington, C=US
Nombre del producto: [Link]
Tipo de aplicación: aplicación universal

Contactos de Microsoft Editor :

CN=Microsoft Corporation, O=Microsoft Corporation,
L=Redmond, S=Washington, C=US
Nombre del producto: [Link]
Tipo de aplicación: aplicación universal

Word Mobile Editor :

CN=Microsoft Corporation, O=Microsoft Corporation,
L=Redmond, S=Washington, C=US
Nombre del producto: [Link]
Tipo de aplicación: aplicación universal

Excel Mobile Editor :

CN=Microsoft Corporation, O=Microsoft Corporation,
L=Redmond, S=Washington, C=US
Nombre del producto: [Link]
Tipo de aplicación: aplicación universal

PowerPoint Mobile Editor :

CN=Microsoft Corporation, O=Microsoft Corporation,
L=Redmond, S=Washington, C=US
Nombre del producto: [Link]
Tipo de aplicación: aplicación universal

OneNote Editor :
CN=Microsoft Corporation, O=Microsoft Corporation,
L=Redmond, S=Washington, C=US
Nombre del producto: [Link]
Tipo de aplicación: aplicación universal

Correo y Calendario de Outlook Editor :

CN=Microsoft Corporation, O=Microsoft Corporation,
L=Redmond, S=Washington, C=US
Nombre del producto:
[Link]
Tipo de aplicación: aplicación universal

Aplicaciones Microsoft 365 para empresas y Office 2019 las aplicaciones Aplicaciones Microsoft 365 para empresas y
Professional Plus Office 2019 Professional Plus se configuran como un
conjunto de aplicaciones. Debe usar los archivos de directiva
de AppLocker O365 ProPlus - Allow y Exempt (archivos .zip)
para activar el conjunto para Windows Information
Protection.
No recomendamos configurar Office mediante rutas de
acceso individuales ni las reglas de editor.

Fotos de Microsoft Editor :

CN=Microsoft Corporation, O=Microsoft Corporation,
L=Redmond, S=Washington, C=US
Nombre del producto: [Link]
Tipo de aplicación: aplicación universal
N O M B RE DEL P RO DUC TO IN F O RM A C IÓ N DE L A A P L IC A C IÓ N

Groove Música Editor :

CN=Microsoft Corporation, O=Microsoft Corporation,
L=Redmond, S=Washington, C=US
Nombre del producto: [Link]
Tipo de aplicación: aplicación universal

Películas y TV de Microsoft Editor :

CN=Microsoft Corporation, O=Microsoft Corporation,
L=Redmond, S=Washington, C=US
Nombre del producto: [Link]
Tipo de aplicación: aplicación universal

Mensajes de Microsoft Editor :

CN=Microsoft Corporation, O=Microsoft Corporation,
L=Redmond, S=Washington, C=US
Nombre del producto: [Link]
Tipo de aplicación: aplicación universal

IE11 Editor :
O=Microsoft Corporation, L=Redmond, S=Washington,
C=US
Nombre del binario: [Link]
Tipo de aplicación: aplicación de escritorio

Cliente de sincronización de OneDrive Editor :

O=Microsoft Corporation, L=Redmond, S=Washington,
C=US
Nombre del binario: [Link]
Tipo de aplicación: aplicación de escritorio

Aplicación OneDrive Editor :

CN=Microsoft Corporation, O=Microsoft Corporation,
L=Redmond, S=Washington, C=US
Nombre del producto: [Link]
Versión del producto: Versión del producto: [Link] (y
versiones posteriores)
Tipo de aplicación: aplicación universal

Bloc de notas Editor :

O=Microsoft Corporation, L=Redmond, S=Washington,
C=US
Nombre del binario: [Link]
Tipo de aplicación: aplicación de escritorio

Microsoft Paint Editor :

O=Microsoft Corporation, L=Redmond, S=Washington,
C=US
Nombre del binario: [Link]
Tipo de aplicación: aplicación de escritorio

Escritorio remoto de Microsoft Editor :

O=Microsoft Corporation, L=Redmond, S=Washington,
C=US
Nombre del binario: [Link]
Tipo de aplicación: aplicación de escritorio
N O M B RE DEL P RO DUC TO IN F O RM A C IÓ N DE L A A P L IC A C IÓ N

Herramienta de reparación mapi de Microsoft Editor :

O=Microsoft Corporation, L=Redmond, S=Washington,
C=US
Nombre binario: [Link]
Tipo de aplicación: aplicación de escritorio

Microsoft To Do Editor :
O=Microsoft Corporation, L=Redmond, S=Washington,
C=US
Nombre del producto: [Link]
Tipo de aplicación: Aplicación de la Tienda

NOTE
Para ayudarnos a mejorar este tema, proporciónanos ediciones, adiciones y comentarios. Para obtener información sobre
cómo contribuir a este tema, consulta La edición de la documentación profesional de TI de Windows.
 Comportamiento de aplicaciones no optimizadas y
optimizadas mientras se usa Windows Information
Protection (WIP)
08/11/2022 • 4 minutes to read

Se aplica a:
Windows 10, versión 1607 y versiones posteriores
Windows Information Protection (WIP) clasifica las aplicaciones en dos categorías: habilitadas y deshabilitadas.
Las aplicaciones optimizadas pueden distinguir entre datos corporativos y datos personales para, así,
determinar correctamente qué datos deben protegerse, según las directivas. Los datos corporativos se cifran en
el dispositivo administrado y no se podrá copiar, pegar ni compartir esta información con aplicaciones no
corporativas ni personas. Las aplicaciones no optimizadas, si se marcan como administradas por la empresa,
consideran todos los datos corporativos y cifran todo el contenido de manera predeterminada.
Para evitar el cifrado automático de datos, los desarrolladores pueden optimizar aplicaciones agregando y
compilando código a través de las interfaces de programación de aplicaciones de Windows Information
Protection. Los candidatos más probables para la optimización son aplicaciones que:
No usan controles comunes para guardar archivos.
No usan controles comunes para cuadros de texto.
Trabajan simultáneamente con datos personales y corporativos (por ejemplo, aplicaciones de contactos que
muestran datos personales y corporativos en una sola vista, o un explorador que muestra páginas web
personales y corporativas en pestañas dentro de una sola instancia).
Te recomendamos encarecidamente que las únicas aplicaciones no optimizadas que agregues a tu lista de
aplicaciones permitidas sean aplicaciones de línea de negocio (LOB).

IMPORTANT
Después de revocar WIP, las aplicaciones no habilitadas tendrán que desinstalarse y volver a instalarse, ya que sus archivos
de configuración permanecerán cifrados. Para obtener más información sobre cómo crear aplicaciones optimizadas,
consulta el tema Windows Information Protection (WIP) en el Centro de desarrollo de Windows.

Comportamiento de aplicaciones no optimizadas

En esta tabla se incluye información sobre cómo es posible que se comporten las aplicaciones no optimizadas,
en función de tus directivas de redes de Windows Information Protection (WIP), la configuración de tu aplicación
y, posiblemente, si la aplicación se conecta a recursos de red mediante direcciones IP o mediante el uso de
nombres de host.

C O N F IGURA C IÓ N DE REGL A S DE A P L IC A C IO N ES C O N F IGURA C IÓ N DE DIREC T IVA S DE RED

 C O N F IGURA C IÓ N DE REGL A S DE A P L IC A C IO N ES C O N F IGURA C IÓ N DE DIREC T IVA S DE RED

No se requiere. La aplicación se conecta a los recursos de Directivas basadas en nombres, sin la /*AppCompat*/
nube empresariales directamente mediante una dirección IP. cadena:
La aplicación se bloquea totalmente desde los recursos de
nube personales y empresariales.
No se aplica cifrado.
La aplicación no puede acceder a archivos de trabajo
locales.

Directivas basadas en nombres, mediante la

/*AppCompat*/ cadena o las directivas basadas en
proxy:
La aplicación puede acceder a recursos de nube
personales y empresariales. Sin embargo, podrías
encontrarte con aplicaciones que usan directivas que
restringen el acceso a recursos de nube empresariales.
No se aplica cifrado.
La aplicación no puede acceder a archivos de trabajo
locales.

No se requiere La aplicación se conecta a recursos de nube Se bloquea el acceso de la aplicación a recursos de nube
empresariales mediante un nombre de host. empresariales, pero puede tener acceso a otros recursos de
red.
No se aplica cifrado.
La aplicación no puede acceder a archivos de trabajo
locales.

Permitir. La aplicación se conecta a recursos de nube La aplicación puede acceder a recursos de nube
empresariales mediante una dirección IP o un nombre de personales y empresariales.
host. Se aplica cifrado automático.
La aplicación puede acceder a archivos de trabajo locales.

Excluir. La aplicación se conecta a recursos de nube La aplicación puede acceder a recursos de nube
empresariales mediante una dirección IP o un nombre de personales y empresariales.
host. No se aplica cifrado.
La aplicación puede acceder a archivos de trabajo locales.

Comportamiento de aplicaciones optimizadas

En esta tabla se incluye información sobre cómo es posible que se comporten las aplicaciones optimizadas, en
función de tus directivas de redes de Windows Information Protection (WIP), la configuración de tu aplicación y,
posiblemente, si la aplicación se conecta a recursos de red mediante direcciones IP o mediante el uso de
nombres de host.

C O N F IGURA C IÓ N DE DIREC T IVA S DE RED PA RA DIREC T IVA S

B A SA DA S EN N O M B RES, P O SIB L EM EN T E M EDIA N T E L A
C A DEN A / *A P P C O M PAT */ O DIREC T IVA S B A SA DA S EN
C O N F IGURA C IÓ N DE REGL A S DE A P L IC A C IO N ES SERVIDO R P RO XY

No se requiere. La aplicación se conecta a recursos de Se bloquea el acceso de la aplicación a recursos de nube

nube empresariales mediante una dirección IP o un nombre empresariales, pero puede tener acceso a otros recursos de
de host. red.
No se aplica cifrado.
La aplicación no puede acceder a archivos de trabajo
locales.
 C O N F IGURA C IÓ N DE DIREC T IVA S DE RED PA RA DIREC T IVA S
B A SA DA S EN N O M B RES, P O SIB L EM EN T E M EDIA N T E L A
C A DEN A / *A P P C O M PAT */ O DIREC T IVA S B A SA DA S EN
C O N F IGURA C IÓ N DE REGL A S DE A P L IC A C IO N ES SERVIDO R P RO XY

Permitir. La aplicación se conecta a recursos de nube La aplicación puede acceder a recursos de nube
empresariales mediante una dirección IP o un nombre de personales y empresariales.
host. La aplicación protege los datos de trabajo y deja sin
proteger los datos personales.
La aplicación puede acceder a archivos de trabajo locales.

Excluir. La aplicación se conecta a recursos de nube La aplicación puede acceder a recursos de nube
empresariales mediante una dirección IP o un nombre de personales y empresariales.
host. La aplicación protege los datos de trabajo y deja sin
proteger los datos personales.
La aplicación puede acceder a archivos de trabajo locales.

NOTE
Para ayudarnos a mejorar este tema, proporciónanos ediciones, adiciones y comentarios. Para obtener información sobre
cómo contribuir a este tema, consulta La edición de la documentación profesional de TI de Windows.
 Configuración de red recomendada de Recursos de
Enterprise Cloud y Recursos neutros con Windows
Information Protection (WIP)
08/11/2022 • 2 minutes to read

Se aplica a:
Windows 10, versión 1607 y versiones posteriores

Obtén más información sobre las características y funcionalidades que se admiten en cada edición de
Windows en Comparar las ediciones de Windows 10.

Se recomienda agregar las siguientes direcciones URL a la configuración de red recursos de Enterprise Cloud y
recursos neutros al crear una directiva de Windows Information Protection. Si usa Intune, las entradas de
SharePoint se pueden agregar automáticamente.

Recursos recomendados de Enterprise Cloud

Esta tabla incluye las direcciones URL recomendadas para agregar a la configuración de red de Recursos de
Enterprise Cloud, en función de las aplicaciones que usas en tu organización.

A GREGA ESTA S EN T RA DA S A L A C O N F IGURA C IÓ N DE RED

DE REC URSO S DE EN T ERP RISE C LO UD
SI T U O RGA N IZ A C IÓ N USA . . . ( REEM P L A Z A " C O N TO SO " P O R LO S N O M B RES DE DO M IN IO )

Sharepoint Online - [Link]

- [Link]
- [Link]

Yammer - [Link]
- [Link]
- [Link]

Outlook Web Access (OWA) - [Link]

- [Link]
- [Link]

Microsoft Dynamics [Link]

Visual Studio Online [Link]

Power BI [Link]

Microsoft Teams [Link]

 A GREGA ESTA S EN T RA DA S A L A C O N F IGURA C IÓ N DE RED
DE REC URSO S DE EN T ERP RISE C LO UD
SI T U O RGA N IZ A C IÓ N USA . . . ( REEM P L A Z A " C O N TO SO " P O R LO S N O M B RES DE DO M IN IO )

Otros servicios de Office 365 - [Link]

- [Link]
- [Link]
- [Link]

Puede agregar otras aplicaciones de solo trabajo a la lista De recursos en la nube o puede crear una regla de
aplicación empaquetada para el archivo .exe para proteger todos los archivos que la aplicación crea o modifica.
En función de cómo se acceda a la aplicación, es posible que quiera agregar ambas.
Para ver Office 365 puntos de conexión, consulte Office 365 direcciones URL e intervalos de direcciones IP.
Office 365 puntos de conexión se actualizan mensualmente. Permitir los dominios enumerados en la sección
número 46 Permitir obligatorio y agregar también agregar las aplicaciones. Tenga en cuenta que las aplicaciones
de [Link] también pueden almacenar datos personales.
Cuando se seleccionan varios archivos de SharePoint Online o OneDrive, los archivos se agregan y la dirección
URL puede cambiar. En este caso, agregue una entrada para un dominio de segundo nivel y use un carácter
comodín como .[Link].

Recursos neutros recomendados

Se recomienda agregar estas direcciones URL si usas la configuración de red de Recursos neutros con Windows
Information Protection (WIP).
[Link]
[Link]
 Usar Outlook en la Web con Windows Information
Protection (WIP)
08/11/2022 • 2 minutes to read

Se aplica a:
Windows 10, versión 1607 y versiones posteriores

Obtén más información sobre las características y las funcionalidades que se admiten en cada edición de
Windows en Comparar las ediciones de Windows10.

Dado que Outlook en la Web puede usarse de manera personal y como parte de la organización, tienes las
siguientes opciones para configurarlo con Windows Information Protection (WIP):

O P C IÓ N C O M P O RTA M IEN TO DE O UT LO O K EN L A W EB

Deshabilita Outlook en la Web. Los empleados solo pueden Deshabilitado.

usar Microsoft Outlook 2016 o la aplicación Correo de
Windows10.

No configure [Link] en ninguna de sus Todos los buzones se marcan automáticamente como
configuraciones de redes. personales. Esto significa que los empleados que intentan
copiar contenido de trabajo en Outlook en la Web reciben
avisos y que los archivos descargados de Outlook en la Web
no se protegen automáticamente como datos corporativos.

Agregue [Link] y [Link] al Todos los buzones se marcan automáticamente como

elemento de red Recursos en la nube en la directiva WIP. corporativos. Esto significa que todas las bandejas de
entrada personales hospedadas en Office 365 también se
marcan automáticamente como datos corporativos.

NOTE
Estas limitaciones no se aplican a Outlook 2016, la aplicación Correo de Windows 10, ni la aplicación Calendario de
Windows10. Estas aplicaciones funcionarán correctamente y el buzón de un empleado se marcará como datos
corporativos, independientemente de cómo hayas configurado [Link] en la configuración de red.
 Ajustar Windows Information Protection (WIP) con
aprendizaje de WIP
08/11/2022 • 4 minutes to read

Se aplica a:
Windows 10, version 1703 y posteriores
Con WIP Learning, puede ajustar de forma inteligente qué aplicaciones y sitios web se incluyen en la directiva de
WIP para ayudar a reducir los avisos disruptivos y mantenerlos precisos y pertinentes. WIP Learning genera dos
informes: el informe de aprendizaje de aplicaciones y el informe de aprendizaje del sitio web . Se
puede acceder a ambos informes desde Microsoft Azure Intune.
El informe app learning supervisa las aplicaciones, no en la directiva, que intentan acceder a los datos de
trabajo. Puede identificar estas aplicaciones mediante el informe y agregarlas a las directivas de WIP para evitar
interrupciones de productividad antes de aplicar completamente WIP con el modo "Bloquear" . La supervisión
frecuente del informe le ayudará a identificar continuamente los intentos de acceso para que pueda actualizar la
directiva en consecuencia.
En el informe De aprendizaje del sitio web , puede ver un resumen de los dispositivos que han compartido
datos de trabajo con sitios web. Puede usar esta información para determinar qué sitios web deben agregarse a
las directivas WIP de grupo y usuario. En el resumen se muestran las direcciones URL del sitio web a las que
acceden las aplicaciones habilitadas para WIP para que pueda decidir cuáles son personales o en la nube, y
agregarlas a la lista de recursos.

Acceso a los informes de aprendizaje de WIP

1. Inicie sesión en el Centro de administración de Microsoft Endpoint Manager.
2. SeleccioneMonitor > de aplicaciones > Protección de aplicacionesinformes de estado > .
3. Seleccione Informe de aprendizaje de aplicaciones para Windows Information Protection o
Informe de aprendizaje del sitio web para Windows Information Protection .

Una vez que las aplicaciones y los sitios web se muestren en los informes de registro de WIP Learning, puede
decidir si desea agregarlas a las directivas de protección de aplicaciones.

Uso de la sección WIP de Estado del dispositivo

Puede usar Device Health para ajustar la directiva de protección wip. Consulte Uso de Device Health para
obtener más información.
Si quieres configurar tu entorno para Windows Analytics: Device Health, consulta Introducción a Device Health
para obtener más información.
Una vez que haya implementado directivas WIP, mediante la sección WIP de Device Health, puede hacer lo
siguiente:
Reduzca las solicitudes disruptivas agregando reglas para permitir el uso compartido de datos desde
aplicaciones aprobadas.
Ajuste las reglas de WIP confirmando que ciertas aplicaciones están permitidas o denegadas por la directiva
actual.

Uso de Device Health y Intune para ajustar la directiva de protección

wip
Puede encontrar la información necesaria para los pasos siguientes mediante Device Health, que primero tendrá
que configurar. Obtenga más información sobre cómo puede supervisar el estado de los dispositivos con Device
Health.
1. En Estado del dispositivo , haga clic en la aplicación que desea agregar a la directiva y copie
wipAppId .
Por ejemplo, si la aplicación es Google Chrome, WipAppId es:
O=GOOGLE LLC, L=MOUNTAIN VIEW, S=CA, C=US\GOOGLE CHROME\[Link]\74.0.3729.108

En los pasos siguientes, separe WipAppId mediante barras diagonales inversas en los campos
PUBLISHER , PRODUCT NAME y FILE .
2. En Intune, haga clic en Protección de aplicaciones directivas y, a continuación, elija la directiva de
 aplicación a la que desea agregar una aplicación.
3. Haga clic en Aplicaciones protegidasy , a continuación, haga clic en Agregar aplicaciones .
4. En el menú desplegable Aplicaciones recomendadas , elija Aplicaciones de la Tienda o
Aplicaciones de escritorio , en función de la aplicación que haya elegido (por ejemplo, un archivo
ejecutable (EXE) es una aplicación de escritorio.

5. En NAME (opcional), escriba el nombre de la aplicación y, a continuación, en PUBLISHER (obligatorio),

pegue la información del publicador que copió en el paso 1 anterior.
Por ejemplo, si el WipAppId es
O=GOOGLE LLC, L=MOUNTAIN VIEW, S=CA, C=US\GOOGLE CHROME\[Link]\74.0.3729.108

el texto anterior a la primera barra diagonal inversa es el publicador:

O=GOOGLE LLC, L=MOUNTAIN VIEW, S=CA, C=US

6. Escriba el nombre del producto en NOMBRE DE PRODUCTO (obligatorio) (probablemente será el

mismo que el que escribió para NAME ).
Por ejemplo, si el WipAppId es
O=GOOGLE LLC, L=MOUNTAIN VIEW, S=CA, C=US\GOOGLE CHROME\[Link]\74.0.3729.108

el texto entre la primera y la segunda barras diagonales inversas es el nombre del producto:
GOOGLE CHROME

7. Copie el nombre del archivo ejecutable (por ejemplo, [Link]) y péguelo en ARCHIVO
(obligatorio).
Por ejemplo, si el WipAppId es
O=GOOGLE LLC, L=MOUNTAIN VIEW, S=CA, C=US\GOOGLE CHROME\[Link]\74.0.3729.108
 el texto entre las barras diagonales inversas segunda y tercera es el archivo:
[Link]

8. Escriba el número de versión de la aplicación en MIN VERSION en Intune (alternativamente, puede

especificar la versión máxima, pero se requiere una u otra) y, a continuación, seleccione LA ACCIÓN :
Permitir o Denegar .
Al trabajar con aplicaciones habilitadas para WIP y aplicaciones desconocidas para WIP, se recomienda que
comience con invalidaciones silenciosas o permitidas mientras comprueba con un grupo pequeño que tiene
las aplicaciones adecuadas en la lista de aplicaciones permitidas . Una vez que haya terminado, puede cambiar
a la directiva de cumplimiento final, Bloquear . Para obtener más información sobre los modos WIP, consulte
Protección de datos empresariales mediante WIP: modos WIP.

NOTE
Para ayudarnos a mejorar este tema, proporciónanos ediciones, adiciones y comentarios. Para obtener información sobre
cómo contribuir a este tema, consulta La edición de la documentación profesional de TI de Windows.
 Cómo deshabilitar Windows Information Protection
(WIP)
08/11/2022 • 5 minutes to read

NOTE
A partir de julio de 2022, Microsoft está desusando Windows Information Protection (WIP). Microsoft seguirá admitiendo
WIP en las versiones compatibles de Windows. Las nuevas versiones de Windows no incluirán nuevas funcionalidades
para WIP y no se admitirán en versiones futuras de Windows. Para obtener más información, vea Anuncio de la puesta del
sol de Windows Information Protection.
Para sus necesidades de protección de datos, Microsoft recomienda usar Microsoft Purview Information Protection y
Prevención de pérdida de datos de Microsoft Purview. Purview simplifica la configuración y proporciona un conjunto
avanzado de funcionalidades.

Se aplica a:
Windows10
Windows11

Uso de Intune para deshabilitar WIP

Para deshabilitar Windows Information Protection (WIP) mediante Intune, tiene las siguientes opciones:
Opción 1: Anulación de la asignación de la directiva WIP (preferida)
Cuando se anula la asignación de una directiva existente, se quita la intención de implementar WIP desde esos
dispositivos. Cuando se quita esa intención, el dispositivo quita la protección de los archivos y la configuración
de WIP. Para obtener más información, consulte Asignación de perfiles de usuario y dispositivo en Microsoft
Intune.
Opción 2: cambiar la directiva de WIP actual a desactivado
Si actualmente está implementando una directiva WIP para dispositivos inscritos o no inscritos, cambie la
directiva WIP a Desactivado. Cuando los dispositivos se protegen después de este cambio, los dispositivos
pasarán a desproteger los archivos protegidos previamente por WIP.
1. Inicie sesión en el Centro de administración de Microsoft Endpoint Manager.
2. Abra Microsoft Intune y seleccione Aplicaciones > Protección de aplicaciones directivas .
3. Seleccione la directiva existente que se va a desactivar y, a continuación, seleccione propiedades.
4. Editar configuración requerida .
5. Establezca el modo de windows Information Protection en desactivado.
6. Después de realizar este cambio, seleccione Revisar y guardar .
7. Selecciona Guardar .

NOTE
Otra opción es crear una directiva de deshabilitación que establezca WIP en Desactivado.
Puede crear una directiva de deshabilitación independiente para WIP (tanto inscrito como no inscrito) e implementarla en
un nuevo grupo. A continuación, puede almacenar provisionalmente la transición a este estado deshabilitado. Mueva los
dispositivos del grupo existente al nuevo grupo. Este proceso migra lentamente los dispositivos en lugar de todos a la vez.

Revocación de claves de cifrado local durante el proceso de anulación de la inscripción

Determine si se revocan las claves de cifrado local de un usuario de un dispositivo cuando se anula la
inscripción de Windows Information Protection. En la hoja Directiva de aplicaciones, haz clic en el nombre de la
directiva y, a continuación, haz clic en Configuración avanzada en el menú que [Link] se revocan las claves
de cifrado, un usuario ya no podrá acceder a datos corporativos cifrados. Las opciones son:
Sí, o no configurado. Revoca las claves de cifrado local de un dispositivo durante la anulación de la
inscripción.
No (recomendado). Las claves de cifrado local de un dispositivo dejan de revocarse durante la anulación de
la inscripción.

Uso de Configuration Manager para deshabilitar WIP

Para deshabilitar Windows Information Protection (WIP) mediante Configuration Manager, cree un nuevo
elemento de configuración que desactive WIP. Configure ese nuevo objeto para que el entorno coincida con la
directiva existente, excepto para deshabilitar WIP. A continuación, implemente la nueva directiva y mueva los
dispositivos a la nueva colección.

WARNING
No elimine solo la directiva WIP existente. Si elimina la directiva anterior, Configuration Manager deja de enviar más
actualizaciones de directivas WIP, pero también deja wip aplicado en los dispositivos. Para quitar WIP de los dispositivos
administrados, siga los pasos de esta sección para crear una nueva directiva para desactivar WIP.

Creación de una directiva wip

Para deshabilitar WIP para su organización, cree primero un elemento de configuración.
1. Abra la consola de Configuration Manager, seleccione el nodo Activos y compatibilidad , expanda el
 nodo Información general , expanda el nodo Configuración de cumplimiento y, a continuación,
expanda el nodo Elementos de configuración .
2. Seleccione el botón Crear elemento de configuración . Se inicia el Asistente para crear elemento
de configuración .

3. En la pantalla de información general , escribe un nombre (obligatorio) y una descripción opcional

para la directiva en los cuadros Nombre y Descripción .
4. En el área Especificar el tipo de elemento de configuración que desea crear , seleccione
Windows 10 o posterior para los dispositivos administrados con el cliente Configuration Manager y, a
continuación, seleccione Siguiente .
5. En la pantalla Plataformas admitidas , seleccione el cuadro Windows 10 y, a continuación, seleccione
Siguiente .
6. En la pantalla Configuración del dispositivo , seleccione Windows Information Protection y, a
continuación, seleccione Siguiente .
Se muestra la página Configure Windows Information Protection settings , en la que se configura la
directiva de la organización. En las secciones siguientes se proporcionan detalles sobre la configuración
necesaria en esta página.
 TIP
Para obtener más información sobre cómo rellenar los campos necesarios, consulte Creación e implementación de una
directiva de Windows Information Protection (WIP) mediante Microsoft Configuration Manager.

Desactivar WIP
De las cuatro opciones para especificar el modo de restricción, seleccione Desactivar para desactivar Windows
Information Protection.

Especificar la identidad corporativa

Pegue el valor de la identidad corporativa en el campo Identidad corporativa . Por ejemplo, [Link] o
[Link]|[Link] .

IMPORTANT
Este valor de identidad corporativa debe coincidir con la cadena de la directiva original. Copie y pegue la cadena de la
directiva original que habilita WIP.

Especificar la definición de red corporativa

Para la definición de red corporativa , seleccione Agregar para especificar las ubicaciones de red necesarias.
Se muestra el cuadro Agregar o editar una definición de red corporativa . Agregue los campos necesarios.

IMPORTANT
Estas definiciones de red corporativas deben coincidir con la directiva original. Copie y pegue las cadenas de la directiva
original que habilita WIP.

Especificar el certificado del agente de recuperación de datos

En el cuadro Necesario Cargar un cer tificado de Agente de recuperación de datos (DRA) para
permitir la recuperación de datos cifrados , seleccione Examinar para agregar un certificado de
recuperación de datos para la directiva. Este certificado debe ser el mismo que la directiva original que habilita
WIP.

Implementar la directiva de WIP

Después de crear la nueva directiva para desactivar WIP, impleméntela en los dispositivos de la organización.
Para obtener más información sobre las opciones de implementación, consulte los artículos siguientes:
Cree una línea base de configuración que incluya el nuevo elemento de configuración.
Cree una nueva colección.
Implemente la línea base en la colección.
Mueva los dispositivos de la colección antigua a la nueva.
 Seguridad de aplicaciones de Windows
08/11/2022 • 2 minutes to read

Los ciberdelincuentes obtienen regularmente acceso a datos valiosos mediante la piratería de aplicaciones. Esto
puede incluir ataques de "inyección de código", en los que los atacantes insertan código malintencionado que
puede alterar los datos o incluso destruirlos. Una aplicación puede tener su seguridad mal configurada, dejando
puertas abiertas para los hackers. O bien, la información corporativa y de los clientes vitales pueden dejar
expuestos los datos confidenciales. Windows protege los datos valiosos con capas de seguridad de aplicaciones.
En la tabla siguiente se resumen las características y funcionalidades de seguridad de Windows para
aplicaciones:

M EDIDA S DE SEGURIDA D C A RA C T ERÍST IC A S & F UN C IO N A L IDA DES

Control de aplicaciones de Windows Defender El control de aplicación es uno de los controles de seguridad
más eficaces para evitar que se ejecute código
malintencionado o no deseado. Se aleja de un modelo de
confianza de la aplicación en el que se supone que todo el
código es de confianza a uno en el que las aplicaciones
deben ganar confianza para ejecutarse. Más información:
Control de aplicaciones para Windows

Protección de aplicaciones de Microsoft Defender Protección de aplicaciones usa el aislamiento de hardware

basado en chip para aislar sitios web que no son de
confianza y archivos de Office que no son de confianza,
ejecutando sin problemas sitios web y archivos que no son
de confianza en un contenedor aislado basado en Hyper-V,
independiente del sistema operativo de escritorio y
asegurándose de que todo lo que sucede dentro del
contenedor permanece aislado del escritorio. Obtenga más
información Protección de aplicaciones de Microsoft
Defender información general.

Espacio aislado de Windows Espacio aislado de Windows proporciona un entorno de

escritorio ligero para ejecutar aplicaciones de forma segura
de forma aislada. El software instalado dentro del entorno de
Espacio aislado de Windows sigue siendo "espacio aislado" y
se ejecuta por separado de la máquina host. Un espacio
aislado es temporal. Cuando se cierra, se eliminan todo el
software y los archivos y el estado. Obtendrá una nueva
instancia del espacio aislado cada vez que abra la aplicación.
Más información: Espacio aislado de Windows

seguridad de Email Con la seguridad del correo electrónico S/MIME de

Windows, los usuarios pueden cifrar los mensajes salientes y
los datos adjuntos, por lo que solo los destinatarios
previstos con identificación digital (ID) (también denominado
certificado) pueden leerlos. Los usuarios pueden firmar
digitalmente un mensaje, que comprueba la identidad del
remitente y garantiza que el mensaje no se ha alterado.
Configuración de S/MIME para Windows 10
M EDIDA S DE SEGURIDA D C A RA C T ERÍST IC A S & F UN C IO N A L IDA DES

SmartScreen de Microsoft Defender SmartScreen de Microsoft Defender protege frente a

malware de sitios web y aplicaciones de suplantación de
identidad, y la descarga de archivos potencialmente
maliciosos. Más información: introducción a SmartScreen
Microsoft Defender
 Control de aplicaciones de Windows Defender y
protección basada en la virtualización de la
integridad del código
08/11/2022 • 3 minutes to read

Se aplica a
Windows10
Windows Server 2016
Windows 10 incluye un conjunto de tecnologías de hardware y sistema operativo que, cuando se configuran
juntas, permiten a las empresas "bloquear" Windows 10 sistemas para que se comporten más como
dispositivos móviles. En esta configuración, Windows Defender Control de aplicaciones (WDAC) se usa para
restringir que los dispositivos ejecuten solo aplicaciones aprobadas, mientras que el sistema operativo se
protege frente a ataques de memoria del kernel mediante la integridad de código protegido por hipervisor
(HVCI).
Las directivas WDAC y HVCI son protecciones eficaces que se pueden usar por separado. Sin embargo, cuando
estas dos tecnologías están configuradas para funcionar juntas, presentan una fuerte capacidad de protección
para Windows 10 dispositivos.
El uso de Windows Defender Application Control para restringir los dispositivos solo a las aplicaciones
autorizadas tiene estas ventajas sobre otras soluciones:
1. La directiva WDAC la aplica el propio kernel de Windows y la directiva surte efecto al principio de la
secuencia de arranque antes de casi todo el resto del código del sistema operativo y antes de que se ejecuten
las soluciones antivirus tradicionales.
2. WDAC le permite establecer la directiva de control de aplicaciones para el código que se ejecuta en modo de
usuario, controladores de hardware y software en modo kernel e incluso código que se ejecuta como parte
de Windows.
3. Los clientes pueden proteger la directiva WDAC incluso contra la manipulación del administrador local
mediante la firma digital de la directiva. Para cambiar la directiva firmada se requiere privilegios
administrativos y acceso al proceso de firma digital de la organización. Esto dificulta que un atacante,
incluido el que ha logrado obtener privilegios administrativos, altere la directiva WDAC.
4. Puede proteger todo el mecanismo de cumplimiento wdac con HVCI. Incluso si existe una vulnerabilidad en
el código del modo kernel, HVCI reduce en gran medida la probabilidad de que un atacante pueda
aprovecharla correctamente. Esto es importante porque un atacante que pone en peligro el kernel podría
deshabilitar normalmente la mayoría de las defensas del sistema, incluidas las aplicadas por WDAC o
cualquier otra solución de control de aplicaciones.

Por qué ya no usamos la marca Device Guard

Cuando originalmente promocionamos Device Guard, lo hicimos teniendo en cuenta una promesa de seguridad
específica. Aunque no había dependencias directas entre WDAC y HVCI, hemos centrado intencionadamente
nuestra discusión en torno al estado de bloqueo logrado al usarlos juntos. Sin embargo, dado que HVCI se basa
en la seguridad basada en la virtualización de Windows, tiene requisitos de compatibilidad de hardware,
firmware y controladores de kernel que algunos sistemas anteriores no pueden cumplir. Esto confundió a
muchas personas para suponer que, si los sistemas no podían usar HVCI, tampoco podían usar WDAC.
WDAC no tiene requisitos específicos de hardware o software que no sean ejecutar Windows 10, lo que significa
que a los clientes se les deniega las ventajas de esta potente funcionalidad de control de aplicaciones debido a la
confusión de Device Guard.
Desde el lanzamiento inicial de Windows 10, el mundo ha sido testigo de numerosos ataques de piratería y
malware donde el control de aplicaciones por sí solo podría haber impedido el ataque por completo. Teniendo
esto en cuenta, ahora analizamos y documentamos Windows Defender Control de aplicaciones como una
tecnología independiente dentro de nuestra pila de seguridad y le asignamos un nombre propio: Windows
Defender Control de aplicaciones. Esperamos que este cambio nos ayude a comunicar mejor las opciones para
adoptar el control de aplicaciones dentro de las organizaciones.

Artículos relacionados
Control de aplicaciones de Windows Defender
Driver compatibility with Device Guard in Windows 10 (Compatibilidad de controladores con Device Guard
en Windows 10)
Integridad de código
 Control de aplicaciones para Windows
08/11/2022 • 3 minutes to read

Se aplica a:
Windows10
Windows11
Windows Server2016 y superior

NOTE
Algunas funcionalidades de Windows Defender Application Control solo están disponibles en versiones específicas de
Windows. Obtenga más información sobre la disponibilidad de características Windows Defender Application Control.

Teniendo en cuenta que cada día se crean miles de archivos malintencionados nuevos, el uso de métodos
tradicionales, como las soluciones antivirus (la detección basada en firmas para luchar contra el malware),
proporciona una defensa inadecuada ante ataques nuevos.
En la mayoría de las organizaciones, la información es el recurso más valioso y es imperativo asegurarse de que
solo los usuarios aprobados tengan acceso a esa información. Sin embargo, cuando un usuario ejecuta un
proceso, ese proceso tiene el mismo nivel de acceso a datos que el usuario. Como resultado, fácilmente podría
eliminarse o transmitirse fuera de la organización información confidencial si un usuario, intencionadamente o
no, ejecutara software malintencionado.
El control de aplicaciones puede ayudar a mitigar estos tipos de amenazas de seguridad mediante la restricción
de las aplicaciones que los usuarios pueden ejecutar y el código que se ejecuta en System Core (kernel). Las
directivas de control de aplicaciones también pueden bloquear scripts sin firmar y MSI, y restringir Windows
PowerShell para que se ejecuten en modo de lenguaje restringido.
El control de aplicaciones es una línea de defensa crucial para proteger a las empresas en función del panorama
de amenazas actual y tiene una ventaja inherente sobre las soluciones antivirus tradicionales. En concreto, el
control de aplicaciones se aleja de un modelo de confianza de aplicaciones en el que todas las aplicaciones se
asumen de confianza a una en la que las aplicaciones deben ganar confianza para poder ejecutarse. Muchas
organizaciones, como la Dirección australiana de señales, entienden la importancia del control de aplicaciones y
citan con frecuencia el control de aplicaciones como uno de los medios más eficaces para abordar la amenaza
del malware ejecutable basado en archivos (.exe, .dll, etc.).

NOTE
Aunque el control de aplicaciones puede proteger considerablemente los equipos frente a código malintencionado, se
recomienda seguir manteniendo una solución antivirus empresarial para una cartera de seguridad empresarial completa.

Windows 10 y Windows 11 incluyen dos tecnologías que se pueden usar para el control de aplicaciones en
función de los escenarios y requisitos específicos de la organización:
Windows Defender Control de aplicaciones (WDAC) ; y
AppLocker

WDAC y Smart App Control

A partir de Windows 11 versión 22H2, Smart App Control proporciona control de aplicaciones para los
consumidores. Smart App Control se basa en WDAC, lo que permite a los clientes empresariales crear una
directiva que ofrezca la misma seguridad y compatibilidad con la capacidad de personalizarlo para ejecutar
aplicaciones de línea de negocio (LOB). Para facilitar la implementación de esta directiva, se proporciona una
directiva de ejemplo . La directiva de ejemplo incluye la regla Enabled:Conditional Windows Lockdown
Policy (Directiva de bloqueo condicional de Windows ) que no se admite para las directivas
empresariales WDAC. Esta regla debe quitarse antes de usar la directiva de ejemplo. Para usar esta directiva de
ejemplo como punto de partida para crear su propia directiva, consulte Creación de una directiva base
personalizada mediante una directiva base WDAC de ejemplo.
Smart App Control solo está disponible en la instalación limpia de Windows 11 versión 22H2 o posterior y se
inicia en modo de evaluación. Smart App Control se desactivará automáticamente para los dispositivos
administrados por la empresa a menos que el usuario lo haya activado primero. Para activar o desactivar Smart
App Control en los puntos de conexión de la organización, puede establecer el valor del Registro
VerifiedAndReputablePolicyState (DWORD) en HKLM\SYSTEM\CurrentControlSet\Control\CI\Policy uno de los
valores que se enumeran a continuación. Después de cambiar el valor del Registro, debe reiniciar el dispositivo
o ejecutar [Link] para que el cambio surta efecto.

VA LO R DESC RIP C IÓ N

0 Desactivado

1 Hacer cumplir

2 Evaluación

IMPORTANT
Una vez que desactivas Smart App Control, no se puede activar sin restablecer o volver a instalar Windows.

Bloques aplicados de Smart App Control

Smart App Control aplica las reglas de bloque de controladores recomendados de Microsoft y las reglas de
bloque recomendadas por Microsoft, con algunas excepciones para las consideraciones de compatibilidad.
Smart App Control no bloquea lo siguiente:
[Link]
[Link]
[Link]
[Link]

Artículos relacionados
Guía de diseño de WDAC
Guía de implementación de WDAC
Guía operativa de WDAC
Introducción a AppLocker
 introducción a Protección de aplicaciones de
Microsoft Defender
08/11/2022 • 3 minutes to read

Se aplica a
Windows10
Windows11
Protección de aplicaciones de Microsoft Defender (Protección de aplicaciones) está diseñado para ayudar a
evitar ataques antiguos y recién emergentes para ayudar a mantener la productividad de los empleados. Con
nuestro enfoque de aislamiento de hardware único, nuestro objetivo es destruir el cuaderno de estrategias que
usan los atacantes haciendo que los métodos de ataque actuales sean obsoletos.

¿Qué es la Protección de aplicaciones y cómo funciona?

Para Microsoft Edge, Protección de aplicaciones ayuda a aislar los sitios no de confianza definidos por la
empresa, lo que protege a su empresa mientras los empleados navegan por Internet. Como administrador de la
empresa, debes definir las páginas web, los recursos de nube y las redes internas de confianza. Todo lo que no
se encuentre en la lista se considerará no de confianza. Si un empleado va a un sitio que no es de confianza a
través de Microsoft Edge o Internet Explorer, Microsoft Edge abre el sitio en un contenedor aislado habilitado
para Hyper-V.
Para Microsoft Office, Protección de aplicaciones ayuda a evitar que los archivos de Word, PowerPoint y Excel
que no son de confianza accedan a recursos de confianza. Protección de aplicaciones abre archivos que no son
de confianza en un contenedor aislado habilitado para Hyper-V. El contenedor aislado de Hyper-V es
independiente del sistema operativo host. Este aislamiento de contenedor significa que si el sitio o archivo que
no es de confianza resulta malintencionado, el dispositivo host está protegido y el atacante no puede acceder a
los datos de la empresa. Por ejemplo, este enfoque hace que el contenedor aislado sea anónimo, por lo que el
atacante no podrá acceder a las credenciales empresariales del empleado.
¿Qué tipos de dispositivos deben usar la Protección de aplicaciones?
Protección de aplicaciones se ha creado para tener como destino varios tipos de dispositivos:
Escritorios empresariales . Estos equipos de escritorio están unidos a un dominio y los administra tu
organización. La administración de configuración se realiza principalmente a través de Microsoft
Configuration Manager o Microsoft Intune. Por lo general, los empleados tienen los privilegios de usuario
estándares y usan una red de banda ancha con cable corporativa.
Por tátiles móviles empresariales . Estos ordenadores portátiles están unidos a un dominio y los
administra tu organización. La administración de configuración se realiza principalmente a través de
Microsoft Configuration Manager o Microsoft Intune. Por lo general, los empleados tienen los privilegios
de usuario estándares y usan una red de banda ancha inalámbrica corporativa.
Traiga su propio dispositivo (BYOD) por tátiles móviles . Estos portátiles de propiedad personal no
están unidos a dominios, sino que los administra su organización a través de herramientas, como
Microsoft Intune. El empleado suele ser un administrador del dispositivo y usa una red corporativa de
ancho de banda alto inalámbrica mientras se encuentra en el trabajo, y una red personal similar mientras
está en casa.
Dispositivos personales . Estos equipos de escritorio o portátiles móviles de propiedad personal no
están unidos a un dominio ni están administrados por una organización. El usuario es un administrador
en el dispositivo y usa una red personal inalámbrica de ancho de banda alto mientras está en casa o una
red pública comparable mientras está fuera.

Artículos relacionados
A RT ÍC ULO DESC RIP C IÓ N

Requisitos del sistema para Protección de aplicaciones de Especifica los requisitos previos necesarios para instalar y
Microsoft Defender usar Protección de aplicaciones.

Preparar e instalar Protección de aplicaciones de Microsoft Ofrece instrucciones acerca de cómo determinar el modo
Defender que se debe emplear (independiente o administrado por la
empresa) y cómo instalar la Protección de aplicaciones en la
organización.

Configuración de los valores de directiva de grupo para Ofrece información sobre la configuración de la directiva de
Protección de aplicaciones de Microsoft Defender grupo y MDM.

Probar escenarios con Protección de aplicaciones de Proporciona una lista de escenarios de prueba sugeridos que
Microsoft Defender en su empresa u organización puede usar para probar Protección de aplicaciones en su
organización.

extensión Protección de aplicaciones de Microsoft Defender Describe la extensión de Protección de aplicaciones para
para exploradores web Chrome y Firefox, incluidos los problemas conocidos, y una
guía de solución de problemas

Protección de aplicaciones de Microsoft Defender para Describe Protección de aplicaciones para Microsoft Office,
Microsoft Office incluidos los requisitos mínimos de hardware, la
configuración y una guía de solución de problemas

Preguntas más frecuentes: Protección de aplicaciones de Proporciona respuestas a las preguntas más frecuentes
Microsoft Defender sobre las características de Protección de aplicaciones, la
integración con el sistema operativo Windows y la
configuración general.

Use un límite de red para agregar sitios de confianza en Límite de red, una característica que le ayuda a proteger su
dispositivos Windows en Microsoft Intune entorno frente a sitios que no son de confianza para su
organización.
 Espacio aislado de Windows
08/11/2022 • 3 minutes to read

Espacio aislado de Windows proporciona un entorno de escritorio ligero para ejecutar aplicaciones de forma
segura de forma aislada. El software instalado dentro del entorno de Espacio aislado de Windows sigue siendo
"espacio aislado" y se ejecuta por separado de la máquina host.
Un espacio aislado es temporal. Cuando se cierra, se eliminan todo el software y los archivos y el estado.
Obtendrá una nueva instancia del espacio aislado cada vez que abra la aplicación. Tenga en cuenta, sin embargo,
que a partir de Windows 11 compilación 22509, los datos se conservarán a través de un reinicio iniciado desde
dentro del entorno virtualizado, útil para instalar aplicaciones que requieren que el sistema operativo se reinicie.
El software y las aplicaciones instaladas en el host no están disponibles directamente en el espacio aislado. Si
necesita aplicaciones específicas disponibles dentro del entorno de Espacio aislado de Windows, deben
instalarse explícitamente dentro del entorno.
Espacio aislado de Windows tiene las siguientes propiedades:
Par te de Windows : todo lo necesario para esta característica se incluye en Windows 10 Pro y Enterprise.
No es necesario descargar un VHD.
Prístino : cada vez que se ejecuta Espacio aislado de Windows, es tan limpio como una instalación
completamente nueva de Windows.
Descar table : no se conserva nada en el dispositivo. Todo se descarta cuando el usuario cierra la aplicación.
Seguro : usa la virtualización basada en hardware para el aislamiento del kernel. Se basa en el hipervisor de
Microsoft para ejecutar un kernel independiente que aísla Espacio aislado de Windows del host.
Eficiente: Usa el programador de kernel integrado, la administración de memoria inteligente y la GPU
virtual.

IMPORTANT
Espacio aislado de Windows habilita la conexión de red de forma predeterminada. Se puede deshabilitar mediante el
archivo de configuración de Espacio aislado de Windows.

Requisitos previos
Windows 10 Pro, Enterprise o Education compilación 18305 o Windows 11 (Espacio aislado de Windows no
se admite actualmente en la edición Windows Home)
ARQUITECTURA DE ARM64 o (a partir de Windows 11 compilación 22483)
Funcionalidades de virtualización habilitadas en el BIOS
Al menos 4 GB de RAM (se recomiendan 8 GB)
Al menos 1 GB de espacio libre en disco (se recomienda SSD)
Al menos dos núcleos de CPU (se recomiendan cuatro núcleos con hiperthreading)

Instalación
1. Asegúrese de que la máquina usa Windows 10 Pro o Enterprise, versión de compilación 18305 o
Windows 11.
2. Habilite la virtualización en la máquina.
 Si usa una máquina física, asegúrese de que las funcionalidades de virtualización están habilitadas
en el BIOS.
Si usa una máquina virtual, ejecute el siguiente comando de PowerShell para habilitar la
virtualización anidada:

Set-VMProcessor -VMName \<VMName> -ExposeVirtualizationExtensions $true

3. Usa la barra de búsqueda de la barra de tareas y escribe Activar o desactivar características de

Windows para acceder a la herramienta Características opcionales de Windows. Seleccione Espacio
aislado de Windows y, a continuación, Aceptar . Reinicie el equipo si se le solicita.
Si la opción Espacio aislado de Windows no está disponible, el equipo no cumple los requisitos para
ejecutar Espacio aislado de Windows. Si cree que este análisis es incorrecto, revise la lista de requisitos
previos y los pasos 1 y 2.

NOTE
Para habilitar el espacio aislado mediante PowerShell, abra PowerShell como administrador y ejecute Enable-
WindowsOptionalFeature -FeatureName "Containers-DisposableClientVM" -All -Online .

4. Busque y seleccione Espacio aislado de Windows en el menú Inicio para ejecutarlo por primera vez.

NOTE
Espacio aislado de Windows no se ajusta a la configuración del mouse del sistema host, por lo que si el sistema
host está configurado para usar un mouse diestro, debe aplicar esta configuración en Espacio aislado de Windows
manualmente.

Usage
1. Copie un archivo ejecutable (y cualquier otro archivo necesario para ejecutar la aplicación) desde el host
y péguelo en la ventana Espacio aislado de Windows .
2. Ejecute el archivo ejecutable o el instalador dentro del espacio aislado.
3. Cuando haya terminado de experimentar, cierre el espacio aislado. Un cuadro de diálogo indicará que
todo el contenido del espacio aislado se descartará y eliminará permanentemente. Seleccione Aceptar .
4. Confirme que la máquina host no muestra ninguna de las modificaciones que realizó en Espacio aislado
de Windows.
 Arquitectura de espacio aislado de Windows
08/11/2022 • 3 minutes to read

Espacio aislado de Windows ventajas de la nueva tecnología de contenedores en Windows para lograr una
combinación de seguridad, densidad y rendimiento que no está disponible en las máquinas virtuales
tradicionales.

Imagen generada dinámicamente

En lugar de requerir una copia independiente de Windows para arrancar el espacio aislado, la tecnología imagen
base dinámica usa la copia de Windows ya instalada en el host.
La mayoría de los archivos del sistema operativo son inmutables y se pueden compartir libremente con Espacio
aislado de Windows. Un pequeño subconjunto de archivos del sistema operativo son mutables y no se pueden
compartir, por lo que la imagen base del espacio aislado contiene copias inmaculadas de ellos. Una imagen
completa de Windows se puede construir a partir de una combinación de los archivos inmutables que se
pueden compartir en el host y las copias prístinas de los archivos mutables. Con la ayuda de este esquema,
Espacio aislado de Windows tiene una instalación completa de Windows desde la que arrancar sin necesidad de
descargar o almacenar una copia adicional de Windows.
Antes de instalar Espacio aislado de Windows, el paquete de imagen base dinámica se almacena como un
paquete comprimido de 30 MB. Una vez instalada, la imagen base dinámica ocupa aproximadamente 500 MB
de espacio en disco.

Administración de memoria
Las máquinas virtuales tradicionales asignan asignaciones de tamaño estático de memoria de host. Cuando
cambian las necesidades de recursos, las máquinas virtuales clásicas tienen mecanismos limitados para ajustar
sus necesidades de recursos. Por otro lado, los contenedores colaboran con el host para determinar
dinámicamente cómo se asignan los recursos del host. Este método es similar a la forma en que los procesos
compiten normalmente por la memoria en el host. Si el host está bajo presión de memoria, puede recuperar
memoria del contenedor de la forma que lo haría con un proceso.
Uso compartido de memoria
Dado que Espacio aislado de Windows ejecuta la misma imagen de sistema operativo que el host, se ha
mejorado para usar las mismas páginas de memoria física que el host para los archivos binarios del sistema
operativo a través de una tecnología denominada "mapa directo". Por ejemplo, cuando [Link] se carga en la
memoria del espacio aislado, usa las mismas páginas físicas que las páginas del binario cuando se cargan en el
host. El uso compartido de memoria entre el host y el espacio aislado da como resultado una superficie de
memoria más pequeña en comparación con las máquinas virtuales tradicionales, sin poner en peligro los
valiosos secretos de host.

Programador de kernel integrado

Con las máquinas virtuales normales, el hipervisor de Microsoft controla la programación de los procesadores
virtuales que se ejecutan en las máquinas virtuales. Espacio aislado de Windows usa una nueva tecnología
denominada "programación integrada", que permite al programador host decidir cuándo el espacio aislado
obtiene ciclos de CPU.

Espacio aislado de Windows emplea una directiva única que permite programar los procesadores virtuales del
espacio aislado como subprocesos de host. En este esquema, las tareas de prioridad alta en el host pueden
adelantar el trabajo menos importante en el espacio aislado. Este adelantamiento significa que se priorizará el
trabajo más importante, ya sea en el host o en el contenedor.

Virtualización de GPU de WDDM

La representación acelerada por hardware es clave para una experiencia de usuario fluida y dinámica,
especialmente para casos de uso intensivo de gráficos. Microsoft trabaja con sus asociados del ecosistema de
gráficos para integrar funcionalidades modernas de virtualización de gráficos directamente en DirectX y
Windows Display Driver Model (WDDM), el modelo de controlador que usa Windows.
Esta característica permite que los programas que se ejecutan dentro del espacio aislado compitan por recursos
de GPU con aplicaciones que se ejecutan en el host.

Para aprovechar estas ventajas, se requiere un sistema con una GPU y controladores de gráficos compatibles
(WDDM 2.5 o posterior). Los sistemas incompatibles representarán aplicaciones en Espacio aislado de Windows
con la tecnología de representación basada en CPU de Microsoft, Plataforma de rasterización avanzada de
Windows (WARP).

Paso a través de la batería

Espacio aislado de Windows también es consciente del estado de la batería del host, lo que le permite optimizar
su consumo de energía. Esta funcionalidad es fundamental para la tecnología que se usa en portátiles, donde la
duración de la batería suele ser crítica.
 Configuración del espacio aislado de Windows
08/11/2022 • 8 minutes to read

Espacio aislado de Windows admite archivos de configuración simples, que proporcionan un conjunto mínimo
de parámetros de personalización para sandbox. Esta característica se puede usar con Windows 10 compilación
18342 o Windows 11. Espacio aislado de Windows archivos de configuración tienen el formato XML y están
asociados con sandbox a través de la extensión de .wsb archivo.
Un archivo de configuración permite al usuario controlar los siguientes aspectos de Espacio aislado de
Windows:
vGPU (GPU vir tualizada): habilite o deshabilite la GPU virtualizada. Si vGPU está deshabilitado, el espacio
aislado usará la Plataforma de rasterización avanzada de Windows (WARP).
Redes : habilite o deshabilite el acceso a la red dentro del espacio aislado.
Carpetas asignadas : comparta carpetas del host con permisos de lectura o escritura . La exposición de
directorios host puede permitir que el software malintencionado afecte al sistema o robe datos.
Comando de inicio de sesión : comando que se ejecuta cuando se inicia Espacio aislado de Windows.
Entrada de audio : comparte la entrada del micrófono del host en el espacio aislado.
Entrada de vídeo : comparte la entrada de la cámara web del host en el espacio aislado.
Cliente protegido : coloca una mayor configuración de seguridad en la sesión RDP en el espacio aislado.
Redirección de impresoras : comparte las impresoras del host en el espacio aislado.
Redirección del Por tapapeles : comparte el Portapapeles host con el espacio aislado para que el texto y
los archivos se puedan pegar de un lado a otro.
Memoria en MB : la cantidad de memoria, en megabytes, que se va a asignar al espacio aislado.

Creación de un archivo de configuración

Para crear un archivo de configuración:
1. Abra un editor de texto sin formato o un editor de código fuente (por ejemplo, Bloc de notas, Visual
Studio Code, etc.)
2. Inserte las líneas siguientes:

<Configuration>
</Configuration>

3. Agregue el texto de configuración adecuado entre las dos líneas. Para obtener más información, consulte
la sintaxis correcta y los ejemplos siguientes.
4. Guarde el archivo con el nombre deseado, pero asegúrese de que su extensión de nombre de archivo es
.wsb . En el Bloc de notas, debe incluir el nombre de archivo y la extensión entre comillas dobles, por
ejemplo, "My config [Link]" .

Uso de un archivo de configuración

Para usar un archivo de configuración, haga doble clic en él para iniciar Espacio aislado de Windows según su
configuración. También puede invocarlo a través de la línea de comandos, como se muestra aquí:
 C:\Temp> [Link]

Palabras clave, valores y límites

vGPU
Habilita o deshabilita el uso compartido de GPU.
<vGPU>value</vGPU>

Valores admitidos:
Habilitar: habilita la compatibilidad con vGPU en el espacio aislado.
Deshabilitar: deshabilita la compatibilidad con vGPU en el espacio aislado. Si se establece este valor, el
espacio aislado usará la representación de software, que puede ser más lenta que la GPU virtualizada.
Predeterminado Este valor es el valor predeterminado para la compatibilidad con vGPU. Actualmente, este
valor predeterminado indica que vGPU está deshabilitado.

NOTE
Habilitar la GPU virtualizada puede aumentar potencialmente la superficie expuesta a ataques del espacio aislado.

Funciones de red
Habilita o deshabilita las redes en el espacio aislado. Puede deshabilitar el acceso a la red para reducir la
superficie expuesta a ataques por el espacio aislado.
<Networking>value</Networking>

Valores admitidos:
Deshabilitar: deshabilita las redes en el espacio aislado.
Valor predeterminado: este valor es el valor predeterminado para la compatibilidad con redes. Este valor
habilita las redes mediante la creación de un conmutador virtual en el host y conecta el espacio aislado a él a
través de una NIC virtual.

NOTE
La habilitación de redes puede exponer aplicaciones que no son de confianza a la red interna.

Carpetas asignadas
Matriz de carpetas, cada una de las cuales representa una ubicación en el equipo host que se compartirá en el
espacio aislado en la ruta de acceso especificada. En este momento, no se admiten rutas de acceso relativas. Si
no se especifica ninguna ruta de acceso, la carpeta se asignará al escritorio del usuario del contenedor.

<MappedFolders>
<MappedFolder>
<HostFolder>absolute path to the host folder</HostFolder>
<SandboxFolder>absolute path to the sandbox folder</SandboxFolder>
<ReadOnly>value</ReadOnly>
</MappedFolder>
<MappedFolder>
...
</MappedFolder>
</MappedFolders>
HostFolder: especifica la carpeta de la máquina host que se va a compartir en el espacio aislado. La carpeta ya
debe existir en el host o el contenedor no se iniciará.
SandboxFolder: especifica el destino en el espacio aislado al que se va a asignar la carpeta. Si la carpeta no
existe, se creará. Si no se especifica ninguna carpeta de espacio aislado, la carpeta se asignará al escritorio del
contenedor.
ReadOnly: si es true, aplica el acceso de solo lectura a la carpeta compartida desde dentro del contenedor.
Valores admitidos: true/false. El valor predeterminado es false.

NOTE
Las aplicaciones del espacio aislado pueden poner en peligro los archivos y carpetas asignados desde el host o afectar
potencialmente al host.

Comando de inicio de sesión

Especifica un único comando que se invocará automáticamente después de que el espacio aislado inicie sesión.
Las aplicaciones del espacio aislado se ejecutan en la cuenta de usuario del contenedor. La cuenta de usuario del
contenedor debe ser una cuenta de administrador.

<LogonCommand>
<Command>command to be invoked</Command>
</LogonCommand>

Comando: ruta de acceso a un archivo ejecutable o script dentro del contenedor que se ejecutará después de
iniciar sesión.

NOTE
Aunque los comandos muy sencillos funcionarán (como iniciar un archivo ejecutable o un script), los escenarios más
complicados que implican varios pasos deben colocarse en un archivo de script. Este archivo de script se puede asignar al
contenedor a través de una carpeta compartida y, a continuación, ejecutarse a través de la directiva LogonCommand .

Entrada de audio
Habilita o deshabilita la entrada de audio en el espacio aislado.
<AudioInput>value</AudioInput>

Valores admitidos:
Habilitar: habilita la entrada de audio en el espacio aislado. Si se establece este valor, el espacio aislado podrá
recibir la entrada de audio del usuario. Las aplicaciones que usan un micrófono pueden requerir esta
funcionalidad.
Deshabilitar: deshabilita la entrada de audio en el espacio aislado. Si se establece este valor, el espacio aislado
no puede recibir la entrada de audio del usuario. Es posible que las aplicaciones que usan un micrófono no
funcionen correctamente con esta configuración.
Valor predeterminado: este valor es el valor predeterminado para la compatibilidad con la entrada de audio.
Actualmente, este valor predeterminado indica que la entrada de audio está habilitada.

NOTE
Puede haber implicaciones de seguridad al exponer la entrada de audio del host en el contenedor.
Entrada de vídeo
Habilita o deshabilita la entrada de vídeo en el espacio aislado.
<VideoInput>value</VideoInput>

Valores admitidos:
Habilitar: habilita la entrada de vídeo en el espacio aislado.
Deshabilitar: deshabilita la entrada de vídeo en el espacio aislado. Es posible que las aplicaciones que usan la
entrada de vídeo no funcionen correctamente en el espacio aislado.
Valor predeterminado: este valor es el valor predeterminado para la compatibilidad con la entrada de vídeo.
Actualmente, este valor predeterminado indica que la entrada de vídeo está deshabilitada. Es posible que las
aplicaciones que usan la entrada de vídeo no funcionen correctamente en el espacio aislado.

NOTE
Puede haber implicaciones de seguridad al exponer la entrada de vídeo del host en el contenedor.

Cliente protegido
Aplica más configuración de seguridad al cliente de Escritorio remoto del espacio aislado, lo que reduce su
superficie expuesta a ataques.
<ProtectedClient>value</ProtectedClient>

Valores admitidos:
Habilitar: ejecuta el espacio aislado de Windows en modo de cliente protegido. Si se establece este valor, el
espacio aislado se ejecuta con mitigaciones de seguridad adicionales habilitadas.
Deshabilitar: ejecuta el espacio aislado en modo estándar sin mitigaciones de seguridad adicionales.
Valor predeterminado: este valor es el valor predeterminado para el modo de cliente protegido. Actualmente,
este valor predeterminado indica que el espacio aislado no se ejecuta en modo de cliente protegido.

NOTE
Esta configuración puede restringir la capacidad del usuario de copiar o pegar archivos dentro y fuera del espacio aislado.

Redireccionamiento de impresora
Habilita o deshabilita el uso compartido de impresoras del host en el espacio aislado.
<PrinterRedirection>value</PrinterRedirection>

Valores admitidos:
Habilitar: permite el uso compartido de impresoras host en el espacio aislado.
Deshabilitar: deshabilita el redireccionamiento de la impresora en el espacio aislado. Si se establece este
valor, el espacio aislado no puede ver las impresoras del host.
Valor predeterminado: este valor es el valor predeterminado para la compatibilidad con el
redireccionamiento de impresora. Actualmente, este valor predeterminado indica que el redireccionamiento
de la impresora está deshabilitado.
Redirección del Portapapeles
Habilita o deshabilita el uso compartido del Portapapeles del host con el espacio aislado.
<ClipboardRedirection>value</ClipboardRedirection>
Valores admitidos:
Deshabilitar: deshabilita el redireccionamiento del Portapapeles en el espacio aislado. Si se establece este
valor, se restringirá la copia y pegado dentro y fuera del espacio aislado.
Valor predeterminado: este valor es el valor predeterminado para el redireccionamiento del Portapapeles.
Actualmente, se permite copiar y pegar entre el host y el espacio aislado en Predeterminado.
Memoria en MB
Especifica la cantidad de memoria que el espacio aislado puede usar en megabytes (MB).
<MemoryInMB>value</MemoryInMB>

Si el valor de memoria especificado no es suficiente para arrancar un espacio aislado, se aumentará

automáticamente a la cantidad mínima necesaria.

Ejemplo 1
El siguiente archivo de configuración se puede usar para probar fácilmente los archivos descargados dentro del
espacio aislado. Para lograr esta prueba, se deshabilitan las redes y vGPU y se permite el acceso de solo lectura
al espacio aislado a la carpeta de descargas compartidas. Para mayor comodidad, el comando de inicio de
sesión abre la carpeta de descargas dentro del espacio aislado cuando se inicia.
[Link]

<Configuration>
<VGpu>Disable</VGpu>
<Networking>Disable</Networking>
<MappedFolders>
<MappedFolder>
<HostFolder>C:\Users\Public\Downloads</HostFolder>
<SandboxFolder>C:\Users\WDAGUtilityAccount\Downloads</SandboxFolder>
<ReadOnly>true</ReadOnly>
</MappedFolder>
</MappedFolders>
<LogonCommand>
<Command>[Link] C:\users\WDAGUtilityAccount\Downloads</Command>
</LogonCommand>
</Configuration>

Ejemplo 2
El siguiente archivo de configuración instala Visual Studio Code en el espacio aislado, lo que requiere una
configuración de LogonCommand ligeramente más complicada.
Dos carpetas se asignan al espacio aislado; el primero (SandboxScripts) contiene [Link], que se
instalará y ejecutará Visual Studio Code. Se supone que la segunda carpeta (CodingProjects) contiene archivos
de proyecto que el desarrollador desea modificar mediante Visual Studio Code.
Con el script del instalador de Visual Studio Code ya asignado al espacio aislado, LogonCommand puede hacer
referencia a él.
[Link]
 REM Download Visual Studio Code
curl -L "[Link] --output
C:\users\WDAGUtilityAccount\Desktop\[Link]

REM Install and run Visual Studio Code

C:\users\WDAGUtilityAccount\Desktop\[Link] /verysilent /suppressmsgboxes

[Link]

<Configuration>
<MappedFolders>
<MappedFolder>
<HostFolder>C:\SandboxScripts</HostFolder>
<ReadOnly>true</ReadOnly>
</MappedFolder>
<MappedFolder>
<HostFolder>C:\CodingProjects</HostFolder>
<ReadOnly>false</ReadOnly>
</MappedFolder>
</MappedFolders>
<LogonCommand>
<Command>C:\Users\WDAGUtilityAccount\Desktop\SandboxScripts\[Link]</Command>
</LogonCommand>
</Configuration>
 SmartScreen de Microsoft Defender
08/11/2022 • 4 minutes to read

Se aplica a:
Windows10
Windows11
Microsoft Edge
SmartScreen de Microsoft Defender protege frente a malware de sitios web y aplicaciones de suplantación de
identidad, y la descarga de archivos potencialmente maliciosos.
Smar tScreen de Microsoft Defender determina si un sitio es potencialmente malicioso por :
El análisis de páginas web visitadas y la búsqueda de indicios de comportamiento sospechoso. Si el
SmartScreen de Microsoft Defender determina que una página es maliciosa, mostrará una página de
advertencia para notificar al usuario que ese sitio es reportado como inseguro.
La comprobación de los sitios visitados con una lista dinámica de sitios denunciados como de
suplantación de identidad (phishing) y de software malintencionado. Si encuentra alguna coincidencia,
SmartScreen de Microsoft Defender muestra una advertencia para indicar al usuario que el sitio puede
ser malicioso.
Smar tScreen determina si una aplicación descargada o instalador de aplicación es potencialmente
malintencionado mediante:
La comprobación de los archivos descargados con una lista de sitios de software malintencionado
denunciados y programas que se sabe que no son seguros. Si encuentra alguna coincidencia,
SmartScreen de Microsoft Defender muestra una advertencia para indicar al usuario que el sitio puede
ser malicioso.
La comprobación de archivos descargados con una lista de archivos conocidos y descargados por
muchos usuarios de Windows. Si el archivo no está en la lista, SmartScreen muestra una advertencia,
aconsejando precaución.

Ventajas de SmartScreen de Microsoft Defender

SmartScreen de Windows Defender ayuda a proporcionar un sistema de advertencia anticipada con respecto a
sitios web que pueden realizar ataques de suplantación de identidad (phishing) o intentar distribuir malware a
través de un ataque de ingeniería social. Las ventajas principales son:
Sopor te contra suplantación de identidad (anti-phishing) y antimalware: SmartScreen de
Microsoft Defender ayuda a proteger a los usuarios de los sitios a los que se notifica que hospedan
ataques de suplantación de identidad (phishing) o intentan distribuir software malintencionado. También
puede ayudar a proteger contra anuncios engañosos, sitios de estafas y ataques mediante descargas o
instalaciones involuntarias. Los ataques mediante descargas o instalaciones involuntarias son los ataques
basados en web que tienden a iniciarse en un sitio de confianza y cuyo objetivo son las vulnerabilidades
de seguridad del software que se usa habitualmente. Dado que los ataques mediante descargas o
instalaciones involuntarias pueden ocurrir, aunque el usuario no seleccione ni descargue nada de la
página, con frecuencia el peligro pasa desapercibido. Para más información sobre los ataques mediante
descargas o instalaciones involuntarias, consulte Evolucionando SmartScreen de Microsoft Defender para
protegerse contra ataques mediante descargas o instalaciones involuntarias.
 Dirección URL basada en reputación y protección de aplicaciones: SmartScreen de Microsoft
Defender evalúa las direcciones URL de un sitio web para determinar si se sabe que distribuyen o
hospedan contenido no seguro. También proporciona comprobaciones de reputación de las aplicaciones,
comprobando los programas descargados y la firma digital que se usa para firmar un archivo. Si una
dirección URL, un archivo, una aplicación o un certificado tiene una sólida reputación, los empleados no
verán advertencias. Si no hay reputación, el elemento se marca como un riesgo mayor y presenta una
advertencia al usuario.
Integración del sistema operativo: SmartScreen de Microsoft Defender se integra en el sistema
operativo Windows 10. Comprueba cualquier archivo que una aplicación (como los exploradores de
terceros y los clientes de correo electrónico) intente descargar y ejecutar.
Heurística y datos de diagnóstico mejorados: SmartScreen de Microsoft Defender está
aprendiendo constantemente e intenta mantenerse al día, por lo que puede ayudarle a protegerse contra
archivos y sitios potencialmente malintencionados.
Gestión a través de una directiva de grupo y Microsoft Intune: SmartScreen de Microsoft
Defender admite el uso de Directiva de grupo y Microsoft Intune. Para más información sobre todas las
configuraciones disponibles, consulta Configuración disponible de la directiva de grupo y la
administración de dispositivos móviles (MDM) de SmartScreen de Microsoft Defender.
Bloqueo de direcciones URL asociadas a aplicaciones potencialmente no deseadas: En
Microsoft Edge (basado en Chromium), SmartScreen bloquea las direcciones URL asociadas a
aplicaciones potencialmente no deseadas o PUA. Para más información bloqueo de URLs asociados con
PUAs, vea Detectar y bloquear aplicaciones potencialmente no deseadas.

IMPORTANT
SmartScreen protege contra archivos maliciosos de Internet. No protege contra archivos malintencionados en ubicaciones
internas o en recursos compartidos de red, como carpetas compartidas con rutas UNC o recursos compartidos SMB/CIFS.

Enviar archivos a SmartScreen de Microsoft Defender para revisar

Si cree que una advertencia o el bloqueo se mostró de forma incorrecta para un archivo o una aplicación, o si
cree que un archivo no detectado es malware, puede enviar un archivo a Microsoft para su revisión. Para
obtener más información, consulte Enviar archivos para su análisis.
Cuando envíe productos SmartScreen de Microsoft Defender, asegúrese de seleccionar **** SmartScreen de
Microsoft Defender en el menú producto.
Ver los eventos de protección contra suplantación de identidad (anti-
phishing) de SmartScreen de Microsoft Defender
NOTE
No se registrará ningún evento de SmartScreen al usar Microsoft Edge versión 77 o posterior.

Cuando SmartScreen de Microsoft Defender advierte o bloquea un empleado de un sitio web, se registra como
Event 1035 - Anti-Phishing.

Vista del registro de eventos de Windows para SmartScreen de

Microsoft Defender
Los eventos de SmartScreen de Microsoft Defender aparecen en el Visor de eventos, en registro de Microsoft-
Windows-SmartScreen/debug.
El registro de eventos de Windows para SmartScreen está deshabilitado de forma predeterminada, los usuarios
pueden usar la UI del visor de eventos para habilitar el registro o usar la línea de comandos para habilitarlo:

wevtutil sl Microsoft-Windows-SmartScreen/Debug /e:true

NOTE
Para mas información de cómo usar la vista del registro de eventos, vea Vista de eventos de Windows.

EVEN T ID DESC RIP C IÓ N

1000 Aplicación de eventos de SmartScreen de Microsoft

Defender
 EVEN T ID DESC RIP C IÓ N

1001 Uri de eventos de SmartScreen de Microsoft Defender

1002 Decisión de usuario de eventos de SmartScreen de Microsoft

Defender

Artículos relacionados
Preguntas más frecuentes sobre SmartScreen
Directiva de grupo de SmartScreen de Microsoft Defender disponible y configuración de administración de
dispositivos móviles (MDM)
Referencia de proveedor de servicios de configuración
 Protección contra suplantación de identidad
mejorada en Microsoft Defender SmartScreen
08/11/2022 • 12 minutes to read

A partir de Windows 11, versión 22H2, Protección mejorada contra phishing en Microsoft Defender
SmartScreen ayuda a proteger las contraseñas educativas o profesionales de Microsoft contra la suplantación
de identidad (phishing) y el uso no seguro en sitios y aplicaciones.
La protección de suplantación de identidad mejorada funciona junto con las protecciones de seguridad de
Windows y ayuda a proteger las contraseñas profesionales o educativas con tipo que se usan para iniciar sesión
en Windows 11 de tres maneras:
Si los usuarios escriben su contraseña profesional o educativa en cualquier explorador de Chromium, en
un sitio considerado malintencionado por Microsoft Defender SmartScreen, protección mejorada contra
suplantación de identidad (phishing) les avisará. También les pedirá que cambien su contraseña para que
los atacantes no puedan acceder a su cuenta.
La reutilización de contraseñas profesionales o educativas facilita a los atacantes que ponen en peligro la
contraseña de un usuario obtener acceso a sus otras cuentas. Protección contra suplantación de identidad
mejorada puede advertir a los usuarios si reutilizan la contraseña de su cuenta profesional o educativa de
Microsoft en sitios y aplicaciones y les piden que cambien su contraseña.
Dado que no es seguro almacenar contraseñas de texto no cifrado en editores de texto, Protección
mejorada contra suplantación de identidad puede advertir a los usuarios si almacenan su contraseña
profesional o educativa en el Bloc de notas, Word o cualquier aplicación de Office de Microsoft 365, y
recomienda eliminar su contraseña del archivo.

Ventajas de la protección contra suplantación de identidad mejorada

en Microsoft Defender SmartScreen
La protección contra suplantación de identidad mejorada proporciona sólidas protecciones de suplantación de
identidad para las contraseñas profesionales o educativas que se usan para iniciar sesión en Windows 11. Las
ventajas de la protección contra suplantación de identidad mejorada son:
Compatibilidad con la protección contra suplantación de identidad :: Los ataques de
suplantación de identidad engañan a los usuarios a través de imitaciones convincentes de contenido
seguro o a través de la recopilación de credenciales de contenido hospedado dentro de aplicaciones y
sitios de confianza. La protección contra suplantación de identidad mejorada ayuda a proteger a los
usuarios de los sitios de suplantación de identidad notificados mediante la evaluación de las direcciones
URL a las que se conecta un sitio o aplicación, junto con otras características, para determinar si se sabe
que distribuyen o hospedan contenido no seguro.
Integración segura del sistema operativo: La protección contra suplantación de identidad mejorada
se integra directamente en el sistema operativo Windows 11, por lo que puede comprender el contexto
de entrada de contraseña de los usuarios (incluidas las conexiones de proceso, las direcciones URL, la
información del certificado) en cualquier explorador o aplicación. Dado que La protección contra
suplantación de identidad mejorada tiene información sin precedentes sobre lo que sucede en el nivel de
sistema operativo, puede identificar cuándo los usuarios escriben su contraseña profesional o educativa
de forma insegura. Si los usuarios usan su contraseña profesional o educativa de forma insegura, la
característica permite a los usuarios cambiar su contraseña para minimizar las posibilidades de que sus
 credenciales en peligro se les ataquen con armas.
Telemetría sin precedentes compar tida en el conjunto de seguridad de Microsoft: Protección
contra suplantación de identidad mejorada está aprendiendo constantemente de los ataques de
suplantación de identidad detectados en toda la pila de seguridad de Microsoft. Funciona junto con otros
productos de seguridad de Microsoft para proporcionar un enfoque por capas para la seguridad de
contraseñas, especialmente para las organizaciones al principio de su recorrido de autenticación sin
contraseña. Si su organización usa Microsoft Defender para punto de conexión, podrá ver valiosos datos
de sensores de phishing en el portal de Microsoft 365 Defender. Este portal le permite ver alertas e
informes de protección contra suplantación de identidad mejorada para el uso de contraseñas no seguras
en su entorno.
Administración sencilla a través de directiva de grupo y Microsoft Intune: La protección de
suplantación de identidad mejorada funciona con la configuración de administración de dispositivos
móviles (MDM) y directiva de grupo para ayudarle a administrar la configuración del equipo de su
organización. En función de cómo configure La protección contra suplantación de identidad mejorada,
puede personalizar qué escenarios de protección contra suplantación de identidad (phishing) mostrarán
los diálogos de advertencia de los usuarios. Por ejemplo, la opción Service Enabled determina si el
servicio Enhanced Phishing Protection está activado o desactivado. La característica estará en modo de
auditoría si la otra configuración, que corresponde a las directivas de notificación, no está habilitada.

Configuración de la protección contra suplantación de identidad

mejorada para su organización
La protección contra suplantación de identidad mejorada se puede configurar a través de Microsoft Intune,
objetos directiva de grupo (GPO) o proveedores de servicios de configuración (CSP) con un servicio MDM. Siga
las instrucciones siguientes para configurar los dispositivos mediante Microsoft Intune, GPO o CSP.

Intune
Gpo
Csp

Para configurar dispositivos mediante Microsoft Intune, cree una directiva de catálogo configuración y use la
configuración que aparece en la categoría SmartScreen > Enhanced Phishing Protection :

C O N F IGURA C IÓ N DESC RIP C IÓ N

Servicio habilitado Esta configuración de directiva determina si La protección

contra suplantación de identidad mejorada está en modo de
auditoría o está desactivada. Los usuarios no ven ninguna
notificación para ningún escenario de protección cuando la
protección de suplantación de identidad mejorada está en
modo de auditoría. En el modo de auditoría, Protección
contra suplantación de identidad mejorada captura eventos
de entrada de contraseña no segura y envía datos de
diagnóstico a través de Microsoft Defender.
Si habilita o no establece esta configuración, la protección
de suplantación de identidad mejorada está habilitada en
modo de auditoría, lo que impide que los usuarios la
desactiven.
Si deshabilita esta configuración de directiva, la protección
contra suplantación de identidad mejorada está desactivada.
Cuando está desactivada, Protección contra suplantación de
identidad mejorada no captura eventos, envía datos ni
notifica a los usuarios. Además, los usuarios no pueden
activarlo.
 C O N F IGURA C IÓ N DESC RIP C IÓ N

Notificar malintencionada Esta configuración de directiva determina si Protección

contra suplantación de identidad mejorada advierte a los
usuarios si escriben su contraseña profesional o educativa en
uno de los siguientes escenarios malintencionados: en un
sitio de suplantación de identidad notificado, en una
dirección URL de inicio de sesión con un certificado no válido
o en una aplicación que se conecta a un sitio de suplantación
de identidad notificado o a una dirección URL de inicio de
sesión con un certificado no válido.
Si habilita esta configuración de directiva, Protección
contra suplantación de identidad mejorada advertirá a los
usuarios si escriben su contraseña profesional o educativa en
uno de los escenarios malintencionados descritos
anteriormente y les anima a cambiar su contraseña.
Si deshabilita o no configura esta configuración de
directiva, Protección contra suplantación de identidad
mejorada no advertirá a los usuarios si escriben su
contraseña profesional o educativa en uno de los escenarios
malintencionados descritos anteriormente.

Notificación de la reutilización de contraseñas Esta configuración de directiva determina si Protección

contra suplantación de identidad mejorada advierte a los
usuarios si reutilizan su contraseña profesional o educativa.
Si habilita esta configuración de directiva, Protección
contra suplantación de identidad mejorada advierte a los
usuarios si reutilizan su contraseña profesional o educativa y
les anima a cambiarla.
Si deshabilita o no configura esta configuración de
directiva, protección contra suplantación de identidad
mejorada no advertirá a los usuarios si reutilizan su
contraseña profesional o educativa.

Notificar a una aplicación no segura Esta configuración de directiva determina si protección

contra suplantación de identidad mejorada advierte a los
usuarios si escriben sus contraseñas profesionales o
educativas en el Bloc de notas o aplicaciones de Office de
Microsoft 365.
Si habilita esta configuración de directiva, Protección
contra suplantación de identidad mejorada advertirá a los
usuarios si almacenan su contraseña en el Bloc de notas o
aplicaciones de Office de Microsoft 365.
Si deshabilita o no establece esta configuración de
directiva, protección contra suplantación de identidad
mejorada no advertirá a los usuarios si almacenan su
contraseña en el Bloc de notas o aplicaciones de Office de
Microsoft 365.

Asigne la directiva a un grupo de seguridad que contenga como miembros los dispositivos o usuarios que
desea configurar.
Configuración recomendada para la organización
De forma predeterminada, la protección contra suplantación de identidad mejorada se implementa en modo de
auditoría, lo que impide las notificaciones a los usuarios para cualquier escenario de protección. En el modo de
auditoría, Protección contra suplantación de identidad mejorada captura eventos de entrada de contraseña no
segura y envía datos de diagnóstico a través de Microsoft Defender. No se advierte a los usuarios si escriben su
contraseña profesional o educativa en un sitio de phishing, si reutilizan su contraseña o si almacenan su
contraseña de forma no segura en las aplicaciones. Debido a esta posibilidad, se recomienda configurar la
protección mejorada contra suplantación de identidad (PHISHING) para advertir a los usuarios durante todos
los escenarios de protección.
Para ayudarle a proteger mejor su organización, se recomienda activar y usar estos Microsoft Defender
configuración de SmartScreen específicos.

Intune
Gpo
Csp

EL EM EN TO DE C ATÁ LO GO SET T IN GS REC O M EN DA C IÓ N

Servicio habilitado Habilitar : activa la protección contra suplantación de

identidad mejorada en el modo de auditoría, que captura
eventos de entrada de contraseñas profesionales o
educativas y envía datos de diagnóstico, pero no muestra
ninguna notificación a los usuarios.

Notificar malintencionada Habilitar : activa notificaciones de protección contra

suplantación de identidad mejorada cuando los usuarios
escriben su contraseña profesional o educativa en uno de los
escenarios malintencionados descritos anteriormente y les
anima a cambiar su contraseña.

Notificación de la reutilización de contraseñas Habilitar : activa notificaciones de protección contra

suplantación de identidad mejorada cuando los usuarios
reutilizan su contraseña profesional o educativa y les anima a
cambiar su contraseña.

Notificar a una aplicación no segura Habilitar : activa notificaciones de protección contra

suplantación de identidad mejorada cuando los usuarios
escriben sus contraseñas profesionales o educativas en el
Bloc de notas y aplicaciones de Office de Microsoft 365.

Artículos relacionados
SmartScreen de Microsoft Defender
Preguntas más frecuentes sobre SmartScreen
Protección contra amenazas
Configuración disponible de la directiva de grupo y la administración de dispositivos móviles (MDM) de
SmartScreen de Microsoft Defender
Referencia de proveedor de servicios de configuración
 Configuración de S/MIME para Windows
08/11/2022 • 3 minutes to read

Se aplica a
Windows10
Windows11
S/MIME significa Extensiones seguras multipropósito al correo de Internet y proporciona una capa de seguridad
adicional para correos electrónicos enviados a una cuenta de Exchange ActiveSync (EAS) y desde ella. S/MIME
permite a los usuarios cifrar los mensajes salientes y los datos adjuntos para que solo los destinatarios previstos
que tengan una identificación digital (ID), también conocida como certificado, puedan leerlos. Los usuarios
pueden firmar digitalmente un mensaje, lo que proporciona a los destinatarios una manera de comprobar la
identidad del remitente y que el mensaje no ha sido alterado.

Acerca del cifrado de mensajes

Los usuarios pueden enviar un mensaje cifrado a personas de su organización y a personas fuera de su
organización si tienen sus certificados de cifrado. Sin embargo, los usuarios que usan la aplicación De Correo de
Windows solo pueden leer mensajes cifrados si el mensaje se recibe en su cuenta de Exchange y tienen las
claves de descifrado correspondientes.
Solo los destinatarios que tengan un certificado pueden leer los mensajes cifrados. Si intenta enviar un mensaje
cifrado a los destinatarios cuyo certificado de cifrado no está disponible, la aplicación le pedirá que quite estos
destinatarios antes de enviar el correo electrónico.

Acerca de firmas digitales

Un mensaje firmado digitalmente asegura al destinatario que el mensaje no ha sido alterado y comprueba la
identidad del remitente. Los destinatarios solo pueden comprobar la firma digital si usan un cliente de correo
electrónico compatible con S/MIME.

Requisitos previos
S/MIME está habilitado para las cuentas de Exchange (local y Office 365). Los usuarios no pueden usar la
firma y el cifrado de S/MIME con una cuenta personal como [Link].
Se han instalado en el dispositivo certificados de intercambio de información personal (PFX) válidos.
Cómo crear perfiles de certificado PFX en el Administrador de configuración
Habilitar el acceso a recursos de la compañía mediante perfiles de certificado con Microsoft Intune

Elegir la configuración de S/MIME

En el dispositivo, sigue estos pasos: (agregar seleccionar certificado)
1. Abre la aplicación de correo.
2. Abre Configuración pulsando en el icono de engranaje en un equipo o en los puntos suspensivos (...) y,
a continuación, en el icono del engranaje en un teléfono.
3. Pulsa en Seguridad del correo electrónico .

4. En Seleccionar una cuenta , selecciona la cuenta para la que quieras configurar las opciones de
S/MIME.
5. Selecciona un certificado para la firma digital y cifrado.
Selecciona Automáticamente para permitir que la aplicación elija el certificado.
Selecciona Manualmente para especificar un certificado de la lista de certificados válidos en el
dispositivo.
6. (Opcional) Selecciona Firmar siempre con S/MIME , Cifrar siempre con S/MIME , o ambas opciones,
para firmar digitalmente o cifrar de forma automática todos los mensajes salientes.
 NOTE
La opción de firmar o cifrar se puede cambiar para los mensajes individuales, a menos que las directivas de EAS lo
impidan.

7. Pulsa en la flecha atrás.

Cifrar o firmar mensajes individuales

1. Al redactar un mensaje, elige Opciones en la cinta. En el teléfono, se puede acceder a Opciones
pulsando los puntos suspensivos (...).
2. Usa los iconos Firmar y Cifrar para activar la firma digital y el cifrado para este mensaje.

Leer mensajes firmados o cifrados

Cuando recibas un mensaje cifrado, la aplicación correo comprobará si hay un certificado disponible en el
equipo. Si hay un certificado disponible, el mensaje se descifrará cuando lo abras. Si el certificado está
almacenado en una tarjeta inteligente, se te pedirá que insertes la tarjeta inteligente para leer el mensaje. La
tarjeta inteligente también puede necesitar un PIN para acceder al certificado.

Instalar certificados de un mensaje recibido

Cuando recibe un correo electrónico firmado, la aplicación proporciona una característica para instalar el
certificado de cifrado correspondiente en el dispositivo si el certificado está disponible. Este certificado puede
usarse después para enviar correos electrónicos cifrados a esta persona.
1. Abre un correo electrónico con firma.
2. Pulsa o haz clic en el icono de firma digital del panel de lectura.
3. Pulsa en Instalar .
 Resumen de la guía de mitigación de robo de
credenciales de Windows
08/11/2022 • 2 minutes to read

En este tema se proporciona un resumen de la guía de mitigación de robo de credenciales de Windows, que se
puede descargar desde el Centro de descarga de Microsoft. En esta guía se explica cómo se producen los
ataques de robo de credenciales y las estrategias y contramedidas que puede implementar para mitigarlos,
siguiendo estas fases de seguridad:
Identificación de recursos de alto valor
Protección contra amenazas conocidas y desconocidas
Detección de ataques relacionados y pass-the-hash
Respuesta a actividades sospechosas
Recuperación de una infracción

Ataques que roban credenciales

Obtenga información sobre los diferentes tipos de ataques que se usan para robar credenciales y los factores
que pueden poner en riesgo su organización. Entre los tipos de ataques que se tratan se incluyen los siguientes:
Pasar el hash
Kerberos pasa el vale
Vale de oro de Kerberos y vale de plata
Registradores de pulsaciones de teclas
Surf en hombros

Estrategias de protección de credenciales

Esta parte de la guía le ayuda a tener en cuenta la mentalidad del atacante, con instrucciones prescriptivas sobre
cómo priorizar cuentas y equipos de alto valor. Aprenderá a diseñar una defensa contra el robo de credenciales:
Establecimiento de un modelo de contención para privilegios de cuenta
Protección y restricción de hosts administrativos
Asegúrese de que se implementan las configuraciones de seguridad y los procedimientos recomendados.

Contramedidas técnicas para el robo de credenciales

Los objetivos y los resultados esperados se cubren para cada una de estas contramedidas:
 Uso de Windows 10 con Credential Guard
Restricción y protección de cuentas de dominio con privilegios elevados
Restricción y protección de cuentas locales con privilegios administrativos
Restricción del tráfico de red entrante
También se tratan muchas otras contramedidas, como el uso de Microsoft Passport y Windows Hello, o la
autenticación multifactor.

Detección de ataques de credenciales

En esta sección se explica cómo detectar el uso de credenciales robadas y cómo recopilar eventos de equipo
para ayudarle a detectar el robo de credenciales.

Respuesta a actividades sospechosas

Obtenga información sobre las recomendaciones de Microsoft para responder a incidentes, incluido cómo
recuperar el control de las cuentas en peligro, cómo investigar ataques y cómo recuperarse de una infracción.
 Identidad y privacidad de Windows
08/11/2022 • 2 minutes to read

Los actores malintencionados lanzan millones de ataques de contraseña cada día. Las contraseñas débiles, la
difusión de contraseñas y la suplantación de identidad (phishing) son el punto de entrada para muchos ataques.
Saber que el usuario correcto está accediendo al dispositivo adecuado y los datos adecuados son fundamentales
para mantener su empresa, familia y sí mismo, seguros y seguros. Windows Hello, Windows Hello para
empresas y Credential Guard permiten a los clientes pasar a la autenticación multifactor (MFA) sin contraseña.
MFA puede reducir el riesgo de peligro en las organizaciones.

F UN C IO N A L IDA DES DE SEGURIDA D DESC RIP C IÓ N

Protección de la identidad de usuario con Windows Hello Windows Hello y Windows Hello para empresas reemplace la
autenticación basada en contraseñas por un modelo de
autenticación más seguro para iniciar sesión en el dispositivo
mediante un código de acceso (PIN) u otra autenticación
basada en biometría. Este PIN o autenticación basada en
biometría solo es válido en el dispositivo para el que lo
registró y no se puede usar en otro dispositivoAprendiza
más: Windows Hello para empresas

Windows Defender Credential Guard y Credential Guard Windows Defender Credential Guard ayuda a proteger los
remoto sistemas frente a técnicas de ataque de robo de credenciales
(pass-the-hash o pass-the-ticket), así como a evitar que el
malware acceda a los secretos del sistema incluso si el
proceso se ejecuta con privilegios de administrador. Windows
Defender Remote Credential Guard le ayuda a proteger sus
credenciales a través de una conexión de Escritorio remoto
redirigiendo las solicitudes Kerberos al dispositivo que
solicita la conexión. También proporciona experiencias de
inicio de sesión único para sesiones de Escritorio remoto.
Más información: Protección de credenciales de dominio
derivadas con Windows Defender Credential Guard y
Protección de credenciales de Escritorio remoto con
Windows Defender Remote Credential Guard

Alianza FIDO Los protocolos definidos por Fast Identity Online (FIDO) se
están convirtiendo en el estándar abierto para proporcionar
una autenticación segura que ayuda a evitar la suplantación
de identidad (phishing) y son fáciles de usar y respetan la
privacidad. Windows 11 admite el uso del inicio de sesión de
dispositivo con claves de seguridad FIDO 2 y, con Microsoft
Edge u otros exploradores modernos, admite el uso de
credenciales seguras respaldadas por FIDO para mantener
las cuentas de usuario protegidas. Obtenga más información
sobre fido alliance.
F UN C IO N A L IDA DES DE SEGURIDA D DESC RIP C IÓ N

Microsoft Authenticator La aplicación Microsoft Authenticator es un complemento

perfecto para ayudar a mantener la seguridad con Windows
11. Permite inicios de sesión fáciles y seguros para todas las
cuentas en línea mediante la autenticación multifactor, el
inicio de sesión de teléfono sin contraseña o el
autorrellenado de contraseñas. También tiene opciones de
administración de cuentas adicionales para sus cuentas
personales, profesionales o educativas de Microsoft.
Microsoft Authenticator se puede usar para configurar la
autenticación multifactor para los usuarios. Más información:
Habilite el inicio de sesión sin contraseña con la aplicación
Microsoft Authenticator.

Tarjetas inteligentes Las tarjetas inteligentes son dispositivos de almacenamiento

portátil resistentes a alteraciones que pueden mejorar la
seguridad de las tareas en Windows, como autenticar
clientes, firmar código, proteger el correo electrónico e iniciar
sesión con cuentas de dominio de Windows. Más
información sobre las tarjetas inteligentes.

Access Control El control de acceso es el proceso de autorizar a los usuarios,

grupos y equipos a acceder a objetos y recursos en una red
o equipo. Los equipos pueden controlar el uso de recursos
del sistema y de red a través de los mecanismos
interrelacionados de autenticación y autorización. Más
información: Access Control.
 Resumen de la guía de mitigación de robo de
credenciales de Windows
08/11/2022 • 2 minutes to read

En este tema se proporciona un resumen de la guía de mitigación de robo de credenciales de Windows, que se
puede descargar desde el Centro de descarga de Microsoft. En esta guía se explica cómo se producen los
ataques de robo de credenciales y las estrategias y contramedidas que puede implementar para mitigarlos,
siguiendo estas fases de seguridad:
Identificación de recursos de alto valor
Protección contra amenazas conocidas y desconocidas
Detección de ataques relacionados y pass-the-hash
Respuesta a actividades sospechosas
Recuperación de una infracción

Ataques que roban credenciales

Obtenga información sobre los diferentes tipos de ataques que se usan para robar credenciales y los factores
que pueden poner en riesgo su organización. Entre los tipos de ataques que se tratan se incluyen los siguientes:
Pasar el hash
Kerberos pasa el vale
Vale de oro de Kerberos y vale de plata
Registradores de pulsaciones de teclas
Surf en hombros

Estrategias de protección de credenciales

Esta parte de la guía le ayuda a tener en cuenta la mentalidad del atacante, con instrucciones prescriptivas sobre
cómo priorizar cuentas y equipos de alto valor. Aprenderá a diseñar una defensa contra el robo de credenciales:
Establecimiento de un modelo de contención para privilegios de cuenta
Protección y restricción de hosts administrativos
Asegúrese de que se implementan las configuraciones de seguridad y los procedimientos recomendados.

Contramedidas técnicas para el robo de credenciales

Los objetivos y los resultados esperados se cubren para cada una de estas contramedidas:
 Uso de Windows 10 con Credential Guard
Restricción y protección de cuentas de dominio con privilegios elevados
Restricción y protección de cuentas locales con privilegios administrativos
Restricción del tráfico de red entrante
También se tratan muchas otras contramedidas, como el uso de Microsoft Passport y Windows Hello, o la
autenticación multifactor.

Detección de ataques de credenciales

En esta sección se explica cómo detectar el uso de credenciales robadas y cómo recopilar eventos de equipo
para ayudarle a detectar el robo de credenciales.

Respuesta a actividades sospechosas

Obtenga información sobre las recomendaciones de Microsoft para responder a incidentes, incluido cómo
recuperar el control de las cuentas en peligro, cómo investigar ataques y cómo recuperarse de una infracción.
 Asignación de certificados de empresa
08/11/2022 • 14 minutes to read

El anclaje de certificados de empresa es una característica de Windows para recordar o anclar un certificado de
entidad de certificación o entidad final de emisión raíz a un nombre de dominio determinado. La asignación de
certificados de ayuda a reducir los ataques de tipo "Man in the middle" al permitirte proteger los nombres de
dominio internos contra certificados de encadenamiento o no deseados o contra certificados emitidos de forma
fraudulenta.

NOTE
Los nombres de dominio externo, donde entidad de certificación pública emite el certificado emitido para estos dominios,
no son ideales para la asignación de certificados de empresa.

Las API de certificados de Windows (CertVerifyCertificateChainPolicy y WinVerifyTrust) se actualizan para

comprobar si la cadena del sitio que autentica los servidores coincide con un conjunto restringido de
certificados. Estas restricciones se encapsulan en una lista de certificado de confianza (CTL) de reglas de
asignación, que está configurada e implementada en equipos con Windows10. Cualquier certificado de sitio que
desencadene una falta de coincidencia de nombres hace que Windows escriba un evento en el registro de
eventos CAPI2 e impide que el usuario navegue al sitio web mediante Microsoft Edge o Internet Explorer.

NOTE
El desencadenamiento de características de anclaje de certificados de empresa no hace que clientes que no sean Microsoft
Edge o Internet Explorer bloqueen la conexión.

Implementación
Para implementar la asignación de certificados de empresa, debes:
Crear un archivo XML de reglas de asignación de certificados con formato correcto.
Crear un archivo de lista de certificados de confianza de reglas de asignación a partir del archivo XML.
Aplicar el archivo de lista de certificados de confianza de reglas de asignación a un equipo administrador de
referencia.
Implementar la configuración del registro en el equipo de referencia mediante la Consola de administración
de directivas de grupo (GPMC), que se incluye en las Herramientas de administración remota del servidor
(RSAT).
Crear un archivo XML de las reglas de asignación
El archivo de reglas de asignación basado en XML consta de una secuencia de elementos PinRule. Cada
elemento PinRule contiene una secuencia de uno o más elementos Site y una secuencia de cero o más
elementos Certificate.
 <PinRules ListIdentifier="PinRulesExample" Duration="P28D">

<PinRule Name="AllCertificateAttributes" Error="None" Log="true">

<Certificate File="[Link]"/>
<Certificate File="Multiple.p7b"/>
<Certificate File="[Link]"/>
<Certificate Directory="Multiple"/>
<Certificate Base64="MIIBy … QFzuM"/>
<Certificate File="[Link]" EndDate="2015-05-12T[Link]Z"/>
<Site Domain="[Link]"/>
</PinRule>

<PinRule Name="MultipleSites" Log="false">

<Certificate File="[Link]"/>
<Site Domain="[Link]"/>
<Site Domain=".[Link]"/>
<Site Domain="*.[Link]" AllSubdomains="true"/>
<Site Domain="[Link]"/>
</PinRule>

</PinRules>

Elemento PinRules
El elemento PinRules puede tener los atributos siguientes. Para obtener ayuda con el formato de las reglas de
asignación, consulta Representar una fecha en XML o Representar una duración en XML.

AT RIB UTO DESC RIP C IÓ N REQ UERIDO

Duration o NextUpdate Especifica cuándo expirarán las reglas ¿Es obligatorio? Sí. Al menos uno es
de asignación. Uno es obligatoria. obligatorio.
NextUpdate tiene prioridad si se
especifican ambos.
La duración , representada como un
tipo de datos TimeSpan XML, no
permite años y meses. El atributo
NextUpdate se representa como un
tipo de datos DateTime XML en UTC.

LogDuration o LogEndDate Configura que la auditoría solo se No.

extenderá más allá de la expiración del
cumplimiento de las reglas de
asignación.
LogEndDate , declarado como una
tipo de datos XML DateTime en hora
UTC, tiene precedencia si se especifican
ambos.
Representa LogDuration como un
tipo de datos TimeSpan XML, lo que
no permite años y meses.
Si no se especifica ninguno de los
atributos, la auditoría de expiración usa
los atributos Duration o
NextUpdate .

ListIdentifier Proporciona un nombre descriptivo No.

para la lista de reglas de asignación.
Windows no usa este atributo para la
aplicación de anclaje de certificados; sin
embargo, se incluye cuando las reglas
de anclaje se convierten en una lista de
confianza de certificados (CTL).
Elemento PinRule
El elemento PinRule puede tener los atributos siguientes:

AT RIB UTO DESC RIP C IÓ N REQ UERIDO

Name Identifica la PinRule de manera Sí.

exclusiva. Windows usa este atributo
para identificar el elemento en caso de
un error de análisis o de una salida
detallada. El atributo no se incluye en
la lista de confianza de certificados
(CTL) generada.

Error Describe la acción que realiza Windows No.

cuando encuentra un error de
coincidencia de PIN. Puede elegir entre
los siguientes valores de cadena:
- Revoked : Windows denuncia el
certificado que protege el sitio como si
estuviera revocado. Normalmente esto
impide que el usuario acceda al sitio.
- InvalidName : Windows informa del
certificado que protege el sitio como si
el nombre del certificado no coincide
con el nombre del sitio. Normalmente
esto hace que se pregunte al usuario
antes de acceder al sitio.
- None : el valor predeterminado. No
se devuelve ningún error. Puedes usar
esta configuración para auditar las
reglas de asignación sin introducir
ninguna fricción con el usuario.

Log Un valor booleano representa una No.

cadena que es igual a true o false .
De manera predeterminada, el registro
está habilitado (true ).

Elemento Certificate
El elemento Cer tificate puede tener los atributos siguientes:

AT RIB UTO DESC RIP C IÓ N REQ UERIDO

Archivo Ruta de acceso a un archivo que Sí (Archivo, Directorio o Base64 deben

contiene uno o más certificados. estar presentes).
Donde los certificados pueden
codificarse como:
-.Certificado único
- p7b
- sst
Estos archivos también pueden tener
el formato Base64. Todos los
elementos Site que se incluyen en el
mismo elemento PinRule pueden
coincidir con cualquiera de estos
certificados.
 AT RIB UTO DESC RIP C IÓ N REQ UERIDO

Director y Ruta de acceso a un directorio que Sí (Archivo, Directorio o Base64 deben

contiene uno o varios de los archivos estar presentes).
de certificado anteriores. Omite los
archivos que no contienen ningún
certificado.

Base64 Certificados codificados con Base64. Sí (Archivo, Directorio o Base64 deben

Donde los certificados pueden estar presentes).
codificarse como:
-.Certificado único
- p7b
- sst
Esto permite incluir los certificados en
el archivo XML sin una dependencia
del directorio de archivos.
Nota:
Puedes usar cer tutil-encode para
convertir un archivo .cer en base64. A
continuación, puedes usar el Bloc de
notas para copiar el certificado
codificado en base64 y pegarlo en la
regla de asignación.

EndDate Te permite configurar una fecha de No.

expiración para cuando el certificado
ya no sea válido en la regla de
asignación.
Si estás en el proceso de cambiar a una
nueva entidad de certificación raíz,
puedes establecer EndDate para
permitir la coincidencia de certificados
de este elemento.
Si la hora actual supera endDate , al
crear la lista de confianza de
certificados (CTL), el analizador genera
un mensaje de advertencia y excluye
los certificados de la regla de pin en el
CTL generado.
Para obtener ayuda con el formato de
las reglas de asignación, consulta
Representar una fecha en XML.

Elemento Site
El elemento Site puede tener los atributos siguientes:

AT RIB UTO DESC RIP C IÓ N REQ UERIDO

 AT RIB UTO DESC RIP C IÓ N REQ UERIDO

Domain Contiene el nombre DNS que debe Sí.

coincidir para esta regla de asignación.
Al crear la lista de certificados de
confianza, el analizador normaliza el
valor de cadena de nombre de entrada
como sigue:
- Si el nombre DNS tiene un "*" inicial,
se quita.
- El nombre DNS no ASCII se convierte
en código puny ASCII.
- Los caracteres ASCII en mayúsculas
se convierten en minúsculas.
Si el nombre normalizado tiene un ".",
se habilita la coincidencia de etiquetas
con carácter comodín a la izquierda.
Por ejemplo, ".[Link]" coincidirá con
"[Link]".

AllSubdomains De forma predeterminada, la No.

coincidencia de etiquetas con
caracteres comodín de la izquierda está
restringida a una sola etiqueta
izquierda. Este atributo se puede
establecer en "true" para habilitar
comodines que coincidan con todas las
etiquetas izquierdas.
Por ejemplo, al establecer este atributo
también se hará que "[Link]"
coincida con el valor de dominio
".[Link]".

Crear una lista de certificados de confianza de reglas de asignación

La utilidad de línea de comandos, Cer [Link] , incluye el argumento generatePinRulesCTL para analizar el
archivo XML y generar la lista de certificados de confianza (CTL) codificada que agregas al equipo de referencia
con Windows10, versión1703 e implementaciones posteriores. La sintaxis de uso es:

CertUtil [Options] -generatePinRulesCTL XMLFile CTLFile [SSTFile]

Generate Pin Rules CTL
XMLFile -- input XML file to be parsed.
CTLFile -- output CTL file to be generated.
SSTFile -- optional .sst file to be created.
The .sst file contains all of the certificates
used for pinning.

Options:
-f -- Force overwrite
-v -- Verbose operation

Los mismos certificados pueden presentarse en varios elementos PinRule . El mismo dominio puede
presentarse en varios elementos PinRule . Certutil fusiona estos en la lista de certificados de confianza de reglas
de asignación resultante.
[Link] no aplica estrictamente la definición de esquema XML. Lleva a cabo lo siguiente para permitir que
otras herramientas agreguen o consuman sus propios elementos y atributos específicos:
Omite los elementos antes y después del elemento PinRules .
Omite cualquier elemento que no coincida con Cer tificate o Site dentro del elemento PinRules .
Omite los atributos que no coinciden con los nombres anteriores para cada tipo de elemento.
Usa el comando cer tutil con el argumento generatePinRulesCTL junto con el archivo XML que contiene tus
reglas de asignación de certificados. Por último, proporciona el nombre de un archivo de salida que incluya las
reglas de asignación de certificados en forma de una lista de certificados de confianza.

certutil -generatePinRulesCTL [Link] [Link]

Aplicar reglas de asignación de certificados a un equipo de referencia

Ahora que las reglas de asignación de certificados tienen el formato de lista de certificados de confianza, debes
aplicar la configuración a un equipo de referencia como requisito previo para implementar la configuración en
la empresa. Para simplificar la configuración de implementación, es mejor aplicar las reglas de anclaje de
certificados a un equipo que tenga la consola de administración de directiva de grupo (GPMC) incluida en las
Herramientas de administración remota del servidor (RSAT).
Usa cer [Link] para aplicar las reglas de asignación de certificados en el equipo de referencia con el
argumento setreg . El argumento setreg toma un argumento secundario que determina la ubicación de dónde
certutil escribe las reglas de asignación de certificados. Este argumento secundario es chain\PinRules . El
último argumento que proporcionas es el nombre de archivo que contiene tus reglas de asignación de
certificados en el formato de lista de certificados de confianza (.stl). El nombre del archivo se pasa como último
argumento; sin embargo, tienes que agregar un prefijo al nombre de archivo con el símbolo "@", tal como se
muestra en el siguiente ejemplo. Debes ejecutar este comando desde un símbolo del sistema con privilegios
elevados.

Certutil -setreg chain\PinRules @[Link]

Certutil escribe la información binaria en la ubicación del Registro siguiente:

N O M B RE VA LO R

Clave HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingTy
pe0\CertDllCreateCertificateChainEngine\Config

Nombre PinRules

Valor Contenido binario del archivo de lista de certificados de

confianza de las reglas de asignación de certificados

Tipo de datos REG_BINARY

 Implementar la configuración de regla de asignación de empresa mediante directiva de grupo
Has creado correctamente un archivo XML de reglas de asignación de certificados. Desde el archivo XML, ha
creado un archivo de lista de confianza de anclaje de certificados y ha aplicado el contenido de ese archivo al
equipo de referencia desde el que puede ejecutar la consola de administración de directiva de grupo. Ahora
tienes que configurar un objeto de directiva de grupo para incluir la configuración de reglas de asignación de
certificados aplicada e implementarla en tu entorno.
Inicia sesión en el equipo de referencia con credenciales equivalente a la de administrador de dominio.
1. Inicia la Consola de administración de directivas de grupo ([Link]).
2. En el panel de navegación, expande el nodo del bosque y luego expande el nodo de dominio.
3. Expanda el nodo que contiene el nombre de dominio de Active Directory.
4. Selecciona el nodo Objetos de directiva de grupo . Haz clic con el botón derecho en el nodo Objetos
de directiva de grupo y luego en Nuevo .
5. En el cuadro de diálogo Nuevo GPO , escribe Enterprise Certificate Pinning Rules en el cuadro de texto
Nombre y haz clic en Aceptar .
6. En el panel de contenido, haz clic en el objeto de directiva de grupo Enterprise Cer tificate Pinning
Rules y haz clic en Editar .
7. En el Editor de administración de directivas de grupo , en el panel de navegación, expande el nodo
Preferencias bajo Configuración del equipo . Expande Configuración de Windows .
8. Haz clic con el botón derecho en el nodo Registro y haz clic en Nuevo .
9. En el cuadro de diálogo Nuevas propiedades de Registro , selecciona Actualizar de la lista Acción .
Selecciona HKEY_LOCAL_MACHINE de la lista Subárbol .
10. Para la Ruta de la clave , haz clic en … para iniciar Explorador de elementos del Registro . Navega a
la siguiente clave de registro y selecciona el nombre del valor de registro PinRules :
HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType0\CertDllCreateCertificateChainEngine\Co
nfig
Haz clic en Seleccionar para cerrar el Explorador de elementos del Registro .
11. La Ruta de la clave debe contener la clave del Registro seleccionada. La configuración del Nombre del
valor debe contener el nombre del valor del registro PinRules . El Tipo de valor debe ser
REG_BINARY y los Datos del valor deben contener una serie larga de números del 0 al 9 y letras que
van de la A a la F (hexadecimal). Haz clic en Aceptar para guardar la configuración y cerrar el cuadro de
diálogo.

12. Cierra el Editor de administración de directivas de grupo para guardar la configuración.

13. Vincula el objeto de directiva de grupo Enterprise Cer tificate Pinning Rules para aplicar en los
equipos que ejecutan Windows10, versión1703 en tu empresa. Cuando estos equipos unidos a un
dominio aplican la directiva de grupo, la información del Registro configurada en el objeto de directiva de
grupo se aplica al equipo.

Registro de reglas de asignación adicionales

Para ayudar en la creación de reglas de asignación de certificados, puedes configurar la opción
PinRulesLogDir debajo de la clave del Registro de configuración de la cadena de certificados para incluir un
directorio principal para registrar las reglas de asignación.

N O M B RE VA LO R

Clave HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingTy
pe0\CertDllCreateCertificateChainEngine\Config

Nombre PinRulesLogDir

Valor El directorio principal donde Windows debe escribir los

registros de reglas de asignación adicionales

Tipo de datos REG_SZ

Permiso para la carpeta del registro de reglas de asignación

La carpeta en la que Windows escribe los registros de reglas de asignación adicionales debe tener permisos
para que todos los usuarios y aplicaciones tengan acceso completo. Puede ejecutar los siguientes comandos
desde un símbolo del sistema con privilegios elevados para lograr los permisos adecuados.

set PinRulesLogDir=c:\PinRulesLog
mkdir %PinRulesLogDir%
icacls %PinRulesLogDir% /grant *S-1-15-2-1:(OI)(CI)(F)
icacls %PinRulesLogDir% /grant *S-1-1-0:(OI)(CI)(F)
icacls %PinRulesLogDir% /grant *S-1-5-12:(OI)(CI)(F)
icacls %PinRulesLogDir% /inheritance:e /setintegritylevel (OI)(CI)L

Siempre que una aplicación comprueba una cadena de certificados TLS/SSL que contiene un nombre de
servidor que coinciden con un nombre DNS en el certificado del servidor, Windows escribe un archivo. p7b, que
consta de todos los certificados de cadena del servidor, en una de tres carpetas secundarias:
AdminPinRules: coincide con un sitio en las reglas de asignación de certificados de la empresa.
AutoUpdatePinRules: coincide con un sitio en las reglas de asignación de certificados administradas por
Microsoft.
NoPinRules: no coincide con ningún sitio en las reglas de asignación de certificados.
El nombre del archivo de salida consta de los ocho dígitos hexadecimales ASCII iniciales de la huella digital
SHA1 de la raíz seguidos del nombre del servidor. Por ejemplo:
D4DE20D0_xsi.[Link].p7b
DE28F4A4_www.[Link].p7b

Si hay una regla de pin de certificado empresarial o una regla de pin de certificado de Microsoft que no
coincide, Windows escribe el archivo .p7b en la carpeta secundaria MismatchPinRules . Si expiraron las reglas
de asignación, Windows escribe el archivo. p7b en la carpeta secundaria ExpiredPinRules .

Representar una fecha en XML

Muchos atributos dentro del archivo XML de las reglas de asignación son fechas.
Estas fechas deben tener el formato correcto y estar representadas en hora UTC.
Puedes usar Windows PowerShell para dar formato a estas fechas.
Luego puedes copiar la salida del cmdlet y pegarla en el archivo XML.

Por cuestiones de simplicidad, puedes truncar el punto decimal (.) y los números de después de él. Sin embargo,
asegúrate de anexar la "Z" mayúscula al final de la cadena de fecha XML.

2015-05-11T[Link].2655691Z
2015-05-11T[Link]Z

Convertir una fecha XML

También puede usar Windows PowerShell para validar y convertir una fecha XML en una fecha legible humana
para validar que es la fecha correcta.
Representar una duración en XML
Algunos elementos pueden configurarse para usar una duración, en lugar de una fecha. Debes representar la
duración como un tipo de datos TimeSpan XML. Puedes usar Windows PowerShell para dar formato y validar
correctamente las duraciones (TimeSpan), copiarlas y pegarlas en el archivo XML.

Convertir una duración XML

Puede convertir un intervalo de tiempo con formato XML en una variable de intervalo de tiempo que pueda leer.
Definición de esquema XML (XSD) de lista de certificados de
confianza
<xs:schema attributeFormDefault="unqualified" elementFormDefault="qualified"
xmlns:xs="[Link]
<xs:element name="PinRules">
<xs:complexType>
<xs:sequence>
<xs:element name="PinRule" maxOccurs="unbounded" minOccurs="1">
<xs:complexType>
<xs:sequence>
<xs:element name="Certificate" maxOccurs="unbounded" minOccurs="0">
<xs:complexType>
<xs:simpleContent>
<xs:extension base="xs:string">
<xs:attribute type="xs:dateTime" name="EndDate" use="optional"/>
<xs:attribute type="xs:string" name="File" use="optional"/>
<xs:attribute type="xs:string" name="Directory" use="optional"/>
<xs:attribute type="xs:base64Binary" name="Base64" use="optional"/>
</xs:extension>
</xs:simpleContent>
</xs:complexType>
</xs:element>
<xs:element name="Site" maxOccurs="unbounded" minOccurs="1">
<xs:complexType>
<xs:simpleContent>
<xs:extension base="xs:string">
<xs:attribute type="xs:string" name="Domain"/>
<xs:attribute type="xs:boolean" name="AllSubdomains" use="optional" default="false"/>
</xs:extension>
</xs:simpleContent>
</xs:complexType>
</xs:element>
</xs:sequence>
<xs:attribute type="xs:string" name="Name"/>
<xs:attribute name="Error" use="optional" default="None">
<xs:simpleType>
<xs:restriction base="xs:string">
<xs:enumeration value ="Revoked"/>
<xs:enumeration value ="InvalidName"/>
<xs:enumeration value ="None"/>
</xs:restriction>
</xs:simpleType>
</xs:attribute>
<xs:attribute type="xs:boolean" name="Log" use="optional" default="true"/>
</xs:complexType>
</xs:element>
</xs:sequence>
<xs:attribute type="xs:duration" name="Duration" use="optional"/>
<xs:attribute type="xs:duration" name="LogDuration" use="optional"/>
<xs:attribute type="xs:dateTime" name="NextUpdate" use="optional"/>
<xs:attribute type="xs:dateTime" name="LogEndDate" use="optional"/>
<xs:attribute type="xs:string" name="ListIdentifier" use="optional"/>
</xs:complexType>
</xs:element>
</xs:schema>
 Proteger las credenciales de dominio derivadas con
Credential Guard de Windows Defender
08/11/2022 • 2 minutes to read

Windows Defender Credential Guard usa la seguridad basada en virtualización para aislar los secretos de modo
que solo el software del sistema con privilegios pueda acceder a ellos. El acceso no autorizado a estos secretos
puede derivar en ataques de robo de credenciales, como ataques pass-the-hash o pass-the-ticket. Credential
Guard de Windows Defender impide estos ataques mediante la protección de los hash de contraseña NTLM, los
vales de concesión de vales de Kerberos y las credenciales que almacenan las aplicaciones como credenciales de
dominio.
Al habilitar Credential Guard de Windows Defender, se proporcionan las siguientes características y soluciones:
Seguridad de hardware NTLM, Kerberos y el Administrador de credenciales usan las características de
seguridad de plataforma, como el arranque seguro y la virtualización, para proteger las credenciales.
Seguridad basada en la vir tualización Windows NTLM, las credenciales derivadas de Kerberos y otros
secretos se ejecutan en un entorno protegido que está aislado del sistema operativo en ejecución.
Mejor protección contra las amenazas persistentes avanzadas Cuando se protegen las credenciales
de dominio del Administrador de credenciales, NTLM y las credenciales derivadas de Kerberos mediante
seguridad basada en virtualización, las herramientas y técnicas de ataque de robo de credenciales que se
usan en muchos ataques dirigidos se bloquean. Con la ejecución de malware en el sistema operativo con
privilegios administrativos no se pueden extraer secretos que están protegidos con la seguridad basada en la
virtualización. Aunque Windows Defender Credential Guard es una mitigación eficaz, es probable que los
ataques de amenazas persistentes cambien a nuevas técnicas de ataque y también debe incorporar otras
estrategias y arquitecturas de seguridad.

Temas relacionados
Protección de contraseñas de red con Credential Guard de Windows Defender
Habilitación de la validación KDC estricta en Windows Kerberos
Novedades en la autenticación Kerberos para Windows Server 2012
Comprobación del mecanismo de autenticación de AD DS en la Guía paso a paso de Windows Server 2008
R2
Módulo de plataforma segura
Mitigación del robo de credenciales mediante el modo de usuario aislado Windows 10
Procesos y características del modo de usuario aislado en Windows 10 con Logan Gabriel
Más información sobre procesos y características en Windows 10 modo de usuario aislado con Dave Probert
Modo de usuario aislado en Windows 10 con Dave Probert
Windows 10 modo seguro virtual con David Hepkin
 Cómo funciona Credential Guard de Windows
Defender
08/11/2022 • 2 minutes to read

Kerberos, NTLM y el Administrador de credenciales aíslan secretos mediante la seguridad basada en

virtualización. Las versiones anteriores de Windows almacenaban secretos en la Autoridad de seguridad local
(LSA). Antes de Windows 10, la LSA almacenaba los secretos que usaba el sistema operativo en la memoria del
proceso. Con Credential Guard de Windows Defender habilitado, el proceso de LSA en el sistema operativo se
comunica con un nuevo componente denominado proceso LSA aislado que almacena y protege estos secretos.
Los datos almacenados por el proceso LSA aislado están protegidos mediante la seguridad basada en
virtualización y no son accesibles para el resto del sistema operativo. LSA usa llamadas a procedimiento remoto
para comunicarse con el proceso LSA aislado.
Por motivos de seguridad, el proceso LSA aislado no hospeda ningún controlador de dispositivo. En su lugar,
solo hospeda un pequeño subconjunto de binarios del sistema operativo que solo son necesarios para la
seguridad. Todos estos binarios se firman con un certificado de confianza de la seguridad basada en la
virtualización y estas firmas se validan antes de iniciar el archivo en el entorno protegido.
Cuando Windows Defender Credential Guard está habilitado, NTLMv1, MS-CHAPv2, Digest y CredSSP no
pueden usar las credenciales de sesión iniciadas. Por lo tanto, el inicio de sesión único no funciona con estos
protocolos. Sin embargo, las aplicaciones pueden solicitar credenciales o usar credenciales almacenadas en el
almacén de Windows, que no están protegidas por Windows Defender Credential Guard con ninguno de estos
protocolos. Se recomienda que las credenciales valiosas, como las credenciales de inicio de sesión, no se usen
con ninguno de estos protocolos. Si los usuarios del dominio o Azure AD deben usar estos protocolos, se deben
proporcionar credenciales secundarias para estos casos.
Cuando Windows Defender Credential Guard está habilitado, Kerberos no permite la delegación de Kerberos sin
restricciones ni el cifrado DES, no solo para las credenciales iniciadas, sino también para las credenciales que se
han pedido o guardado.
Esta es una introducción de alto nivel sobre cómo el LSA se aísla mediante la seguridad basada en virtualización:

Ver también
Vídeos relacionados
¿Qué es la seguridad basada en virtualización?
 Requisitos de Credential Guard de Windows
Defender
08/11/2022 • 10 minutes to read

Para que Windows Defender Credential Guard proporcione protección, los equipos que protege deben cumplir
ciertos requisitos de hardware, firmware y software de línea base, a los que se referirá como Requisitos de
hardware y software. Además, Credential Guard de Windows Defender bloquea determinadas funcionalidades
de autenticación, así que las aplicaciones que requieran funcionalidades bloqueadas no funcionarán. Nos
referiremos a estos requisitos como Requisitos de la aplicación. Más allá de estos requisitos, los equipos pueden
cumplir las calificaciones de hardware y firmware adicionales, y recibir protecciones adicionales. Los equipos
estarán más reforzados frente a determinadas amenazas. Para obtener información detallada sobre las
protecciones de línea base, además de protecciones para mejorar la seguridad que están asociadas a las
opciones de hardware y firmware disponibles en 2015, 2016 y 2017, consulta las tablas de Consideraciones de
seguridad.

Requisitos de hardware y software

Para proporcionar protección básica contra intentos de nivel de sistema operativo para leer credenciales de
dominio de Credential Manager, NTLM y credenciales derivadas de Kerberos, Credential Guard de Windows
Defender usa:
Compatibilidad con seguridad basada en virtualización (obligatoria)
Arranque seguro (obligatorio)
Se admiten las versiones 1.2 y 2.0 del módulo de plataforma segura (TPM, preferido): proporciona enlace a
hardware, ya sea discreto o firmware.
Bloqueo UEFI (preferido: impide que el atacante deshabilite opciones con un sencillo cambio de clave del
Registro)
La seguridad basada en virtualización requiere:
CPU de 64 bits
Extensiones de virtualización de CPU, además de tablas de páginas extendidas
Hipervisor de Windows (no requiere que se instale la característica de Windows de Hyper-V)
Implementación de Credential Guard de Windows Defender en máquinas virtuales
Credential Guard puede proteger información confidencial en una máquina virtual de Hyper-V, tal como lo haría
en una máquina física. Cuando se implemente Credential Guard en una máquina virtual, los secretos protegen
de ataques dentro de la máquina virtual. Credential Guard no proporciona protección adicional contra ataques
de sistema con privilegios originados desde el host.
Requisitos para ejecutar Credential Guard de Windows Defender en máquinas virtuales Hyper-V
El host de Hyper-V debe tener una IOMMU y ejecutar al menos Windows Server 2016 o Windows 10 versión
1607.
La máquina virtual Hyper-V debe ser de generación 2, tener un TPM virtual habilitado y ejecutar Windows
Server 2016 o Windows 10 como mínimo.
TPM no es un requisito, pero se recomienda implementar TPM.
Para obtener información sobre otras plataformas host, consulte Habilitación de Windows Server 2016 y
características de seguridad basadas en virtualización de Hyper-V en otras plataformas.
Para obtener información sobre Windows Defender requisitos de hardware y software de Remote Credential
Guard, consulte Windows Defender requisitos de Remote Credential Guard.

Requisitos de aplicaciones
Cuando se habilita Credential Guard de Windows Defender, se bloquean las funcionalidades de autenticación
específicas, así que las aplicaciones que requieran funcionalidades bloqueadas no funcionarán. Las aplicaciones
deben probarse antes de la implementación para garantizar la compatibilidad con la funcionalidad reducida.

WARNING
No se recomienda habilitar Windows Defender Credential Guard en controladores de dominio en este momento.
Windows Defender Credential Guard no proporciona seguridad adicional a los controladores de dominio y puede
provocar problemas de compatibilidad de aplicaciones en los controladores de dominio.

NOTE
Credential Guard de Windows Defender no proporciona protección para la base de datos de Active Directory ni el
Administrador de cuentas de seguridad (SAM). Las credenciales protegidas por Kerberos y NTLM cuando se habilita
Credential Guard de Windows Defender también están en la base de datos de Active Directory (en los controladores de
dominio) y en SAM (para las cuentas locales).

Las aplicaciones se interrumpirán si necesitan:

Compatibilidad con el cifrado DES de Kerberos
Delegación de Kerberos sin restricciones
Extraer TGT de Kerberos
NTLMv1
Las aplicaciones pedirán credenciales y las expondrán a riesgos si requieren:
Autenticación implícita
Delegación de credenciales
MS-CHAPv2
Las aplicaciones pueden provocar problemas de rendimiento al intentar enlazar el proceso de Credential Guard
de Windows Defender aislado.
Los servicios o protocolos que dependen de Kerberos, tales como recursos compartidos de archivos, escritorio
remoto o BranchCache, siguen funcionando y no se han visto afectados por Credential Guard de Windows
Defender.

Consideraciones sobre seguridad

Todos los equipos que cumplen las protecciones de línea base para el hardware, el firmware y el software
pueden usar Credential Guard de Windows Defender. Los equipos que cumplen las calificaciones adicionales
pueden proporcionar protección adicional para reducir aún más la superficie de ataque. En las siguientes tablas
se describen las protecciones de línea base, además de protecciones para mejorar la seguridad asociadas con
opciones de hardware y firmware disponibles en 2015, 2016 y 2017.
 NOTE
A partir de Windows10, versión1607, el Módulo de plataforma segura (TPM2.0) debe estar habilitado de manera
predeterminada en equipos nuevos.
Si es un OEM, consulte Requisitos de OEM de PC para Windows Defender Credential Guard.

Protecciones de línea de base

P ROT EC C IO N ES DE L ÍN EA DE B A SE DESC RIP C IÓ N B EN EF IC IO S DE SEGURIDA D

Hardware: CPU de 64 bits Es necesario un equipo de 64 bits para

que el hipervisor de Windows pueda
proporcionar VBS.

Hardware: extensiones de Requisitos : VBS proporciona aislamiento del kernel

vir tualización de CPU , además de - Estas características de hardware son seguro desde el sistema operativo
tablas de páginas extendidas necesarias para VBS: una de las normal.
siguientes extensiones de
virtualización: - VT-x (Intel) o - AMD-V Gracias a este aislamiento, no es
And: - Tablas de páginas extendidas, posible aprovechar las vulnerabilidades
también denominadas traducción de de día 0 ni otras vulnerabilidades en el
direcciones de segundo nivel (SLAT). sistema operativo normal.

Hardware: módulo de plataforma Requisito : Un TPM proporciona protección para

segura (TPM) - TPM 1.2 o TPM 2.0, ya sea discreto o las claves de cifrado de VBS que se
firmware. Recomendaciones para el almacenan en el firmware. TPM ayuda
TPM a protegerse frente a ataques que
implican a un usuario físicamente
presente con acceso al BIOS.

Firmware: firmware de UEFI Requisitos : El arranque seguro de UEFI ayuda a

versión 2.3.1.c o posteriores con - Consulte el siguiente requisito del garantizar que el dispositivo arranque
arranque seguro de UEFI Programa de compatibilidad de solo código autorizado y puede
hardware de Windows: impedir que los kits de arranque y los
[Link] kits raíz se instalen y persistan en los
cureBoot reinicios.

Firmware: proceso de actualización Requisitos : El firmware de UEFI, como el software,

de firmware seguro - El firmware UEFI debe admitir la puede tener vulnerabilidades de
actualización de firmware segura que seguridad a las que se debe aplicar
se encuentra en el siguiente requisito parches mediante actualizaciones de
del Programa de compatibilidad de firmware. La aplicación de revisiones
hardware de Windows: ayuda a impedir la instalación de
[Link] rootkits.
cureBoot.

Software: sistema operativo Requisito : Compatibilidad con VBS y con las

Windows calificado - Al menos Windows 10 Enterprise, características de administración que
Windows 10 Education o Windows simplifican la configuración de
Server 2016. Credential Guard de Windows
Defender.

IMPORTANT
En las tablas siguientes se enumeran calificaciones adicionales para mejorar la seguridad. Sin embargo, te recomendamos
encarecidamente cumplir los requisitos para mejorar la seguridad y reforzar significativamente el nivel de seguridad que
Credential Guard de Windows Defender puede ofrecerte.
Calificaciones de seguridad adicionales de 2015 a partir de Windows 10, versión 1507 y Windows Server 2016
Technical Preview 4
P ROT EC C IO N ES PA RA UN A SEGURIDA D M E JO RA DA DESC RIP C IÓ N

Hardware: IOMMU (unidad de administración de memoria Requisito :

de entrada y salida) - VT-D o AMD Vi IOMMU

Ventajas de seguridad :
- Una IOMMU puede mejorar la resistencia del sistema
frente a ataques de memoria. Para obtener más información,
vea Tablas de descripción de Advanced Configuration and
Power Interface (ACPI)

Firmware: administración y configuración del Requisitos :

arranque seguro - Una contraseña del BIOS o una autenticación más sólida
deben ser compatibles.
- Debe establecerse la autenticación del BIOS en la
configuración del BIOS.
- La opción protegida de BIOS debe ser compatible para
configurar la lista de dispositivos de arranque permitidos
(por ejemplo, "Arranque solo desde el disco duro interno") y
el orden de arranque de dispositivo, reemplazando la
modificación BOOTORDER realizada por el sistema operativo.
- En la configuración del BIOS, las opciones de BIOS
relacionadas con opciones de arranque y seguridad (lista de
dispositivos de arranque permitidos, orden de arranque)
deben estar protegidas para impedir que se inicien otros
sistemas operativos y para evitar cambios en la
configuración del BIOS.

Firmware: Secure MOR, implementación de revisión 2 Requisito :

- Protección de MOR, implementación de revisión 2

Calificaciones de seguridad adicionales de 2016 a partir de Windows 10, versión 1607 y Windows Server 2016

IMPORTANT
En las tablas siguientes se enumeran calificaciones adicionales para mejorar la seguridad. Los sistemas que cumplan estas
calificaciones adicionales pueden proporcionar más protecciones.

P ROT EC C IO N ES PA RA UN A
SEGURIDA D M E JO RA DA DESC RIP C IÓ N VEN TA JA S DE SEGURIDA D

Firmware: arranque seguro de la Requisitos : La integridad del arranque (arranque

plataforma de confianza de raíz - Se debe admitir la integridad de seguro de plataforma) desde el
de hardware arranque (arranque seguro de la encendido proporciona protección
plataforma). Consulta los requisitos del contra los atacantes físicamente
Programa de compatibilidad de presentes y una defensa exhaustiva
hardware con Windows en contra el malware.
[Link] - HSTI proporciona una garantía de
[Link] seguridad adicional de placas
- Es necesario implementar la interfaz correctamente protegido y la
de prueba de seguridad de hardware plataforma.
(HSTI). Consulta Hardware Security
Testability Specification (Especificación
de prueba de seguridad de hardware).
 P ROT EC C IO N ES PA RA UN A
SEGURIDA D M E JO RA DA DESC RIP C IÓ N VEN TA JA S DE SEGURIDA D

Firmware: actualización de Requisitos : Ayuda a garantizar que las

firmware mediante Windows - El firmware debe admitir actualizaciones de firmware sean
Update actualizaciones de campo a través de rápidas, seguras y fiables.
Windows Update y actualización de
encapsulación UEFI.

Firmware: administración y Requisitos : - Las empresas pueden permitir que se

configuración del arranque - Funcionalidades de BIOS obligatorias: ejecuten controladores o aplicaciones
seguro capacidad de OEM para agregar ISV, propietarios de EFI.
OEM o el certificado de empresa en la - Al quitar Microsoft UEFI CA de la
base de datos de arranque seguro en base de datos de arranque seguro, las
el momento de la fabricación. empresas tienen el control total sobre
- Configuraciones necesarias: es el software que se ejecuta antes de
necesario quitar Microsoft UEFI CA de arrancar el sistema operativo.
la base de datos de arranque seguro.
Se permite la compatibilidad con
módulos UEFI de terceros, pero debe
aprovechar los certificados
proporcionados por ISV o un
certificado de OEM para el software
específico de UEFI.

Calificaciones de seguridad adicionales de 2017 a partir de Windows 10, versión 1703

En la siguiente tabla se enumeran las calificaciones para Windows10, versión1703, que son complementarios a
todas las calificaciones anteriores.

P ROT EC C IO N ES PA RA UN A
SEGURIDA D M E JO RA DA DESC RIP C IÓ N VEN TA JA S DE SEGURIDA D
P ROT EC C IO N ES PA RA UN A
SEGURIDA D M E JO RA DA DESC RIP C IÓ N VEN TA JA S DE SEGURIDA D

Firmware: habilitación de VBS de la Requisitos : Las vulnerabilidades en tiempo de

protección de No-Execute (NX) - VBS habilitará la protección nx en el ejecución de UEFI, si las hubiera, se
para los ser vicios en tiempo de código del servicio en tiempo de bloquearán para poner en peligro VBS
ejecución de UEFI ejecución UEFI y las regiones de (por ejemplo, en funciones como
memoria de datos. El código de UpdateCapsule y SetVariable)
servicio en tiempo de ejecución de - Reduce la superficie expuesta a
UEFI debe admitir la protección de ataques a VBS desde el firmware del
páginas de solo lectura, y los datos del sistema.
servicio en tiempo de ejecución de
UEFI no deben ser ejecutables. El
servicio en tiempo de ejecución UEFI
debe cumplir estos requisitos:
- Implementar UEFI 2.6
EFI_MEMORY_ATTRIBUTES_TABLE. En
esta tabla se debe describir toda la
memoria del servicio en tiempo de
ejecución de UEFI (código y datos).
- Las secciones pe deben estar
alineadas en la página en la memoria
(no es necesario para en el
almacenamiento no volátil).
- La tabla de atributos de memoria
debe marcar correctamente el código y
los datos como RO/NX para la
configuración por parte del sistema
operativo:
- Todas las entradas tienen que incluir
atributos EFI_MEMORY_RO o
EFI_MEMORY_XP, o ambos.
- No se puede dejar ninguna entrada
sin al menos uno de los atributos
anteriores, que indican que la memoria
es ejecutable y grabable. La memoria
debe ser legible y ejecutable o
grabable y no ejecutable.
(CONSULTE INFORMACIÓN
IMPORTANTE DESPUÉS DE ESTA
TABL A )

Firmware: compatibilidad de Requisitos : - Protege contra posibles

firmware para la protección de - La especificación tabla de vulnerabilidades en los servicios en
SMM mitigaciones de seguridad de Windows tiempo de ejecución de UEFI, si existen,
SMM (WSMT) contiene detalles de una se bloqueará para poner en peligro
tabla ACPI que se creó para su uso con VBS (por ejemplo, en funciones como
sistemas operativos Windows que UpdateCapsule y SetVariable)
admiten características de seguridad - Reduce la superficie expuesta a
basada en virtualización de Windows ataques a VBS desde el firmware del
(VBS). sistema.
- Bloquea ataques de seguridad
adicionales contra SMM.
IMPORTANT
Con respecto a la habilitación de VBS de la protección NX para los ser vicios en tiempo de ejecución UEFI :
Esto solo se aplica a la memoria del servicio en tiempo de ejecución UEFI y no a la memoria del servicio de
arranque UEFI.
VBS aplica esta protección en las tablas de páginas del sistema operativo.
Además, tenga en cuenta lo siguiente:
No use secciones que sean grabables y ejecutables.
No intente modificar directamente la memoria del sistema ejecutable
No usar código dinámico
 Administrar Credential Guard de Windows
Defender
08/11/2022 • 14 minutes to read

Habilitación predeterminada
A partir de Windows 11 Empresas, versión 22H2 y Windows 11 Educación, versión 22H2 , los sistemas
compatibles tienen Windows Defender Credential Guard activado de forma predeterminada. Esta característica
cambia el estado predeterminado de la característica en Windows, aunque los administradores del sistema
todavía pueden modificar este estado de habilitación. Windows Defender Credential Guard todavía se puede
habilitar o deshabilitar manualmente a través de los métodos que se documentan a continuación.
Requisitos para la habilitación automática
Windows Defender Credential Guard se habilitará de forma predeterminada cuando un equipo cumpla los
siguientes requisitos mínimos:

C O M P O N EN T E REQ UISITO S

Sistema operativo Windows 11 Empresas, versión 22H2 o Windows 11

Educación, versión 22H2

Requisitos de Credential Guard Windows Defender existentes Solo los dispositivos que cumplan los requisitos de hardware
y software existentes para ejecutar Windows Defender
Credential Guard lo tendrán habilitado de forma
predeterminada.

Requisitos de seguridad basada en virtualización (VBS) VBS debe estar habilitado para ejecutar Windows Defender
Credential Guard. A partir de Windows 11 Empresas 22H2 y
Windows 11 Educación 22H2, los dispositivos que cumplan
los requisitos para ejecutar Windows Defender Credential
Guard, así como los requisitos mínimos para habilitar VBS
tendrán habilitados Windows Defender Credential Guard y
VBS. Predeterminado.

NOTE
Si Windows Defender Credential Guard o VBS se ha deshabilitado previamente explícitamente, la habilitación
predeterminada no sobrescribirá esta configuración.
 NOTE
Los dispositivos que ejecutan Windows 11 Pro 22H2 pueden tener Virtualization-Based Security (VBS) o Windows
Defender Credential Guard habilitados automáticamente si cumplen los otros requisitos de habilitación predeterminada
enumerados anteriormente y han ejecutado previamente Windows Defender Credential Guard (por ejemplo, si Windows
Defender Credential Guard se estaba ejecutando en un dispositivo Enterprise que más tarde se rebajó a Pro).
Para determinar si el dispositivo Pro está en este estado, compruebe si la clave IsolatedCredentialsRootSecret del
Registro está presente en Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0 . En este
escenario, si desea deshabilitar VBS y Windows Defender Credential Guard, siga las instrucciones para deshabilitar
Virtualization-Based Security. Si desea deshabilitar solo Windows Defender Credential Guard sin deshabilitar
Virtualization-Based Security, use los procedimientos para deshabilitar Windows Defender Credential Guard.

Habilitar Credential Guard de Windows Defender

Windows Defender Credential Guard se puede habilitar mediante directiva de grupo, el registro o la integridad
de código protegido por hipervisor (HVCI) y Windows Defender herramienta de preparación de hardware de
Credential Guard. Credential Guard de Windows Defender puede proteger información confidencial en una
máquina virtual de Hyper-V, tal como lo haría en una máquina física. El mismo conjunto de procedimientos que
se utilizan para habilitar Credential Guard de Windows Defender en máquinas físicas también se aplica a
máquinas virtuales.

NOTE
No se admiten Credential Guard ni Device Guard cuando se usan máquinas virtuales de Azure Gen1. Estas opciones solo
están disponibles con máquinas virtuales gen 2.

Habilitar Credential Guard de Windows Defender con una directiva de grupo

Puedes usar directivas de grupo para habilitar Credential Guard de Windows Defender. Cuando esté habilitado,
agregará y habilitará las características de seguridad basadas en virtualización si es necesario.
1. En la consola de administración de directiva de grupo, vaya a Configuración > del equipoPlantillas >
administrativasSystem > Device Guard .
2. Seleccione Activar seguridad basada en vir tualización y, a continuación, seleccione la opción
Habilitado .
3. En el cuadro Selecciona el nivel de seguridad de la plataforma , elige Arranque seguro o
Protección de DMA y arranque seguro .
4. En el cuadro Configuración de Credential Guard , seleccione Habilitado con bloqueo UEFI . Si
quieres poder desactivar Credential Guard de Windows Defender de forma remota, elige Habilitar sin
bloqueo .
5. En el cuadro Configuración de inicio seguro , elija No configurado , Habilitado o Deshabilitado .
Para obtener más información, consulte Protección del sistema Protección de SMM y inicio seguro.
6. Seleccione Aceptar y cierre la consola de administración de directiva de grupo.
Para aplicar el procesamiento de la directiva de grupo, puedes ejecutar gpupdate /force .
Habilitar Windows Defender Credential Guard mediante Microsoft Intune
1. En el Centro de administración de Endpoint Manager, seleccione Dispositivos .
2. Seleccione Perfiles de configuración .
3. Seleccione Crear perfil > Windows 10 y versiones posteriores > Crear catálogo > de
configuración .
a. Configuración: en el selector de configuración, seleccione Device Guard como categoría y agregue la
configuración necesaria.

NOTE
Habilite VBS y arranque seguro y puede hacerlo con o sin bloqueo UEFI. Si tendrá que deshabilitar Credential Guard de
forma remota, debe habilitarlo sin bloqueo UEFI.

TIP
También puede configurar Credential Guard mediante un perfil de protección de cuenta en la seguridad del punto de
conexión. Para obtener más información, consulte Configuración de directivas de protección de cuentas para la seguridad
de los puntos de conexión en Microsoft Intune.

Habilitar Credential Guard de Windows Defender mediante el registro

Si no usas una directiva de grupo, puedes habilitar Credential Guard de Windows Defender mediante el
Registro. Windows Defender Credential Guard usa características de seguridad basadas en virtualización que
deben habilitarse primero en algunos sistemas operativos.
Agregar las características de seguridad basada en la virtualización
A partir de Windows 10, versión 1607 y Windows Server 2016, no es necesario habilitar las características de
Windows para usar la seguridad basada en virtualización y se puede omitir este paso.
Si usa Windows 10, versión 1507 (RTM) o Windows 10, versión 1511, las características de Windows deben
estar habilitadas para usar la seguridad basada en virtualización. Para habilitarlo, use el Panel de control o la
herramienta de administración y mantenimiento de imágenes de implementación (DISM).

NOTE
Si habilitas Credential Guard de Windows Defender mediante la directiva de grupo, no se requieren los pasos para
habilitar las características de Windows a través del Panel de Control o DISM. La directiva de grupo instalará para ti las
características de Windows.

A g r e g a r l a s c a r a c t e r í st i c a s d e se g u r i d a d b a sa d a e n l a v i r t u a l i z a c i ó n m e d i a n t e P r o g r a m a s y c a r a c t e r í st i c a s

1. Abre el panel de control Programas y características.

2. Seleccione Activar o desactivar la característica de Windows .
3. Vaya a Hyper-V > Hyper-V Platform y, a continuación, active la casilla Hyper-V Hyper visor .
4. Selecciona la casilla Modo de usuario aislado en el nivel superior de la selección de características.
5. Seleccione Aceptar .
A g r e g a r l a s c a r a c t e r í st i c a s d e se g u r i d a d b a sa d a e n l a v i r t u a l i z a c i ó n a u n a i m a g e n si n c o n e x i ó n m e d i a n t e D I SM

1. Abre un símbolo del sistema con privilegios elevados.

2. Agrega el hipervisor Hyper-V ejecutando el siguiente comando:

dism /image:<WIM file name> /Enable-Feature /FeatureName:Microsoft-Hyper-V-Hypervisor /all

3. Para agregar la característica Modo de usuario aislado, ejecuta el siguiente comando:

dism /image:<WIM file name> /Enable-Feature /FeatureName:IsolatedUserMode

NOTE
En Windows 10, versión 1607 y posteriores, la característica Modo de usuario aislado se ha integrado en el
sistema operativo principal. Por lo tanto, ya no es necesario ejecutar el comando en el paso 3 anterior.

TIP
También puedes agregar estas características a una imagen en línea con DISM o Configuration Manager.

Habilitar la seguridad basada en virtualización y Credential Guard de Windows Defender

1. Abre el Editor del Registro.
2. Habilitar la seguridad basada en la virtualización:
a. Vaya a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard .
 b. Agrega un nuevo valor DWORD denominado EnableVir tualizationBasedSecurity . Establece el
valor de esta configuración del registro en 1 para habilitar la seguridad basada en la virtualización
y establécelo en 0 para deshabilitarla.
c. Agrega un nuevo valor DWORD denominado RequirePlatformSecurityFeatures . Establece el
valor de esta configuración del Registro en 1 para que solo use la opción Arranque seguro o
establécelo en 3 para que use Protección de DMA y arranque seguro .
3. Habilitar Credential Guard de Windows Defender:
a. Vaya a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa .
b. Agrega un nuevo valor DWORD denominado LsaCfgFlags . Establece el valor de esta
configuración de registro en 1 para habilitar Credential Guard de Windows Defender con el
bloqueo UEFI, establécelo en 2 para habilitar Credential Guard de Windows Defender sin el
bloqueo y establécelo en 0 para deshabilitarlo.
4. Cierra el Editor del registro.

NOTE
También puedes habilitar Credential Guard de Windows Defender configurando las entradas del Registro en la
configuración desatendida FirstLogonCommands.

Habilitar Windows Defender Credential Guard mediante hvci y Windows Defender herramienta de
preparación de hardware de Credential Guard
También puede habilitar Windows Defender Credential Guard mediante HVCI y Windows Defender herramienta
de preparación de hardware de Credential Guard.

DG_Readiness_Tool.ps1 -Enable -AutoReboot

IMPORTANT
Al ejecutar hvci y Windows Defender herramienta de preparación de hardware de Credential Guard en un sistema
operativo que no es inglés, dentro del script, cambie $OSArch = $(gwmi win32_operatingsystem).OSArchitecture a ser
$OSArch = $((gwmi win32_operatingsystem).OSArchitecture).tolower() en su lugar, para que la herramienta
funcione.
Se trata de un problema conocido.

Revisar el rendimiento de Credential Guard de Windows Defender

¿ Se está ejecutando Credential Guard de Windows Defender?
Puedes usar la opción Información del sistema para comprobar que Credential Guard de Windows Defender se
está ejecutando en un equipo.
1. Seleccione Inicio , escriba [Link] y, a continuación, seleccione Información del sistema .
2. Seleccione Resumen del sistema .
3. Confirme que Credential Guard se muestra junto a Ser vicios de seguridad basados en
vir tualización en ejecución .
También puede comprobar que Windows Defender Credential Guard se está ejecutando mediante hvci y
Windows Defender herramienta de preparación de hardware de Credential Guard.

DG_Readiness_Tool_v3.6.ps1 -Ready

IMPORTANT
Al ejecutar hvci y Windows Defender herramienta de preparación de hardware de Credential Guard en un sistema
operativo que no es inglés, dentro del script, cambie *$OSArch = $(gwmi win32_operatingsystem).OSArchitecture a
ser $OSArch = $((gwmi win32_operatingsystem).OSArchitecture).tolower() en su lugar, para que la herramienta
funcione.
Se trata de un problema conocido.

NOTE
En el caso de equipos cliente que ejecutan Windows 10 1703, [Link] se ejecuta cada vez que la seguridad basada en
virtualización se habilita para otras características.

Te recomendamos habilitar Credential Guard de Windows Defender antes de que un dispositivo se una a
un dominio. Si Credential Guard de Windows Defender se habilita después de unirse a un dominio, los
secretos de usuario y del dispositivo podrían estar ya en riesgo. En otras palabras, habilitar Credential
Guard no ayudará a proteger un dispositivo o una identidad que ya se haya puesto en peligro. Por lo
tanto, se recomienda activar Credential Guard lo antes posible.
Debes realizar revisiones periódicas de los equipos que tienen Credential Guard de Windows Defender
habilitada. Puede usar directivas de auditoría de seguridad o consultas WMI. Esta es una lista de
identificadores de evento de WinInit que buscar:
Identificador de evento 13 Credential Guard de Windows Defender ([Link]) se ha iniciado y
protegerá las credenciales de LSA.
Id. de evento 14 Windows Defender configuración de Credential Guard ([Link]): [0x0 | 0x1 |
0x2 ], 0
La primera variable: 0x1 o 0x2 significa que Windows Defender Credential Guard está
configurado para ejecutarse. 0x0 significa que no está configurado para ejecutarse.
La segunda variable: 0 significa que está configurada para ejecutarse en modo de
protección. 1 significa que está configurado para ejecutarse en modo de prueba. Esta
variable siempre debe ser 0 .
El identificador de evento 15 Windows Defender Credential Guard ([Link]) está
configurado, pero el kernel seguro no se está ejecutando; continúa sin Windows Defender
Credential Guard.
Identificador de evento 16 Credential Guard de Windows Defender ([Link]) no se pudo
iniciar: [código de error]
 Identificador de evento 17 Error al leer Windows Defender configuración de UEFI de Credential
Guard ([Link]): [error code]
También puede comprobar que tpm se usa para la protección de claves comprobando el identificador
de evento 51 en los registros de aplicaciones y servicios > registro de eventos de Kernel-Boot de
Microsoft > Windows > . El texto completo del evento se leerá de esta manera:
VSM Master Encryption Key Provisioning. Using cached copy status: 0x0. Unsealing cached copy status:
0x1. New key generation status: 0x1. Sealing status: 0x1. TPM PCR mask: 0x0.
si se ejecuta con un TPM, el valor de máscara de PCR de TPM será distinto de 0.
Puede usar Windows PowerShell para determinar si credential guard se ejecuta en un equipo cliente. En
el equipo en cuestión, abra una ventana de PowerShell con privilegios elevados y ejecute el siguiente
comando:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace

root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

Este comando genera la siguiente salida:

0 : Windows Defender Credential Guard está deshabilitado (no está en ejecución)
1 : Windows Defender Credential Guard está habilitado (en ejecución)

NOTE
Comprobar la lista de tareas o el Administrador de tareas para ver si [Link] se está ejecutando no es
un método recomendado para determinar si Windows Defender Credential Guard se está ejecutando.

Deshabilitar Credential Guard de Windows Defender

Windows Defender Credential Guard se puede deshabilitar a través de varios métodos que se explican a
continuación, en función de cómo se haya habilitado la característica. Para los dispositivos que tenían Windows
Defender Credential Guard habilitado automáticamente en la actualización 22H2 y no lo tenían habilitado antes
de la actualización, basta con deshabilitar a través de directiva de grupo.
Si Windows Defender Credential Guard se ha habilitado con bloqueo UEFI, debe seguirse el procedimiento
descrito en Deshabilitación de Windows Defender Credential Guard con bloqueo UEFI. El cambio de habilitación
predeterminado en los dispositivos 22H2 aptos no usa un bloqueo UEFI.
Si Windows Defender Credential Guard se ha habilitado a través de directiva de grupo sin bloqueo UEFI,
Windows Defender Credential Guard debe deshabilitarse a través de directiva de grupo.
De lo contrario, Windows Defender Credential Guard se puede deshabilitar cambiando las claves del Registro.
Windows Defender host puede deshabilitar Credential Guard que se ejecuta en una máquina virtual.
Para obtener información sobre cómo deshabilitar Virtualization-Based Security (VBS), consulte Deshabilitación
de Virtualization-Based Security.
Deshabilitar Windows Defender Credential Guard mediante directiva de grupo
Si Windows Defender Credential Guard se ha habilitado a través de directiva de grupo y sin bloqueo UEFI,
deshabilitar la misma configuración de directiva de grupo deshabilitará Windows Defender Credential Guard.
1. Deshabilite la configuración de directiva de grupo que rige Windows Defender Credential Guard. Vaya a
Configuración > del equipoPlantillas > administrativasSystem > Device Guard > Activar
seguridad basada en vir tualización . En la sección "Configuración de Credential Guard", establezca el
valor desplegable en "Deshabilitado":
2. Reinicie la máquina.
Deshabilitación de Windows Defender Credential Guard mediante claves del Registro
Si Windows Defender Credential Guard se ha habilitado sin bloqueo UEFI y sin directiva de grupo, basta con
editar las claves del Registro como se describe a continuación para deshabilitar Windows Defender Credential
Guard.
1. Cambie la siguiente configuración del Registro a 0:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LsaCfgFlags

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags

NOTE
Es posible que la eliminación de esta configuración del Registro no deshabilite Windows Defender
Credential Guard. Deben establecerse en un valor de 0.

2. Reinicie la máquina.
Deshabilitación de Windows Defender Credential Guard con bloqueo UEFI
Si Windows Defender Credential Guard se ha habilitado con bloqueo UEFI habilitado, se debe seguir el siguiente
procedimiento, ya que la configuración se conserva en las variables EFI (firmware). Este escenario requerirá la
presencia física en la máquina para presionar una tecla de función para aceptar el cambio.
1. Si se usó directiva de grupo para habilitar Windows Defender Credential Guard, deshabilite la
 configuración de directiva de grupo pertinente. Vaya a Configuración > del equipoPlantillas >
administrativasSystem > Device Guard > Activar seguridad basada en vir tualización . En la
sección "Configuración de Credential Guard", establezca el valor desplegable en "Deshabilitado".
2. Cambie la siguiente configuración del Registro a 0:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LsaCfgFlags

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags

3. Elimina las variables EFI de Credential Guard de Windows Defender mediante bcdedit. En un símbolo del
sistema con privilegios elevados, escribe los siguientes comandos:

mountvol X: /s
copy %WINDIR%\System32\[Link] X:\EFI\Microsoft\Boot\[Link] /Y
bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\[Link]"
bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
mountvol X: /d

4. Reinicia el equipo. Antes de que se inicie el sistema operativo, aparecerá un aviso que notifica que se
modificó UEFI y que pide confirmación. Este mensaje debe confirmarse para que los cambios persistan.
Este paso requiere acceso físico a la máquina.
Deshabilitar Credential Guard de Windows Defender para una máquina virtual
Desde el host, puedes deshabilitar Credential Guard de Windows Defender para una máquina virtual:

Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true

Deshabilitación de Virtualization-Based Security

A continuación se proporcionan instrucciones sobre cómo deshabilitar Virtualization-Based Security (VBS) por
completo, en lugar de solo Windows Defender Credential Guard. Deshabilitar Virtualization-Based Security
deshabilitará automáticamente Windows Defender Credential Guard y otras características que dependen de
VBS.

[! IMPORANT] Otras características de seguridad además de Windows Defender Credential Guard dependen
de Virtualization-Based Security para ejecutarse. Deshabilitar Virtualization-Based Seguridad puede tener
efectos secundarios no deseados.

1. Si se usó directiva de grupo para habilitar la seguridad de Virtualization-Based, establezca la

configuración de directiva de grupo que se usó para habilitarla (Configuración > del
equipo****Plantillas > administrativasSistema > Device Guard > Activar seguridad basada en
vir tualización) en "Deshabilitado".
2. Elimina la configuración del Registro siguiente:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures
 IMPORTANT
Si quitas manualmente estas opciones de configuración del Registro, asegúrate de eliminarlas todas. Si no
las quitas todas, el dispositivo podría ejecutar la recuperación de BitLocker.

3. Si Windows Defender Credential Guard se está ejecutando al deshabilitar Virtualization-Based Seguridad

y cualquiera de las características se ha habilitado con bloqueo UEFI, las variables de EFI (firmware) deben
borrarse mediante bcdedit. Desde un símbolo del sistema con privilegios elevados, ejecute los siguientes
comandos bcdedit después de desactivar todos los directiva de grupo de seguridad de Virtualization-
Based y la configuración del Registro, como se describe en los pasos 1 y 2 anteriores:

bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS

bcdedit /set vsmlaunchtype off

4. Reinicia el equipo.
 Windows Defender Device Guard y Windows
Defender herramienta de preparación de hardware
de Credential Guard
08/11/2022 • 19 minutes to read

# Script to find out if a machine is Device Guard compliant.

# The script requires a driver verifier present on the system.

param([switch]$Capable, [switch]$Ready, [switch]$Enable, [switch]$Disable, $SIPolicyPath,

[switch]$AutoReboot, [switch]$DG, [switch]$CG, [switch]$HVCI, [switch]$HLK, [switch]$Clear,
[switch]$ResetVerifier)

Set-StrictMode -Version Latest

$path = "C:\DGLogs\"
$LogFile = $path + "[Link]"

$CompatibleModules = New-Object [Link]

$FailingModules = New-Object [Link]
$FailingExecuteWriteCheck = New-Object [Link]

$DGVerifyCrit = New-Object [Link]

$DGVerifyWarn = New-Object [Link]
$DGVerifySuccess = New-Object [Link]

$Sys32Path = "$env:windir\system32"
$DriverPath = "$env:windir\system32\drivers"

#generated by certutil -encode

$SIPolicy_Encoded = "BQAAAA43RKLJRAZMtVH2AW5WMHbk9wcuTBkgTbfJb0SmxaI0BACNkAgAAAAAAAAA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AAAAAAAAAAAAAAAAAQAAAAYAAAABAAAABgAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA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"

$HSTITest_Encoded =
"TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA4AAAAA4fug4AtAnNIbgBTM0hVGh
pcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1vZGUuDQ0KJAAAAAAAAADxXZfstTz5v7U8+b+1PPm/2GH4vrc8+b+8RGq/ojz5v9h
h+r63PPm/2GH9vr48+b+1PPi/qjz5v9hh+b60PPm/2GHwvrc8+b/YYfu+tDz5v1JpY2i1PPm/AAAAAAAAAABQRQAAZIYFAGt3EVgAAAAAAAA
AAPAAIiALAg4AABIAAAAaAAAAAAAAkBsAAAAQAAAAAACAAQAAAAAQAAAAAgAACgAAAAoAAAAKAAAAAAAAAABwAAAABAAAxcwAAAMAYEEAAAQ
AAAAAAAAQAAAAAAAAAAAQAAAAAAAAEAAAAAAAAAAAAAAQAAAAEDkAAGQAAAB0OQAABAEAAAAAAAAAAAAAAFAAACABAAAAAAAAAAAAAABgAAA
YAAAAwDUAADgAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQMAAA0AAAAAAAAAAAAAAA4DAAAEgBAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAudGV4dAAAAMURAAAAEAAAABIAAAAEAAAAAAAAAAAAAAAAAAAgAABgLnJkYXRhAAB4DwAAADAAAAAQAAAAFgAAAAAAAAAAAAAAAAAAQAA
AQC5kYXRhAAAAwAUAAABAAAAAAgAAACYAAAAAAAAAAAAAAAAAAEAAAMAucGRhdGEAACABAAAAUAAAAAIAAAAoAAAAAAAAAAAAAAAAAABAAAB
ALnJlbG9jAAAYAAAAAGAAAAACAAAAKgAAAAAAAAAAAAAAAAAAQAAAQgAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAABIiVwkCFVWV0FWQVd
Ii+xIg+wwM/9IjUU4TIv5iX1ISI1NSIl9QEUzyYl9OEyNRUBIiUQkIDPS6AwJAACL2D1XAAeAD4WrAAAAi0VASGnYDCIAAP8V/yAAAI13CEy
Lw0iLyIvW/xX2IAAATIvwSIXAdQe7DgAHgOtxi104/xXWIAAARIvDi9ZIi8j/FdAgAABIi/BIhcB1B7sOAAeA6x5IjUU4TIvOTI1FQEiJRCQ
gSYvWSI1NSOiNCAAAi9j/FZUgAABNi8Yz0kiLyP8VlyAAAEiF9nQU/xV8IAAATIvGM9JIi8j/FX4gAAA5fUhAD5THQYk/i8NIi1wkYEiDxDB
BX0FeX15dw8zMzMzMzMzMzOkzCAAAzMzMzMzMzEiJXCQYSIl0JCBXSIHscAEAAEiLBbsuAABIM8RIiYQkYAEAAA8QBRkhAACL8kiL+TPSSI1
MJGBBuPQAAADzD39EJFDo6g4AAEiDZCQwAEiNTCRQg2QkQABFM8nHRCQogAAAALoAAABAx0QkIAMAAABFjUEB/xWSHwAASIvYSIP4/3RGQbk
CAAAARTPAM9JIi8j/FX0fAACD+P90HkiDZCQgAEyNTCRARIvGSIvXSIvL/xVmHwAAhcB1Bv8VPB8AAEiLy/8VYx8AAEiLjCRgAQAASDPM6As
LAABMjZwkcAEAAEmLWyBJi3MoSYvjX8PMzMzMzMxIg+woM9JMi8lIhcl0Hrr///9/M8BEi8I4AXQJSP/BSYPoAXXzTYXAdSEz0rhXAAeAM8m
FwEgPScp4C41RAUmLyejG/v//SIPEKMNJK9Dr4czMzMzMzMzMSIlcJAhIiXQkEFdIg+wgQYvZSYv4SIvy6Iv///+L00iLz+iN/v//SIvOSIt
cJDBIi3QkOEiDxCBf6Wr////MzMzMzMyJVCQQSIPsKAkRSI0Nsx8AAOhO////ugQAAABIjUwkOOhL/v//SI0NqB8AAOgz////SIPEKMPMzMz
MzMxAVVNWV0FUQVVBVkFXSI1sJOFIgeyYAAAASIsF6CwAAEgzxEiJRQ9FM/ZIiVXnM9JIiU3vRIl1p0GL3kiJXbdJi8BIiUXXTYvpRIl1r0G
L/kSJdfdFi+ZIiVX7RYv+SIlVA0yJdc9IhckPhBEFAABIhcAPhAgFAABNhckPhP8EAABBgzkBdBHHRaeAAAAAvwJAAIDp7QQAAEiNDQkfAAD
ohP7//0WLfQREiX2/SWnfDCIAAP8Vtx0AAEyLw7oIAAAASIvI/xWuHQAATIvgSIXAdShIjQ3vHgAA6Er+////FUwdAAAPt/iBzwAAB4CFwA9
O+EmL3umLBAAASI0N9x4AAOgi/v//RIl1s0WF/w+EiwIAAEmNXQhIiV3HSY20JAwCAABIjQ32HgAA6Pn9//+LQwiJhvT9//+FwHktPbsAAMB
1EUiNDe4eAADo2f3//+kaAgAASI0N/R4AAOjI/f//g02nQOkFAgAAixtJA92DOwN0Gw+6bacIugEAAABIjY78/f//6Dv+///p4AEAAEyNhgD
+//+6BAAAAEmLwEiNSwgPEAFIjYmAAAAADxEASI2AgAAAAA8QSZAPEUiQDxBBoA8RQKAPEEmwDxFIsA8QQcAPEUDADxBJ0A8RSNAPEEHgDxF
A4A8QSfAPEUjwSIPqAXWuQbkAAgAASI0VgB4AAEiNDYEeAADodP3//4uLCAIAALoAEAAAQYv+TI0ES0iBwQwCAABMA8FIi85MK8ZIjYL+7/9
/SIXAdBdBD7cECGaFwHQNZokBSIPBAkiD6gF13UiF0nUJSIPpAr96AAeAZkSJMUiNFSYeAABIjQ0nHgAAQbkAIAAATIvG6AH9//9MjXMEQYs
OjUH/g/gDD4fDAAAA/0SN90iNFQMeAACJjvj9//9BuQQAAABIjQ34HQAATYvG6Mj8//9BiwaDfIX3AXZESI2O/P3//7oEAAAA6PH8//9Biw6
D6QF0JYPpAXQag+kBdA+D+QEPhaIAAACDTacI63eDTacE63GDTacC62uDTacB62WD+AF1YIuDCAIAAEyNRa9BuQQAAACJRa9IjRWTHQAASI0
NrB0AAOhP/P//RTP2RDl1r3UOD7ptpwlBjVYI6TX+//9IjYMMAgAASIlFz+sZD7ptpwlIjY78/f//ugIAAADoWfz//0Uz9otFs0iBxgwiAAB
Ig0XHDP/AiUWzQTvHcxdIi13H6ZP9//+/BUAAgEiLXbfp5wEAAEQ5dad0DkiNDU0dAADoePv//+vji12v/xW1GgAARIvDuggAAABIi8j/Faw
aAABIiUW3SIvYSIXAdRZIjQ1JHQAA6ET7//+/FwAA0OmXAQAASI0NYx0AAOgu+///i0WvRI2wBgEAAEaNNHBEiXWzRYX/D4TFAAAASY1cJAh
JjXUISI0N+xsAAOj++v//gXv4uwAAwHUOSI0N/hsAAOjp+v//63xEOXYEcxS6EAAAAA+6bacJSIvL6Gv7///rYosOSQPNi4EIAgAAO0WvdAe
6CAAAAOvaRTPATI0MQUyNFAhEOUWvdjpMi3W3Qw+2jBAMAgAA99FDhIwIDAIAAHQID7ptpwmDCyBDioQIDAIAAEMIBDBB/8BEO0Wvcs5Ei3W
zSIPGDEiBwwwiAABJg+8BD4VM////RIt9v0iLXbdFM/ZEOXWndBFIjQ0OHAAA6Dn6///pkQAAAEGL9kQ5da8PhoQAAABMi3W3TIttz0iNDYg
cAADoE/r//4vGTI1Fq0G5AQAAAEiNFZgcAABCigwwSo0cKCILiE2rSI0NlBwAAOg/+v//QbkBAAAASI0VkhwAAEyLw0iNDZgcAADoI/r//4o
DOEWrdBBIjQ2dHAAA6Lj5//+DTacg/8Y7da9yjuly+///v1cAB4BIjQ2sHAAA6Jf5//9BuQQAAABMjUWnSI0VphwAAEiNDa8cAADo0vn//02
F5HRdTIt150iLdddNhfZ0NEQ5PnIvSI0NnBwAAOhX+f//QYvHSYvUTGnADCIAAEmLzuh0BwAASI0NmxwAAOg2+f//6wW/VwAHgESJPv8Vbhg
AAE2LxDPSSIvI/xVwGAAASIXbdBT/FVUYAABMi8Mz0kiLyP8VVxgAAEiLRe9IhcB0BYtNp4kIi8dIi00PSDPM6NMDAABIgcSYAAAAQV9BXkF
dQVxfXltdw8zMzMzMzMxIi8RIiVgISIloEEiJcBhXQVZBV0iD7DCDYNgATYvxSYv4TI1I2EiL8kyL+UUzwDPSuaYAAAD/FWwYAACL2D0EAAD
AdAkPuusc6dkAAACDfCQgFHMKuwVAAIDpyAAAAItcJCD/FacXAABEi8O6CAAAAEiLyP8VnhcAAEiL6EiFwHUKuw4AB4DpmwAAAESLRCQgRTP
JSIvQuaYAAAD/FQYYAACL2IXAeQYPuusc6zdIjQ2TGwAA6A74//+LVCQgSIvN6A73//9IjQ2LGwAA6Pb3//9Mi81Mi8dIi9ZJi8/ovfj//4v
YSIt8JHCLdCQgSIX/dBk5N3IVTYX2dBBEi8ZIi9VJi87o8AUAAOsFu1cAB4CJN/8V9xYAAEyLxTPSSIvI/xX5FgAASItsJFiLw0iLXCRQSIt
0JGBIg8QwQV9BXl/DzMzMzMzMSIlcJAhXSIPsIIP6AXU8SI0VmhcAAEiNDYsXAADoaAMAAIXAdAczwOmjAAAASI0VbBcAAEiNDV0XAADoVgM
AAP8FKiUAAOmAAAAAhdJ1fDkVUyUAAHRtSIsNGiUAAOgxAgAASIsNFiUAAEiL+OgiAgAASI1Y+OsXSIsL6BQCAABIhcB0Bv8VBRcAAEiD6wh
AAP8FKiUAAOmAAAAAhdJ1fDkVUyUAAHRtSIsNGiUAAOgxAgAASIsNFiUAAEiL+OgiAgAASI1Y+OsXSIsL6BQCAABIhcB0Bv8VBRcAAEiD6wh
IO99z5IM9DSUAAAR2FP8VJRYAAEyLxzPSSIvI/xUnFgAA6O4BAABIiQXDJAAASIkFtCQAAIMlpSQAAAC4AQAAAEiLXCQwSIPEIF/DzMzMzMz
MzMzMzMzMzMzMzMzMzMzMSIlcJAhIiXQkEFdIg+wgSYv4i9pIi/GD+gF1BeijAQAATIvHi9NIi85Ii1wkMEiLdCQ4SIPEIF/pBwAAAMzMzMz
MzMxMiUQkGIlUJBBIiUwkCFNWV0iB7JAAAACL+kiL8cdEJCABAAAAhdJ1EzkVDSQAAHULM9uJXCQg6d8AAACNQv+D+AF3MkyLhCTAAAAA6Hv
+//+L2IlEJCDrFTPbiVwkIIu8JLgAAABIi7QksAAAAIXbD4SlAAAATIuEJMAAAACL10iLzujoAQAAi9iJRCQg6xUz24lcJCCLvCS4AAAASIu
0JLAAAACD/wF1SIXbdURFM8Az0kiLzui1AQAA6xOLvCS4AAAASIu0JLAAAACLXCQgRTPAM9JIi87o7/3//+sTi7wkuAAAAEiLtCSwAAAAi1w
kIIX/dAWD/wN1IEyLhCTAAAAAi9dIi87ov/3//4vYiUQkIOsGM9uJXCQgi8NIgcSQAAAAX15bw8zMzMzMzMzMzMxmZg8fhAAAAAAASDsN6SI
AAHUQSMHBEGb3wf//dQHDSMHJEOmSAQAAzMzMzMzMSP8ltRQAAMzMzMzMzMzMzDPJSP8lmxQAAMzMzMzMzMxIiVwkIFVIi+xIg+wgSINlGAB
IuzKi3y2ZKwAASIsFiSIAAEg7ww+FjwAAAEiNTRj/FU4UAABIi0UYSIlFEP8VABQAAIvASDFFEP8V/BMAAIvASDFFEP8VIBQAAIvASMHgGEg
xRRD/FRAUAACLwEiNTRBIM0UQSDPBSI1NIEiJRRD/FeUTAACLRSBIuf///////wAASMHgIEgzRSBIM0UQSCPBSLkzot8tmSsAAEg7w0gPRMF
IiQXxIQAASItcJEhI99BIiQXqIQAASIPEIF3DzMzMzMzM/yXYEgAAzMzMzMzM/yXEEgAAzMzMzMzMzMxIg+wog/oBdQb/FTUTAAC4AQAAAEi
DxCjDzMzMzMzMzMzMzMzMzMzMzMzMzMIAAMzMzMzMzMzMzEBTSIPsIEiL2TPJ/xWTEgAASIvL/xWCEgAA/xUUEwAASIvIugkEAMBIg8QgW0j
/JfgSAADMzMzMzMzMzMzMzMzMzMzMSIlMJAhIgeyIAAAASI0NHSIAAP8VLxMAAEiLBQgjAABIiUQkSEUzwEiNVCRQSItMJEj/FSATAABIiUQ
kQEiDfCRAAHRCSMdEJDgAAAAASI1EJFhIiUQkMEiNRCRgSIlEJChIjQXHIQAASIlEJCBMi0wkQEyLRCRISItUJFAzyf8VyxIAAOsjSIsFOiI
AAEiLAEiJBZAiAABIiwUpIgAASIPACEiJBR4iAABIiwV3IgAASIkF6CAAAEiLhCSQAAAASIkF6SEAAMcFvyAAAAkEAMDHBbkgAAABAAAAxwX
DIAAAAwAAALgIAAAASGvAAEiNDbsgAABIxwQBAgAAALgIAAAASGvAAUiNDaMgAABIixUsIAAASIkUAbgIAAAASGvAAkiNDYggAABIixUZIAA
ASIkUAbgIAAAASGvAAEiLDf0fAABIiUwEaLgIAAAASGvAAUiLDfAfAABIiUwEaEiNDdwPAADoU/7//0iBxIgAAADDzMzMzMzMzMzMzMzMzMz
MzMzMzMzM/yWUEAAAzMzMzMzM/yWQEAAAzMzMzMzM/yWMEAAAzMzMzMzMzMxIg+woTYtBOEiLykmL0egRAAAAuAEAAABIg8Qow8zMzMzMzMx
AU0WLGEiL2kGD4/hMi8lB9gAETIvRdBNBi0AITWNQBPfYTAPRSGPITCPRSWPDSosUEEiLQxCLSAhIA0sI9kEDD3QMD7ZBA4Pg8EiYTAPITDP
KSYvJW+kl/P//zMzMzMzMzMzMzMxmZg8fhAAAAAAA/+DMzMzMzMxAVUiD7CBIi+pIiU04SIsBixCJVSRIiU1AM8BIg8QgXcPMQFVIg+wgSIv
qSIlNSEiLAYsQiVUoSIlNUDPASIPEIF3DzEBVSIPsIEiL6kiJTVhIiwGLEIlVLEiJTWAzwEiDxCBdw8xAVUiD7CBIi+pIiU1oSIsBixCJVTB
IiU1wM8BIg8QgXcPMQFVIg+wgSIvqSIlNeEiLAYsQiVU0SImNgAAAADPASIPEIF3DzEBVSIPsIEiL6kiDxCBdw8wAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAFBAAIABAAAA8EAAgAEAAADQAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAEAAgAEAAAAAAAAAAAA
AAAAAAAAAAAAAKDIAgAEAAAAwMgCAAQAAAFgyAIABAAAABQAAAAAAAAAANQEAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAeD4AAAAAAABkPwAAAAAAAG4/AAAAAAAAAAAAAAAAAADOOwAAAAAAAMA7AAAAAAAAAAAAAAAAAAA
QPQAAAAAAACw9AAAAAAAA6j4AAAAAAAAAAAAAAAAAAPo+AAAAAAAA2D4AAAAAAADMPgAAAAAAAAAAAAAAAAAACD8AAAAAAAAAAAAAAAAAAFI
8AAAAAAAAFj8AAAAAAABGPAAAAAAAAAAAAAAAAAAA9DwAAAAAAAAAAAAAAAAAAJ48AAAAAAAAtDwAAAAAAABePQAAAAAAAEo9AAAAAAAAAAA
AAAAAAACEPAAAAAAAAAAAAAAAAAAA5DwAAAAAAADKPAAAAAAAAAAAAAAAAAAAZDwAAAAAAAB0PAAAAAAAAAAAAAAAAAAAsD4AAAAAAAD6OwA
AAAAAACg8AAAAAAAADjwAAAAAAAAAAAAAAAAAAHAeAIABAAAAACEAgAEAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAABAQAAA
gEQAAkBsAAHAeAADAHgAAAAAAAC5caHN0aXRyYWNlLmxvZwAgUHJvdmlkZXJFcnJvcjoAOlByb3ZpZGVyRXJyb3IgAERldGVybWluaW5nIEN
vdW50LiAAAAAAAAAAAAAAAAAAICEhISBFcnJvciBidWZmZXIgZmFpbGVkIGFsbG9jYXRpb24gISEhIAAAAAAAAAAARGV0ZXJtaW5lIFNlY3V
yaXR5RmVhdHVyZXNTaXplLiAAAAAAAAAAAExvb3AuLi4gAAAAAAAAAAAAAAAAAAAAACBVbnN1cHBvcnRlZCBBSVAgaWdub3JlZCAAAAAAAAA
AICEhISBVRUZJIFByb3RvY29sIEVycm9yIERldGVjdGVkICEhISAAADpJRCAAAAAAIElEOgAAAAA6RVJST1IgACBFUlJPUjoAOlJPTEUgAAA
gUk9MRToAAAAAAAAAAAAAOnNlY3VyaXR5RmVhdHVyZXNTaXplIAAAAAAAAAAAAAAgc2VjdXJpdHlGZWF0dXJlc1NpemU6AAAAAAAAAAAAACA
hISEgRXJyb3IgZGV0ZWN0ZWQsIGJhaWxpbmcgb3V0ICEhISAAAAAAAAAAAAAAAFZlcmlmaWVkIGJ1ZmZlciBhbGxvY2F0aW9uIGZhaWxlZC4
AAAAAAAAAAAAAAAAAAExvb3Bpbmcgb24gcHJvdmlkZXJzIHRvIGFjY3VtdWxhdGUgaW1wbGVtZW50ZWQgYW5kIHZlcmlmaWVkLgAAAABDb21
wYXJpbmcgcmVxdWlyZWQgYnl0ZSB0byB2ZXJpZmllZC4uLgAAOlZFUklGSUVEIAAAAAAAACBWRVJJRklFRDoAAAAAAAA6UkVRVUlSRUQgAAA
AAAAAIFJFUVVJUkVEOgAAAAAAAAAAAAAAAAAAISEhIHZlcmlmaWVkIGJ5dGUgZG9lcyBub3QgbWF0Y2ggcmVxdWlyZWQgISEhAAAAQ0xFQU5
VUCAAAAAAAAAAADpPVkVSQUxMAAAAAAAAAABPVkVSQUxMOgAAAAAAAAAAUHJvdmlkZXIgRXJyb3JzIGNvcHkgc3RhcnQAAAAAAABQcm92aWR
lciBFcnJvcnMgY29weSBlbmQAAAAAAAAAAEJMT0IgU3RhcnQ6AAAAAAA6QkxPQiBFbmQgIAAAAAAAAAAAAGt3EVgAAAAAAgAAACUAAAD4NQA
A+BsAAAAAAABrdxFYAAAAAA0AAACgAQAAIDYAACAcAABSU0RT1J4Ttoijw0G4zY0uYG3g7wEAAABIc3RpVGVzdC5wZGIAAAAAR0NUTAAQAAD
wEAAALnRleHQkbW4AAAAA8CAAABIAAAAudGV4dCRtbiQwMAACIQAAwwAAAC50ZXh0JHgAADAAAOAAAAAucmRhdGEkYnJjAADgMAAASAEAAC5
pZGF0YSQ1AAAAACgyAAAQAAAALjAwY2ZnAAA4MgAACAAAAC5DUlQkWENBAAAAAEAyAAAIAAAALkNSVCRYQ1oAAAAASDIAAAgAAAAuQ1JUJFh
JQQAAAABQMgAACAAAAC5DUlQkWElaAAAAAFgyAAAYAAAALmNmZ3VhcmQAAAAAcDIAAIgDAAAucmRhdGEAAPg1AADIAQAALnJkYXRhJHp6emR
iZwAAAMA3AABQAQAALnhkYXRhAAAQOQAAZAAAAC5lZGF0YQAAdDkAAPAAAAAuaWRhdGEkMgAAAABkOgAAFAAAAC5pZGF0YSQzAAAAAHg6AAB
IAQAALmlkYXRhJDQAAAAAwDsAALgDAAAuaWRhdGEkNgAAAAAAQAAAEAAAAC5kYXRhAAAAEEAAALAFAAAuYnNzAAAAAABQAAAgAQAALnBkYXR
hAAABEwgAEzQMABNSDPAK4AhwB2AGUBkkBwASZDMAEjQyABIBLgALcAAAbCAAAGABAAABBAEABEIAAAEPBgAPZAcADzQGAA8yC3ABCAEACEI
AABknCgAZARMADfAL4AnQB8AFcARgAzACUGwgAACIAAAAARgKABhkDAAYVAsAGDQKABhSFPAS4BBwGRgFABgBEgARcBBgDzAAAEYgAAAGAAA
AGBwAAC0cAAAIIQAALRwAAEocAABkHAAAKiEAAGQcAACCHAAAkRwAAEwhAACRHAAApBwAALMcAABuIQAAsxwAAM8cAADpHAAAkCEAAOkcAAD
5GwAA7xwAALUhAAAAAAAAAQYCAAYyAlABCgQACjQGAAoyBnAAAAAAAQAAAAENBAANNAkADTIGUAEGAgAGMgIwAQwCAAwBEQABAAAAAQIBAAI
wAAAAAAAAAAAAAAAAAAAAAAAAd24RWAAAAABMOQAAAQAAAAIAAAACAAAAODkAAEA5AABIOQAAEBAAACARAABZOQAAYzkAAAAAAQBIU1RJVEV
TVC5kbGwAUXVlcnlIU1RJAFF1ZXJ5SFNUSWRldGFpbHMAmDoAAAAAAAAAAAAA2jsAAAAxAACYOwAAAAAAAAAAAAA8PAAAADIAAAA7AAAAAAA
AAAAAAHI9AABoMQAAgDsAAAAAAAAAAAAAkj0AAOgxAABYOwAAAAAAAAAAAACyPQAAwDEAADA7AAAAAAAAAAAAANY9AACYMQAAaDsAAAAAAAA
AAAAAAD4AANAxAAAgOwAAAAAAAAAAAAAkPgAAiDEAALA6AAAAAAAAAAAAAE4+AAAYMQAAeDoAAAAAAAAAAAAAkD4AAOAwAADQOgAAAAAAAAA
AAAAiPwAAODEAAPA6AAAAAAAAAAAAAEI/AABYMQAAAAAAAAAAAAAAAAAAAAAAAAAAAAB4PgAAAAAAAGQ/AAAAAAAAbj8AAAAAAAAAAAAAAAA
AAM47AAAAAAAAwDsAAAAAAAAAAAAAAAAAABA9AAAAAAAALD0AAAAAAADqPgAAAAAAAAAAAAAAAAAA+j4AAAAAAADYPgAAAAAAAMw+AAAAAAA
AAAAAAAAAAAAIPwAAAAAAAAAAAAAAAAAAUjwAAAAAAAAWPwAAAAAAAEY8AAAAAAAAAAAAAAAAAAD0PAAAAAAAAAAAAAAAAAAAnjwAAAAAAAC
0PAAAAAAAAF49AAAAAAAASj0AAAAAAAAAAAAAAAAAAIQ8AAAAAAAAAAAAAAAAAADkPAAAAAAAAMo8AAAAAAAAAAAAAAAAAABkPAAAAAAAAHQ
8AAAAAAAAAAAAAAAAAACwPgAAAAAAAPo7AAAAAAAAKDwAAAAAAAAOPAAAAAAAAAAAAAAAAAAABwBfaW5pdHRlcm1fZQAGAF9pbml0dGVybQB
hcGktbXMtd2luLWNvcmUtY3J0LWwyLTEtMC5kbGwAANACUnRsQ2FwdHVyZUNvbnRleHQAjQRSdGxMb29rdXBGdW5jdGlvbkVudHJ5AAC3BVJ
0bFZpcnR1YWxVbndpbmQAAG50ZGxsLmRsbAAGAEhlYXBGcmVlAAAAAEdldFByb2Nlc3NIZWFwAAAEAEVuY29kZVBvaW50ZXIAAQBEZWNvZGV
Qb2ludGVyAAAAUXVlcnlQZXJmb3JtYW5jZUNvdW50ZXIADQBHZXRDdXJyZW50UHJvY2Vzc0lkABEAR2V0Q3VycmVudFRocmVhZElkAAAUAEd
ldFN5c3RlbVRpbWVBc0ZpbGVUaW1lABgAR2V0VGlja0NvdW50AAABAERpc2FibGVUaHJlYWRMaWJyYXJ5Q2FsbHMAEQBVbmhhbmRsZWRFeGN
lcHRpb25GaWx0ZXIAAA8AU2V0VW5oYW5kbGVkRXhjZXB0aW9uRmlsdGVyAAwAR2V0Q3VycmVudFByb2Nlc3MATQBUZXJtaW5hdGVQcm9jZXN
zAABhcGktbXMtd2luLWNvcmUtaGVhcC1sMS0yLTAuZGxsAGFwaS1tcy13aW4tY29yZS11dGlsLWwxLTEtMC5kbGwAYXBpLW1zLXdpbi1jb3J
lLXByb2ZpbGUtbDEtMS0wLmRsbAAAYXBpLW1zLXdpbi1jb3JlLXByb2Nlc3N0aHJlYWRzLWwxLTEtMi5kbGwAYXBpLW1zLXdpbi1jb3JlLXN
5c2luZm8tbDEtMi0xLmRsbAAAYXBpLW1zLXdpbi1jb3JlLWxpYnJhcnlsb2FkZXItbDEtMi0wLmRsbAAAYXBpLW1zLXdpbi1jb3JlLWVycm9
yaGFuZGxpbmctbDEtMS0xLmRsbAAAAABfX0Nfc3BlY2lmaWNfaGFuZGxlcgAAYXBpLW1zLXdpbi1jb3JlLWNydC1sMS0xLTAuZGxsAADbAU5
0UXVlcnlTeXN0ZW1JbmZvcm1hdGlvbgAAWQBXcml0ZUZpbGUAUwBTZXRGaWxlUG9pbnRlcgAABQBHZXRMYXN0RXJyb3IAAAUAQ3JlYXRlRml
0UXVlcnlTeXN0ZW1JbmZvcm1hdGlvbgAAWQBXcml0ZUZpbGUAUwBTZXRGaWxlUG9pbnRlcgAABQBHZXRMYXN0RXJyb3IAAAUAQ3JlYXRlRml
sZUEAAABDbG9zZUhhbmRsZQACAEhlYXBBbGxvYwBhcGktbXMtd2luLWNvcmUtZmlsZS1sMS0yLTEuZGxsAGFwaS1tcy13aW4tY29yZS1oYW5
kbGUtbDEtMS0wLmRsbAAzAG1lbWNweQAANwBtZW1zZXQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAyot8tmSsAAM1dINJm1P//AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAABAQAAAXEQAAwDcAACwRAAAaEgAA1DcAACASAABwEgAA8DcAAHgSAAC2EgAA+Dc
AALwSAADyEgAACDgAAPgSAABRGQAAEDgAAFgZAACaGgAAMDgAAKAaAAB7GwAAyDgAAJAbAADNGwAA+DcAANQbAAD8HAAASDgAABAdAAAuHQA
A2DgAAFQdAAAkHgAA3DgAAEQeAABdHgAA8DcAAHweAACwHgAA6DgAAMAeAAAxIAAA8DgAAGwgAACJIAAA8DcAAJAgAADrIAAA/DgAAAAhAAA
CIQAA+DgAAAghAAAqIQAAwDgAACohAABMIQAAwDgAAEwhAABuIQAAwDgAAG4hAACQIQAAwDgAAJAhAAC1IQAAwDgAALUhAADFIQAAwDgAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAADAAABgAAAAAoAigaKCAoIigkKA
oojCiAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAA="

function Log($message)
{
$message | Out-File $LogFile -Append -Force
}

function LogAndConsole($message)
{
Write-Host $message
Log $message
}

function LogAndConsoleWarning($message)
{
Write-Host $message -foregroundcolor "Yellow"
Log $message
}

function LogAndConsoleSuccess($message)
{
Write-Host $message -foregroundcolor "Green"
Log $message
}

function LogAndConsoleError($message)
{
Write-Host $message -foregroundcolor "Red"
Log $message
}

function IsExempted([[Link]] $item)

{
$cert = (Get-AuthenticodeSignature $[Link]).SignerCertificate
if($[Link]().Contains("CN=Microsoft Windows, O=Microsoft Corporation, L=Redmond, S=Washington,
C=US"))
{
Log $[Link] + "MS Exempted"
return 1
}
else
{
Log $[Link] + "Not-exempted"
Log $[Link]()
return 0
}
}

function CheckExemption($_ModName)
{
$mod1 = Get-ChildItem $Sys32Path $_ModName
$mod2 = Get-ChildItem $DriverPath $_ModName
if($mod1)
{
Log "NonDriver module" + $[Link]
return IsExempted($mod1)
}
elseif($mod2)
{
Log "Driver Module" + $[Link]
return IsExempted($mod2)
}

function CheckFailedDriver($_ModName, $CIStats)

{
Log "Module: " $_ModName.Trim()
if(CheckExemption($_ModName.Trim()) - eq 1)
{
$[Link]("Windows Signed: " + $_ModName.Trim()) | Out-Null
return
}
$index = $[Link]("execute pool type count:".ToLower())
if($index -eq -1)
{
return
}
$_tempStr = $[Link]($index)
$Result = "PASS"
$separator = "`r`n",""
$option = [[Link]]::RemoveEmptyEntries
$stats = $_tempStr.Split($separator,$option)
Log $[Link]

$FailingStat = ""
foreach( $stat in $stats)
{
$_t =$[Link](":")
if($_t.Count -eq 2 -and $_t[1].trim() -ne "0")
{
$Result = "FAIL"
$FailingStat = $stat
break
}
}
if($[Link]("PASS"))
{
$[Link]($_ModName.Trim()) | Out-Null
}
elseif($[Link]().Contains("execute-write"))
{
$[Link]("Module: "+ $_ModName.Trim() + "`r`n`tReason: " +
$[Link]() ) | Out-Null
}
else
{
$[Link]("Module: "+ $_ModName.Trim() + "`r`n`tReason: " + $[Link]() ) |
Out-Null
}
Log "Result: " $Result
}

function ListCIStats($_ModName, $str1)

{
{
$i1 = $[Link]("Code Integrity Statistics:".ToLower())
if($i1 -eq -1 )
{
Log "String := " $str1
Log "Warning! CI Stats are missing for " $_ModName
return
}
$temp_str1 = $[Link]($i1)
$CIStats = $temp_str1.Substring(0).Trim()

CheckFailedDriver $_ModName $CIStats

}

function ListDrivers($str)
{
$_tempStr= $str

$separator = "module:",""
$option = [[Link]]::RemoveEmptyEntries
$index1 = $_tempStr.IndexOf("MODULE:".ToLower())
if($index1 -lt 0)
{
return
}
$_tempStr = $_tempStr.Substring($Index1)
$_SplitStr = $_tempStr.Split($separator,$option)

Log $_SplitStr.Count
LogAndConsole "Verifying each module please wait ... "
foreach($ModuleDetail in $_Splitstr)
{
#LogAndConsole $Module
$Index2 = $[Link]("(")
if($Index2 -eq -1)
{
"Skipping .."
continue
}
$ModName = $[Link](0,$Index2-1)
Log "Driver: " $ModName
Log "Processing module: " $ModName
ListCIStats $ModName $ModuleDetail
}

$DriverScanCompletedMessage = "Completed scan. List of Compatible Modules can be found at " + $LogFile
LogAndConsole $DriverScanCompletedMessage

if($[Link] -gt 0 -or $[Link] -gt 0 )

{
$WarningMessage = "Incompatible HVCI Kernel Driver Modules found"
if($HLK)
{
LogAndConsoleError $WarningMessage
}
else
{
LogAndConsoleWarning $WarningMessage
}

LogAndConsoleError $[Link]()
if($HLK)
{
LogAndConsoleError $[Link]()
}
else
{
LogAndConsoleWarning $[Link]()
}
 }
if($[Link] -ne 0 -or $[Link] -ne 0 )
{
if($HLK)
{
$[Link]($WarningMessage) | Out-Null
}
else
{
$[Link]($WarningMessage) | Out-Null
}
}
}
else
{
LogAndConsoleSuccess "No Incompatible Drivers found"
}
}

function ListSummary()
{
if($[Link] -ne 0 )
{
LogAndConsoleError "Machine is not Device Guard / Credential Guard compatible because of the
following:"
LogAndConsoleError $[Link]()
LogAndConsoleWarning $[Link]()
if(!$HVCI -and !$DG)
{
ExecuteCommandAndLog 'REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Capabilities\"
/v "CG_Capable" /t REG_DWORD /d 0 /f '
}
if(!$CG)
{
ExecuteCommandAndLog 'REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Capabilities\"
/v "DG_Capable" /t REG_DWORD /d 0 /f '
ExecuteCommandAndLog 'REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Capabilities\"
/v "HVCI_Capable" /t REG_DWORD /d 0 /f '
}

}
elseif ($[Link] -ne 0 )
{
LogAndConsoleSuccess "Device Guard / Credential Guard can be enabled on this machine.`n"
LogAndConsoleWarning "The following additional qualifications, if present, can enhance the security
of Device Guard / Credential Guard on this system:"
LogAndConsoleWarning $[Link]()
if(!$HVCI -and !$DG)
{
ExecuteCommandAndLog 'REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Capabilities\"
/v "CG_Capable" /t REG_DWORD /d 1 /f '
}
if(!$CG)
{
ExecuteCommandAndLog 'REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Capabilities\"
/v "DG_Capable" /t REG_DWORD /d 1 /f '
ExecuteCommandAndLog 'REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Capabilities\"
/v "HVCI_Capable" /t REG_DWORD /d 1 /f '
}
}
else
{
LogAndConsoleSuccess "Machine is Device Guard / Credential Guard Ready.`n"
if(!$HVCI -and !$DG)
{
ExecuteCommandAndLog 'REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Capabilities\"
/v "CG_Capable" /t REG_DWORD /d 2 /f '
}
if(!$CG)
{
 {
ExecuteCommandAndLog 'REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Capabilities\"
/v "DG_Capable" /t REG_DWORD /d 2 /f '
ExecuteCommandAndLog 'REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Capabilities\"
/v "HVCI_Capable" /t REG_DWORD /d 2 /f '
}
}
}

function Instantiate-Kernel32 {
try
{
Add-Type -TypeDefinition @"
using System;
using [Link];
using [Link];

public static class Kernel32

{
[DllImport("kernel32", SetLastError=true, CharSet = [Link])]
public static extern IntPtr LoadLibrary(
[MarshalAs([Link])]string lpFileName);

[DllImport("kernel32", CharSet=[Link], ExactSpelling=true, SetLastError=true)]

public static extern IntPtr GetProcAddress(
IntPtr hModule,
string procName);
}

"@
}
catch
{
Log $_.[Link]
LogAndConsole "Instantiate-Kernel32 failed"
}
}

function Instantiate-HSTI {
try
{
Add-Type -TypeDefinition @"
using System;
using [Link];
using [Link];
using [Link];

public static class HstiTest3

{
[DllImport("[Link]", CharSet = [Link])]
public static extern int QueryHSTIdetails(
ref HstiOverallError pHstiOverallError,
[In, Out] HstiProviderErrorDuple[] pHstiProviderErrors,
ref uint pHstiProviderErrorsCount,
byte[] hstiPlatformSecurityBlob,
ref uint pHstiPlatformSecurityBlobBytes);

[DllImport("[Link]", CharSet = [Link])]

public static extern int QueryHSTI(ref bool Pass);

[StructLayout([Link], CharSet = [Link])]

public struct HstiProviderErrorDuple
{
internal uint protocolError;
internal uint role;
internal HstiProviderErrors providerError;
[MarshalAs([Link], SizeConst = 256)]
internal string ID;
[MarshalAs([Link], SizeConst = 4096)]
 [MarshalAs([Link], SizeConst = 4096)]
internal string ErrorString;
}

[FlagsAttribute]
public enum HstiProviderErrors : int
{
None = 0x00000000,
VersionMismatch = 0x00000001,
RoleUnknown = 0x00000002,
RoleDuplicated = 0x00000004,
SecurityFeatureSizeMismatch = 0x00000008,
SizeTooSmall = 0x00000010,
VerifiedMoreThanImplemented = 0x00000020,
VerifiedNotMatchImplemented = 0x00000040
}

[FlagsAttribute]
public enum HstiOverallError : int
{
None = 0x00000000,
RoleTooManyPlatformReference = 0x00000001,
RoleTooManyIbv = 0x00000002,
RoleTooManyOem = 0x00000004,
RoleTooManyOdm = 0x00000008,
RoleMissingPlatformReference = 0x00000010,
VerifiedIncomplete = 0x00000020,
ProtocolErrors = 0x00000040,
BlobVersionMismatch = 0x00000080,
PlatformSecurityVersionMismatch = 0x00000100,
ProviderError = 0x00000200
}

}
"@

$LibHandle = [Kernel32]::LoadLibrary("C:\Windows\System32\[Link]")
$FuncHandle = [Kernel32]::GetProcAddress($LibHandle, "QueryHSTIdetails")
$FuncHandle2 = [Kernel32]::GetProcAddress($LibHandle, "QueryHSTI")

if ([[Link]]::Size -eq 8)
{
#assuming 64 bit
Log "`nKernel32::LoadLibrary 64bit --> 0x$("{0:X16}" -f $LibHandle.ToInt64())"
Log "HstiTest2::QueryHSTIdetails 64bit --> 0x$("{0:X16}" -f $FuncHandle.ToInt64())"
}
else
{
return
}
$overallError = New-Object HstiTest3+HstiOverallError
$providerErrorDupleCount = New-Object int
$blobByteSize = New-Object int
$hr = [HstiTest3]::QueryHSTIdetails([ref] $overallError, $null, [ref] $providerErrorDupleCount,
$null, [ref] $blobByteSize)

[byte[]]$blob = New-Object byte[] $blobByteSize

[HstiTest3+HstiProviderErrorDuple[]]$providerErrors = New-Object HstiTest3+HstiProviderErrorDuple[]
$providerErrorDupleCount
$hr = [HstiTest3]::QueryHSTIdetails([ref] $overallError, $providerErrors, [ref]
$providerErrorDupleCount, $blob, [ref] $blobByteSize)
$string = $null
$blob | foreach { $string = $string + $_.ToString("X2")+"," }

$hstiStatus = New-Object bool

$hr = [HstiTest3]::QueryHSTI([ref] $hstiStatus)

LogAndConsole "HSTI Duple Count: $providerErrorDupleCount"

LogAndConsole "HSTI Blob size: $blobByteSize"
LogAndConsole "String: $string"
 LogAndConsole "String: $string"
LogAndConsole "HSTIStatus: $hstiStatus"
if(($blobByteSize -gt 512) -and ($providerErrorDupleCount -gt 0) -and $hstiStatus)
{
LogAndConsoleSuccess "HSTI validation successful"
}
elseif(($providerErrorDupleCount -eq 0) -or ($blobByteSize -le 512))
{
LogAndConsoleWarning "HSTI is absent"
$[Link]("HSTI is absent") | Out-Null
}
else
{
$ErrorMessage = "HSTI validation failed"
if($HLK)
{
LogAndConsoleError $ErrorMessage
$[Link]($ErrorMessage) | Out-Null
}
else
{
LogAndConsoleWarning $ErrorMessage
$[Link]("HSTI is absent") | Out-Null
}
}

}
catch
{
LogAndConsoleError $_.[Link]
LogAndConsoleError "Instantiate-HSTI failed"
}
}

function CheckDGRunning($_val)
{
$DGObj = Get-CimInstance -classname Win32_DeviceGuard -namespace root\Microsoft\Windows\DeviceGuard
for($i=0; $i -lt $[Link]; $i++)
{
if($[Link][$i] -eq $_val)
{
return 1
}

}
return 0
}

function CheckDGFeatures($_val)
{
$DGObj = Get-CimInstance -classname Win32_DeviceGuard -namespace root\Microsoft\Windows\DeviceGuard
Log "DG_obj $DG_obj"
Log "DG_obj.[Link] $DG_obj.[Link]"
for($i=0; $i -lt $[Link]; $i++)
{
if($[Link][$i] -eq $_val)
{
return 1
}

}
return 0
}

function PrintConfigCIDetails($_ConfigCIState)
{
$_ConfigCIRunning = "Config-CI is enabled and running."
$_ConfigCIDisabled = "Config-CI is not running."
 $_ConfigCIMode = "Not Enabled"
switch ($_ConfigCIState)
{
0 { $_ConfigCIMode = "Not Enabled" }
1 { $_ConfigCIMode = "Audit mode" }
2 { $_ConfigCIMode = "Enforced mode" }
default { $_ConfigCIMode = "Not Enabled" }
}

if($_ConfigCIState -ge 1)
{
LogAndConsoleSuccess "$_ConfigCIRunning ($_ConfigCIMode)"
}
else
{
LogAndConsoleWarning "$_ConfigCIDisabled ($_ConfigCIMode)"
}
}

function PrintHVCIDetails($_HVCIState)
{
$_HvciRunning = "HVCI is enabled and running."
$_HvciDisabled = "HVCI is not running."

if($_HVCIState)
{
LogAndConsoleSuccess $_HvciRunning
}
else
{
LogAndConsoleWarning $_HvciDisabled
}
}

function PrintCGDetails ($_CGState)

{
$_CGRunning = "Credential-Guard is enabled and running."
$_CGDisabled = "Credential-Guard is not running."

if($_CGState)
{
LogAndConsoleSuccess $_CGRunning
}
else
{
LogAndConsoleWarning $_CGDisabled
}
}

if(![[Link]]::Exists($path))
{
New-Item -ItemType directory -Path $path
}
else
{
#Do Nothing!!
}

function IsRedstone
{
$_osVersion = [environment]::[Link]
Log $_osVersion
#Check if build Major is Windows 10
if($_osVersion.Major -lt 10)
{
return 0
}
#Check if the build is post Threshold2 (1511 release) => Redstone
if($_osVersion.Build -gt 10586)
 {
return 1
}
#default return False
return 0
}

function ExecuteCommandAndLog($_cmd)
{
try
{
Log "Executing: $_cmd"
$CmdOutput = Invoke-Expression $_cmd | Out-String
Log "Output: $CmdOutput"
}
catch
{
Log "Exception while exectuing $_cmd"
Log $_.[Link]
}

function PrintRebootWarning
{
LogAndConsoleWarning "Please reboot the machine, for settings to be applied."
}

function AutoRebootHelper
{
if($AutoReboot)
{
LogAndConsole "PC will restart in 30 seconds"
ExecuteCommandAndLog 'shutdown /r /t 30'
}
else
{
PrintRebootWarning
}

function VerifierReset
{
$verifier_state = verifier /query | Out-String
if(!$verifier_state.ToString().Contains("No drivers are currently verified."))
{
ExecuteCommandAndLog '[Link] /reset'
}
AutoRebootHelper
}

function PrintHardwareReq
{
LogAndConsole "###########################################################################"
LogAndConsole "OS and Hardware requirements for enabling Device Guard and Credential Guard"
LogAndConsole " 1. OS SKUs: Available only on these OS Skus - Enterprise, Server, Education and
Enterprise IoT"
LogAndConsole " 2. Hardware: Recent hardware that supports virtualization extension with SLAT"
LogAndConsole "To learn more please visit: [Link]
LogAndConsole "########################################################################### `n"
}

function CheckDriverCompat
{
$_HVCIState = CheckDGRunning(2)
if($_HVCIState)
{
 {
LogAndConsoleWarning "HVCI is already enabled on this machine, driver compat list might not be
complete."
LogAndConsoleWarning "Please disable HVCI and run the script again..."
}
$verifier_state = verifier /query | Out-String
if($verifier_state.ToString().Contains("No drivers are currently verified."))
{
LogAndConsole "Enabling Driver verifier"
[Link] /flags 0x02000000 /all /bootmode oneboot /log.code_integrity

LogAndConsole "Enabling Driver Verifier and Rebooting system"

Log $verifier_state
LogAndConsole "Please re-execute this script after reboot...."
if($AutoReboot)
{
LogAndConsole "PC will restart in 30 seconds"
ExecuteCommandAndLog 'shutdown /r /t 30'
}
else
{
LogAndConsole "Please reboot manually and run the script again...."
}
exit
}
else
{
LogAndConsole "Driver verifier already enabled"
Log $verifier_state
ListDrivers($verifier_state.Trim().ToLowerInvariant())
}
}
function IsDomainController
{
$_isDC = 0
$CompConfig = Get-WmiObject Win32_ComputerSystem
foreach ($ObjItem in $CompConfig)
{
$Role = $[Link]
Log "Role=$Role"
Switch ($Role)
{
0 { Log "Standalone Workstation" }
1 { Log "Member Workstation" }
2 { Log "Standalone Server" }
3 { Log "Member Server" }
4
{
Log "Backup Domain Controller"
$_isDC=1
break
}
5
{
Log "Primary Domain Controller"
$_isDC=1
break
}
default { Log "Unknown Domain Role" }
}
}
return $_isDC
}

function CheckOSSKU
{
$osname = $((Get-ComputerInfo).WindowsProductName).ToLower()
$_SKUSupported = 0
Log "OSNAME:$osname"
$SKUarray = @("Enterprise", "Education", "IoT", "Windows Server")
 $SKUarray = @("Enterprise", "Education", "IoT", "Windows Server")
$HLKAllowed = @("windows 10 pro")
foreach ($SKUent in $SKUarray)
{
if($[Link]().Contains($[Link]()))
{
$_SKUSupported = 1
break
}
}

# For running HLK tests only, professional SKU's are marked as supported.
if($HLK)
{
if($[Link]().Contains($[Link]()))
{
$_SKUSupported = 1
}
}
$_isDomainController = IsDomainController
if($_SKUSupported)
{
LogAndConsoleSuccess "This PC edition is Supported for DeviceGuard";
if(($_isDomainController -eq 1) -and !$HVCI -and !$DG)
{
LogAndConsoleError "This PC is configured as a Domain Controller, Credential Guard is not
supported on DC."
}
ExecuteCommandAndLog 'REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Capabilities\" /v
"OSSKU" /t REG_DWORD /d 2 /f '
}
else
{
LogAndConsoleError "This PC edition is Unsupported for Device Guard"
$[Link]("OS SKU unsupported") | Out-Null
ExecuteCommandAndLog 'REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Capabilities\" /v
"OSSKU" /t REG_DWORD /d 0 /f '
}
}

function CheckOSArchitecture
{
$OSArch = $(Get-WmiObject win32_operatingsystem).[Link]()
Log $OSArch
if($OSArch -match ("^64\-?\s?bit"))
{
LogAndConsoleSuccess "64 bit architecture"
}
elseif($OSArch -match ("^32\-?\s?bit"))
{
LogAndConsoleError "32 bit architecture"
$[Link]("32 Bit OS, OS Architecture failure.") | Out-Null
}
else
{
LogAndConsoleError "Unknown architecture"
$[Link]("Unknown OS, OS Architecture failure.") | Out-Null
}
}

function CheckSecureBootState
{
try {
$_secureBoot = Confirm-SecureBootUEFI
}
catch
{
$_secureBoot = $false
}
Log $_secureBoot
 Log $_secureBoot
if($_secureBoot)
{
LogAndConsoleSuccess "Secure Boot is present"
ExecuteCommandAndLog 'REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Capabilities\" /v
"SecureBoot" /t REG_DWORD /d 2 /f '
}
else
{
LogAndConsoleError "Secure Boot is absent / not enabled."
LogAndConsoleError "If Secure Boot is supported on the system, enable Secure Boot in the BIOS and
run the script again."
ExecuteCommandAndLog 'REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Capabilities\" /v
"SecureBoot" /t REG_DWORD /d 0 /f '
$[Link]("Secure boot validation failed.") | Out-Null
}
}

function CheckVirtualization
{
$_vmmExtension = $(Get-WMIObject -Class Win32_processor).VMMonitorModeExtensions
$_vmFirmwareExtension = $(Get-WMIObject -Class Win32_processor).VirtualizationFirmwareEnabled
$_vmHyperVPresent = (Get-CimInstance -Class Win32_ComputerSystem).HypervisorPresent
Log "VMMonitorModeExtensions $_vmmExtension"
Log "VirtualizationFirmwareEnabled $_vmFirmwareExtension"
Log "HyperVisorPresent $_vmHyperVPresent"

#success if either processor supports and enabled or if hyper-v is present

if(($_vmmExtension -and $_vmFirmwareExtension) -or $_vmHyperVPresent )
{
LogAndConsoleSuccess "Virtualization firmware check passed"
ExecuteCommandAndLog 'REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Capabilities\" /v
"Virtualization" /t REG_DWORD /d 2 /f '
}
else
{
LogAndConsoleError "Virtualization firmware check failed."
LogAndConsoleError "If Virtualization extensions are supported on the system, enable hardware
virtualization (Intel Virtualization Technology, Intel VT-x, Virtualization Extensions, or similar) in the
BIOS and run the script again."
ExecuteCommandAndLog 'REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Capabilities\" /v
"Virtualization" /t REG_DWORD /d 0 /f '
$[Link]("Virtualization firmware check failed.") | Out-Null
}
}

function CheckTPM
{
$TPMLockout = $(get-tpm).LockoutCount

if($TPMLockout)
{

if($[Link]().Contains("Not Supported for TPM 1.2"))

{
if($HLK)
{
LogAndConsoleSuccess "TPM 1.2 is present."
}
else
{
$WarningMsg = "TPM 1.2 is Present. TPM 2.0 is Preferred."
LogAndConsoleWarning $WarningMsg
$[Link]($WarningMsg) | Out-Null
}
}
else
{
LogAndConsoleSuccess "TPM 2.0 is present."
}
 }
ExecuteCommandAndLog 'REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Capabilities\" /v
"TPM" /t REG_DWORD /d 2 /f '
}
else
{
$WarningMsg = "TPM is absent or not ready for use"
if($HLK)
{
LogAndConsoleError $WarningMsg
$[Link]($WarningMsg) | Out-Null
}
else
{
LogAndConsoleWarning $WarningMsg
$[Link]($WarningMsg) | Out-Null
}
ExecuteCommandAndLog 'REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Capabilities\" /v
"TPM" /t REG_DWORD /d 0 /f '
}
}

function CheckSecureMOR
{
$isSecureMOR = CheckDGFeatures(4)
Log "isSecureMOR= $isSecureMOR "
if($isSecureMOR -eq 1)
{
LogAndConsoleSuccess "Secure MOR is available"
ExecuteCommandAndLog 'REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Capabilities\" /v
"SecureMOR" /t REG_DWORD /d 2 /f '
}
else
{
$WarningMsg = "Secure MOR is absent"
if($HLK)
{
LogAndConsoleError $WarningMsg
$[Link]($WarningMsg) | Out-Null
}
else
{
LogAndConsoleWarning $WarningMsg
$[Link]($WarningMsg) | Out-Null
}
ExecuteCommandAndLog 'REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Capabilities\" /v
"SecureMOR" /t REG_DWORD /d 0 /f '
}
}

function CheckNXProtection
{
$isNXProtected = CheckDGFeatures(5)
Log "isNXProtected= $isNXProtected "
if($isNXProtected -eq 1)
{
LogAndConsoleSuccess "NX Protector is available"
ExecuteCommandAndLog 'REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Capabilities\" /v
"UEFINX" /t REG_DWORD /d 2 /f '
}
else
{
LogAndConsoleWarning "NX Protector is absent"
$[Link]("NX Protector is absent") | Out-Null
ExecuteCommandAndLog 'REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Capabilities\" /v
"UEFINX" /t REG_DWORD /d 0 /f '
}
}
function CheckSMMProtection
{
$isSMMMitigated = CheckDGFeatures(6)
Log "isSMMMitigated= $isSMMMitigated "
if($isSMMMitigated -eq 1)
{
LogAndConsoleSuccess "SMM Mitigation is available"
ExecuteCommandAndLog 'REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Capabilities\" /v
"SMMProtections" /t REG_DWORD /d 2 /f '
}
else
{
LogAndConsoleWarning "SMM Mitigation is absent"
$[Link]("SMM Mitigation is absent") | Out-Null
ExecuteCommandAndLog 'REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Capabilities\" /v
"SMMProtections" /t REG_DWORD /d 0 /f '
}
}

function CheckHSTI
{
LogAndConsole "Copying [Link]"
try
{
$HSTITest_Decoded = [[Link]]::FromBase64String($HSTITest_Encoded)
[[Link]]::WriteAllBytes("$env:windir\System32\[Link]",$HSTITest_Decoded)

}
catch
{
LogAndConsole $_.[Link]
LogAndConsole "Copying and loading [Link] failed"
}

Instantiate-Kernel32
Instantiate-HSTI
}

function PrintToolVersion
{
LogAndConsole ""
LogAndConsole "###########################################################################"
LogAndConsole ""
LogAndConsole "Readiness Tool Version 3.7.2 Release. `nTool to check if your device is capable to run
Device Guard and Credential Guard."
LogAndConsole ""
LogAndConsole "###########################################################################"
LogAndConsole ""

PrintToolVersion

if(!($Ready) -and !($Capable) -and !($Enable) -and !($Disable) -and !($Clear) -and !($ResetVerifier))
{
#Print Usage if none of the options are specified
LogAndConsoleWarning "How to read the output:"
LogAndConsoleWarning ""
LogAndConsoleWarning " 1. Red Errors: Basic things are missing that will prevent enabling and using
DG/CG"
LogAndConsoleWarning " 2. Yellow Warnings: This device can be used to enable and use DG/CG, but `n
additional security benefits will be absent. To learn more please go through: [Link]
LogAndConsoleWarning " 3. Green Messages: This device is fully compliant with DG/CG requirements`n"

LogAndConsoleWarning "###########################################################################"
LogAndConsoleWarning ""
LogAndConsoleWarning "Hardware requirements for enabling Device Guard and Credential Guard"
LogAndConsoleWarning " 1. Hardware: Recent hardware that supports virtualization extension with SLAT"
LogAndConsoleWarning ""
 LogAndConsoleWarning "########################################################################### `n"

LogAndConsoleWarning "Usage: DG_Readiness.ps1 -[Capable/Ready/Enable/Disable/Clear] -[DG/CG/HVCI] -

[AutoReboot] -Path"
LogAndConsoleWarning "Log file with details is found here: C:\DGLogs `n"

LogAndConsoleWarning "To Enable DG/CG. If you have a custom SIPolicy.p7b then use the -Path parameter
else the hardcoded default policy is used"
LogAndConsoleWarning "Usage: DG_Readiness.ps1 -Enable OR DG_Readiness.ps1 -Enable -Path <full path to
the SIPolicy.p7b> `n"

LogAndConsoleWarning "To Enable only HVCI"

LogAndConsoleWarning "Usage: DG_Readiness.ps1 -Enable -HVCI `n"

LogAndConsoleWarning "To Enable only CG"

LogAndConsoleWarning "Usage: DG_Readiness.ps1 -Enable -CG `n"

LogAndConsoleWarning "To Verify if DG/CG is enabled"

LogAndConsoleWarning "Usage: DG_Readiness.ps1 -Ready `n"

LogAndConsoleWarning "To Disable DG/CG."

LogAndConsoleWarning "Usage: DG_Readiness.ps1 -Disable `n"

LogAndConsoleWarning "To Verify if DG/CG is disabled"

LogAndConsoleWarning "Usage: DG_Readiness.ps1 -Ready `n"

LogAndConsoleWarning "To Verify if this device is DG/CG Capable"

LogAndConsoleWarning "Usage: DG_Readiness.ps1 -Capable`n"

LogAndConsoleWarning "To Verify if this device is HVCI Capable"

LogAndConsoleWarning "Usage: DG_Readiness.ps1 -Capable -HVCI`n"

LogAndConsoleWarning "To Auto reboot with each option"

LogAndConsoleWarning "Usage: DG_Readiness.ps1 -[Capable/Enable/Disable] -AutoReboot`n"
LogAndConsoleWarning "###########################################################################"
LogAndConsoleWarning ""
LogAndConsoleWarning "When the Readiness Tool with '-capable' is run the following RegKey values are
set:"
LogAndConsoleWarning ""
LogAndConsoleWarning "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Capabilities"
LogAndConsoleWarning "CG_Capable"
LogAndConsoleWarning "DG_Capable"
LogAndConsoleWarning "HVCI_Capable"
LogAndConsoleWarning ""
LogAndConsoleWarning "Value 0 = not possible to enable DG/CG/HVCI on this device"
LogAndConsoleWarning "Value 1 = not fully compatible but has sufficient firmware/hardware/software
features to enable DG/CG/HVCI"
LogAndConsoleWarning "Value 2 = fully compatible for DG/CG/HVCI"
LogAndConsoleWarning ""
LogAndConsoleWarning "########################################################################### `n"
}

$user = [[Link]]::GetCurrent();
$TestForAdmin = (New-Object [Link]
$user).IsInRole([[Link]]::Administrator)

if(!$TestForAdmin)
{
LogAndConsoleError "This script requires local administrator privileges. Please execute this script as a
local administrator."
exit
}

$isRunningOnVM = (Get-WmiObject win32_computersystem).model

if($[Link]("Virtual"))
{
LogAndConsoleWarning "Running on a Virtual Machine. DG/CG is supported only if both guest VM and host
machine are running with Windows 10, version 1703 or later with English localization."
}
}

<# Check the DG status if enabled or disabled, meaning if the device is ready or not #>
if($Ready)
{
PrintHardwareReq

$DGRunning = $(Get-CimInstance -classname Win32_DeviceGuard -namespace

root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning
$_ConfigCIState = $(Get-CimInstance -classname Win32_DeviceGuard -namespace
root\Microsoft\Windows\DeviceGuard).CodeIntegrityPolicyEnforcementStatus
Log "Current DGRunning = $DGRunning, ConfigCI= $_ConfigCIState"
$_HVCIState = CheckDGRunning(2)
$_CGState = CheckDGRunning(1)

if($HVCI)
{
Log "_HVCIState: $_HVCIState"
PrintHVCIDetails $_HVCIState
}
elseif($CG)
{
Log "_CGState: $_CGState"
PrintCGDetails $_CGState

if($_CGState)
{
ExecuteCommandAndLog 'REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Capabilities\"
/v "CG_Running" /t REG_DWORD /d 1 /f'
}
else
{
ExecuteCommandAndLog 'REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Capabilities\"
/v "CG_Running" /t REG_DWORD /d 0 /f'
}
}
elseif($DG)
{
Log "_HVCIState: $_HVCIState, _ConfigCIState: $_ConfigCIState"

PrintHVCIDetails $_HVCIState
PrintConfigCIDetails $_ConfigCIState

if($_ConfigCIState -and $_HVCIState)

{
LogAndConsoleSuccess "HVCI, and Config-CI are enabled and running."

ExecuteCommandAndLog 'REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Capabilities\"

/v "DG_Running" /t REG_DWORD /d 1 /f'
}
else
{
LogAndConsoleWarning "Not all services are running."

ExecuteCommandAndLog 'REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Capabilities\"

/v "DG_Running" /t REG_DWORD /d 0 /f'
}
}
else
{
Log "_CGState: $_CGState, _HVCIState: $_HVCIState, _ConfigCIState: $_ConfigCIState"

PrintCGDetails $_CGState
PrintHVCIDetails $_HVCIState
PrintConfigCIDetails $_ConfigCIState

if(($[Link] -ge 2) -and ($_CGState) -and ($_HVCIState) -and ($_ConfigCIState -ge 1))
{
LogAndConsoleSuccess "HVCI, Credential Guard, and Config CI are enabled and running."
 LogAndConsoleSuccess "HVCI, Credential Guard, and Config CI are enabled and running."
}
else
{
LogAndConsoleWarning "Not all services are running."
}
}
}

<# Enable and Disable #>

if($Enable)
{
PrintHardwareReq

LogAndConsole "Enabling Device Guard and Credential Guard"

LogAndConsole "Setting RegKeys to enable DG/CG"

ExecuteCommandAndLog 'REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v

"EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f'
#Only SecureBoot is required as part of RequirePlatformSecurityFeatures
ExecuteCommandAndLog 'REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v
"RequirePlatformSecurityFeatures" /t REG_DWORD /d 1 /f'

$_isRedstone = IsRedstone
if(!$_isRedstone)
{
ExecuteCommandAndLog 'REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Unlocked" /t
REG_DWORD /d 1 /f'
}
else
{
ExecuteCommandAndLog 'REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /t
REG_DWORD /d 0 /f'
}

if(!$HVCI -and !$DG)

{
# value is 2 for both Th2 and RS1
ExecuteCommandAndLog 'REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v "LsaCfgFlags" /t
REG_DWORD /d 2 /f'
}
if(!$CG)
{
if(!$_isRedstone)
{
ExecuteCommandAndLog 'REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v
"HypervisorEnforcedCodeIntegrity" /t REG_DWORD /d 1 /f'
}
else
{
ExecuteCommandAndLog 'REG ADD
"HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled"
/t REG_DWORD /d 1 /f'
ExecuteCommandAndLog 'REG ADD
"HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Locked" /t
REG_DWORD /d 0 /f'
}
}

try
{
if(!$HVCI -and !$CG)
{
if(!$SIPolicyPath)
{
Log "Writing Decoded SIPolicy.p7b"
$SIPolicy_Decoded = [[Link]]::FromBase64String($SIPolicy_Encoded)

[[Link]]::WriteAllBytes("$env:windir\System32\CodeIntegrity\SIPolicy.p7b",$SIPolicy_Decoded)
}
 }
else
{
LogAndConsole "Copying user provided SIpolicy.p7b"
$CmdOutput = Copy-Item $SIPolicyPath "$env:windir\System32\CodeIntegrity\SIPolicy.p7b" |
Out-String
Log $CmdOutput
}
}
}
catch
{
LogAndConsole "Writing SIPolicy.p7b file failed"
}

LogAndConsole "Enabling Hyper-V and IOMMU"

$_isRedstone = IsRedstone
if(!$_isRedstone)
{
LogAndConsole "OS Not Redstone, enabling IsolatedUserMode separately"
#Enable/Disable IOMMU separately
ExecuteCommandAndLog '[Link] /Online /Enable-Feature:IsolatedUserMode /NoRestart'
}
$CmdOutput = [Link] /Online /Enable-Feature:Microsoft-Hyper-V-Hypervisor /All /NoRestart | Out-String
if(!$[Link]("The operation completed successfully."))
{
$CmdOutput = [Link] /Online /Enable-Feature:Microsoft-Hyper-V-Online /All /NoRestart | Out-String
}

Log $CmdOutput
if($[Link]("The operation completed successfully."))
{
LogAndConsoleSuccess "Enabling Hyper-V and IOMMU successful"
#Reg key for HLK validation of [Link] step
ExecuteCommandAndLog 'REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Capabilities\" /v
"HyperVEnabled" /t REG_DWORD /d 1 /f'
}
else
{
LogAndConsoleWarning "Enabling Hyper-V failed please check the log file"
#Reg key for HLK validation of [Link] step
ExecuteCommandAndLog 'REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Capabilities\" /v
"HyperVEnabled" /t REG_DWORD /d 0 /f'
}
AutoRebootHelper
}

if($Disable)
{
LogAndConsole "Disabling Device Guard and Credential Guard"
LogAndConsole "Deleting RegKeys to disable DG/CG"

ExecuteCommandAndLog 'REG DELETE "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v

"EnableVirtualizationBasedSecurity" /f'
ExecuteCommandAndLog 'REG DELETE "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v
"RequirePlatformSecurityFeatures" /f'

$_isRedstone = IsRedstone
if(!$_isRedstone)
{
ExecuteCommandAndLog 'REG DELETE "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "NoLock" /f'
}
else
{
ExecuteCommandAndLog 'REG DELETE "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /f'
}

if(!$CG)
{
ExecuteCommandAndLog 'REG DELETE "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v
 ExecuteCommandAndLog 'REG DELETE "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v
"HypervisorEnforcedCodeIntegrity" /f'
if($_isRedstone)
{
ExecuteCommandAndLog 'REG DELETE
"HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /f'
}
}

if(!$HVCI -and !$DG)

{
ExecuteCommandAndLog 'REG DELETE "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v "LsaCfgFlags" /f'
}

if(!$HVCI -and !$CG)

{
ExecuteCommandAndLog 'del "$env:windir\System32\CodeIntegrity\SIPolicy.p7b"'
}

if(!$HVCI -and !$DG -and !$CG)

{
LogAndConsole "Disabling Hyper-V and IOMMU"
$_isRedstone = IsRedstone
if(!$_isRedstone)
{
LogAndConsole "OS Not Redstone, disabling IsolatedUserMode separately"
#Enable/Disable IOMMU separately
ExecuteCommandAndLog '[Link] /Online /disable-Feature /FeatureName:IsolatedUserMode
/NoRestart'
}
$CmdOutput = [Link] /Online /disable-Feature /FeatureName:Microsoft-Hyper-V-Hypervisor /NoRestart
| Out-String
if(!$[Link]("The operation completed successfully."))
{
$CmdOutput = [Link] /Online /disable-Feature /FeatureName:Microsoft-Hyper-V-Online /NoRestart
| Out-String
}
Log $CmdOutput
if($[Link]("The operation completed successfully."))
{
LogAndConsoleSuccess "Disabling Hyper-V and IOMMU successful"
}
else
{
LogAndConsoleWarning "Disabling Hyper-V failed please check the log file"
}

#set of commands to run [Link] to delete UEFI variables if were set in pre OS
#these steps can be performed even if the UEFI variables were not set - if not set it will lead to
No-Op but this can be run in general always
#this requires a reboot and accepting the prompt in the Pre-OS which is self explanatory in the
message that is displayed in pre-OS
$FreeDrive = ls function:[s-z]: -n | ?{ !(test-path $_) } | random
Log "FreeDrive=$FreeDrive"
ExecuteCommandAndLog 'mountvol $FreeDrive /s'
$CmdOutput = Copy-Item "$env:windir\System32\[Link]"
$FreeDrive\EFI\Microsoft\Boot\[Link] -Force | Out-String
LogAndConsole $CmdOutput
ExecuteCommandAndLog 'bcdedit /create "{0cb3b571-2f2e-4343-a879-d86a476d7215}" /d DGOptOut
/application osloader'
ExecuteCommandAndLog 'bcdedit /set "{0cb3b571-2f2e-4343-a879-d86a476d7215}" path
\EFI\Microsoft\Boot\[Link]'
ExecuteCommandAndLog 'bcdedit /set "{bootmgr}" bootsequence "{0cb3b571-2f2e-4343-a879-
d86a476d7215}"'
ExecuteCommandAndLog 'bcdedit /set "{0cb3b571-2f2e-4343-a879-d86a476d7215}" loadoptions DISABLE-LSA-
ISO,DISABLE-VBS'
ExecuteCommandAndLog 'bcdedit /set "{0cb3b571-2f2e-4343-a879-d86a476d7215}" device
partition=$FreeDrive'
ExecuteCommandAndLog 'mountvol $FreeDrive /d'
#steps complete
 #steps complete

}
AutoRebootHelper
}

if($Clear)
{
ExecuteCommandAndLog 'REG DELETE "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Capabilities" /f'
VerifierReset
}

if($ResetVerifier)
{
VerifierReset
}

<# Is machine Device Guard / Cred Guard Capable and Verify #>
if($Capable)
{
PrintHardwareReq

LogAndConsole "Checking if the device is DG/CG Capable"

$_isRedstone = IsRedstone
if(!$_isRedstone)
{
LogAndConsoleWarning "Capable is currently fully supported in Redstone only.."
}
$_StepCount = 1
if(!$CG)
{
LogAndConsole " ====================== Step $_StepCount Driver Compat ====================== "
$_StepCount++
CheckDriverCompat
}

LogAndConsole " ====================== Step $_StepCount Secure boot present ====================== "
$_StepCount++
CheckSecureBootState

if(!$HVCI -and !$DG -and !$CG)

{
#check only if sub-options are absent
LogAndConsole " ====================== Step $_StepCount MS UEFI HSTI tests ====================== "
$_StepCount++
CheckHSTI
}

LogAndConsole " ====================== Step $_StepCount OS Architecture ====================== "

$_StepCount++
CheckOSArchitecture

LogAndConsole " ====================== Step $_StepCount Supported OS SKU ====================== "

$_StepCount++
CheckOSSKU

LogAndConsole " ====================== Step $_StepCount Virtualization Firmware ====================== "

$_StepCount++
CheckVirtualization

if(!$HVCI -and !$DG)

{
LogAndConsole " ====================== Step $_StepCount TPM version ====================== "
$_StepCount++
CheckTPM

LogAndConsole " ====================== Step $_StepCount Secure MOR ====================== "

$_StepCount++
 CheckSecureMOR
}

LogAndConsole " ====================== Step $_StepCount NX Protector ====================== "

$_StepCount++
CheckNXProtection

LogAndConsole " ====================== Step $_StepCount SMM Mitigation ====================== "

$_StepCount++
CheckSMMProtection

LogAndConsole " ====================== End Check ====================== "

LogAndConsole " ====================== Summary ====================== "

ListSummary
LogAndConsole "To learn more about required hardware and software please visit: [Link]
}

# SIG # Begin signature block

## REPLACE
# SIG # End signature block
 Límites de protección de Credential Guard de
Windows Defender
08/11/2022 • 2 minutes to read

Algunas maneras de almacenar las credenciales no están protegidas por Credential Guard de Windows
Defender, como:
Software que administra credenciales fuera de la protección de la característica de Windows
Cuentas locales y cuentas de Microsoft
Windows Defender Credential Guard no protege la base de datos de Active Directory que se ejecuta en
Windows Server 2016 controladores de dominio. Tampoco protege las canalizaciones de entrada de
credenciales, como Windows Server 2016 servidores que ejecutan puerta de enlace de Escritorio remoto. Si
usas un servidor de Windows Server 2016 como un equipo cliente, obtendrá la misma protección que la que
dispondría al ejecutar Windows 10 Enterprise.
Registradores de pulsaciones de teclas
Ataques físicos
No impide que un atacante con malware en el equipo use los privilegios asociados a cualquier credencial. Se
recomienda usar equipos dedicados para las cuentas de gran valor, como los profesionales de TI y los
usuarios con acceso a activos de gran valor de la organización.
Paquetes de seguridad de terceros
Credenciales de Digest y CredSSP
Cuando Credential Guard de Windows Defender está habilitado, ni Digest ni CredSSP tienen acceso a
las credenciales de inicio de sesión de los usuarios. Esto implica que no se usa el inicio de sesión único
para estos protocolos.
Las credenciales proporcionadas para la autenticación NTLM no están protegidas. Si se pide a usuario que
escriba las credenciales para la autenticación NTLM y obedece a esta solicitud, dichas credenciales se podrán
leer desde la memoria LSASS. Estas mismas credenciales también son vulnerables a los registradores de
claves.
Los vales de servicio kerberos no están protegidos por Credential Guard, pero el vale de concesión de vales
de Kerberos (TGT) sí.
Cuando se implementa Credential Guard de Windows Defender en una máquina virtual, Credential Guard de
Windows Defender protege los secretos frente a los ataques dentro de la máquina virtual. Sin embargo, no
proporciona protección adicional contra ataques del sistema con privilegios originados desde el host.
Los comprobadores de contraseñas almacenadas en caché de inicio de sesión de Windows (normalmente
denominados "credenciales almacenadas en caché") no califican como credenciales porque no se pueden
presentar a otro equipo para la autenticación y solo se pueden usar localmente para comprobar las
credenciales. Se almacenan en el registro en el equipo local y proporcionan validación para las credenciales
cuando un equipo unido a un dominio no se puede conectar a AD DS durante el inicio de sesión del usuario.
Estos "inicios de sesión almacenados en caché", o más específicamente, la información de la cuenta de
dominio almacenada en caché, se pueden administrar mediante la configuración de directiva de seguridad
Inicio de sesión interactivo: número de inicios de sesión anteriores que se almacenarán en
caché si un controlador de dominio no está disponible.

Consulta también
Deep Dive into Windows Defender Credential Guard: vídeos relacionados
Pila de ciberseguridad de Microsoft: Advanced Identity and Endpoint Protection: Manage Credential Guard

NOTE
Nota: Requiere la suscripción a LinkedIn Learning para ver el vídeo completo
 Consideraciones sobre el uso de Credential Guard
de Windows Defender
08/11/2022 • 8 minutes to read

Las contraseñas siguen siendo poco seguras. Recomendamos que además de implementar Credential Guard de
Windows Defender, las organizaciones deben evitar las contraseñas y usar otros métodos de autenticación,
como tarjetas inteligentes físicas, tarjetas inteligentes virtuales o Windows Hello para empresas.
Windows Defender Credential Guard usa la seguridad de hardware, por lo que no se admiten algunas
características como Windows To Go.

Consideraciones sobre Wi-Fi y VPN

Al habilitar Windows Defender Credential Guard, ya no puede usar la autenticación ntlm clásica para el inicio de
sesión único. Se le obligará a escribir sus credenciales para usar estos protocolos y no podrá guardar las
credenciales para su uso futuro. Si usa puntos de conexión WiFi y VPN basados en MS-CHAPv2, están sujetos a
ataques similares a los de NTLMv1. Para las conexiones Wi-Fi y VPN, Microsoft recomienda que las
organizaciones cambien las conexiones basadas en MSCHAPv2, como PEAP-MSCHAPv2 y EAP-MSCHAPv2, a la
autenticación basada en certificados, como PEAP-TLS o EAP-TLS.

Consideraciones de Kerberos
Al habilitar Credential Guard de Windows Defender, ya no se puede usar la delegación de Kerberos sin
restricciones ni el cifrado DES. La delegación sin restricciones podría permitir a los atacantes extraer claves de
Kerberos del proceso de LSA aislado. Usa la delegación de Kerberos restringida o basada en recursos en su
lugar.

Consideraciones acerca de los proveedores de soporte técnico de

seguridad de otros fabricantes
Es posible que algunos proveedores de soporte técnico de seguridad (SSP y AP) de terceros no sean
compatibles con Windows Defender Credential Guard porque no permite que los SSP de terceros soliciten
hashes de contraseña de LSA. Sin embargo, los SSP y puntos de acceso personalizados siguen recibiendo la
notificación de la contraseña cuando un usuario inicia sesión o cambia su contraseña. No se admite el uso de
API no documentadas dentro de SSP y AP personalizados. Te recomendamos que las implementaciones
personalizadas de SSP/puntos de acceso se prueben con Credential Guard de Windows Defender. Los SSP y
puntos de acceso que dependen de cualquier error de comportamiento no documentado o no compatible. Por
ejemplo, no se admite el uso de la API KerbQuerySupplementalCredentialsMessage. Reemplazar SSP de
Kerberos o NTLM con SSP y puntos de acceso personalizados. Para obtener más información, consulta
Restrictions around Registering and Installing a Security Package (Restricciones en torno al registro y la
instalación de paquetes de seguridad) en MSDN.

Consideraciones acerca de la actualización

Dado que la amplitud y profundidad de las protecciones que ofrece Credential Guard de Windows Defender
aumentan, las versiones posteriores de Windows 10 que ejecuten Credential Guard de Windows Defender
podrían influir en los escenarios que estaban funcionando en el pasado. Por ejemplo, Credential Guard de
Windows Defender puede bloquear el uso de un tipo particular de credencial o de un componente concreto
para impedir que el malware saque provecho de las vulnerabilidades. Prueba los escenarios necesarios para las
operaciones de una organización antes de actualizar un dispositivo con Credential Guard de Windows Defender.
Credenciales protegidas con Windows guardadas
A partir de Windows10, versión 1511, las credenciales de dominio que se almacenan con el Administrador de
credenciales están protegidas con Credential Guard de Windows Defender. El Administrador de credenciales te
permite almacenar tres tipos de credenciales: credenciales de Windows, credenciales basadas en certificados y
credenciales genéricas. Las credenciales genéricas, como los nombres de usuario y las contraseñas que se usan
para iniciar sesión en sitios web, no están protegidas, ya que las aplicaciones requieren la contraseña de texto no
cifrado. Si la aplicación no necesita una copia de la contraseña, puede guardar las credenciales de dominio como
credenciales de Windows protegidas. Las credenciales de Windows se usan para conectarse a otros equipos en
una red. Las consideraciones siguientes se aplican a las protecciones de Credential Guard de Windows Defender
para el Administrador de credenciales:
Las credenciales de Windows guardadas por el cliente de Escritorio remoto no se pueden enviar a un host
remoto. Cualquier intento de usar credenciales de Windows guardadas fallará y se mostrará el mensaje de
error "No se puede iniciar sesión".
Se produce un error en las aplicaciones que extraigan credenciales de Windows.
Cuando se realiza una copia de seguridad de las credenciales desde un equipo que tiene habilitada Windows
Defender Credential Guard, no se pueden restaurar las credenciales de Windows. Si necesitas hacer una
copia de seguridad de tus credenciales, debes hacerlo antes de habilitar Credential Guard de Windows
Defender. De lo contrario, no puede restaurar esas credenciales.

Consideraciones acerca del borrado del TPM

La seguridad basada en la virtualización (VBS) usa el TPM para proteger su clave. Por lo tanto, cuando se borra
el TPM, la clave protegida del TPM que se usa para cifrar secretos de VBS se pierde.

WARNING
Al borrar el TPM, se pierden los datos protegidos de todas las características que usan VBS para proteger los datos.
Cuando un TPM se borra, TODAS las características, que usan VBS para proteger los datos, ya no pueden descifrar sus
datos protegidos.

Como resultado, Credential Guard ya no puede descifrar los datos protegidos. VBS crea una nueva clave TPM
protegido para Credential Guard. Credential Guard usa la nueva clave para proteger los datos nuevos. Sin
embargo, los datos protegidos anteriormente se pierden para siempre.

NOTE
Credential Guard obtiene la clave durante la inicialización. De modo que la pérdida de datos únicamente afectará a los
datos persistentes y se producirá después del próximo inicio del sistema.

Credenciales de Windows guardadas en el Administrador de credenciales

Dado que el Administrador de credenciales no puede descifrar las credenciales de Windows guardadas, se
eliminan. Las aplicaciones deben solicitar credenciales que se guardaron anteriormente. Si se guardan de nuevo,
las credenciales de Windows están protegidas por Credential Guard.
Clave pública aprovisionada automáticamente por el dispositivo unido a un dominio
A partir de Windows10 y WindowsServer2016, los dispositivos de dominio automáticamente aprovisionan una
clave pública vinculada. Para obtener más información sobre el aprovisionamiento de claves públicas
automáticas, consulta Autenticación de clave pública de dispositivo unido al dominio.
Puesto que Credential Guard no puede descifrar la clave privada protegida, Windows usa la contraseña del
equipo unido al dominio para la autenticación en el dominio. A menos que se implementen directivas
adicionales, no debe haber una pérdida de funcionalidad. Si un dispositivo está configurado para usar solo la
clave pública, no se puede autenticar con contraseña hasta que esa directiva esté deshabilitada. Para obtener
más información sobre cómo configurar dispositivos para usar únicamente una clave pública, consulta
Autenticación de clave pública de dispositivo unido al dominio.
Además, si las comprobaciones de control de acceso, incluidas las directivas de autenticación, requieren que los
dispositivos tengan los SID conocidos KEY TRUST IDENTITY (S-1-18-4) o FRESH PUBLIC KEY IDENTITY (S-1-18-
3), se producirá un error en dichas comprobaciones. Para obtener más información acerca de las directivas de
autenticación, consulta Directivas de autenticación y silos de directivas de autenticación. Para obtener más
información acerca de los SID conocidos, consulta [MS-DTYP] sección [Link] Well-known SID Structures
(Estructuras de SID conocido).
Dividir la DPAPI en dispositivos unidos a un dominio
En los dispositivos unidos a un dominio, la DPAPI puede recuperar las claves de usuario con un controlador de
dominio desde el dominio del usuario. Si un dispositivo unido a un dominio no tiene conectividad con un
controlador de dominio, no es posible la recuperación.

IMPORTANT
La práctica recomendada al borrar un TPM en un dispositivo unido a un dominio es estar en una red con conectividad a
los controladores de dominio. Esto garantiza que la DPAPI funcione y el usuario no experimente un comportamiento
extraño.
La configuración de VPN automática está protegida con la DPAPI del usuario. Es posible que el usuario no pueda usar
VPN para conectarse a los controladores de dominio, dado que las configuraciones de VPN se pierden.

Si debes borrar el TPM en un dispositivo unido al dominio sin conectividad a los controladores de dominio,
debes tener en cuenta lo siguiente.
Inicio de sesión de usuario de dominio en un dispositivo unido a un dominio después de borrar un TPM,
siempre y cuando no haya conectividad con un controlador de dominio:

T IP O DE C REDEN C IA L VERSIÓ N DE W IN DO W S C O M P O RTA M IEN TO

Certificado (tarjeta inteligente o Todos Todos los datos protegidos con DPAPI
Windows Hello para empresas) de usuario no se pueden usar y dpapi
de usuario no funciona en absoluto.

Contraseña Windows10 v1709 o versiones Si el usuario inició sesión con un

posteriores certificado o una contraseña antes de
borrar el TPM, puede iniciar sesión con
contraseña y dpapi de usuario no se
verá afectada.

Contraseña Windows10 v1703 Si el usuario inició sesión con una

contraseña antes de borrar el TPM,
puede iniciar sesión con esa
contraseña y no se verá afectado.

Contraseña Windows10 v1607 o versiones Los datos protegidos por la DPAPI del
anteriores usuario existente son inutilizables. La
DPAPI de usuario es capaz de proteger
nuevos datos.

Una vez que el dispositivo tiene conectividad a los controladores de dominio, la DPAPI recupera la clave del
usuario y los datos protegidos antes de borrar el TPM pueden descifrarse.
Efecto de los errores de la DPAPI en WindowsInformationProtection
Cuando los datos protegidos con la DPAPI de usuario son inutilizables, el usuario pierde el acceso a todos los
datos de trabajo protegidos por WindowsInformationProtection. El impacto incluye: Outlook 2016 no puede
iniciarse y no se pueden abrir documentos protegidos por el trabajo. Si la DPAPI está funcionando, los datos de
trabajo creados recientemente están protegidos y se puede tener acceso a ellos.
Solución alternativa: los usuarios pueden resolver el problema conectando su dispositivo al dominio y
reiniciando o usando el certificado de Agente de recuperación de datos del Sistema de cifrado de archivos. Para
obtener más información sobre el certificado de Agente de recuperación de datos del Sistema de cifrado de
archivos, consulta Crear y comprobar un certificado del Agente de recuperación de datos (DRA) del Sistema de
cifrado de archivos (EFS).

Consulta también
Vídeos relacionados
¿Qué es la seguridad basada en virtualización?
 Mitigaciones adicionales
08/11/2022 • 19 minutes to read

Windows Defender Credential Guard puede proporcionar mitigación frente a ataques en credenciales derivadas
e impedir el uso de credenciales robadas en otro lugar. Sin embargo, los equipos pueden seguir siendo
vulnerables a determinados ataques, aunque las credenciales derivadas estén protegidas por Credential Guard
de Windows Defender. Estos ataques pueden incluir el abuso de privilegios y el uso de credenciales derivadas
directamente desde un dispositivo en peligro, el reutilización de credenciales previamente robadas antes de
Windows Defender Credential Guard y el abuso de herramientas de administración y configuraciones de
aplicaciones débiles. Por este motivo, también se debe implementar una mitigación adicional para que el
entorno de dominio sea más sólido.

Restringir los usuarios del dominio a dispositivos específicos unidos a

un dominio
Los ataques de robo de credenciales permiten al atacante robar secretos de un dispositivo y usarlos en otro
dispositivo. Si un usuario puede iniciar sesión en varios dispositivos, podría usarse cualquier dispositivo para
robar las credenciales. ¿Cómo se asegura de que los usuarios solo inicien sesión con dispositivos que tengan
habilitado Windows Defender Credential Guard? Esto se consigue implementando directivas de autenticación
que les permite iniciar sesión únicamente en un dispositivo unido a un dominio y que se ha configurado con
Credential Guard de Windows Defender. Para que el controlador de dominio sepa desde qué dispositivo está
iniciando sesión un usuario, se debe utilizar la protección de Kerberos.
Protección de Kerberos
La protección de Kerberos forma parte de RFC 6113. Cuando un dispositivo admite la protección de Kerberos,
su TGT se usa para proteger la prueba de posesión del usuario que puede mitigar los ataques de diccionario sin
conexión. La protección de Kerberos también proporciona la ventaja adicional de los errores de KDC firmados.
Esto mitiga la manipulación que puede ayudar a degradar los ataques.
Habilitar la protección de Kerberos para restringir los usuarios del dominio a dispositivos
específicos unidos a un dominio.
Los usuarios tienen que estar en dominios que ejecuten Windows Server 2012 R2 o superior.
Todos los controladores de dominio de estos dominios deben estar configurados para admitir la protección
de Kerberos. Establece la configuración de la directiva de grupo Compatibilidad de KDC con
notificaciones, autenticación compuesta y protección de Kerberos en Admitida o Siempre
proporcionar notificaciones .
Todos los dispositivos con Credential Guard de Windows Defender que estarán restringidos únicamente a los
usuarios deben configurarse para admitir la protección de Kerberos. Habilita las opciones de configuración
de directiva de grupo El cliente Kerberos admite notificaciones, autenticación compuesta y
protección de Kerberos **** Enviar siempre autenticación compuesta primero -> en Configuración del
equipo -> Plantillas administrativas -> Sistema Kerberos.
Proteger secretos de un dispositivo unido a un dominio
Dado que los dispositivos unidos a un dominio también usan secretos compartidos para la autenticación, los
atacantes también pueden robar esos secretos. Al implementar los certificados de dispositivo con Credential
Guard de Windows Defender, se puede proteger la clave privada. A continuación, las directivas de autenticación
pueden requerir que los usuarios inicien sesión en dispositivos que se autentiquen mediante esos certificados.
Esto impide que los secretos compartidos robados en los dispositivos se usen con las credenciales de usuario
para iniciar sesión como tal.
La autenticación de certificado de dispositivos unidos a un dominio tiene los siguientes requisitos:
Las cuentas de los dispositivos están ejecutando el nivel funcional de dominio de Windows Server 2012 o un
nivel superior.
Todos los controladores en esos dominios tienen certificados KDC que cumplen con los estrictos requisitos
de certificación de validación KDC.
EKU de KDC presente
El nombre de dominio DNS coincide con el campo DNSName de la extensión SubjectAltName (SAN).
Los dispositivos Windows tienen la entidad de certificación que emite los certificados de controlador de
dominio en el almacén empresarial.
Se establece un proceso para garantizar la identidad y la confiabilidad del dispositivo de una manera similar
a la que establecerías la identidad y la confiabilidad de un usuario antes de emitirle una tarjeta inteligente.
Implementación de certificados de un dispositivo unido a un dominio
Para garantizar que los certificados con la directiva de emisión necesaria se instalen únicamente en los
dispositivos que los usuarios deben utilizar, deberán implementarse de forma manual en cada dispositivo. Para
los certificados del dispositivo, deben aplicarse los mismos procedimientos de seguridad que se usan para
emitir tarjetas inteligentes a los usuarios.
Por ejemplo, supongamos que desea usar la directiva de seguridad alta solamente en estos dispositivos. Con
una entidad de certificación de Windows Server Enterprise puedes crear una nueva plantilla.
Crear una nueva plantilla de cer tificado
1. Desde la consola del Administrador de certificados, haz clic con el botón secundario en Plantillas de
cer tificado y, a continuación, haz clic en Administrar.
2. Haz clic con el botón secundario en Autenticación de estación de trabajo y, a continuación, haz clic en
Duplicar plantilla .
3. Haz clic en la nueva plantilla y, a continuación, haz clic en Propiedades .
4. En la pestaña Extensiones , haz clic en Directivas de aplicación y, a continuación, haz clic en Editar .
5. Haz clic en Autenticación de cliente y, a continuación, haz clic en Quitar .
6. Agrega el EKU ID-PKInit-KPClientAuth. Haz clic en Agregar , haz clic en Nuevo y, a continuación, especifica
los siguientes valores:
Nombre: Autenticación de cliente Kerberos
Identificador de objeto: [Link].[Link]
7. En la pestaña Extensiones , haz clic en Directivas de emisión y, a continuación, haz clic en Editar .
8. En Directivas de emisión , haz clic en Seguridad alta .
9. En la pestaña Nombre del sujeto , desactiva la casilla Nombre DNS y, a continuación, selecciona la casilla
Nombre principal de usuario (UPN) .
A continuación, inscribe los dispositivos que usan el certificado que acabas de crear en los dispositivos que
ejecutan Credential Guard de Windows Defender.
Inscripción de dispositivos en un cer tificado
Ejecuta el siguiente comando:

CertReq -EnrollCredGuardCert MachineAuthentication

 NOTE
Debes reiniciar el dispositivo después de realizar la inscripción del certificado de autenticación de equipo.

Cómo una directiva de emisión de certificados puede usarse para el control de acceso
A partir del nivel funcional de dominio de Windows Server 2008 R2, la compatibilidad de los controladores de
dominio para la seguridad del mecanismo de autenticación proporciona una manera de asignar los OID de la
directiva de emisión de certificados a grupos de seguridad universal. Los controladores de dominio de Windows
Server 2012 con soporte de notificación pueden asignarles estas notificaciones. Para obtener más información
sobre el mecanismo de autenticación, consulta Comprobación del mecanismo de autenticación de AD DS en la
Guía paso a paso de Windows Server 2008 R2 en TechNet.
Ver las directivas de emisión disponibles
get-IssuancePolicy.ps1 muestra todas las directivas de emisión que están disponibles en la entidad de
certificación. En el símbolo del sistema de Windows PowerShell, ejecuta el siguiente comando:

.\get-IssuancePolicy.ps1 –LinkedToGroup:All

Vincular una directiva de emisión a un grupo de seguridad universal

set-IssuancePolicyToGroupLink.ps1 crea un grupo de seguridad universal, crea una unidad organizativa y
vincula la directiva de emisión a ese grupo de seguridad universal. En el símbolo del sistema de Windows
PowerShell, ejecuta el siguiente comando:

.\set-IssuancePolicyToGroupLink.ps1 –IssuancePolicyName:"<name of issuance policy>" –groupOU:"<Name

of OU to create>" –groupName:”<name of Universal security group to create>"

Restricción del inicio de sesión de usuario

Por ahora hemos completado lo siguiente:
Se ha creado una directiva de emisión de certificados especial para identificar aquello que reúne los criterios
de implementación necesarios para que el usuario pueda iniciar sesión.
Se ha asignado esa directiva a un grupo o notificación de seguridad universal.
Se proporciona una manera para que los controladores de dominio obtengan los datos de autorización del
dispositivo durante el inicio de sesión del usuario mediante la protección de Kerberos. Ahora lo que falta aún
por hacer es configurar la comprobación de acceso en los controladores de dominio. Esto se hace con las
directivas de autenticación.
Las directivas de autenticación deben cumplir los siguientes requisitos:
Las cuentas de los usuarios están ejecutando el nivel funcional de dominio de Windows Server 2012 o un
nivel superior.
Crear una directiva de autenticación que restrinja los usuarios al grupo de seguridad universal
específico
1. Abre el Centro de administración de Active Directory.
2. Haz clic en Autenticación , haz clic en Nueva y, a continuación, haz clic en Directiva de autenticación .
3. En el cuadro Nombre para mostrar , escribe un nombre para esta directiva de autenticación.
4. En el encabezado Cuentas , haz clic en Agregar .
5. En la casilla Seleccionar usuarios, equipos o cuentas de ser vicio , escribe el nombre de la cuenta de
usuario que quieras restringir y, a continuación, haz clic en Aceptar .
 6. En la sección Inicio de sesión de usuario haz clic en el botón Editar .
7. Haz clic en Agregar una condición .
8. En el cuadro Editar condiciones del control de acceso , asegúrate de que se muestra Usuario > Grupo
> Miembro de cada > Valor y, a continuación, haz clic en Agregar elementos .
9. En el cuadro de diálogo Seleccionar usuarios, equipos o cuentas de ser vicio , escribe el nombre del
grupo de seguridad universal que creaste con el script set-IssuancePolicyToGroupLink y, a continuación, haz
clic en Aceptar .
10. Haz clic en Aceptar para cerrar el cuadro Editar las condiciones de control de acceso .
11. Haz clic en Aceptar para crear la directiva de autenticación.
12. Cierra el Centro de administración de Active Directory.

NOTE
Cuando la directiva de autenticación aplica las restricciones de la directiva, los usuarios no podrán iniciar sesión en
dispositivos que no tengan un certificado con la directiva de emisión implementada correcta. Esto se aplica en escenarios
de inicio de sesión local y remoto. Por lo tanto, se recomienda encarecidamente auditar en primer lugar solo las
restricciones de directiva para que no ocurran errores inesperados.

Detección de errores de autenticación debido a directivas de autenticación

Para realizar un seguimiento más fácil de los errores de autenticación debido a directivas de autenticación, existe
un registro operativo únicamente con esos eventos. Para habilitar los registros en los controladores de dominio,
en el Visor de eventos, ve a Registros de aplicaciones y ser vicios\Microsoft\Windows\Autenticación,
haz clic con el botón derecho en AuthenticationPolicyFailures-DomainController y, después, haz clic
en Habilitar registro .
Para obtener más información sobre los eventos de la directiva de autenticación, consulta Directivas de
autenticación y silos de directivas de autenticación.

Apéndice: scripts
A continuación, presentamos una lista de los scripts mencionados en este tema.
Obtener las directivas de emisión disponibles en la entidad de certificación
Guarda este archivo de script como get-IssuancePolicy.ps1.

#######################################
## Parameters to be defined ##
## by the user ##
#######################################
Param (
$Identity,
$LinkedToGroup
)
#######################################
## Strings definitions ##
#######################################
Data getIP_strings {
# culture="en-US"
ConvertFrom-StringData -stringdata @'
help1 = This command can be used to retrieve all available Issuance Policies in a forest. The forest of the
currently logged on user is targeted.
help2 = Usage:
help3 = The following parameter is mandatory:
help4 = -LinkedToGroup:<yes|no|all>
help5 = "yes" will return only Issuance Policies that are linked to groups. Checks that the linked Issuance
Policies are linked to valid groups.
help6 = "no" will return only Issuance Policies that are not currently linked to any group.
help7 = "all" will return all Issuance Policies defined in the forest. Checks that the linked Issuance
help7 = "all" will return all Issuance Policies defined in the forest. Checks that the linked Issuance
policies are linked to valid groups.
help8 = The following parameter is optional:
help9 = -Identity:<Name, Distinguished Name or Display Name of the Issuance Policy that you want to
retrieve>. If you specify an identity, the option specified in the "-LinkedToGroup" parameter is ignored.
help10 = Output: This script returns the Issuance Policy objects meeting the criteria defined by the above
parameters.
help11 = Examples:
errorIPNotFound = Error: no Issuance Policy could be found with Identity "{0}"
ErrorNotSecurity = Error: Issuance Policy "{0}" is linked to group "{1}" which is not of type "Security".
ErrorNotUniversal = Error: Issuance Policy "{0}" is linked to group "{1}" whose scope is not "Universal".
ErrorHasMembers = Error: Issuance Policy "{0}" is linked to group "{1}" which has a non-empty membership.
The group has the following members:
LinkedIPs = The following Issuance Policies are linked to groups:
displayName = displayName : {0}
Name = Name : {0}
dn = distinguishedName : {0}
InfoName = Linked Group Name: {0}
InfoDN = Linked Group DN: {0}
NonLinkedIPs = The following Issuance Policies are NOT linked to groups:
'@
}
##Import-LocalizedData getIP_strings
import-module ActiveDirectory
#######################################
## Help ##
#######################################
function Display-Help {
""
$getIP_strings.help1
""
$getIP_strings.help2
""
$getIP_strings.help3
" " + $getIP_strings.help4
" " + $getIP_strings.help5
" " + $getIP_strings.help6
" " + $getIP_strings.help7
""
$getIP_strings.help8
" " + $getIP_strings.help9
""
$getIP_strings.help10
""
""
$getIP_strings.help11
" " + '$' + "myIPs = .\get-IssuancePolicy.ps1 -LinkedToGroup:All"
" " + '$' + "myLinkedIPs = .\get-IssuancePolicy.ps1 -LinkedToGroup:yes"
" " + '$' + "myIP = .\get-IssuancePolicy.ps1 -Identity:""Medium Assurance"""
""
}
$root = get-adrootdse
$domain = get-addomain -current loggedonuser
$configNCDN = [String]$[Link]
if ( !($Identity) -and !($LinkedToGroup) ) {
display-Help
break
}
if ($Identity) {
$OIDs = get-adobject -Filter {(objectclass -eq "msPKI-Enterprise-Oid") -and ((name -eq $Identity) -or
(displayname -eq $Identity) -or (distinguishedName -like $Identity)) } -searchBase $configNCDN -properties *
if ($OIDs -eq $null) {
$errormsg = $getIP_strings.ErrorIPNotFound -f $Identity
write-host $errormsg -ForegroundColor Red
}
foreach ($OID in $OIDs) {
if ($OID."msDS-OIDToGroupLink") {
# In case the Issuance Policy is linked to a group, it is good to check whether there is any problem with
the mapping.
$groupDN = $OID."msDS-OIDToGroupLink"
 $groupDN = $OID."msDS-OIDToGroupLink"
$group = get-adgroup -Identity $groupDN
$groupName = $[Link]
# Analyze the group
if ($[Link] -ne "Security") {
$errormsg = $getIP_strings.ErrorNotSecurity -f $Identity, $groupName
write-host $errormsg -ForegroundColor Red
}
if ($[Link] -ne "Universal") {
$errormsg = $getIP_strings.ErrorNotUniversal -f $Identity, $groupName
write-host $errormsg -ForegroundColor Red
}
$members = Get-ADGroupMember -Identity $group
if ($members) {
$errormsg = $getIP_strings.ErrorHasMembers -f $Identity, $groupName
write-host $errormsg -ForegroundColor Red
foreach ($member in $members) {
write-host " " $member -ForeGroundColor Red
}
}
}
}
return $OIDs
break
}
if (($LinkedToGroup -eq "yes") -or ($LinkedToGroup -eq "all")) {
$LDAPFilter = "(&(objectClass=msPKI-Enterprise-Oid)(msDS-OIDToGroupLink=*)(flags=2))"
$LinkedOIDs = get-adobject -searchBase $configNCDN -LDAPFilter $LDAPFilter -properties *
write-host ""
write-host "*****************************************************"
write-host $getIP_strings.LinkedIPs
write-host "*****************************************************"
write-host ""
if ($LinkedOIDs -ne $null){
foreach ($OID in $LinkedOIDs) {
# Display basic information about the Issuance Policies
""
$getIP_strings.displayName -f $[Link]
$getIP_strings.Name -f $[Link]
$getIP_strings.dn -f $[Link]
# Get the linked group.
$groupDN = $OID."msDS-OIDToGroupLink"
$group = get-adgroup -Identity $groupDN
$getIP_strings.InfoName -f $[Link]
$getIP_strings.InfoDN -f $groupDN
# Analyze the group
$OIDName = $[Link]
$groupName = $[Link]
if ($[Link] -ne "Security") {
$errormsg = $getIP_strings.ErrorNotSecurity -f $OIDName, $groupName
write-host $errormsg -ForegroundColor Red
}
if ($[Link] -ne "Universal") {
$errormsg = $getIP_strings.ErrorNotUniversal -f $OIDName, $groupName
write-host $errormsg -ForegroundColor Red
}
$members = Get-ADGroupMember -Identity $group
if ($members) {
$errormsg = $getIP_strings.ErrorHasMembers -f $OIDName, $groupName
write-host $errormsg -ForegroundColor Red
foreach ($member in $members) {
write-host " " $member -ForeGroundColor Red
}
}
write-host ""
}
}else{
write-host "There are no issuance policies that are mapped to a group"
}
if ($LinkedToGroup -eq "yes") {
 if ($LinkedToGroup -eq "yes") {
return $LinkedOIDs
break
}
}
if (($LinkedToGroup -eq "no") -or ($LinkedToGroup -eq "all")) {
$LDAPFilter = "(&(objectClass=msPKI-Enterprise-Oid)(!(msDS-OIDToGroupLink=*))(flags=2))"
$NonLinkedOIDs = get-adobject -searchBase $configNCDN -LDAPFilter $LDAPFilter -properties *
write-host ""
write-host "*********************************************************"
write-host $getIP_strings.NonLinkedIPs
write-host "*********************************************************"
write-host ""
if ($NonLinkedOIDs -ne $null) {
foreach ($OID in $NonLinkedOIDs) {
# Display basic information about the Issuance Policies
write-host ""
$getIP_strings.displayName -f $[Link]
$getIP_strings.Name -f $[Link]
$getIP_strings.dn -f $[Link]
write-host ""
}
}else{
write-host "There are no issuance policies which are not mapped to groups"
}
if ($LinkedToGroup -eq "no") {
return $NonLinkedOIDs
break
}
}

NOTE
Si tienes problemas para ejecutar este script, prueba a reemplazar la comilla simple después del parámetro ConvertFrom-
StringData.

Vincular una directiva de emisión a un grupo

Guarda el archivo de script como set-IssuancePolicyToGroupLink.ps1.

#######################################
## Parameters to be defined ##
## by the user ##
#######################################
Param (
$IssuancePolicyName,
$groupOU,
$groupName
)
#######################################
## Strings definitions ##
#######################################
Data ErrorMsg {
# culture="en-US"
ConvertFrom-StringData -stringdata @'
help1 = This command can be used to set the link between a certificate issuance policy and a universal
security group.
help2 = Usage:
help3 = The following parameters are required:
help4 = -IssuancePolicyName:<name or display name of the issuance policy that you want to link to a group>
help5 = -groupName:<name of the group you want to link the issuance policy to>. If no name is specified, any
existing link to a group is removed from the Issuance Policy.
help6 = The following parameter is optional:
help7 = -groupOU:<Name of the Organizational Unit dedicated to the groups which are linked to issuance
policies>. If this parameter is not specified, the group is looked for or created in the Users container.
help8 = Examples:
help8 = Examples:
help9 = This command will link the issuance policy whose display name is "High Assurance" to the group
"HighAssuranceGroup" in the Organizational Unit "OU_FOR_IPol_linked_groups". If the group or the
Organizational Unit do not exist, you will be prompted to create them.
help10 = This command will unlink the issuance policy whose name is "402.164959C40F4A5C12C6302E31D5476062"
from any group.
MultipleIPs = Error: Multiple Issuance Policies with name or display name "{0}" were found in the subtree of
"{1}"
NoIP = Error: no issuance policy with name or display name "{0}" could be found in the subtree of "{1}".
IPFound = An Issuance Policy with name or display name "{0}" was successfully found: {1}
MultipleOUs = Error: more than 1 Organizational Unit with name "{0}" could be found in the subtree of "{1}".
confirmOUcreation = Warning: The Organizational Unit that you specified does not exist. Do you want to
create it?
OUCreationSuccess = Organizational Unit "{0}" successfully created.
OUcreationError = Error: Organizational Unit "{0}" could not be created.
OUFoundSuccess = Organizational Unit "{0}" was successfully found.
multipleGroups = Error: More than one group with name "{0}" was found in Organizational Unit "{1}".
confirmGroupCreation = Warning: The group that you specified does not exist. Do you want to create it?
groupCreationSuccess = Univeral Security group "{0}" successfully created.
groupCreationError = Error: Univeral Security group "{0}" could not be created.
GroupFound = Group "{0}" was successfully found.
confirmLinkDeletion = Warning: The Issuance Policy "{0}" is currently linked to group "{1}". Do you really
want to remove the link?
UnlinkSuccess = Certificate issuance policy successfully unlinked from any group.
UnlinkError = Removing the link failed.
UnlinkExit = Exiting without removing the link from the issuance policy to the group.
IPNotLinked = The Certificate issuance policy is not currently linked to any group. If you want to link it
to a group, you should specify the -groupName option when starting this script.
ErrorNotSecurity = Error: You cannot link issuance Policy "{0}" to group "{1}" because this group is not of
type "Security".
ErrorNotUniversal = Error: You cannot link issuance Policy "{0}" to group "{1}" because the scope of this
group is not "Universal".
ErrorHasMembers = Error: You cannot link issuance Policy "{0}" to group "{1}" because it has a non-empty
membership. The group has the following members:
ConfirmLinkReplacement = Warning: The Issuance Policy "{0}" is currently linked to group "{1}". Do you
really want to update the link to point to group "{2}"?
LinkSuccess = The certificate issuance policy was successfully linked to the specified group.
LinkError = The certificate issuance policy could not be linked to the specified group.
ExitNoLinkReplacement = Exiting without setting the new link.
'@
}
# import-localizeddata ErrorMsg
function Display-Help {
""
write-host $ErrorMsg.help1
""
write-host $ErrorMsg.help2
""
write-host $ErrorMsg.help3
write-host "`t" $ErrorMsg.help4
write-host "`t" $ErrorMsg.help5
""
write-host $ErrorMsg.help6
write-host "`t" $ErrorMsg.help7
""
""
write-host $ErrorMsg.help8
""
write-host $ErrorMsg.help9
".\Set-IssuancePolicyToGroupMapping.ps1 -IssuancePolicyName ""High Assurance"" -groupOU
""OU_FOR_IPol_linked_groups"" -groupName ""HighAssuranceGroup"" "
""
write-host $ErrorMsg.help10
'.\Set-IssuancePolicyToGroupMapping.ps1 -IssuancePolicyName "402.164959C40F4A5C12C6302E31D5476062" -
groupName $null '
""
}
# Assumption: The group to which the Issuance Policy is going
# to be linked is (or is going to be created) in
# the domain the user running this script is a member of.
# the domain the user running this script is a member of.
import-module ActiveDirectory
$root = get-adrootdse
$domain = get-addomain -current loggedonuser
if ( !($IssuancePolicyName) ) {
display-Help
break
}
#######################################
## Find the OID object ##
## (aka Issuance Policy) ##
#######################################
$searchBase = [String]$[Link]
$OID = get-adobject -searchBase $searchBase -Filter { ((displayname -eq $IssuancePolicyName) -or (name -eq
$IssuancePolicyName)) -and (objectClass -eq "msPKI-Enterprise-Oid")} -properties *
if ($OID -eq $null) {
$tmp = $[Link] -f $IssuancePolicyName, $searchBase
write-host $tmp -ForeGroundColor Red
break;
}
elseif ($[Link]().IsArray) {
$tmp = $[Link] -f $IssuancePolicyName, $searchBase
write-host $tmp -ForeGroundColor Red
break;
}
else {
$tmp = $[Link] -f $IssuancePolicyName, $[Link]
write-host $tmp -ForeGroundColor Green
}
#######################################
## Find the container of the group ##
#######################################
if ($groupOU -eq $null) {
# default to the Users container
$groupContainer = $[Link]
}
else {
$searchBase = [string]$[Link]
$groupContainer = get-adobject -searchBase $searchBase -Filter { (Name -eq $groupOU) -and (objectClass -eq
"organizationalUnit")}
if ($[Link] -gt 1) {
$tmp = $[Link] -f $groupOU, $searchBase
write-host $tmp -ForegroundColor Red
break;
}
elseif ($groupContainer -eq $null) {
$tmp = $[Link]
write-host $tmp " ( (y)es / (n)o )" -ForegroundColor Yellow -nonewline
$userChoice = read-host
if ( ($userChoice -eq "y") -or ($userChoice -eq "yes") ) {
new-adobject -Name $groupOU -displayName $groupOU -Type "organizationalUnit" -
ProtectedFromAccidentalDeletion $true -path $[Link]
if ($?){
$tmp = $[Link] -f $groupOU
write-host $tmp -ForegroundColor Green
}
else{
$tmp = $[Link] -f $groupOU
write-host $tmp -ForeGroundColor Red
break;
}
$groupContainer = get-adobject -searchBase $searchBase -Filter { (Name -eq $groupOU) -and (objectClass -eq
"organizationalUnit")}
}
else {
break;
}
}
else {
$tmp = $[Link] -f $[Link]
$tmp = $[Link] -f $[Link]
write-host $tmp -ForegroundColor Green
}
}
#######################################
## Find the group ##
#######################################
if (($groupName -ne $null) -and ($groupName -ne "")){
##$searchBase = [String]$[Link]
$searchBase = $groupContainer
$group = get-adgroup -Filter { (Name -eq $groupName) -and (objectClass -eq "group") } -searchBase
$searchBase
if ($group -ne $null -and $[Link]().isarray) {
$tmp = $[Link] -f $groupName, $searchBase
write-host $tmp -ForeGroundColor Red
break;
}
elseif ($group -eq $null) {
$tmp = $[Link]
write-host $tmp " ( (y)es / (n)o )" -ForegroundColor Yellow -nonewline
$userChoice = read-host
if ( ($userChoice -eq "y") -or ($userChoice -eq "yes") ) {
new-adgroup -samAccountName $groupName -path $[Link] -GroupScope "Universal" -
GroupCategory "Security"
if ($?){
$tmp = $[Link] -f $groupName
write-host $tmp -ForegroundColor Green
}else{
$tmp = $[Link] -f $groupName
write-host $tmp -ForeGroundColor Red
break
}
$group = get-adgroup -Filter { (Name -eq $groupName) -and (objectClass -eq "group") } -searchBase
$searchBase
}
else {
break;
}
}
else {
$tmp = $[Link] -f $[Link]
write-host $tmp -ForegroundColor Green
}
}
else {
#####
## If the group is not specified, we should remove the link if any exists
#####
if ($OID."msDS-OIDToGroupLink" -ne $null) {
$tmp = $[Link] -f $IssuancePolicyName, $OID."msDS-OIDToGroupLink"
write-host $tmp " ( (y)es / (n)o )" -ForegroundColor Yellow -nonewline
$userChoice = read-host
if ( ($userChoice -eq "y") -or ($userChoice -eq "yes") ) {
set-adobject -Identity $OID -Clear "msDS-OIDToGroupLink"
if ($?) {
$tmp = $[Link]
write-host $tmp -ForeGroundColor Green
}else{
$tmp = $[Link]
write-host $tmp -ForeGroundColor Red
}
}
else {
$tmp = $[Link]
write-host $tmp
break
}
}
else {
$tmp = $[Link]
$tmp = $[Link]
write-host $tmp -ForeGroundColor Yellow
}
break;
}
#######################################
## Verify that the group is ##
## Universal, Security, and ##
## has no members ##
#######################################
if ($[Link] -ne "Universal") {
$tmp = $[Link] -f $IssuancePolicyName, $groupName
write-host $tmp -ForeGroundColor Red
break;
}
if ($[Link] -ne "Security") {
$tmp = $[Link] -f $IssuancePolicyName, $groupName
write-host $tmp -ForeGroundColor Red
break;
}
$members = Get-ADGroupMember -Identity $group
if ($members -ne $null) {
$tmp = $[Link] -f $IssuancePolicyName, $groupName
write-host $tmp -ForeGroundColor Red
foreach ($member in $members) {write-host " $[Link]" -ForeGroundColor Red}
break;
}
#######################################
## We have verified everything. We ##
## can create the link from the ##
## Issuance Policy to the group. ##
#######################################
if ($OID."msDS-OIDToGroupLink" -ne $null) {
$tmp = $[Link] -f $IssuancePolicyName, $OID."msDS-OIDToGroupLink",
$[Link]
write-host $tmp "( (y)es / (n)o )" -ForegroundColor Yellow -nonewline
$userChoice = read-host
if ( ($userChoice -eq "y") -or ($userChoice -eq "yes") ) {
$tmp = @{'msDS-OIDToGroupLink'= $[Link]}
set-adobject -Identity $OID -Replace $tmp
if ($?) {
$tmp = $[Link]
write-host $tmp -Foreground Green
}else{
$tmp = $[Link]
write-host $tmp -Foreground Red
}
} else {
$tmp = $[Link]
write-host $tmp
break
}
}
else {
$tmp = @{'msDS-OIDToGroupLink'= $[Link]}
set-adobject -Identity $OID -Add $tmp
if ($?) {
$tmp = $[Link]
write-host $tmp -Foreground Green
}else{
$tmp = $[Link]
write-host $tmp -Foreground Red
}
}
NOTE
Si tienes problemas para ejecutar este script, prueba a reemplazar la comilla simple después del parámetro ConvertFrom-
StringData.
 Credential Guard de Windows Defender: problemas
conocidos
08/11/2022 • 4 minutes to read

Credential Guard de Windows Defender tiene determinados requisitos de aplicación. Credential Guard de
Windows Defender bloquea las funcionalidades de autenticación específicas. Por lo tanto, las aplicaciones que
requieren estas funcionalidades no funcionarán cuando esté habilitada. Para obtener más información, consulte
Requisitos de la aplicación.
Los siguientes problemas conocidos se han corregido en la actualización de seguridad acumulativa de
noviembre de 2017:
Las tareas programadas con credenciales almacenadas por el usuario del dominio no se pueden ejecutar
cuando Credential Guard está habilitado. La tarea produce un error y notifica el identificador de evento
104 con el siguiente mensaje:

Task Scheduler failed to log on '\Test'.

Failure occurred in 'LogonUserExEx'.
User Action: Ensure the credentials for the task are correctly specified.
Additional Data: Error Value: 2147943726. 2147943726: ERROR\_LOGON\_FAILURE (The user name or
password is incorrect).

Al habilitar la auditoría NTLM en el controlador de dominio, se registra un identificador de evento 8004

con un formato de nombre de usuario indescifrable. También obtiene un nombre de usuario similar en
un evento de error de inicio de sesión de usuario 4625 con 0xC0000064 de error en la propia máquina.
Por ejemplo:

Log Name: Microsoft-Windows-NTLM/Operational

Source: Microsoft-Windows-Security-Netlogon
Event ID: 8004
Task Category: Auditing NTLM
Level: Information
Description:
Domain Controller Blocked Audit: Audit NTLM authentication to this domain controller.
Secure Channel name: <Secure Channel Name>
User name:
@@CyBAAAAUBQYAMHArBwUAMGAoBQZAQGA1BAbAUGAyBgOAQFAhBwcAsGA6AweAgDA2AQQAMEAwAANAgDA1AQLAIEADBQRAADAtAAN
AYEA1AwQA0CA5AAOAMEAyAQLAYDAxAwQAEDAEBwMAMEAwAgMAMDACBgRA0HA
Domain name: NULL

Este evento procede de una tarea programada que se ejecuta en el contexto de usuario local con la
actualización de seguridad acumulativa de noviembre de 2017 o posterior y se produce cuando
Credential Guard está habilitado.
El nombre de usuario aparece en un formato inusual porque las cuentas locales no están protegidas
por Credential Guard. La tarea tampoco se puede ejecutar.
Como solución alternativa, ejecute la tarea programada en un usuario de dominio o en la cuenta
SYSTEM del equipo.
Los siguientes problemas conocidos se han solucionado con versiones puestas a disposición en las
actualizaciones de seguridad acumulativa de abril de 2017:
KB4015217 Windows Defender Credential Guard genera un doble recuento de contraseñas incorrectas
 en máquinas Windows unidas a dominio de Active Directory
Este problema puede provocar bloqueos de cuenta inesperados. Para obtener más información, consulte
los siguientes artículos de soporte técnico:
KB4015219
KB4015221

Problemas conocidos relacionados con aplicaciones de terceros

El siguiente problema afecta a MSCHAPv2:
Credential Guard no funciona con configuraciones MSCHAPv2, de las cuales Cisco ISE es una
implementación empresarial muy popular.
El siguiente problema afecta a la GSS API de Java. Consulta el siguiente artículo de la base de datos de errores
de Oracle:
JDK-8161921: Windows Defender Credential Guard no permite compartir TGT con Java
Cuando Windows Defender Credential Guard está habilitado en Windows, la API de GSS de Java no se
autenticará. Este es el comportamiento esperado porque Windows Defender Credential Guard bloquea
funcionalidades específicas de autenticación de aplicaciones y no proporcionará la clave de sesión de TGT a las
aplicaciones independientemente de la configuración de la clave del Registro. Para obtener más información,
consulte Requisitos de la aplicación.
El siguiente problema afecta a Cisco AnyConnect Secure Mobility Client:
Pantalla azul en equipos Windows que ejecutan Hypervisor-Protected integridad de código y Windows
Defender Credential Guard con Cisco Anyconnect 4.3.04027
El siguiente problema afecta a McAfee Application and Change Control (MACC):
Las máquinas Windows KB88869 muestran un uso elevado de CPU con McAfee Application and Change
Control (MACC) instalado cuando Windows Defender Credential Guard está habilitado Nota 1
El siguiente problema afecta a las aplicaciones de Citrix:
Las máquinas Windows muestran un uso elevado de la CPU con las aplicaciones Citrix instaladas cuando
Windows Defender Credential Guard está habilitado. Nota 1

NOTE
Nota 1 : Los productos que se conectan a procesos protegidos con seguridad basada en virtualización (VBS) pueden
hacer que Windows Defender máquinas habilitadas para Credential Guard Windows 10, Windows 11, Windows Server
2016 o Windows Server 2019 muestren un uso elevado de la CPU. Para obtener información técnica y de solución de
problemas, consulte USO elevado de CPU KB4032786 en el proceso LSAISO en Windows.
Para obtener más información técnica sobre [Link], vea Procesos de modo de usuario aislado (IUM).

Compatibilidad del proveedor

Para obtener más información sobre la compatibilidad de Citrix con Arranque seguro, consulte Compatibilidad
de Citrix con arranque seguro.
Windows Defender Credential Guard no es compatible con los siguientes productos, versiones de productos,
sistemas informáticos o versiones de Windows 10:
 Compatibilidad con Hypervisor-Protected integridad del código y Windows Defender Credential Guard
en Windows con productos de cifrado de McAfee
compatibilidad con el cliente de seguridad de punto de conexión de Check Point para las características
de microsoft Windows Defender Credential Guard y Hypervisor-Protected integridad de código
Error "VMware Workstation and Device/Credential Guard are not compatible" in VMware Workstation on
Windows 10 host (2146361)
Compatibilidad con ThinkPad para la integridad del código de Hypervisor-Protected y Windows Defender
Credential Guard en Microsoft Windows
Dispositivos Windows con Windows Defender Credential Guard y Symantec Endpoint Protection 12.1
Esta lista no es completa. Compruebe si el proveedor de productos, la versión del producto o el sistema
informático admiten Windows Defender Credential Guard en sistemas que ejecutan Windows o versiones
específicas de Windows. Los modelos de sistema de equipo específico pueden ser compatibles con Credential
Guard de Windows Defender.
Microsoft recomienda a los proveedores de terceros contribuir a esta página proporcionando información de
soporte técnico de producto relevante y agregando vínculos a sus propias declaraciones de soporte técnico del
producto.
 Protección de las credenciales de Escritorio remoto
con Windows Defender Remote Credential Guard
08/11/2022 • 9 minutes to read

Introducido en Windows 10, versión 1607, Windows Defender Remote Credential Guard le ayuda a proteger sus
credenciales a través de una conexión de Escritorio remoto redirigiendo las solicitudes kerberos de vuelta al
dispositivo que solicita la conexión. También proporciona experiencias de inicio de sesión único para sesiones de
Escritorio remoto.
Las credenciales de administrador tienen privilegios elevados y deben protegerse. Al usar Windows Defender
Remote Credential Guard para conectarse durante las sesiones de Escritorio remoto, si el dispositivo de destino
está en peligro, las credenciales no se exponen porque los derivados de credenciales y credenciales nunca se
pasan a través de la red al dispositivo de destino.

IMPORTANT
Para obtener información sobre los escenarios de conexión de Escritorio remoto que implican soporte técnico del
departamento de soporte técnico, consulte Conexiones de Escritorio remoto y escenarios de soporte técnico en este
artículo.

Comparación de Windows Defender Remote Credential Guard con

otras opciones de conexión de Escritorio remoto
El siguiente diagrama le ayuda a comprender cómo funciona una sesión estándar de Escritorio remoto en un
servidor sin Windows Defender Remote Credential Guard:

El siguiente diagrama le ayuda a comprender cómo funciona Windows Defender Remote Credential Guard,
contra qué ayuda protegerse y lo compara con la opción de modo de Administración restringido:
Como se muestra, Windows Defender Remote Credential Guard bloquea NTLM (lo que solo permite Kerberos),
evita ataques de pass-the-hash (PtH) y también impide el uso de credenciales después de la desconexión.

Use la tabla siguiente para comparar diferentes opciones de seguridad de conexión de Escritorio remoto:

W IN DO W S DEF EN DER M O DO DE
REM OT E C REDEN T IA L A DM IN IST RA C IÓ N
C A RA C T ERÍST IC A ESC RITO RIO REM OTO GUA RD REST RIN GIDO

Ventajas de protección Las credenciales del Las credenciales de usuario El usuario inicia sesión en el
servidor no están permanecen en el cliente. servidor como
protegidas frente a ataques Un atacante solo puede administrador local, por lo
pass-the-hash. actuar en nombre del que un atacante no puede
usuario cuando la sesión actuar en nombre del
está en curso "usuario de dominio".
Cualquier ataque es local en
el servidor

Compatibilidad con El equipo remoto puede Tanto el cliente como el El equipo remoto debe
versiones ejecutar cualquier sistema equipo remoto deben ejecutar al menos
operativo Windows ejecutar al menos Windows 7 con
Windows 10, versión revisiones o Windows
1607 o Windows Ser ver Ser ver 2008 R2 con
2016 . revisiones .

Para obtener más

información sobre las
revisiones (actualizaciones
de software) relacionadas
con el modo de
Administración restringido,
consulte Microsoft Security
Advisory 2871997.
 W IN DO W S DEF EN DER M O DO DE
REM OT E C REDEN T IA L A DM IN IST RA C IÓ N
C A RA C T ERÍST IC A ESC RITO RIO REM OTO GUA RD REST RIN GIDO

Ayuda a evitar N/A Pasar el hash Pasar el hash

Uso de una Uso de la identidad
credencial después de dominio durante
de la desconexión la conexión

Credenciales admitidas Credenciales con Solo credenciales Credenciales con

desde el dispositivo sesión iniciada con sesión sesión iniciada
cliente de Escritorio Credenciales iniciada Credenciales
remoto proporcionadas proporcionadas
Credenciales Credenciales
guardadas guardadas

Access Los usuarios permiten , Los usuarios permiten , Solo los

es decir, los miembros del es decir, los miembros de administradores , es decir,
grupo Usuarios de Usuarios de Escritorio solo los miembros del
Escritorio remoto del host remoto del host remoto. grupo Administradores del
remoto. host remoto.

Identidad de red La sesión de Escritorio La sesión de Escritorio La sesión de Escritorio

remoto se conecta a remoto se conecta a remoto se conecta a
otros recursos como otros recursos como otros recursos como
usuario que ha iniciado usuario que ha iniciado identidad del host
sesión . sesión . remoto .

Salto múltiple Desde el escritorio remoto, Desde el escritorio remoto, No se permite para el
puede conectarse a puede conectarse a usuario, ya que la sesión se
través de Escritorio través de Escritorio ejecuta como una cuenta de
remoto a otro equipo . remoto a otro equipo . host local.

Autenticación admitida Cualquier protocolo Solo Kerberos. Cualquier protocolo

negociable. negociable

Para obtener más información técnica, consulte Protocolo de Escritorio remoto y Funcionamiento de Kerberos.

Escenarios de soporte técnico y conexiones de Escritorio remoto

Para escenarios de soporte técnico en los que el personal requiere acceso administrativo para proporcionar
asistencia remota a los usuarios de equipos a través de sesiones de Escritorio remoto, Microsoft recomienda
que no se use Windows Defender Remote Credential Guard en ese contexto. Esto se debe a que si se inicia una
sesión RDP en un cliente en peligro que un atacante ya controla, el atacante podría usar ese canal abierto para
crear sesiones en nombre del usuario (sin poner en peligro las credenciales) para acceder a cualquiera de los
recursos del usuario durante un tiempo limitado (unas horas) después de que se desconecte la sesión.
Por lo tanto, se recomienda usar la opción modo Administración restringido. En escenarios de soporte técnico
del departamento de soporte técnico, las conexiones RDP solo se deben iniciar mediante el modificador
/RestrictedAdmin. Esto ayuda a garantizar que las credenciales y otros recursos de usuario no se exponen a
hosts remotos en peligro. Para obtener más información, vea Mitigating Pass-the-Hash y Other Credential Theft
v2.
Para reforzar aún más la seguridad, también se recomienda implementar la solución de contraseñas de
administrador local (LAPS), una extensión directiva de grupo del lado cliente (CSE) introducida en Windows 8.1
que automatiza la administración de contraseñas de administrador local. LAPS mitiga el riesgo de escalación
lateral y otros ciberataques facilitados cuando los clientes usan la misma combinación de cuenta y contraseña
local administrativa en todos sus equipos. Puede descargar e instalar LAPS aquí.
Para obtener más información sobre LAPS, consulte Microsoft Security Advisory 3062591.

Requisitos de Credential Guard remotos

Para usar Windows Defender Remote Credential Guard, el cliente de Escritorio remoto y el host remoto deben
cumplir los siguientes requisitos:
El dispositivo cliente de Escritorio remoto:
Debe ejecutar al menos Windows 10, versión 1703, para poder proporcionar credenciales, que se envían
al dispositivo remoto. Esto permite a los usuarios ejecutarse como usuarios diferentes sin tener que
enviar credenciales a la máquina remota.
Debe ejecutar al menos Windows 10, versión 1607 o Windows Server 2016 para usar las credenciales de
inicio de sesión del usuario. Esto requiere que la cuenta del usuario pueda iniciar sesión en el dispositivo
cliente y en el host remoto.
Debe ejecutar la aplicación De Windows clásica de Escritorio remoto. La aplicación de Plataforma
universal de Windows de Escritorio remoto no admite Windows Defender Remote Credential Guard.
Debe usar la autenticación Kerberos para conectarse al host remoto. Si el cliente no puede conectarse a
un controlador de dominio, RDP intenta volver a NTLM. Windows Defender Remote Credential Guard no
permite la reserva NTLM porque esto expondría las credenciales al riesgo.
El host remoto de Escritorio remoto:
Debe ejecutar al menos Windows 10, versión 1607 o Windows Server 2016.
Debe permitir conexiones de Administración restringidas.
Debe permitir que el usuario de dominio del cliente acceda a las conexiones de Escritorio remoto.
Debe permitir la delegación de credenciales no exportables.
No hay requisitos de hardware para Windows Defender Remote Credential Guard.

NOTE
Los dispositivos cliente de Escritorio remoto que ejecutan versiones anteriores, como mínimo Windows 10 versión 1607,
solo admiten credenciales de inicio de sesión, por lo que el dispositivo cliente también debe estar unido a un dominio de
Active Directory. Tanto el cliente como el servidor de Escritorio remoto deben estar unidos al mismo dominio, o bien el
servidor de Escritorio remoto se puede unir a un dominio que tenga una relación de confianza con el dominio del
dispositivo cliente.
El host remoto de GPO permite que se habilite la delegación de credenciales no exportables para la delegación de
credenciales no exportables.

Para que se admita Windows Defender Remote Credential Guard, el usuario debe autenticarse en el host
remoto mediante la autenticación Kerberos.
El host remoto debe ejecutar al menos Windows 10 versión 1607 o Windows Server 2016.
Se requiere la aplicación de Windows clásica de Escritorio remoto. La aplicación de Plataforma universal
de Windows de Escritorio remoto no admite Windows Defender Remote Credential Guard.
Habilitar Windows Defender Credential Guard remoto
Debe habilitar Restricted Administración o Windows Defender Remote Credential Guard en el host remoto
mediante el Registro.
1. Abra el Editor del Registro en el host remoto.
2. Habilite Restricted Administración y Windows Defender Remote Credential Guard:
Ve a HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa.
Agregue un nuevo valor DWORD denominado DisableRestrictedAdmin .
Para activar Restricted Administración y Windows Defender Remote Credential Guard, establezca
el valor de esta configuración del Registro en 0 para activar Windows Defender Remote Credential
Guard.
3. Cierra el Editor del Registro.
Para agregarlo, ejecute el siguiente comando desde un símbolo del sistema con privilegios elevados:

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD

Uso de Windows Defender Remote Credential Guard

A partir de Windows 10 versión 1703, puede habilitar Windows Defender Remote Credential Guard en el
dispositivo cliente mediante directiva de grupo o mediante un parámetro con la conexión a Escritorio remoto.
Active Windows Defender Remote Credential Guard mediante directiva de grupo
1. En la consola de administración de directiva de grupo, vaya a Configuración -> del equipoPlantillas ->
administrativasDelegación de credenciales del sistema -> .
2. Haga doble clic en Restringir la delegación de credenciales a ser vidores remotos .
3. En Usar el siguiente modo restringido :
Si desea requerir el modo de Administración restringido o Windows Defender Credential Guard
remoto, elija Restringir delegación de credenciales . En esta configuración, se prefiere
Windows Defender Remote Credential Guard, pero usará el modo de Administración restringido
(si se admite) cuando no se pueda usar Windows Defender Remote Credential Guard.

NOTE
Ni Windows Defender modo de Administración remoto ni Restricted Credential Guard enviarán
credenciales en texto no cifrado al servidor de Escritorio remoto.

Si desea requerir Windows Defender Remote Credential Guard, elija Requerir Credential Guard
remoto . Con esta configuración, una conexión a Escritorio remoto solo se realizará correctamente
si el equipo remoto cumple los requisitos enumerados anteriormente en este tema.
Si desea requerir el modo de Administración restringido, elija Requerir Administración
restringido . Para obtener información sobre el modo de Administración restringido, consulte la
tabla de Comparación de Windows Defender Remote Credential Guard con otras opciones de
conexión de Escritorio remoto, anteriormente en este tema.
4. Haga clic en Aceptar .
5. Cierra la Consola de administración de directivas de grupo.
6. Desde un símbolo del sistema, ejecute [Link] /force para asegurarse de que se aplica el objeto
 directiva de grupo.
Uso de Windows Defender Remote Credential Guard con un parámetro a Conexión a Escritorio remoto
Si no usa directiva de grupo en su organización, o si no todos los hosts remotos admiten Remote Credential
Guard, puede agregar el parámetro remoteGuard al iniciar conexión a Escritorio remoto para activar Windows
Defender Remote Credential Guard para esa conexión.

[Link] /remoteGuard

NOTE
El usuario debe estar autorizado para conectarse al servidor remoto mediante el Protocolo de Escritorio remoto, por
ejemplo, siendo miembro del grupo local Usuarios de Escritorio remoto en el equipo remoto.

Consideraciones al usar Windows Defender Remote Credential Guard

Windows Defender Remote Credential Guard no admite la autenticación compuesta. Por ejemplo, si
intenta acceder a un servidor de archivos desde un host remoto que requiere una notificación de
dispositivo, se denegará el acceso.
Windows Defender Remote Credential Guard solo se puede usar cuando se conecta a un dispositivo que
está unido a un dominio de Windows Server Active Directory, incluidos los servidores unidos a un
dominio de AD que se ejecutan como máquinas virtuales (VM) de Azure. Windows Defender Remote
Credential Guard no se puede usar al conectarse a dispositivos remotos unidos a Azure Active Directory.
Credential Guard de Escritorio remoto solo funciona con el protocolo RDP.
No se envían credenciales al dispositivo de destino, pero el dispositivo de destino sigue adquiriendo vales
de servicio kerberos por sí mismo.
El servidor y el cliente deben autenticarse mediante Kerberos.
 Directiva de soporte técnico para contraseñas
perdidas u olvidadas
08/11/2022 • 2 minutes to read

Microsoft se toma en serio la seguridad. Esto es para su protección. Las cuentas de Microsoft, el sistema
operativo Windows y otros productos de Microsoft incluyen contraseñas para ayudar a proteger su información.
En este artículo se proporcionan algunas opciones que puede usar para restablecer o recuperar la contraseña si
la olvida. Si estas opciones no funcionan, los ingenieros de soporte técnico de Microsoft no pueden ayudarle a
recuperar o eludir una contraseña perdida o olvidada.
Si pierde o olvida una contraseña, puede usar los vínculos de este artículo para encontrar información de
soporte técnico publicada que le ayudará a restablecer la contraseña.

Restablecimiento de una contraseña para una cuenta de dominio

Si pierde o olvida la contraseña de una cuenta de dominio, póngase en contacto con el administrador de TI o el
departamento de soporte técnico. Para obtener más información, consulta Cambiar o restablecer la contraseña
de Windows.

Restablecimiento de una contraseña para una cuenta microsoft

Si pierde o olvida la contraseña de su cuenta Microsoft, use el Asistente para recuperar la cuenta .
Este asistente solicita las pruebas de seguridad. Si ha olvidado las pruebas de seguridad o ya no tiene acceso a
ellas, seleccione Ya no las tengo . Después de seleccionar esta opción, rellene un formulario para el equipo de
la cuenta microsoft. Proporcione toda la información que pueda en este formulario. El equipo de cuentas de
Microsoft revisa la información que proporciona para determinar si es el titular de la cuenta. Esta decisión es
definitiva. Microsoft no influye en la elección de acción del equipo.

Restablecimiento de una contraseña para una cuenta local en un

dispositivo Windows
Las cuentas locales de un dispositivo incluyen la cuenta de administrador del dispositivo.
Windows10
Si pierde o olvida la contraseña de una cuenta local en un dispositivo que se ejecuta Windows 10, consulte
Restablecer la contraseña de la cuenta local de Windows 10.
Windows 8.1 o Windows 7
Si pierdes o olvidas la contraseña de una cuenta local en un dispositivo que ejecuta Windows 8.1 o Windows 7,
consulta Cambiar o restablecer la contraseña de Windows. En ese artículo, puede seleccionar la versión del
sistema operativo en el menú Seleccionar versión del producto .

Restablecimiento de una contraseña de BIOS de hardware

Si pierde o olvida la contraseña del BIOS de hardware de un dispositivo, póngase en contacto con el fabricante
del dispositivo para obtener ayuda y soporte técnico. Si se pone en contacto con el fabricante en línea,
asegúrese de visitar el sitio web del fabricante y no el sitio web de algún tercero.
Restablecimiento de una contraseña para un archivo individual
Algunas aplicaciones le permiten proteger con contraseña archivos individuales. Si pierde o olvida dicha
contraseña, solo puede confiar en esa aplicación para restablecerla o recuperarla. Los ingenieros de soporte
técnico de Microsoft no pueden ayudarle a restablecer, recuperar ni eludir dichas contraseñas.

Uso de herramientas de contraseña de terceros

Algunas empresas de terceros afirman poder eludir las contraseñas que se han aplicado a los archivos y
características que usan los programas de Microsoft. Por motivos legales, no podemos recomendar ni aprobar
ninguna de estas empresas. Si desea ayuda para eludir o restablecer una contraseña, puede localizar y ponerse
en contacto con un tercero para obtener esta ayuda. Sin embargo, usted utiliza dichos productos y servicios de
terceros a su propio riesgo.
 Introducción a Access Control
08/11/2022 • 7 minutes to read

En este tema para profesionales de TI se describe el control de acceso en Windows, que es el proceso de
autorizar a los usuarios, grupos y equipos a acceder a objetos de la red o del equipo. Los conceptos clave que
componen el control de acceso son los permisos, la propiedad de objetos, la herencia de permisos, los derechos
de usuario y la auditoría de objetos.

Descripción de la característica
Los equipos que ejecutan una versión compatible de Windows pueden controlar el uso de recursos del sistema
y de red a través de los mecanismos interrelacionados de autenticación y autorización. Una vez autenticado un
usuario, el sistema operativo Windows usa tecnologías integradas de autorización y control de acceso para
implementar la segunda fase de protección de recursos: determinar si un usuario autenticado tiene los permisos
correctos para acceder a un recurso.
Los recursos compartidos están disponibles para usuarios y grupos distintos del propietario del recurso y deben
protegerse frente a usos no autorizados. En el modelo de control de acceso, los usuarios y grupos (también
conocidos como entidades de seguridad) se representan mediante identificadores de seguridad únicos (SID). Se
les asignan derechos y permisos que informan al sistema operativo de lo que cada usuario y grupo puede hacer.
Cada recurso tiene un propietario que concede permisos a las entidades de seguridad. Durante la comprobación
del control de acceso, estos permisos se examinan para determinar qué entidades de seguridad pueden acceder
al recurso y cómo pueden acceder a él.
Las entidades de seguridad realizan acciones (que incluyen lectura, escritura, modificación o control total) en
objetos. Los objetos incluyen archivos, carpetas, impresoras, claves del Registro y objetos de Servicios de
dominio de Active Directory (AD DS). Los recursos compartidos usan listas de control de acceso (ACL) para
asignar permisos. Esto permite a los administradores de recursos aplicar el control de acceso de las siguientes
maneras:
Denegar el acceso a usuarios y grupos no autorizados
Establecimiento de límites bien definidos en el acceso que se proporciona a usuarios y grupos
autorizados
Por lo general, los propietarios de objetos conceden permisos a grupos de seguridad en lugar de a usuarios
individuales. Los usuarios y equipos que se agregan a grupos existentes asumen los permisos de ese grupo. Si
un objeto (como una carpeta) puede contener otros objetos (como subcarpetas y archivos), se denomina
contenedor. En una jerarquía de objetos, la relación entre un contenedor y su contenido se expresa haciendo
referencia al contenedor como elemento primario. Un objeto del contenedor se conoce como secundario y el
elemento secundario hereda la configuración de control de acceso del elemento primario. Los propietarios de
objetos suelen definir permisos para objetos contenedor, en lugar de objetos secundarios individuales, para
facilitar la administración del control de acceso.
Este conjunto de contenido contiene:
Introducción al Control de acceso dinámico
Identificadores de seguridad
Entidades de seguridad
Cuentas locales
 Cuentas de Active Directory
Cuentas de Microsoft
Cuentas de servicio
Grupos de seguridad de Active Directory

Aplicaciones prácticas
Los administradores que usan la versión compatible de Windows pueden refinar la aplicación y la
administración del control de acceso a objetos y sujetos para proporcionar la siguiente seguridad:
Proteja un mayor número y variedad de recursos de red contra el uso indebido.
Aprovisionar a los usuarios para acceder a los recursos de una manera coherente con las directivas de la
organización y los requisitos de sus trabajos.
Permitir que los usuarios accedan a los recursos desde diversos dispositivos en numerosas ubicaciones.
Actualice la capacidad de los usuarios para acceder a los recursos de forma periódica a medida que
cambian las directivas de una organización o a medida que cambian los trabajos de los usuarios.
Tenga en cuenta un número creciente de escenarios de uso (como el acceso desde ubicaciones remotas o
desde una amplia variedad de dispositivos, como tabletas y teléfonos móviles).
Identificar y resolver problemas de acceso cuando los usuarios legítimos no pueden acceder a los
recursos que necesitan para realizar sus trabajos.

Permisos
Los permisos definen el tipo de acceso que se concede a un usuario o grupo para un objeto o propiedad de
objeto. Por ejemplo, al grupo Finance se le pueden conceder permisos de lectura y escritura para un archivo
denominado [Link].
Mediante la interfaz de usuario del control de acceso, puede establecer permisos NTFS para objetos como
archivos, objetos de Active Directory, objetos del Registro u objetos del sistema, como procesos. Se pueden
conceder permisos a cualquier usuario, grupo o equipo. Se recomienda asignar permisos a grupos porque
mejora el rendimiento del sistema al comprobar el acceso a un objeto.
Para cualquier objeto, puede conceder permisos a:
Grupos, usuarios y otros objetos con identificadores de seguridad en el dominio.
Grupos y usuarios de ese dominio y de cualquier dominio de confianza.
Grupos locales y usuarios en el equipo donde reside el objeto.
Los permisos asociados a un objeto dependen del tipo de objeto. Por ejemplo, los permisos que se pueden
adjuntar a un archivo son diferentes de los que se pueden adjuntar a una clave del Registro. Sin embargo,
algunos permisos son comunes a la mayoría de los tipos de objetos. Estos permisos comunes son:
Leer
Modificar
Cambiar propietario
Eliminar
Cuando se establecen permisos, se especifica el nivel de acceso para grupos y usuarios. Por ejemplo, puede
permitir que un usuario lea el contenido de un archivo, permitir que otro usuario realice cambios en el archivo e
impedir que todos los demás usuarios accedan al archivo. Puede establecer permisos similares en impresoras
para que determinados usuarios puedan configurar la impresora y otros usuarios solo puedan imprimir.
Cuando necesite cambiar los permisos de un archivo, puede ejecutar el Explorador de Windows, hacer clic con el
botón derecho en el nombre de archivo y hacer clic en Propiedades . En la pestaña Seguridad , puede cambiar
los permisos en el archivo. Para obtener más información, consulte Administración de permisos.
Nota
Otro tipo de permisos, denominados permisos de recurso compartido, se establece en la pestaña Uso
compartido de la página Propiedades de una carpeta o mediante el Asistente para carpetas compartidas. Para
obtener más información, consulte Permisos de recursos compartidos y NTFS en un servidor de archivos.
Propiedad de objetos
Un propietario se asigna a un objeto cuando se crea ese objeto. De forma predeterminada, el propietario es el
creador del objeto. Independientemente de qué permisos se establezcan en un objeto, el propietario del objeto
siempre puede cambiar los permisos. Para obtener más información, vea Administrar propiedad de objetos.
Herencia de permisos
La herencia permite a los administradores asignar y administrar permisos fácilmente. Esta característica hace
que los objetos de un contenedor hereden automáticamente todos los permisos heredados de ese contenedor.
Por ejemplo, los archivos de una carpeta heredan los permisos de la carpeta. Solo se heredarán los permisos
marcados para heredar.

Derechos de usuario
Los derechos de usuario conceden privilegios específicos y derechos de inicio de sesión a usuarios y grupos del
entorno informático. Los administradores pueden asignar derechos específicos a cuentas de grupo o a cuentas
de usuario individuales. Estos derechos autorizan a los usuarios a realizar acciones específicas, como iniciar
sesión en un sistema de forma interactiva o realizar copias de seguridad de archivos y directorios.
Los derechos de usuario son diferentes de los permisos porque los derechos de usuario se aplican a las cuentas
de usuario y los permisos están asociados a objetos. Aunque los derechos de usuario se pueden aplicar a
cuentas de usuario individuales, los derechos de usuario se administran mejor en función de una cuenta de
grupo. No hay compatibilidad en la interfaz de usuario del control de acceso para conceder derechos de usuario.
Sin embargo, la asignación de derechos de usuario se puede administrar a través de configuración de
seguridad local .
Para obtener más información sobre los derechos de usuario, consulte Asignación de derechos de usuario.

Auditoría de objetos
Con los derechos del administrador, puede auditar el acceso correcto o erróneo de los usuarios a los objetos.
Puede seleccionar qué acceso a objetos auditar mediante la interfaz de usuario del control de acceso, pero
primero debe habilitar la directiva de auditoría seleccionando Auditar el acceso a objetos en Directivas
locales en Configuración de seguridad local . A continuación, puede ver estos eventos relacionados con la
seguridad en el registro de seguridad en Visor de eventos.
Para obtener más información sobre la auditoría, consulte Información general sobre auditoría de seguridad.

Ver también
Para obtener más información sobre el control de acceso y la autorización, consulte Access Control e
Información general de autorización.
 Cuentas locales
08/11/2022 • 23 minutes to read

En este artículo de referencia para profesionales de TI se describen las cuentas de usuario locales
predeterminadas para los servidores, incluido cómo administrar estas cuentas integradas en un servidor
independiente o miembro.

Acerca de las cuentas de usuario locales

Las cuentas de usuario locales se almacenan localmente en el servidor. A estas cuentas se les pueden asignar
derechos y permisos en un servidor determinado, pero solo en ese servidor. Las cuentas de usuario locales son
entidades de seguridad que se usan para proteger y administrar el acceso a los recursos en un servidor
independiente o miembro para servicios o usuarios.
En este artículo se describe lo siguiente:
Cuentas de usuario locales predeterminadas
Cuenta de administrador
Cuenta de invitado
Cuenta helpAssistant (instalada mediante una sesión de asistencia remota)
DefaultAccount
Cuentas de sistema local predeterminadas
Administración de cuentas locales
Restricción y protección de cuentas locales con derechos administrativos
Aplicación de restricciones de cuenta local para el acceso remoto
Denegar el inicio de sesión de red en todas las cuentas de administrador locales
Creación de contraseñas únicas para cuentas locales con derechos administrativos
Para obtener información sobre las entidades de seguridad, consulte Entidades de seguridad.

Cuentas de usuario locales predeterminadas

Las cuentas de usuario local predeterminadas son cuentas integradas que se crean automáticamente al instalar
Windows.
Una vez instalado Windows, las cuentas de usuario local predeterminadas no se pueden quitar ni eliminar.
Además, las cuentas de usuario locales predeterminadas no proporcionan acceso a los recursos de red.
Las cuentas de usuario locales predeterminadas se usan para administrar el acceso a los recursos del servidor
local en función de los derechos y permisos asignados a la cuenta. Las cuentas de usuario local predeterminadas
y las cuentas de usuario locales que cree se encuentran en la carpeta Usuarios. La carpeta Usuarios se encuentra
en la carpeta Usuarios y grupos locales de la Consola de administración de Microsoft (MMC) de administración
de equipos local. Administración de equipos es una colección de herramientas administrativas que puede usar
para administrar un único equipo local o remoto. Para obtener más información, consulte Administración de
cuentas locales más adelante en este artículo.
Las cuentas de usuario locales predeterminadas se describen en las secciones siguientes.
Cuenta de administrador
La cuenta de administrador local predeterminada es una cuenta de usuario para el administrador del sistema.
Cada equipo tiene una cuenta de administrador (SID S-1-5-domain-500, nombre para mostrar
administrador).** La cuenta de administrador es la primera cuenta que se crea durante la instalación de
Windows.
La cuenta de administrador tiene control total de los archivos, directorios, servicios y otros recursos del equipo
local. La cuenta de administrador puede crear otros usuarios locales, asignar derechos de usuario y asignar
permisos. La cuenta de administrador puede tomar el control de los recursos locales en cualquier momento
simplemente cambiando los derechos y permisos de usuario.
La cuenta de administrador predeterminada no se puede eliminar ni bloquear, pero se puede cambiar el nombre
o deshabilitarla.
Desde Windows 10, Windows 11 y Windows Server 2016, el programa de instalación de Windows deshabilita la
cuenta de administrador integrada y crea otra cuenta local que es miembro del grupo Administradores. Los
miembros de los grupos Administradores pueden ejecutar aplicaciones con permisos elevados sin usar la
opción Ejecutar como administrador . El cambio rápido de usuario es más seguro que el uso de Runas o
elevación de usuario diferente.
Per tenencia a grupos de cuentas
De forma predeterminada, la cuenta de administrador se instala como miembro del grupo Administradores en
el servidor. Se recomienda limitar el número de usuarios en el grupo Administradores porque los miembros del
grupo Administradores de un servidor local tienen permisos de control total en ese equipo.
La cuenta de administrador no se puede eliminar ni quitar del grupo Administradores, pero se puede cambiar el
nombre.
Consideraciones de seguridad
Dado que se sabe que la cuenta de administrador existe en muchas versiones del sistema operativo Windows,
se recomienda deshabilitar la cuenta de administrador siempre que sea posible para dificultar que los usuarios
malintencionados obtengan acceso al servidor o al equipo cliente.
Puede cambiar el nombre de la cuenta de administrador. Sin embargo, una cuenta de administrador cuyo
nombre ha cambiado sigue usando el mismo identificador de seguridad (SID) asignado automáticamente, que
pueden detectar los usuarios malintencionados. Para obtener más información sobre cómo cambiar el nombre
o deshabilitar una cuenta de usuario, vea Deshabilitar o activar una cuenta de usuario local y Cambiar el nombre
de una cuenta de usuario local.
Como procedimiento recomendado de seguridad, use la cuenta local (que no es de administrador) para iniciar
sesión y, a continuación, use Ejecutar como administrador para realizar tareas que requieran un mayor nivel
de derechos que una cuenta de usuario estándar. No use la cuenta de administrador para iniciar sesión en el
equipo a menos que sea totalmente necesario. Para obtener más información, consulte Ejecución de un
programa con credenciales administrativas.
En comparación, en el sistema operativo cliente de Windows, un usuario con una cuenta de usuario local con
derechos de administrador se considera el administrador del sistema del equipo cliente. La primera cuenta de
usuario local que se crea durante la instalación se coloca en el grupo administradores local. Sin embargo,
cuando varios usuarios se ejecutan como administradores locales, el personal de TI no tiene control sobre estos
usuarios ni sobre sus equipos cliente.
En este caso, se puede usar directiva de grupo para habilitar la configuración segura que puede controlar el uso
del grupo de administradores local automáticamente en cada servidor o equipo cliente. Para obtener más
información sobre directiva de grupo, consulte introducción a directiva de grupo.

IMPORTANT
Las contraseñas en blanco no se permiten en las versiones designadas en la lista Se aplica a al principio de este
tema.
Incluso cuando la cuenta de administrador se ha deshabilitado, todavía se puede usar para obtener acceso a un
equipo mediante el modo seguro. En la consola de recuperación o en modo seguro, la cuenta de administrador se
habilita automáticamente. Cuando se reanudan las operaciones normales, se deshabilita.

Cuenta de invitado
La cuenta de invitado está deshabilitada de forma predeterminada en la instalación. La cuenta invitado permite a
los usuarios ocasionales o puntuales, que no tienen una cuenta en el equipo, iniciar sesión temporalmente en el
servidor local o en el equipo cliente con derechos de usuario limitados. De forma predeterminada, la cuenta de
invitado tiene una contraseña en blanco. Dado que la cuenta de invitado puede proporcionar acceso anónimo,
supone un riesgo para la seguridad. Por este motivo, se recomienda dejar deshabilitada la cuenta de invitado, a
menos que su uso sea totalmente necesario.
Per tenencia a grupos de cuentas
De forma predeterminada, la cuenta invitado es el único miembro del grupo invitados predeterminado (SID S-1-
5-32-546), que permite a un usuario iniciar sesión en un servidor. En ocasiones, un administrador que sea
miembro del grupo Administradores puede configurar un usuario con una cuenta de invitado en uno o varios
equipos.
Consideraciones de seguridad
Al habilitar la cuenta de invitado, solo conceda derechos y permisos limitados. Por motivos de seguridad, la
cuenta de invitado no debe usarse a través de la red y ser accesible para otros equipos.
Además, el usuario invitado de la cuenta invitado no debe poder ver los registros de eventos. Una vez habilitada
la cuenta de invitado, se recomienda supervisar la cuenta de invitado con frecuencia para asegurarse de que
otros usuarios no pueden usar servicios ni otros recursos. Esto incluye los recursos que un usuario anterior dejó
disponibles involuntariamente.

Cuenta HelpAssistant (instalada con una sesión de asistencia remota)

La cuenta HelpAssistant es una cuenta local predeterminada que se habilita cuando se ejecuta una sesión de
asistencia remota. Esta cuenta se deshabilita automáticamente cuando no hay solicitudes de asistencia remota
pendientes.
HelpAssistant es la cuenta principal que se usa para establecer una sesión de asistencia remota. La sesión de
Asistencia remota se usa para conectarse a otro equipo que ejecuta el sistema operativo Windows y se inicia por
invitación. Para obtener asistencia remota solicitada, un usuario envía una invitación desde su equipo, por
correo electrónico o como archivo, a una persona que puede proporcionar asistencia. Una vez que se acepta la
invitación del usuario para una sesión de Asistencia remota, se crea automáticamente la cuenta de HelpAssistant
predeterminada para proporcionar a la persona que proporciona asistencia acceso limitado al equipo. La cuenta
de HelpAssistant es administrada por el servicio Administrador de sesión de ayuda de escritorio remoto.
Consideraciones de seguridad
Los SID que pertenecen a la cuenta de HelpAssistant predeterminada incluyen:
SID: S-1-5-domain-13<>, nombre para mostrar Usuario de Terminal Server. Este grupo incluye a todos
los usuarios que inician sesión en un servidor con Servicios de escritorio remoto habilitados. Nota: En
Windows Server 2008, Servicios de Escritorio remoto se denomina Terminal Services.
 SID: S-1-5-domain-14<>, nombre para mostrar Inicio de sesión interactivo remoto. Este grupo incluye
todos los usuarios que se conectan al equipo mediante una conexión al Escritorio remoto. Este grupo es
un subconjunto del grupo interactivo. Los tokens de acceso que contienen el SID de inicio de sesión
interactivo remoto también contienen el SID interactivo.
Para el sistema operativo Windows Server, Asistencia remota es un componente opcional que no está instalado
de forma predeterminada. Debe instalar la Asistencia remota para poder usarla.
Para obtener más información sobre los atributos de la cuenta HelpAssistant, consulte la tabla siguiente.
Atributos de la cuenta HelpAssistant

AT RIB UTO VA LO R

SID o RID conocidos S-1-5-<domain>-13 (Terminal Server User), S-1-5-

<domain>-14 (Remote Interactive Logon)

Tipo Usuario

Contenedor predeterminado CN=Users, DC=<domain>, DC=

Miembros predeterminados Ninguno

Miembro predeterminado de Invitados de dominio

Invitados

¿Protegido por ADMINSDHOLDER? No

¿Es seguro salir del contenedor predeterminado? Se puede mover fuera, pero no lo recomendamos.

¿Es seguro delegar la administración de este grupo a No

administradores que no son de servicio?

DefaultAccount
DefaultAccount, también conocida como cuenta administrada del sistema predeterminado (DSMA), es una
cuenta integrada introducida en Windows 10 versión 1607 y Windows Server 2016. DSMA es un tipo de cuenta
de usuario conocido. Es una cuenta neutral del usuario que se puede usar para ejecutar procesos que son
compatibles con varios usuarios o independientes del usuario. Dsma está deshabilitado de forma
predeterminada en las SKU de escritorio (SKU de Windows completas) y WS 2016 con el escritorio.
El DSMA tiene un CONOCIDO RID de 503. Por lo tanto, el identificador de seguridad (SID) del DSMA tendrá un
SID conocido en el siguiente formato: S-1-5-21-503<ComputerIdentifier>
El DSMA es miembro del conocido grupo System Managed Accounts Group , que tiene un CONOCIDO SID
de S-1-5-32-581.
Se puede conceder acceso al alias DSMA a los recursos durante el almacenamiento provisional sin conexión
incluso antes de que se haya creado la propia cuenta. La cuenta y el grupo se crean durante el primer arranque
de la máquina dentro del Administrador de cuentas de seguridad (SAM).
Cómo Usa Windows DefaultAccount
Desde la perspectiva del permiso, DefaultAccount es una cuenta de usuario estándar. DefaultAccount es
necesario para ejecutar aplicaciones de manifiesto de usuario múltiple (aplicaciones de MUMA). Las aplicaciones
de MUMA se ejecutan todo el tiempo y reaccionan a los usuarios que inician sesión y salen de los dispositivos. A
diferencia de Windows Desktop, donde las aplicaciones se ejecutan en el contexto del usuario y finalizan cuando
el usuario se cierra la sesión, las aplicaciones MUMA se ejecutan mediante DSMA.
Las aplicaciones MUMA son funcionales en SKU de sesión compartida, como Xbox. Por ejemplo, Shell de Xbox
es una aplicación MUMA. En la actualidad, Xbox inicia sesión automáticamente como cuenta de invitado y todas
las aplicaciones se ejecutan en este contexto. Todas las aplicaciones son compatibles con varios usuarios y
responden a eventos desencadenados por el administrador de usuarios. Las aplicaciones se ejecutan como la
cuenta de invitado.
De forma similar, Phone auto inicia sesión como una cuenta de "DefApps", que es similar a la cuenta de usuario
estándar en Windows pero con algunos privilegios adicionales. Los agentes, algunos servicios y aplicaciones se
ejecutan como esta cuenta.
En el modelo de usuario convergente, las aplicaciones compatibles con varios usuarios y los agentes
multiusuario tendrán que ejecutarse en un contexto diferente al de los usuarios. Para ello, el sistema crea DSMA.
Cómo se crea DefaultAccount en los controladores de dominio
Si el dominio se creó con controladores de dominio que ejecutan Windows Server 2016, defaultAccount existirá
en todos los controladores de dominio del dominio. Si el dominio se creó con controladores de dominio que
ejecutan una versión anterior de Windows Server, defaultAccount se creará después de que el rol emulador de
PDC se transfiera a un controlador de dominio que ejecuta Windows Server 2016. Después, DefaultAccount se
replicará en todos los demás controladores de dominio del dominio.
Recomendaciones para administrar la cuenta predeterminada (DSMA)
Microsoft no recomienda cambiar la configuración predeterminada, donde la cuenta está deshabilitada. No hay
ningún riesgo de seguridad al tener la cuenta en estado deshabilitado. Cambiar la configuración
predeterminada podría impedir escenarios futuros que dependan de esta cuenta.

Cuentas de sistema local predeterminadas

SISTEMA
El sistema operativo y los servicios que se ejecutan en Windows usan la cuenta SYSTEM. Hay muchos servicios y
procesos en el sistema operativo Windows que necesitan la funcionalidad para iniciar sesión internamente,
como durante una instalación de Windows. La cuenta SYSTEM se diseñó para ese propósito y Windows
administra los derechos de usuario de la cuenta system. Es una cuenta interna que no aparece en el
Administrador de usuarios y no se puede agregar a ningún grupo.
Por otro lado, la cuenta SYSTEM aparece en un volumen del sistema de archivos NTFS en el Administrador de
archivos en la parte Permisos del menú Seguridad . De forma predeterminada, a la cuenta SYSTEM se le
conceden permisos de control total a todos los archivos de un volumen NTFS. Aquí, la cuenta SYSTEM tiene los
mismos permisos y derechos funcionales que la cuenta de administrador.

NOTE
Para conceder a la cuenta permisos de archivo de grupo administradores no concede implícitamente permiso a la cuenta
SYSTEM. Los permisos de la cuenta SYSTEM se pueden quitar de un archivo, pero no se recomienda quitarlos.

SERVICIO DE RED
La cuenta DE SERVICIO DE RED es una cuenta local predefinida que usa el administrador de control de servicios
(SCM). Un servicio que se ejecuta en el contexto de la cuenta DE SERVICIO DE RED presenta las credenciales del
equipo a los servidores remotos. Para obtener más información, vea Cuenta de NetworkService.
SERVICIO LOCAL
La cuenta DE SERVICIO LOCAL es una cuenta local predefinida que usa el administrador de control de servicios.
Tiene privilegios mínimos en el equipo local y presenta credenciales anónimas en la red. Para obtener más
información, vea Cuenta localService.
Administración de cuentas de usuario locales
Las cuentas de usuario local predeterminadas y las cuentas de usuario locales que cree se encuentran en la
carpeta Usuarios. La carpeta Usuarios se encuentra en Usuarios y grupos locales. Para obtener más información
sobre cómo crear y administrar cuentas de usuario locales, consulte Administrar usuarios locales.
Puede usar Usuarios y grupos locales para asignar derechos y permisos solo en el servidor local para limitar la
capacidad de los usuarios y grupos locales de realizar determinadas acciones. Un derecho autoriza a un usuario
a realizar ciertas acciones en un servidor, como realizar copias de seguridad de archivos y carpetas o apagar un
servidor. Un permiso de acceso es una regla que está asociada a un objeto, normalmente un archivo, una
carpeta o una impresora. Regula qué usuarios pueden tener acceso a un objeto en el servidor y de qué manera.
No puede usar usuarios y grupos locales en un controlador de dominio. Sin embargo, puede usar Usuarios y
grupos locales en un controlador de dominio para dirigirse a equipos remotos que no sean controladores de
dominio en la red.

NOTE
Use Usuarios y equipos de Active Directory para administrar usuarios y grupos en Active Directory.

También puede administrar usuarios locales mediante [Link] USER y administrar grupos locales mediante
[Link] LOCALGROUP o mediante varios cmdlets de PowerShell y otras tecnologías de scripting.
Restricción y protección de cuentas locales con derechos administrativos
Un administrador puede usar muchos enfoques para evitar que los usuarios malintencionados usen
credenciales robadas, como una contraseña robada o un hash de contraseña, para que una cuenta local de un
equipo se use para autenticarse en otro equipo con derechos administrativos. Esto también se denomina
"movimiento lateral".
El enfoque más sencillo consiste en iniciar sesión en el equipo con una cuenta de usuario estándar, en lugar de
usar la cuenta de administrador para las tareas. Por ejemplo, use una cuenta estándar para examinar Internet,
enviar correo electrónico o usar un procesador de textos. Cuando quiera realizar tareas administrativas, como
instalar un nuevo programa o cambiar una configuración que afecte a otros usuarios, no es necesario cambiar a
una cuenta de administrador. Puede usar el Control de cuentas de usuario (UAC) para solicitarle permiso o una
contraseña de administrador antes de realizar la tarea, como se describe en la sección siguiente.
Los otros enfoques que se pueden usar para restringir y proteger las cuentas de usuario con derechos
administrativos incluyen:
Aplicar restricciones de cuenta local para el acceso remoto.
Denegar el inicio de sesión de red en todas las cuentas de administrador locales.
Cree contraseñas únicas para cuentas locales con derechos administrativos.
Cada uno de estos enfoques se describe en las secciones siguientes.

NOTE
Estos enfoques no se aplican si todas las cuentas locales administrativas están deshabilitadas.

Aplicación de restricciones de cuenta local para el acceso remoto

El Control de cuentas de usuario (UAC) es una característica de seguridad de Windows que se ha estado usando
en Windows Server 2008 y en Windows Vista, y los sistemas operativos a los que hace referencia la lista Se
aplica a . UAC le permite mantener el control del equipo informándole cuando un programa realiza un cambio
que requiere permiso de nivel de administrador. UAC funciona ajustando el nivel de permiso de la cuenta de
usuario. De forma predeterminada, UAC está configurado para notificarle cuando las aplicaciones intentan
realizar cambios en el equipo, pero puede cambiar la frecuencia con la que UAC le notifica.
UAC permite que una cuenta con derechos administrativos se trate como una cuenta estándar de usuario no
administrador hasta que se soliciten y aprueben todos los derechos, también denominados elevación. Por
ejemplo, UAC permite a un administrador escribir credenciales durante la sesión de usuario de un usuario que
no sea administrador para realizar tareas administrativas ocasionales sin tener que cambiar de usuario, cerrar
sesión o usar el comando Ejecutar como .
Además, UAC puede requerir que los administradores aprueben específicamente las aplicaciones que realizan
cambios en todo el sistema antes de que se les conceda permiso para ejecutarlas, incluso en la sesión de usuario
del administrador.
Por ejemplo, se muestra una característica predeterminada de UAC cuando una cuenta local inicia sesión desde
un equipo remoto mediante el inicio de sesión de red (por ejemplo, mediante [Link] USE). En este caso, se
emite un token de usuario estándar sin derechos administrativos, pero sin la capacidad de solicitar o recibir
elevación. Por lo tanto, las cuentas locales que inician sesión mediante el inicio de sesión de red no pueden
acceder a recursos compartidos administrativos como C$o ADMIN$, ni realizar ninguna administración remota.
Para obtener más información sobre UAC, consulte Control de cuentas de usuario.
En la tabla siguiente se muestran los directiva de grupo y la configuración del Registro que se usan para aplicar
restricciones de cuenta locales para el acceso remoto.

N O. C O N F IGURA C IÓ N DESC RIP C IÓ N DETA L L A DA

Ubicación de la directiva Configuración del

equipo\Configuración de
Windows\Configuración de
seguridad\Directivas locales\Opciones
de seguridad

1 Nombre de directiva Control de cuentas de usuario: Modo

de aprobación de administrador para
la cuenta predefinida Administrador

Configuración de directiva Habilitado

2 Ubicación de la directiva Configuración del

equipo\Configuración de
Windows\Configuración de
seguridad\Directivas locales\Opciones
de seguridad

Nombre de directiva Control de cuentas de usuario: ejecutar

todos los administradores en Modo de
aprobación de administrador

Configuración de directiva Habilitado

3 Clave del Registro HKEY_LOCAL_MACHINE\SOFTWARE\

Microsoft\Windows\CurrentVersion\Pol
icies\System

Nombre del valor del Registro LocalAccountTokenFilterPolicy

 N O. C O N F IGURA C IÓ N DESC RIP C IÓ N DETA L L A DA

Tipo de valor del Registro DWORD

Datos del valor del Registro 0

NOTE
También puede aplicar el valor predeterminado para LocalAccountTokenFilterPolicy mediante el admx personalizado en
plantillas de seguridad.

Para aplicar restricciones de cuenta local para el acceso remoto

1. Inicie la Consola de administración de directivas de grupo (GPMC).
2. En el árbol de consola, expanda <Bosque>\Dominios\<Dominio> y, a continuación, directiva de grupo
Objetos donde bosque es el nombre del bosque y dominio es el nombre del dominio donde desea
establecer el objeto directiva de grupo (GPO).
3. En el árbol de consola, haga clic con el botón derecho en directiva de grupo Objetos y > Nuevo .

4. En el cuadro de diálogo Nuevo GPO , escriba <gpo_name > y > Aceptar donde gpo_name es el
nombre del nuevo GPO. El nombre del GPO indica que el GPO se usa para restringir que los derechos de
administrador local se lleven a otro equipo.

5. En el panel de detalles, haga clic con el botón derecho en <gpo_name > y > editar .
6. Asegúrese de que UAC está habilitado y de que las restricciones de UAC se aplican a la cuenta de
administrador predeterminada siguiendo estos pasos:
a. Vaya a Configuración del equipo\Configuración de Windows\Configuración de
seguridad\Directivas locales\, y > Opciones de seguridad .
b. Haga doble clic en Control de cuentas de usuario: ejecute todos los administradores en
Administración Modo > de aprobación habilitado Aceptar >.****
c. Haga doble clic en Control de cuentas de usuario: Administración modo de aprobación
para la cuenta > de administrador integrada Habilitada. > ****
7. Asegúrese de que las restricciones de la cuenta local se aplican a las interfaces de red siguiendo estos
pasos:
a. Vaya a Configuración del equipo\Preferencias y Configuración de Windows y > Registro .
b. Haga clic con el botón derecho en Registro y > nuevo > elemento del Registro .

c. En el cuadro de diálogo Nuevas propiedades del Registro , en la pestaña General , cambie la

configuración del cuadro Acción a Reemplazar .
d. Asegúrese de que el cuadro de Hive está establecido en HKEY_LOCAL_MACHINE .
e. Seleccione (...), vaya a la siguiente ubicación para Ruta de acceso > de clave Seleccione para:
SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System .
f. En el área Nombre del valor , escriba LocalAccountTokenFilterPolicy .
g. En el cuadro Tipo de valor , en la lista desplegable, seleccione REG_DWORD para cambiar el
valor.
h. En el cuadro Datos de valor , asegúrese de que el valor está establecido en 0 .
i. Compruebe esta configuración y > Aceptar .
 8. Vincule el GPO a la primera unidad organizativa (OU) estaciones de trabajo haciendo lo siguiente:
a. Vaya a la < ruta de acceso Forest>\Domains\<Domain>\OU.
b. Haga clic con el botón derecho en la unidad organizativa Estaciones de trabajo y > vincule un
GPO existente .

c. Seleccione el GPO que creó y > Aceptar .

9. Pruebe la funcionalidad de las aplicaciones empresariales en las estaciones de trabajo de esa primera
unidad organizativa y resuelva los problemas causados por la nueva directiva.
10. Cree vínculos a todas las demás unidades organizativas que contengan estaciones de trabajo.
11. Cree vínculos a todas las demás unidades organizativas que contengan servidores.
Denegar el inicio de sesión de red en todas las cuentas de administrador locales
Denegar cuentas locales la capacidad de realizar inicios de sesión de red puede ayudar a evitar que un hash de
contraseña de cuenta local se reutilice en un ataque malintencionado. Este procedimiento ayuda a evitar el
movimiento lateral al garantizar que las credenciales robadas de las cuentas locales de un sistema operativo en
peligro no se puedan usar para poner en peligro otros equipos que usan las mismas credenciales.

NOTE
Para realizar este procedimiento, primero debe identificar el nombre de la cuenta de administrador local predeterminada,
que podría no ser el nombre de usuario predeterminado "Administrador" y cualquier otra cuenta que sea miembro del
grupo local Administradores.

En la tabla siguiente se muestra la configuración de directiva de grupo que se usa para denegar el inicio de
sesión de red para todas las cuentas de administrador locales.
 N O. C O N F IGURA C IÓ N DESC RIP C IÓ N DETA L L A DA

Ubicación de la directiva Configuración del

equipo\Configuración de
Windows\Configuración de
seguridad\Directivas locales\Asignación
de derechos de usuario

1 Nombre de directiva Denegar el acceso desde la red a este

equipo

Configuración de directiva Cuenta local y miembro del grupo

Administradores

2 Ubicación de la directiva Configuración del

equipo\Configuración de
Windows\Configuración de
seguridad\Directivas locales\Asignación
de derechos de usuario

Nombre de directiva Denegar inicio de sesión a través de

Servicios de Escritorio remoto

Configuración de directiva Cuenta local y miembro del grupo

Administradores

Para denegar el inicio de sesión de red en todas las cuentas de administrador local
1. Inicie la Consola de administración de directivas de grupo (GPMC).
2. En el árbol de consola, expanda <Forest>\Domains\<Domain> y, a continuación, directiva de grupo
Objects , donde forest es el nombre del bosque, y domain es el nombre del dominio donde desea
establecer el objeto directiva de grupo (GPO).
3. En el árbol de consola, haga clic con el botón derecho en directiva de grupo Objetos y > Nuevo .
4. En el cuadro de diálogo Nuevo GPO , escriba <gpo_name > y, a continuación >, Aceptar donde
gpo_name es el nombre del nuevo GPO indica que se usa para restringir que las cuentas administrativas
locales inicien sesión de forma interactiva en el equipo.

5. En el panel de detalles, haga clic con el botón derecho en <gpo_name > y > editar .

6. Configure los derechos de usuario para denegar los inicios de sesión de red para cuentas locales
administrativas como se indica a continuación:
a. Vaya a Configuración del equipo\Configuración de Windows\Configuración de seguridad\, y >
Asignación de derechos de usuario .
 b. Haga doble clic en Denegar el acceso a este equipo desde la red .
c. Seleccione Agregar usuario o grupo , escriba Cuenta local y miembro del grupo
Administradores y > Aceptar .
7. Configure los derechos de usuario para denegar inicios de sesión de Escritorio remoto (Interactivo
remoto) para cuentas locales administrativas como se indica a continuación:
a. Vaya a Configuración del equipo\Directivas\Configuración de Windows y Directivas locales y, a
continuación, seleccione Asignación de derechos de usuario .
b. Haga doble clic en Denegar inicio de sesión a través de Ser vicios de Escritorio remoto .
c. Seleccione Agregar usuario o grupo , escriba Cuenta local y miembro del grupo
Administradores y > Aceptar .
8. Vincule el GPO a la primera unidad organizativa Estaciones de trabajo de la siguiente manera:
a. Vaya a la < ruta de acceso Forest>\Domains\<Domain>\OU.
b. Haga clic con el botón derecho en la unidad organizativa Estaciones de trabajo y > vincule un
GPO existente .
c. Seleccione el GPO que creó y > Aceptar .
9. Pruebe la funcionalidad de las aplicaciones empresariales en las estaciones de trabajo de esa primera
unidad organizativa y resuelva los problemas causados por la nueva directiva.
10. Cree vínculos a todas las demás unidades organizativas que contengan estaciones de trabajo.
11. Cree vínculos a todas las demás unidades organizativas que contengan servidores.

NOTE
Es posible que tenga que crear un GPO independiente si el nombre de usuario de la cuenta de administrador
predeterminada es diferente en estaciones de trabajo y servidores.

Creación de contraseñas únicas para cuentas locales con derechos administrativos

Las contraseñas deben ser únicas por cuenta individual. Aunque es cierto para cuentas de usuario individuales,
muchas empresas tienen contraseñas idénticas para cuentas locales comunes, como la cuenta de administrador
predeterminada. Esto también ocurre cuando se usan las mismas contraseñas para cuentas locales durante las
implementaciones del sistema operativo.
Las contraseñas que se dejan sin cambios o cambian sincrónicamente para mantenerlas idénticas agregan un
riesgo significativo para las organizaciones. Al azar de las contraseñas se mitigan los ataques "pass-the-hash"
mediante el uso de contraseñas diferentes para las cuentas locales, lo que dificulta la capacidad de los usuarios
malintencionados de usar hash de contraseñas de esas cuentas para poner en peligro otros equipos.
Las contraseñas se pueden aleatorizar mediante:
Compra e implementación de una herramienta empresarial para realizar esta tarea. Estas herramientas se
conocen normalmente como herramientas de "administración de contraseñas con privilegios".
Configuración de la solución de contraseñas de administrador local (LAPS) para realizar esta tarea.
Crear e implementar un script o una solución personalizados para aleatorizar las contraseñas de cuenta
locales.

Ver también
Los siguientes recursos proporcionan información adicional sobre las tecnologías relacionadas con las cuentas
locales.
Entidades de seguridad
Identificadores de seguridad
Introducción a Access Control
 Control de cuentas de usuario
08/11/2022 • 2 minutes to read

Control de cuentas de usuario (UAC) ayuda a prevenir que el malware dañe un equipo y ayuda a las
organizaciones a implementar un escritorio mejor administrado. Con UAC, las aplicaciones y las tareas siempre
se ejecutan en el contexto de seguridad de una cuenta de administrador, a menos que un administrador autorice
específicamente el acceso de nivel de administrador al sistema. UAC puede bloquear la instalación automática
de aplicaciones no autorizadas y evitar cambios inadvertidos en la configuración del sistema.
UAC permite a los usuarios iniciar sesión en sus equipos con una cuenta de usuario estándar. Los procesos que
se inician con un token de usuario estándar pueden realizar tareas usando los derechos de acceso concedidos a
un usuario estándar. Por ejemplo, el Explorador de Windows hereda automáticamente los permisos de nivel de
usuario estándar. Además, las aplicaciones que se inician mediante el Explorador de Windows (por ejemplo,
haciendo doble clic en un acceso directo) también se ejecutan con el conjunto de permisos de usuario estándar.
Muchas aplicaciones, como las que se incluyen en el propio sistema operativo, están diseñadas para funcionar
correctamente de este modo.
Otras aplicaciones, en especial, aquellas que no se diseñaron específicamente teniendo en cuenta la
configuración de seguridad, requieren a menudo permisos adicionales para ejecutarse correctamente. Estos
tipos de aplicaciones se conocen como aplicaciones heredadas. Además, las acciones como instalar software
nuevo y realizar cambios de configuración en el Firewall de Windows, requieren más permisos de los que hay
disponibles para una cuenta de usuario estándar.
Cuando una aplicación necesita ejecutarse con más de derechos de usuario estándar, UAC permite a los usuarios
ejecutar aplicaciones con su token de administrador (con grupos administrativos y privilegios) en lugar de su
token de acceso de usuario estándar predeterminado. Los usuarios siguen funcionando en el contexto de
seguridad de usuario estándar, al tiempo que permiten que ciertas aplicaciones se ejecuten con privilegios
elevados, si es necesario.

Aplicaciones prácticas
El Modo de aprobación de administración de UAC ayuda a prevenir que el malware se instale de forma
silenciosa sin conocimiento del administrador. También ayuda a prevenir cambios inadvertidos de todo el
sistema. Por último, se puede usar para aplicar un mayor nivel de cumplimiento donde los administradores
deben consentir activamente cada proceso administrativo o proporcionar credenciales para ellos.

En esta sección
T EM A DESC RIP C IÓ N

Cómo funciona el Control de cuentas de usuario El Control de cuentas de usuario (UAC) es un componente
fundamental de la visión global de seguridad de Microsoft.
UAC te ayuda a mitigar el impacto de malware.

Configuración de directiva de seguridad de Control de Puedes usar directivas de seguridad para configurar cómo
cuentas de usuario funciona el Control de cuentas de usuario de la organización.
Pueden configurarse localmente mediante el complemento
de directiva de seguridad local ([Link]) o para el
dominio, unidad organizativa o grupos específicos mediante
la directiva de grupo.
T EM A DESC RIP C IÓ N

Configuración de las claves del Registro y directiva de grupo Aquí tienes una lista de las opciones de configuración de
de Control de cuentas de usuario claves del registro y la directiva de grupo de UAC que tu
organización puede usar para gestionar el UAC.
 Cómo funciona el Control de cuentas de usuario
08/11/2022 • 16 minutes to read

El Control de cuentas de usuario (UAC) es un componente fundamental de la visión global de seguridad de

Microsoft. UAC te ayuda a mitigar el impacto de malware.

Proceso e interacciones de UAC

Cada aplicación que requiera el token de acceso de administrador debe solicitar el consentimiento. La única
excepción es la relación que existe entre los procesos primarios y secundarios. Los procesos secundarios
heredan el token de acceso del usuario del proceso primario. Sin embargo, tanto los procesos primarios como
secundarios deben tener el mismo nivel de integridad. Windows protege los procesos marcando sus niveles de
integridad. Los niveles de integridad son medidas de confianza. Una aplicación de integridad "alta" es aquella
que realiza tareas que modifican los datos del sistema, como una aplicación de creación de particiones de disco,
mientras que una aplicación de integridad "baja" es aquella que realiza tareas que podrían poner en peligro el
sistema operativo, como un explorador web. Las aplicaciones con niveles de integridad inferiores no pueden
modificar los datos de las aplicaciones con niveles de integridad más altos. Cuando un usuario estándar intenta
ejecutar una aplicación que requiere un token de acceso de administrador, UAC requiere que el usuario
proporcione credenciales de administrador válidas.
Para comprender mejor cómo se produce este proceso, echemos un vistazo al proceso de inicio de sesión de
Windows.
Proceso de inicio de sesión
A continuación se muestra cómo el proceso de inicio de sesión de un administrador difiere del proceso de inicio
de sesión de un usuario estándar.

De forma predeterminada, los usuarios y administradores estándar acceden a los recursos y ejecutan
aplicaciones en el contexto de seguridad de los usuarios estándar. Cuando un usuario inicia sesión en un equipo,
el sistema crea un token de acceso para ese usuario. El token de acceso contiene información sobre el nivel de
acceso que se concede al usuario, incluidos los identificadores de seguridad (SID) específicos y los privilegios de
Windows.
Cuando un administrador inicia sesión, se crean dos tokens de acceso independientes para el usuario: un token
de acceso de usuario estándar y un token de acceso de administrador. El token de acceso de usuario estándar
contiene la misma información específica del usuario que el token de acceso de administrador, pero se quitan
los privilegios administrativos de Windows y los SID. El token de acceso de usuario estándar se usa para iniciar
aplicaciones que no realizan tareas administrativas (aplicaciones de usuario estándar). A continuación, se usa el
token de acceso de usuario estándar para mostrar el escritorio ([Link]). [Link] es el proceso primario
del que todos los demás procesos iniciados por el usuario heredan su token de acceso. Como resultado, todas
las aplicaciones se ejecutan como un usuario estándar a menos que un usuario proporcione consentimiento o
credenciales para aprobar una aplicación para usar un token de acceso administrativo completo.
Un usuario que sea miembro del grupo Administradores puede iniciar sesión, examinar la Web y leer el correo
electrónico mientras usa un token de acceso de usuario estándar. Cuando el administrador necesita realizar una
tarea que requiera el token de acceso de administrador, Windows 10 o Windows 11 solicita automáticamente al
usuario la aprobación. Este símbolo del sistema se denomina símbolo del sistema de elevación y su
comportamiento se puede configurar mediante el complemento Directiva de seguridad local ([Link]) o
directiva de grupo. Para obtener más información, consulte Configuración de directivas de seguridad de Control
de cuentas de usuario.
La experiencia del usuario de UAC
Cuando UAC está habilitado, la experiencia del usuario para los usuarios estándar es diferente de la de los
administradores en Administración modo de aprobación. El método recomendado y más seguro para ejecutar
Windows 10 o Windows 11 es convertir la cuenta de usuario principal en una cuenta de usuario estándar. La
ejecución como usuario estándar ayuda a maximizar la seguridad de un entorno administrado. Con el
componente de elevación UAC integrado, los usuarios estándar pueden realizar fácilmente una tarea
administrativa escribiendo credenciales válidas para una cuenta de administrador local. El componente de
elevación UAC integrado predeterminado para los usuarios estándar es el símbolo del sistema de credenciales.
La alternativa a la ejecución como usuario estándar es ejecutarse como administrador en Administración modo
de aprobación. Con el componente de elevación UAC integrado, los miembros del grupo de administradores
locales pueden realizar fácilmente una tarea administrativa proporcionando aprobación. El componente de
elevación UAC integrado predeterminado para una cuenta de administrador en Administración modo de
aprobación se denomina símbolo del consentimiento.
Las solicitudes de consentimiento y credenciales
Con UAC habilitado, Windows 10 o Windows 11 solicita consentimiento o solicita credenciales de una cuenta de
administrador local válida antes de iniciar un programa o tarea que requiera un token de acceso de
administrador completo. Este aviso garantiza que no se pueda instalar software malintencionado de forma
silenciosa.
La solicitud de consentimiento
El símbolo del consentimiento se presenta cuando un usuario intenta realizar una tarea que requiere el token de
acceso administrativo de un usuario. A continuación se muestra un ejemplo del símbolo del sistema de
consentimiento de UAC.
El símbolo del sistema de credenciales
El símbolo del sistema de credenciales se presenta cuando un usuario estándar intenta realizar una tarea que
requiere el token de acceso administrativo de un usuario. Los administradores también pueden ser necesarios
para proporcionar sus credenciales si establecen el valor de la directiva Control de cuentas de usuario:
Compor tamiento de la solicitud de elevación para administradores en Administración modo de
aprobación en Solicitar credenciales .
A continuación se muestra un ejemplo del símbolo del sistema de credenciales de UAC.
Solicitudes de elevación de UAC
Las solicitudes de elevación de UAC están codificadas por colores para que sean específicas de la aplicación, lo
que permite la identificación inmediata del posible riesgo de seguridad de una aplicación. Cuando una
aplicación intenta ejecutarse con el token de acceso completo de un administrador, Windows 10 o Windows 11
analiza primero el archivo ejecutable para determinar su publicador. Las aplicaciones se dividen primero en tres
categorías según el publicador del archivo: Windows 10 o Windows 11, publicador comprobado (firmado) y
publicador no comprobado (sin firmar). En el diagrama siguiente se muestra cómo Windows determina qué
petición de elevación de color se va a presentar al usuario.
La codificación de color del símbolo del sistema de elevación es la siguiente:
Fondo rojo con un icono de escudo rojo: la aplicación está bloqueada por directiva de grupo o es de un
publicador que está bloqueado.
Fondo azul con un icono de escudo azul y dorado: la aplicación es una aplicación administrativa Windows 10
y Windows 11, como un elemento Panel de control.
Fondo azul con un icono de escudo azul: la aplicación está firmada mediante Authenticode y es de confianza
 para el equipo local.
Fondo amarillo con un icono de escudo amarillo: la aplicación está sin firmar o firmada, pero aún no es de
confianza para el equipo local.
Icono de escudo
Algunos elementos Panel de control, como propiedades de fecha y hora , contienen una combinación de
operaciones de administrador y de usuario estándar. Los usuarios estándar pueden ver el reloj y cambiar la zona
horaria, pero se requiere un token de acceso de administrador completo para cambiar la hora del sistema local.
A continuación se muestra una captura de pantalla del elemento Propiedades de fecha y hora Panel de control.

El icono de escudo del botón Cambiar fecha y hora indica que el proceso requiere un token de acceso de
administrador completo y mostrará un símbolo de elevación de UAC.
Protección del símbolo del sistema de elevación
El proceso de elevación se protege aún más dirigiendo el mensaje al escritorio seguro. De forma
predeterminada, las solicitudes de consentimiento y credenciales se muestran en el escritorio seguro en
Windows 10 y Windows 11. Solo los procesos de Windows pueden acceder al escritorio seguro. Para mayores
niveles de seguridad, se recomienda mantener el control de cuenta de usuario: cambie al escritorio
seguro al solicitar la configuración de la directiva de elevación habilitada.
Cuando un archivo ejecutable solicita elevación, el escritorio interactivo, también denominado escritorio de
usuario, se cambia al escritorio seguro. El escritorio seguro atenúa el escritorio del usuario y muestra un
mensaje de elevación al que se debe responder antes de continuar. Cuando el usuario hace clic en Sí o No , el
escritorio vuelve al escritorio del usuario.
El malware puede presentar una imitación del escritorio seguro, pero cuando el control de cuenta de
usuario: compor tamiento de la solicitud de elevación para administradores en Administración
configuración de directiva del modo de aprobación se establece en Solicitar consentimiento , el malware no
obtiene elevación si el usuario hace clic en Sí en la imitación. Si la configuración de directiva está establecida en
Solicitar credenciales , es posible que el malware que imita el símbolo del sistema de credenciales pueda
recopilar las credenciales del usuario. Sin embargo, el malware no obtiene privilegios elevados y el sistema tiene
otras protecciones que mitigan el malware de tomar el control de la interfaz de usuario incluso con una
contraseña cosechada.
Aunque el malware podría presentar una imitación del escritorio seguro, este problema no puede producirse a
menos que un usuario haya instalado previamente el malware en el equipo. Dado que los procesos que
requieren un token de acceso de administrador no se pueden instalar silenciosamente cuando UAC está
habilitado, el usuario debe proporcionar consentimiento explícitamente haciendo clic en Sí o proporcionando
credenciales de administrador. El comportamiento específico del símbolo del sistema de elevación de UAC
depende de directiva de grupo.

Arquitectura de UAC
En el diagrama siguiente se detalla la arquitectura de UAC.

Para comprender mejor cada componente, revise la tabla siguiente:

Usuario
C O M P O N EN T E DESC RIP C IÓ N

El usuario realiza una operación que requiere privilegios Si la operación cambia el sistema de archivos o el
registro, se llama a Virtualization. Todas las demás
operaciones llaman a ShellExecute.
 C O M P O N EN T E DESC RIP C IÓ N

Shellexecute ShellExecute llama a CreateProcess. ShellExecute busca el

error ERROR_ELEVATION_REQUIRED de CreateProcess.
Si recibe el error, ShellExecute llama al servicio
Application Information para intentar realizar la tarea
solicitada con el símbolo del sistema con privilegios
elevados.

Createprocess Si la aplicación requiere elevación, CreateProcess rechaza

la llamada con ERROR_ELEVATION_REQUIRED.

Sistema
C O M P O N EN T E DESC RIP C IÓ N

Servicio de información de aplicaciones Un servicio del sistema que ayuda a iniciar aplicaciones
que requieren uno o varios privilegios elevados o
derechos de usuario para ejecutarse, como tareas
administrativas locales y aplicaciones que requieren
niveles de integridad más altos. El servicio Application
Information ayuda a iniciar estas aplicaciones mediante
la creación de un nuevo proceso para la aplicación con el
token de acceso completo de un usuario administrativo
cuando se requiere elevación y el usuario da su
consentimiento (en función de directiva de grupo) para
hacerlo.

Elevación de una instalación de ActiveX Si ActiveX no está instalado, el sistema comprueba el

nivel de control deslizante de UAC. Si está instalado
ActiveX, se comprueba el valor control de cuenta de
usuario: cambiar al escritorio seguro al solicitar
elevación directiva de grupo.
C O M P O N EN T E DESC RIP C IÓ N

Comprobación del nivel de control deslizante de UAC UAC tiene un control deslizante para seleccionar entre
cuatro niveles de notificación.
Siempre notificará lo siguiente:
Notifíquelo cuando los programas intenten
instalar software o realizar cambios en el
equipo.
Notifíquelo cuando realice cambios en la
configuración de Windows.
Inmovilizar otras tareas hasta que responda.
Se recomienda si a menudo instala software
nuevo o visita sitios web desconocidos.
Notifíqueme solo cuando los programas
intenten realizar cambios en mi equipo :
Notifíquelo cuando los programas intenten
instalar software o realizar cambios en el
equipo.
No se le notificará cuando realice cambios en
la configuración de Windows.
Inmovilizar otras tareas hasta que responda.
Se recomienda si no suele instalar aplicaciones o
visitar sitios web desconocidos.
Notifíqueme solo cuando los programas
intenten realizar cambios en mi equipo (no
atenúe mi escritorio):
Notifíquelo cuando los programas intenten
instalar software o realizar cambios en el
equipo.
No se le notificará cuando realice cambios en
la configuración de Windows.
No inmovilizar otras tareas hasta que
responda.
No se recomienda. Elija esto solo si tarda mucho
tiempo en atenuar el escritorio en el equipo.
Nunca notificar (Deshabilitar mensajes de
UAC) hará lo siguiente:
No le notifique cuando los programas
intenten instalar software o realizar cambios
en el equipo.
No se le notificará cuando realice cambios en
la configuración de Windows.
No inmovilizar otras tareas hasta que
responda.
No se recomienda debido a problemas de
seguridad.
 C O M P O N EN T E DESC RIP C IÓ N

Escritorio seguro habilitado Control de cuenta de usuario: cambie al escritorio

seguro cuando se compruebe la configuración de
la directiva de elevación :
Si el escritorio seguro está habilitado, todas las
solicitudes de elevación van al escritorio seguro,
independientemente de la configuración de la
directiva de comportamiento de mensajes para
administradores y usuarios estándar.
Si el escritorio seguro no está habilitado, todas
las solicitudes de elevación van al usuario
interactivo'escritorio y se usa la configuración por
usuario para administradores y usuarios estándar.

Createprocess CreateProcess llama a AppCompat, Fusion y la detección

del instalador para evaluar si la aplicación requiere
elevación. A continuación, se inspecciona el archivo para
determinar su nivel de ejecución solicitado, que se
almacena en el manifiesto de aplicación para el archivo.
CreateProcess produce un error si el nivel de ejecución
solicitado especificado en el manifiesto no coincide con el
token de acceso y devuelve un error
(ERROR_ELEVATION_REQUIRED) a ShellExecute.

AppCompat La base de datos AppCompat almacena información en

las entradas de corrección de compatibilidad de la
aplicación para una aplicación.

Fusión La base de datos fusion almacena información de

manifiestos de aplicación que describen las aplicaciones.
El esquema de manifiesto se actualiza para agregar un
nuevo campo de nivel de ejecución solicitado.

Detección del instalador La detección del instalador detecta los archivos de

instalación, lo que ayuda a evitar que las instalaciones se
ejecuten sin el conocimiento y el consentimiento del
usuario'.

Núcleo
C O M P O N EN T E DESC RIP C IÓ N

Virtualización La tecnología de virtualización garantiza que las

aplicaciones no compatibles no se ejecuten o no se
ejecuten de forma silenciosa de forma que no se pueda
determinar la causa. UAC también proporciona
virtualización y registro de archivos y registro para
aplicaciones que escriben en áreas protegidas.
 C O M P O N EN T E DESC RIP C IÓ N

Sistema de archivos y registro La virtualización de archivos y registros por usuario

redirige las solicitudes de escritura de archivos y registro
por equipo a ubicaciones equivalentes por usuario. Las
solicitudes de lectura se redirigen primero a la ubicación
virtualizada por usuario y a la segunda ubicación por
equipo.

El control deslizante nunca desactivará completamente el UAC. Si lo establece en Nunca notificar , hará lo
siguiente:
Mantenga el servicio UAC en ejecución.
Hacer que todas las solicitudes de elevación iniciadas por los administradores se aprueben automáticamente
sin mostrar una solicitud de UAC.
Deniegue automáticamente todas las solicitudes de elevación para los usuarios estándar.

IMPORTANT
Para deshabilitar completamente UAC, debe deshabilitar la directiva Control de cuentas de usuario: ejecute todos
los administradores en Administración modo de aprobación .

WARNING
Es posible que algunas aplicaciones Plataforma universal de Windows no funcionen cuando UAC está deshabilitado.

Virtualización
Dado que los administradores del sistema en entornos empresariales intentan proteger los sistemas, muchas
aplicaciones de línea de negocio (LOB) están diseñadas para usar solo un token de acceso de usuario estándar.
Como resultado, no es necesario reemplazar la mayoría de las aplicaciones cuando UAC está activado.
Windows 10 y Windows 11 incluyen tecnología de virtualización de archivos y registro para aplicaciones que no
son compatibles con UAC y que requieren que el token de acceso de un administrador se ejecute correctamente.
Cuando una aplicación administrativa que no es compatible con UAC intenta escribir en una carpeta protegida,
como Archivos de programa, UAC proporciona a la aplicación su propia vista virtualizada del recurso que
intenta cambiar. La copia virtualizada se mantiene en el perfil del usuario. Esta estrategia crea una copia
independiente del archivo virtualizado para cada usuario que ejecuta la aplicación no compatible.
La mayoría de las tareas de la aplicación funcionan correctamente mediante las características de virtualización.
Aunque la virtualización permite ejecutar la mayoría de las aplicaciones, es una solución a corto plazo y no una
solución a largo plazo. Los desarrolladores de aplicaciones deben modificar sus aplicaciones para que sean
compatibles lo antes posible, en lugar de depender de la virtualización de archivos, carpetas y registros.
La virtualización no es una opción en los siguientes escenarios:
La virtualización no se aplica a las aplicaciones con privilegios elevados y que se ejecutan con un token
de acceso administrativo completo.
La virtualización solo admite aplicaciones de 32 bits. Las aplicaciones de 64 bits sin privilegios elevados
simplemente reciben un mensaje de acceso denegado cuando intentan adquirir un identificador (un
identificador único) a un objeto de Windows. Las aplicaciones nativas de Windows de 64 bits deben ser
compatibles con UAC y escribir datos en las ubicaciones correctas.
 La virtualización está deshabilitada si la aplicación incluye un manifiesto de aplicación con un atributo de
nivel de ejecución solicitado.
Niveles de ejecución de solicitudes
Un manifiesto de aplicación es un archivo XML que describe e identifica los ensamblados compartidos y
privados en paralelo a los que una aplicación debe enlazar en tiempo de ejecución. El manifiesto de aplicación
incluye entradas con fines de compatibilidad de aplicaciones UAC. Las aplicaciones administrativas que incluyen
una entrada en el manifiesto de la aplicación solicitan al usuario permiso para acceder al token de acceso del
usuario. Aunque carecen de una entrada en el manifiesto de la aplicación, la mayoría de las aplicaciones
administrativas se pueden ejecutar sin modificaciones mediante correcciones de compatibilidad de aplicaciones.
Las correcciones de compatibilidad de aplicaciones son entradas de base de datos que permiten que las
aplicaciones que no son compatibles con UAC funcionen correctamente.
Todas las aplicaciones compatibles con UAC deben tener un nivel de ejecución solicitado agregado al manifiesto
de aplicación. Si la aplicación requiere acceso administrativo al sistema, marcar la aplicación con un nivel de
ejecución solicitado de "requerir administrador" garantiza que el sistema identifica este programa como una
aplicación administrativa y realiza los pasos de elevación necesarios. Los niveles de ejecución solicitados
especifican los privilegios necesarios para una aplicación.
Tecnología de detección del instalador
Los programas de instalación son aplicaciones diseñadas para implementar software. La mayoría de los
programas de instalación escriben en directorios del sistema y claves del Registro. Estas ubicaciones del sistema
protegidas normalmente solo pueden escribirse por un administrador en la tecnología de detección del
instalador, lo que significa que los usuarios estándar no tienen acceso suficiente para instalar programas.
Windows 10 y Windows 11 detectan heurísticamente los programas de instalación y solicitan credenciales de
administrador o aprobación del usuario administrador para poder ejecutarse con privilegios de acceso.
Windows 10 y Windows 11 también detectan heurísticamente actualizaciones y programas que desinstalan
aplicaciones. Uno de los objetivos de diseño de UAC es evitar que las instalaciones se ejecuten sin el
conocimiento y el consentimiento del usuario, ya que los programas de instalación escriben en áreas protegidas
del sistema de archivos y el registro.
La detección del instalador solo se aplica a:
Archivos ejecutables de 32 bits.
Aplicaciones sin un atributo de nivel de ejecución solicitado.
Procesos interactivos que se ejecutan como un usuario estándar con UAC habilitado.
Antes de crear un proceso de 32 bits, se comprueban los siguientes atributos para determinar si es un
instalador:
El nombre de archivo incluye palabras clave como "install", "setup" o "update".
Los campos recurso de control de versiones contienen las siguientes palabras clave: Vendor, Company Name,
Product Name, File Description, Original Filename, Internal Name y Export Name.
Las palabras clave del manifiesto en paralelo se incrustan en el archivo ejecutable.
Las palabras clave en entradas stringTable específicas están vinculadas en el archivo ejecutable.
Los atributos clave de los datos del script de recursos están vinculados en el archivo ejecutable.
Hay secuencias de bytes de destino dentro del archivo ejecutable.

NOTE
Las palabras clave y secuencias de bytes se derivan de características comunes observadas a partir de diversas tecnologías
del instalador.
NOTE
El control de cuenta de usuario: detectar instalaciones de aplicaciones y solicitar la configuración de directiva de elevación
debe estar habilitado para que la detección del instalador detecte programas de instalación. Para obtener más
información, consulte Configuración de directivas de seguridad de Control de cuentas de usuario.
 Configuración de directiva de seguridad de Control
de cuentas de usuario
08/11/2022 • 7 minutes to read

Puedes usar directivas de seguridad para configurar cómo funciona el Control de cuentas de usuario de la
organización. Pueden configurarse localmente mediante el complemento de directiva de seguridad local
([Link]) o para el dominio, unidad organizativa o grupos específicos mediante la directiva de grupo.

Control de cuentas de usuario: Modo de aprobación de administrador

para la cuenta predefinida Administrador
Esta configuración de directiva controla el comportamiento de Administración modo de aprobación para la
cuenta de administrador integrada.
Habilitado La cuenta de administrador integrada usa Administración modo de aprobación. De forma
predeterminada, cualquier operación que requiera la elevación de privilegios pedirá al usuario que apruebe
la operación.
Deshabilitado (valor predeterminado) La cuenta de administrador integrada ejecuta todas las aplicaciones
con privilegios administrativos completos.

Control de cuentas de usuario: permitir que la aplicación UIAccess

solicite elevación sin usar el escritorio seguro
Esta configuración de directiva controla si los programas de accesibilidad de la interfaz de usuario (UIAccess o
UIA) pueden deshabilitar automáticamente el escritorio seguro para las solicitudes de elevación usadas por un
usuario estándar.
Habilitado Los programas UIA, incluida la asistencia remota de Windows, deshabilitan automáticamente el
escritorio seguro para los avisos de elevación. Si no deshabilita la configuración de directiva "Control de
cuentas de usuario: cambiar al escritorio seguro al solicitar elevación", las solicitudes aparecen en el
escritorio del usuario interactivo en lugar del escritorio seguro.
Deshabilitado (valor predeterminado) El escritorio seguro solo lo puede deshabilitar el usuario del
escritorio interactivo o deshabilitar la configuración de directiva "Control de cuenta de usuario: cambiar al
escritorio seguro al solicitar elevación".

Control de cuentas de usuario: comportamiento de la petición de

elevación para los administradores en Modo de aprobación de
administrador
Esta configuración de directiva controla el comportamiento de la solicitud de elevación para los
administradores.
Elevar sin preguntar Permite que las cuentas con privilegios realicen una operación que requiere
elevación sin necesidad de consentimiento ni credenciales.

Nota: Use esta opción solo en los entornos más restringidos.

Solicitud de credenciales en el escritorio seguro Cuando una operación requiere la elevación de

 privilegios, se pide al usuario en el escritorio seguro que escriba un nombre de usuario y una contraseña
con privilegios. Si el usuario escribe credenciales válidas, la operación continúa con el privilegio más alto
disponible del usuario.
Solicitud de consentimiento en el escritorio seguro Cuando una operación requiere la elevación
de privilegios, se pide al usuario en el escritorio seguro que seleccione Permitir o Denegar. Si el usuario
selecciona Permitir, la operación continúa con el privilegio más alto disponible del usuario.
Solicitud de credenciales Cuando una operación requiere la elevación de privilegios, se pide al usuario
que escriba un nombre de usuario administrativo y una contraseña. Si el usuario escribe credenciales
válidas, la operación continúa con el privilegio aplicable.
Solicitud de consentimiento Cuando una operación requiere la elevación de privilegios, se pide al
usuario que seleccione Permitir o Denegar. Si el usuario selecciona Permitir, la operación continúa con el
privilegio más alto disponible del usuario.
Solicitar consentimiento para archivos binarios que no son de Windows (valor predeterminado)
Cuando una operación para una aplicación que no es de Microsoft requiere la elevación de privilegios, se
pide al usuario en el escritorio seguro que seleccione Permitir o Denegar. Si el usuario selecciona Permitir,
la operación continúa con el privilegio más alto disponible del usuario.

Control de cuentas de usuario: comportamiento de la petición de

elevación para los usuarios estándar
Esta configuración de directiva controla el comportamiento de la solicitud de elevación para los usuarios
estándar.
Solicitar credenciales (valor predeterminado) Cuando una operación requiere la elevación de privilegios,
se pide al usuario que escriba un nombre de usuario administrativo y una contraseña. Si el usuario escribe
credenciales válidas, la operación continúa con el privilegio aplicable.
Denegar automáticamente solicitudes de elevación Cuando una operación requiere la elevación de
privilegios, se muestra un mensaje de error de acceso denegado configurable. Una empresa que ejecuta
escritorios como usuario estándar puede elegir esta opción para reducir las llamadas del departamento de
soporte técnico.
Solicitud de credenciales en el escritorio seguro Cuando una operación requiere la elevación de
privilegios, se pide al usuario en el escritorio seguro que escriba un nombre de usuario y una contraseña
diferentes. Si el usuario escribe credenciales válidas, la operación continúa con el privilegio aplicable.

Control de cuentas de usuario: detectar instalaciones de aplicaciones

y pedir confirmación de elevación
Esta configuración de directiva controla el comportamiento de la detección de instalación de aplicaciones para el
equipo.
Habilitado (valor predeterminado) Cuando se detecta un paquete de instalación de la aplicación que
requiere la elevación de privilegios, se pide al usuario que escriba un nombre de usuario administrativo y
una contraseña. Si el usuario escribe credenciales válidas, la operación continúa con el privilegio aplicable.
Deshabilitado Los paquetes de instalación de aplicaciones no se detectan y se les solicita elevación. Las
empresas que ejecutan escritorios de usuario estándar y usan tecnologías de instalación delegada, como
directiva de grupo o Microsoft Intune deben deshabilitar esta configuración de directiva. En este caso, la
detección del instalador no es necesaria.

Control de cuentas de usuario: eleva solo los archivos ejecutables

firmados y validados
Esta configuración de directiva aplica comprobaciones de firma de la infraestructura de clave pública (PKI) para
las aplicaciones interactivas que solicitan la elevación de privilegios. Los administradores empresariales pueden
controlar qué aplicaciones pueden ejecutarse agregando certificados al almacén de certificados de publicadores
de confianza en equipos locales.
Habilitado Aplica la validación de la ruta de certificación del certificado para un archivo ejecutable
determinado antes de que se pueda ejecutar.
Deshabilitado (valor predeterminado) No aplica la validación de la ruta de certificación del certificado antes
de que se permita ejecutar un archivo ejecutable determinado.

Control de cuentas de usuario: elevar sólo aplicaciones UIAccess

instaladas en ubicaciones seguras
Esta configuración de directiva controla si las aplicaciones que solicitan ejecutarse con un nivel de integridad de
accesibilidad de la interfaz de usuario (UIAccess) deben residir en una ubicación segura en el sistema de
archivos. Las ubicaciones seguras se limitan a las siguientes carpetas:
...\Archivos de programa\, incluidas las subcarpetas
...\Windows\system32\
...\Archivos de programa (x86)\, incluidas las subcarpetas para versiones de 64 bits de Windows

Nota: Windows aplica una comprobación de firma digital en cualquier aplicación interactiva que solicite
ejecutarse con un nivel de integridad de UIAccess independientemente del estado de esta configuración de
seguridad.

Habilitado (valor predeterminado) Si una aplicación reside en una ubicación segura en el sistema de
archivos, solo se ejecuta con la integridad de UIAccess.
Deshabilitado Una aplicación se ejecuta con integridad UIAccess incluso si no reside en una ubicación
segura en el sistema de archivos.

Control de cuentas de usuario: activar Administración modo de

aprobación
Esta configuración de directiva controla el comportamiento de toda la configuración de directiva de Control de
cuentas de usuario (UAC) para el equipo. Si cambia esta configuración de directiva, debe reiniciar el equipo.
Habilitado (valor predeterminado) Administración modo de aprobación está habilitado. Esta directiva debe
estar habilitada y la configuración de directiva de UAC relacionada también debe establecerse correctamente.
Permitirán que la cuenta de administrador integrada y todos los demás usuarios que sean miembros del
grupo Administradores se ejecuten en Administración modo de aprobación.
Se deshabilitan Administración modo de aprobación y se deshabilitan todas las configuraciones de
directiva de UAC relacionadas. Nota: Si esta configuración de directiva está deshabilitada, la aplicación
Seguridad de Windows le notifica que se ha reducido la seguridad general del sistema operativo.

Control de cuentas de usuario: cambiar al escritorio seguro cuando se

pida confirmación de elevación
Esta configuración de directiva controla si el símbolo del sistema de solicitud de elevación se muestra en el
escritorio del usuario interactivo o en el escritorio seguro.
Habilitado (valor predeterminado) Todas las solicitudes de elevación van al escritorio seguro,
 independientemente de la configuración de la directiva de comportamiento de mensajes para
administradores y usuarios estándar.
Deshabilitado Todas las solicitudes de elevación van al escritorio del usuario interactivo. Se usa la
configuración de directivas de comportamiento de aviso para administradores y usuarios estándar.

Control de cuentas de usuario: virtualizar errores de escritura de

archivos y de Registro para ubicaciones por usuario
Esta configuración de directiva controla si los errores de escritura de la aplicación se redirigen a ubicaciones
definidas del sistema de archivos y del registro. Esta configuración de directiva mitiga las aplicaciones que se
ejecutan como administrador y escriben datos de aplicaciones en tiempo de ejecución en %ProgramFiles%,
%Windir%, %Windir%\system32 o HKLM\Software.
Los errores de escritura de aplicaciones habilitados (predeterminados) se redirigen en tiempo de ejecución
a ubicaciones de usuario definidas para el sistema de archivos y el registro.
Deshabilitado Se produce un error en las aplicaciones que escriben datos en ubicaciones protegidas.
 Configuración de las claves del Registro y directiva
de grupo de Control de cuentas de usuario
08/11/2022 • 15 minutes to read

Configuración de directiva de grupo

Hay 10 configuraciones de directiva de grupo que se pueden configurar para el Control de cuentas de usuario
(UAC). En la tabla se muestra el valor predeterminado para cada una de las opciones de configuración de
directiva y en las secciones siguientes se explican las distintas configuraciones de directiva de UAC y se
proporcionan recomendaciones. Esta configuración de directiva se encuentra en Configuración de
seguridad\Directivas locales\Opciones de seguridad en el complemento Directiva de seguridad local.
Para obtener más información sobre cada una de las configuraciones de directiva de grupo, consulte la
descripción de directiva de grupo. Para obtener información sobre la configuración de la clave del Registro,
consulte Configuración de claves del Registro.

C O N F IGURA C IÓ N DE DIREC T IVA DE

GRUP O C L AVE DEL REGIST RO P REDET ERM IN A DO

Control de cuentas de usuario: modo FilterAdministratorToken Deshabilitado

de aprobación de Administración para
la cuenta de administrador integrada

Control de cuentas de usuario: EnableUIADesktopToggle Deshabilitado

permitir que las aplicaciones UIAccess
pidan confirmación de elevación sin
usar el escritorio seguro

Control de cuentas de usuario: ConsentPromptBehaviorAdmin Solicitud de consentimiento para

comportamiento de la petición de archivos binarios que no son de
elevación para los administradores en Windows
Modo de aprobación de administrador

Control de cuentas de usuario: ConsentPromptBehaviorUser Solicitud de credenciales

comportamiento de la petición de
elevación para los usuarios estándar

Control de cuentas de usuario: EnableInstallerDetection Habilitado (valor predeterminado para

detectar instalaciones de aplicaciones y inicio)
pedir confirmación de elevación Deshabilitado (valor predeterminado
para la empresa)

Control de cuentas de usuario: elevar ValidateAdminCodeSignatures Deshabilitado

sólo los archivos ejecutables firmados
y validados

Control de cuentas de usuario: elevar EnableSecureUIAPaths Habilitado

sólo aplicaciones UIAccess instaladas
en ubicaciones seguras

Control de cuentas de usuario: EnableLUA Habilitado

ejecutar todos los administradores en
Modo de aprobación de administrador
 C O N F IGURA C IÓ N DE DIREC T IVA DE
GRUP O C L AVE DEL REGIST RO P REDET ERM IN A DO

Control de cuentas de usuario: PromptOnSecureDesktop Habilitado

cambiar al escritorio seguro cuando se
pida confirmación de elevación

Control de cuentas de usuario: EnableVirtualization Habilitado

virtualizar errores de escritura de
archivos y de Registro para ubicaciones
por usuario

Control de cuentas de usuario: modo de aprobación de Administración para la cuenta de administrador

integrada
El control de cuenta de usuario: Administración modo de aprobación para la configuración de
directiva de cuenta de administrador integrada controla el comportamiento de Administración Modo de
aprobación para la cuenta de administrador integrada.
Las opciones son:
Habilitada. La cuenta de administrador integrada usa Administración modo de aprobación. De forma
predeterminada, cualquier operación que requiera la elevación de privilegios pedirá al usuario que apruebe
la operación.
Deshabilitado. (Valor predeterminado) La cuenta de administrador integrada ejecuta todas las aplicaciones
con privilegios administrativos completos.
Control de cuentas de usuario: permitir que las aplicaciones UIAccess pidan confirmación de elevación sin
usar el escritorio seguro
Control de cuentas de usuario: permitir que las aplicaciones uiAccess soliciten elevación sin usar la
configuración de directiva de escritorio seguro controla si los programas de accesibilidad de la interfaz de
usuario (UIAccess o UIA) pueden deshabilitar automáticamente el escritorio seguro para los avisos de elevación
que usa un usuario estándar.
Las opciones son:
Habilitada. Los programas UIA, incluida la asistencia remota de Windows, deshabilitan automáticamente el
escritorio seguro para los avisos de elevación. Si no deshabilita el control de cuenta de usuario: cambie
al escritorio seguro al solicitar la configuración de directiva de elevación, las solicitudes aparecen en el
escritorio del usuario interactivo en lugar del escritorio seguro.
Deshabilitado. (Valor predeterminado) El escritorio seguro solo lo puede deshabilitar el usuario del
escritorio interactivo o deshabilitar el control de cuenta de usuario: cambie al escritorio seguro al
solicitar la configuración de la directiva de elevación.
Los programas UIA están diseñados para interactuar con Windows y los programas de aplicación en nombre de
un usuario. Esta configuración de directiva permite a los programas UIA omitir el escritorio seguro para
aumentar la facilidad de uso en determinados casos; sin embargo, permitir que las solicitudes de elevación
aparezcan en el escritorio interactivo en lugar del escritorio seguro puede aumentar el riesgo de seguridad.
Los programas de UIA deben estar firmados digitalmente porque deben poder responder a los avisos
relacionados con problemas de seguridad, como el aviso de elevación de UAC. De forma predeterminada, los
programas UIA solo se ejecutan desde las siguientes rutas de acceso protegidas:
...\Archivos de programa, incluidas las subcarpetas
...\Archivos de programa (x86), incluidas las subcarpetas para versiones de 64 bits de Windows
...\Windows\System32
La configuración de directiva Control de cuentas de usuario: solo elevar las aplicaciones de UIAccess
instaladas en ubicaciones seguras deshabilita el requisito de ejecutarse desde una ruta de acceso protegida.
Aunque esta configuración de directiva se aplica a cualquier programa UIA, se usa principalmente en
determinados escenarios de asistencia remota, incluido el programa de asistencia remota de Windows en
Windows 7.
Si un usuario solicita asistencia remota a un administrador y se establece la sesión de asistencia remota, las
solicitudes de elevación aparecen en el escritorio seguro del usuario interactivo y la sesión remota del
administrador se pausa. Para evitar pausar la sesión del administrador remoto durante las solicitudes de
elevación, el usuario puede activar la casilla Permitir que el exper to de TI responda a las solicitudes del
control de cuentas de usuario al configurar la sesión de asistencia remota. Sin embargo, la selección de esta
casilla requiere que el usuario interactivo responda a un aviso de elevación en el escritorio seguro. Si el usuario
interactivo es un usuario estándar, el usuario no tiene las credenciales necesarias para permitir la elevación.
Si habilita esta configuración de directiva, las solicitudes de elevación se envían automáticamente al escritorio
interactivo (no al escritorio seguro) y también aparecen en la vista del administrador remoto del escritorio
durante una sesión de asistencia remota. Esto permite al administrador remoto proporcionar las credenciales
adecuadas para la elevación.
Esta configuración de directiva no cambia el comportamiento de la solicitud de elevación de UAC para los
administradores.
Si tiene previsto habilitar esta configuración de directiva, también debe revisar el efecto de la configuración de
directiva Control de cuentas de usuario: Compor tamiento de la solicitud de elevación para usuarios
estándar . Si se configura como Denegación automática de solicitudes de elevación , las solicitudes de
elevación no se presentan al usuario.
Control de cuentas de usuario: comportamiento de la petición de elevación para los administradores en
Modo de aprobación de administrador
La configuración de directiva Control de cuenta de usuario: compor tamiento de la solicitud de
elevación para administradores en Administración modo de aprobación controla el comportamiento
de la solicitud de elevación para los administradores.
Las opciones son:
Elévalo sin preguntar. Permite que las cuentas con privilegios realicen una operación que requiere
elevación sin necesidad de consentimiento ni credenciales.
Nota Use esta opción solo en los entornos más restringidos.
Solicite credenciales en el escritorio seguro. Cuando una operación requiere la elevación de
privilegios, se pide al usuario en el escritorio seguro que escriba un nombre de usuario y una contraseña
con privilegios. Si el usuario escribe credenciales válidas, la operación continúa con el privilegio más alto
disponible del usuario.
Solicitar consentimiento en el escritorio seguro. Cuando una operación requiere la elevación de
privilegios, se pide al usuario en el escritorio seguro que seleccione Permitir o Denegar . Si el usuario
selecciona Permitir , la operación continúa con el privilegio más alto disponible del usuario.
Solicite credenciales. Cuando una operación requiere la elevación de privilegios, se pide al usuario que
escriba un nombre de usuario administrativo y una contraseña. Si el usuario escribe credenciales válidas,
la operación continúa con el privilegio aplicable.
Solicitar consentimiento. Cuando una operación requiere la elevación de privilegios, se pide al usuario
que seleccione Permitir o Denegar . Si el usuario selecciona Permitir , la operación continúa con el
privilegio más alto disponible del usuario.
 Solicitar consentimiento para archivos binarios que no sean de Windows. (Valor
predeterminado) Cuando una operación para una aplicación que no es de Microsoft requiere la elevación
de privilegios, se pide al usuario en el escritorio seguro que seleccione Permitir o Denegar . Si el usuario
selecciona Permitir , la operación continúa con el privilegio más alto disponible del usuario.
Control de cuentas de usuario: comportamiento de la petición de elevación para los usuarios estándar
La configuración de directiva Control de cuenta de usuario: compor tamiento de la solicitud de
elevación para usuarios estándar controla el comportamiento de la solicitud de elevación de los usuarios
estándar.
Las opciones son:
Denegar automáticamente las solicitudes de elevación. Cuando una operación requiere la elevación
de privilegios, se muestra un mensaje de error de acceso denegado configurable. Una empresa que ejecuta
escritorios como usuario estándar puede elegir esta opción para reducir las llamadas del departamento de
soporte técnico.
Solicite credenciales en el escritorio seguro. Cuando una operación requiere la elevación de
privilegios, se pide al usuario en el escritorio seguro que escriba un nombre de usuario y una contraseña
diferentes. Si el usuario escribe credenciales válidas, la operación continúa con el privilegio aplicable.
Solicite credenciales. (Valor predeterminado) Cuando una operación requiere la elevación de privilegios,
se pide al usuario que escriba un nombre de usuario administrativo y una contraseña. Si el usuario escribe
credenciales válidas, la operación continúa con el privilegio aplicable.
Control de cuentas de usuario: detectar instalaciones de aplicaciones y pedir confirmación de elevación
El control de cuenta de usuario: detectar instalaciones de aplicaciones y solicitar la configuración de
directiva de elevación controla el comportamiento de la detección de instalación de aplicaciones para el equipo.
Las opciones son:
Habilitada. (Valor predeterminado para el hogar) Cuando se detecta un paquete de instalación de la
aplicación que requiere la elevación de privilegios, se pide al usuario que escriba un nombre de usuario
administrativo y una contraseña. Si el usuario escribe credenciales válidas, la operación continúa con el
privilegio aplicable.
Deshabilitado. (Valor predeterminado para la empresa) Los paquetes de instalación de la aplicación no se
detectan y se le solicita elevación. Las empresas que ejecutan escritorios de usuario estándar y usan
tecnologías de instalación delegada, como directiva de grupo Instalación de software o Systems
Management Server (SMS), deben deshabilitar esta configuración de directiva. En este caso, la detección del
instalador no es necesaria.
Control de cuentas de usuario: elevar sólo los archivos ejecutables firmados y validados
Control de cuentas de usuario: solo se elevan los archivos ejecutables que están firmados y
validados la configuración de directiva, se aplican comprobaciones de firma de la infraestructura de clave
pública (PKI) para las aplicaciones interactivas que solicitan la elevación de privilegios. Los administradores
empresariales pueden controlar qué aplicaciones pueden ejecutarse agregando certificados al almacén de
certificados de publicadores de confianza en equipos locales.
Las opciones son:
Habilitada. Exige la validación de la ruta de certificación PKI para un archivo ejecutable determinado antes
de que se pueda ejecutar.
Deshabilitado. (Valor predeterminado) No aplica la validación de la ruta de certificación PKI antes de que se
permita la ejecución de un archivo ejecutable determinado.
Control de cuentas de usuario: elevar sólo aplicaciones UIAccess instaladas en ubicaciones seguras
Control de cuentas de usuario: eleva solo las aplicaciones UIAccess instaladas en ubicaciones
seguras : la configuración de directiva controla si las aplicaciones que solicitan ejecutarse con un nivel de
integridad de accesibilidad de interfaz de usuario (UIAccess) deben residir en una ubicación segura en el sistema
de archivos. Las ubicaciones seguras se limitan a lo siguiente:
...\Archivos de programa, incluidas las subcarpetas
...\Windows\system32
...\Archivos de programa (x86), incluidas las subcarpetas para versiones de 64 bits de Windows
Nota Windows aplica una comprobación de firma PKI en cualquier aplicación interactiva que solicite ejecutarse
con un nivel de integridad UIAccess independientemente del estado de esta configuración de seguridad.
Las opciones son:
Habilitada. (Valor predeterminado) Si una aplicación reside en una ubicación segura en el sistema de
archivos, solo se ejecuta con la integridad de UIAccess.
Deshabilitado. Una aplicación se ejecuta con integridad UIAccess incluso si no reside en una ubicación
segura en el sistema de archivos.
Control de cuentas de usuario: ejecutar todos los administradores en Modo de aprobación de administrador
La configuración de directiva Control de cuentas de usuario: Ejecutar todos los administradores
Administración modo de aprobación controla el comportamiento de todas las configuraciones de directiva
de UAC para el equipo. Si cambia esta configuración de directiva, debe reiniciar el equipo.
Las opciones son:
Habilitada. (Valor predeterminado) Administración modo de aprobación está habilitado. Esta directiva debe
estar habilitada y la configuración de directiva de UAC relacionada también debe establecerse
adecuadamente para permitir que la cuenta de administrador integrada y todos los demás usuarios que son
miembros del grupo Administradores se ejecuten en Administración modo de aprobación.
Deshabilitado. Administración modo de aprobación y todas las configuraciones de directiva de UAC
relacionadas están deshabilitadas.
Nota Si esta configuración de directiva está deshabilitada, la aplicación Seguridad de Windows le notifica que se
ha reducido la seguridad general del sistema operativo.
Control de cuentas de usuario: cambiar al escritorio seguro cuando se pida confirmación de elevación
Control de cuenta de usuario: cambie al escritorio seguro al solicitar la configuración de directiva de
elevación controla si el símbolo del sistema de solicitud de elevación se muestra en el escritorio del usuario
interactivo o en el escritorio seguro.
Las opciones son:
Habilitada. (Valor predeterminado) Todas las solicitudes de elevación van al escritorio seguro,
independientemente de la configuración de la directiva de comportamiento de aviso para administradores y
usuarios estándar.
Deshabilitado. Todas las solicitudes de elevación van al escritorio del usuario interactivo. Se usa la
configuración de directivas de comportamiento de aviso para administradores y usuarios estándar.
Cuando esta configuración de directiva está habilitada, invalida la configuración de directiva Control de
cuentas de usuario: Compor tamiento de la solicitud de elevación para administradores en
Administración modo de aprobación . En la tabla siguiente se describe el comportamiento del símbolo del
sistema de elevación para cada una de las configuraciones de directiva de administrador cuando el control de
cuenta de usuario: cambie al escritorio seguro al solicitar que la configuración de la directiva de
elevación esté habilitada o deshabilitada.
 C O N F IGURA C IÓ N DE DIREC T IVA DE
A DM IN IST RA DO R H A B IL ITA DO DESH A B IL ITA DO

Solicitud de credenciales en el El símbolo del sistema aparece en el El símbolo del sistema aparece en el
escritorio seguro escritorio seguro. escritorio seguro.

Solicitud de consentimiento en el El símbolo del sistema aparece en el El símbolo del sistema aparece en el
escritorio seguro escritorio seguro. escritorio seguro.

Solicitud de credenciales El símbolo del sistema aparece en el El símbolo del sistema aparece en el
escritorio seguro. escritorio del usuario interactivo.

Solicitud de consentimiento El símbolo del sistema aparece en el El símbolo del sistema aparece en el
escritorio seguro. escritorio del usuario interactivo.

Solicitud de consentimiento para El símbolo del sistema aparece en el El símbolo del sistema aparece en el
archivos binarios que no son de escritorio seguro. escritorio del usuario interactivo.
Windows

Cuando esta configuración de directiva está habilitada, invalida la configuración de directiva Control de
cuenta de usuario: Compor tamiento de la solicitud de elevación para usuarios estándar . En la tabla
siguiente se describe el comportamiento del símbolo del sistema de elevación para cada una de las
configuraciones de directiva de usuario estándar cuando el control de cuenta de usuario: cambie al
escritorio seguro al solicitar que la configuración de la directiva de elevación esté habilitada o deshabilitada.

C O N F IGURA C IÓ N DE DIREC T IVA

ESTÁ N DA R H A B IL ITA DO DESH A B IL ITA DO

Denegar automáticamente Sin aviso. La solicitud se deniega Sin aviso. La solicitud se deniega
solicitudes de elevación automáticamente. automáticamente.

Solicitud de credenciales en el El símbolo del sistema aparece en el El símbolo del sistema aparece en el
escritorio seguro escritorio seguro. escritorio seguro.

Solicitud de credenciales El símbolo del sistema aparece en el El símbolo del sistema aparece en el
escritorio seguro. escritorio del usuario interactivo.

Control de cuentas de usuario: virtualizar errores de escritura de archivos y de Registro para ubicaciones por
usuario
La configuración de directiva Control de cuentas de usuario: Vir tualizar errores de escritura de
archivos y registros en ubicaciones por usuario controla si los errores de escritura de la aplicación se
redirigen a ubicaciones definidas del sistema de archivos y del registro. Esta configuración de directiva mitiga
las aplicaciones que se ejecutan como administrador y escriben datos de aplicaciones en tiempo de ejecución en
%ProgramFiles%, %Windir%, %Windir%\system32 o HKLM\Software.
Las opciones son:
Habilitada. (Valor predeterminado) Los errores de escritura de aplicaciones se redirigen en tiempo de
ejecución a ubicaciones de usuario definidas para el sistema de archivos y el registro.
Deshabilitado. Se produce un error en las aplicaciones que escriben datos en ubicaciones protegidas.

Configuración de la clave del Registro

Las claves del Registro se encuentran en
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System . Para
obtener información sobre cada una de las claves del Registro, consulte la descripción de directiva de grupo
asociada.

C O N F IGURA C IÓ N DE DIREC T IVA DE

C L AVE DEL REGIST RO GRUP O C O N F IGURA C IÓ N DEL REGIST RO

FilterAdministratorToken Control de cuentas de usuario: modo 0 (valor predeterminado) =

de aprobación de Administración para Deshabilitado
la cuenta de administrador integrada 1 = Habilitado

EnableUIADesktopToggle Control de cuentas de usuario: permitir 0 (valor predeterminado) =

que las aplicaciones UIAccess pidan Deshabilitado
confirmación de elevación sin usar el 1 = Habilitado
escritorio seguro

ConsentPromptBehaviorAdmin Control de cuentas de usuario: 0 = Elevar sin preguntar

comportamiento de la petición de 1 = Solicitar credenciales en el
elevación para los administradores en escritorio seguro
Modo de aprobación de administrador 2 = Solicitar consentimiento en el
escritorio seguro
3 = Solicitar credenciales
4 = Solicitud de consentimiento
5 (valor predeterminado) = Solicitud
de consentimiento para archivos
binarios que no son de Windows

ConsentPromptBehaviorUser Control de cuentas de usuario: 0 = Denegar automáticamente

comportamiento de la petición de solicitudes de elevación
elevación para los usuarios estándar 1 = Solicitar credenciales en el
escritorio seguro
3 (valor predeterminado) = Solicitud
de credenciales

EnableInstallerDetection Control de cuentas de usuario: 1 = Habilitado (valor predeterminado

detectar instalaciones de aplicaciones y para inicio)
pedir confirmación de elevación 0 = Deshabilitado (valor
predeterminado para la empresa)

ValidateAdminCodeSignatures Control de cuentas de usuario: elevar 0 (valor predeterminado) =

sólo los archivos ejecutables firmados y Deshabilitado
validados 1 = Habilitado

EnableSecureUIAPaths Control de cuentas de usuario: elevar 0 = Deshabilitada

sólo aplicaciones UIAccess instaladas 1 (valor predeterminado) = Habilitado
en ubicaciones seguras

EnableLUA Control de cuentas de usuario: ejecutar 0 = Deshabilitada

todos los administradores en Modo de 1 (valor predeterminado) = Habilitado
aprobación de administrador

PromptOnSecureDesktop Control de cuentas de usuario: cambiar 0 = Deshabilitada

al escritorio seguro cuando se pida 1 (valor predeterminado) = Habilitado
confirmación de elevación

EnableVirtualization Control de cuentas de usuario: 0 = Deshabilitada

virtualizar errores de escritura de 1 (valor predeterminado) = Habilitado
archivos y de Registro para ubicaciones
por usuario
 Referencia técnica de tarjeta inteligente
08/11/2022 • 2 minutes to read

La Referencia técnica de tarjeta inteligente describe la infraestructura de tarjetas inteligentes de Windows para
tarjetas inteligentes físicas y cómo funcionan los componentes relacionados con tarjetas inteligentes en
Windows. Este documento también contiene información sobre las herramientas que los desarrolladores y
administradores de tecnología de la información (TI) pueden usar para solucionar problemas, depurar e
implementar la autenticación segura basada en tarjetas inteligentes en la empresa.

Audiencia
En este documento se explica cómo funciona la infraestructura de tarjetas inteligentes de Windows. Para
comprender esta información, debe tener conocimientos básicos sobre la infraestructura de clave pública (PKI) y
los conceptos de tarjeta inteligente. Este documento está pensado para:
Desarrolladores, administradores y personal de TI empresariales que planean implementar o usar tarjetas
inteligentes en su organización.
Proveedores de tarjetas inteligentes que escriben minidriveres de tarjeta inteligente o proveedores de
credenciales.

¿Qué son las tarjetas inteligentes?

Las tarjetas inteligentes son dispositivos de almacenamiento portátil resistentes a alteraciones que pueden
mejorar la seguridad de tareas como autenticar clientes, firmar código, proteger el correo electrónico e iniciar
sesión con una cuenta de dominio de Windows.
Las tarjetas inteligentes proporcionan:
Almacenamiento resistente a manipulaciones para proteger claves privadas y otras formas de
información personal.
Aislamiento de cálculos críticos para la seguridad que implican autenticación, firmas digitales e
intercambio de claves de otras partes del equipo. Estos cálculos se realizan en la tarjeta inteligente.
Portabilidad de credenciales y otra información privada entre equipos en el trabajo, en casa o en el
camino.
Las tarjetas inteligentes solo se pueden usar para iniciar sesión en cuentas de dominio, no en cuentas locales.
Cuando se usa una contraseña para iniciar sesión de forma interactiva en una cuenta de dominio, Windows usa
el protocolo Kerberos versión 5 (v5) para la autenticación. Si usa una tarjeta inteligente, el sistema operativo usa
la autenticación Kerberos v5 con certificados X.509 v3.
Las tarjetas inteligentes vir tuales se introdujeron en Windows Server 2012 y Windows 8 para aliviar la
necesidad de una tarjeta inteligente física, el lector de tarjetas inteligentes y la administración asociada de ese
hardware. Para obtener información sobre la tecnología de tarjetas inteligentes virtuales, consulte Información
general sobre tarjetas inteligentes virtuales.

En esta referencia técnica

Esta referencia contiene los temas siguientes.
Funcionamiento del inicio de sesión mediante tarjetas inteligentes en Windows
 Arquitectura de tarjeta inteligente
Enumeración y requisitos de certificados
Tarjeta inteligente y Servicios de Escritorio remoto
Tarjetas inteligentes para el servicio de Windows
Servicio de propagación de certificados
Servicio Directiva de extracción de tarjetas inteligentes
Herramientas y configuración de Tarjeta inteligente
Información de depuración de tarjetas inteligentes
Directiva de grupo de tarjeta inteligente y configuración de registros
Eventos de tarjeta inteligente
 Funcionamiento del inicio de sesión mediante
tarjetas inteligentes en Windows
08/11/2022 • 2 minutes to read

En este tema para profesionales de TI se proporcionan vínculos a recursos sobre la implementación de

tecnologías de tarjetas inteligentes en el sistema operativo Windows. Incluye los siguientes recursos sobre la
arquitectura, la administración de certificados y los servicios relacionados con el uso de tarjetas inteligentes:
Arquitectura de tarjeta inteligente: obtenga información sobre cómo habilitar las comunicaciones con
tarjetas inteligentes y lectores de tarjetas inteligentes, que pueden ser diferentes según el proveedor que
las suministra.
Requisitos de certificado y enumeración: obtenga información sobre los requisitos de los certificados de
tarjeta inteligente basados en el sistema operativo y sobre las operaciones que realiza el sistema
operativo cuando se inserta una tarjeta inteligente en el equipo.
Tarjeta inteligente y servicios de Escritorio remoto: obtenga información sobre el uso de tarjetas
inteligentes para conexiones de escritorio remoto.
Tarjetas inteligentes para el servicio Windows: obtenga información sobre cómo se implementa el
servicio Tarjetas inteligentes para Windows.
Servicio de propagación de certificados: obtenga información sobre cómo funciona el servicio de
propagación de certificados cuando se inserta una tarjeta inteligente en un equipo.
Servicio de directivas de eliminación de tarjetas inteligentes: obtenga información sobre el uso de
directiva de grupo para controlar lo que sucede cuando un usuario quita una tarjeta inteligente.
 Arquitectura de tarjeta inteligente
08/11/2022 • 22 minutes to read

En este tema para profesionales de TI se describe la arquitectura del sistema que admite tarjetas inteligentes en
el sistema operativo Windows, incluida la arquitectura del proveedor de credenciales y la arquitectura del
subsistema de tarjetas inteligentes.
La autenticación es un proceso para comprobar la identidad de un objeto o persona. Cuando se autentica un
objeto, como una tarjeta inteligente, el objetivo es comprobar que el objeto es original. Al autenticar a una
persona, el objetivo es comprobar que no está tratando con un impostor.
En un contexto de red, la autenticación es el acto de probar la identidad de una aplicación o recurso de red.
Normalmente, la identidad se comprueba mediante una operación criptográfica que usa una clave que solo el
usuario conoce (por ejemplo, con criptografía de clave pública) o una clave compartida. El lado servidor del
intercambio de autenticación compara los datos firmados con una clave criptográfica conocida para validar el
intento de autenticación. El almacenamiento de las claves criptográficas en una ubicación central segura hace
que el proceso de autenticación sea escalable y fácil de mantener.
En el caso de las tarjetas inteligentes, Windows admite una arquitectura de proveedor que cumple los requisitos
de autenticación segura y es extensible para que pueda incluir proveedores de credenciales personalizadas. En
este tema se incluye información sobre:
Arquitectura del proveedor de credenciales
Arquitectura del subsistema de tarjetas inteligentes

Arquitectura del proveedor de credenciales

En la tabla siguiente se enumeran los componentes que se incluyen en la arquitectura de inicio de sesión
interactivo de los sistemas operativos Windows Server y Windows.

C O M P O N EN T E DESC RIP C IÓ N

Winlogon Proporciona una infraestructura de inicio de sesión

interactiva.

Interfaz de usuario de inicio de sesión Proporciona representación interactiva de la interfaz de

usuario.

Proveedores de credenciales (contraseña y tarjeta Describe la información de credenciales y la serialización de

inteligente) las credenciales.

Autoridad de seguridad local (LSA) Procesa las credenciales de inicio de sesión.

Paquetes de autenticación Incluye NTLM y el protocolo Kerberos. Se comunica con

paquetes de autenticación de servidor para autenticar a los
usuarios.

El inicio de sesión interactivo en Windows comienza cuando el usuario presiona CTRL+ALT+SUPR. La

combinación de teclas CTRL+ALT+SUPR se denomina secuencia de atención segura (SAS). Para evitar que otros
programas y procesos lo usen, Winlogon registra esta secuencia durante el proceso de arranque.
Después de recibir la SAS, la interfaz de usuario genera el icono de inicio de sesión a partir de la información
recibida de los proveedores de credenciales registrados. En el siguiente gráfico se muestra la arquitectura de los
proveedores de credenciales en el sistema operativo Windows.

Figura 1 Arquitectura del proveedor de credenciales

Normalmente, un usuario que inicia sesión en un equipo mediante una cuenta local o una cuenta de dominio
debe escribir un nombre de usuario y una contraseña. Estas credenciales se usan para comprobar la identidad
del usuario. Para el inicio de sesión con tarjeta inteligente, las credenciales de un usuario están contenidas en el
chip de seguridad de la tarjeta inteligente. Un lector de tarjetas inteligentes permite que el equipo interactúe con
el chip de seguridad de la tarjeta inteligente. Cuando los usuarios inician sesión con una tarjeta inteligente,
escriben un número de identificación personal (PIN) en lugar de un nombre de usuario y una contraseña.
Los proveedores de credenciales son objetos COM en proceso que se ejecutan en el sistema local y se usan para
recopilar credenciales. La interfaz de usuario de inicio de sesión proporciona representación interactiva de la
interfaz de usuario, Winlogon proporciona una infraestructura de inicio de sesión interactiva y los proveedores
de credenciales funcionan con ambos componentes para ayudar a recopilar y procesar credenciales.
Winlogon indica a la interfaz de usuario de inicio de sesión que muestre los iconos del proveedor de
credenciales después de recibir un evento de SAS. La interfaz de usuario de inicio de sesión consulta a cada
proveedor de credenciales el número de credenciales que quiere enumerar. Los proveedores de credenciales
tienen la opción de especificar uno de estos iconos como predeterminado. Una vez que todos los proveedores
han enumerado sus iconos, la interfaz de usuario de inicio de sesión los muestra al usuario. El usuario interactúa
con un icono para proporcionar las credenciales adecuadas. La interfaz de usuario de inicio de sesión envía estas
credenciales para la autenticación.
En combinación con el hardware auxiliar, los proveedores de credenciales pueden ampliar el sistema operativo
Windows para permitir que los usuarios inicien sesión mediante biometría (por ejemplo, huella digital, retinal o
reconocimiento de voz), contraseña, PIN, certificado de tarjeta inteligente o cualquier paquete de autenticación
personalizado. Las empresas y los profesionales de TI pueden desarrollar e implementar mecanismos de
autenticación personalizados para todos los usuarios del dominio, y pueden requerir explícitamente que los
usuarios usen este mecanismo de inicio de sesión personalizado.

Nota Los proveedores de credenciales no son mecanismos de cumplimiento. Se usan para recopilar y
serializar credenciales. El LSA y los paquetes de autenticación aplican la seguridad.

Los proveedores de credenciales se pueden diseñar para admitir el inicio de sesión único (SSO). En este proceso,
autentican a los usuarios en un punto de acceso de red seguro (mediante RADIUS y otras tecnologías) para
iniciar sesión en el equipo. Los proveedores de credenciales también están diseñados para admitir la
recopilación de credenciales específicas de la aplicación, y se pueden usar para la autenticación en los recursos
de red, la unión de equipos a un dominio o para proporcionar el consentimiento del administrador para el
Control de cuentas de usuario (UAC).
Varios proveedores de credenciales pueden coexistir en un equipo.
Los proveedores de credenciales deben estar registrados en un equipo que ejecuta Windows y son responsables
de lo siguiente:
Describir la información de credenciales necesaria para la autenticación.
Control de la comunicación y la lógica con las autoridades de autenticación externas.
Empaquetar las credenciales para el inicio de sesión interactivo y de red.

Nota La API del proveedor de credenciales no representa la interfaz de usuario. Describe lo que se debe
representar.
Solo el proveedor de credenciales de contraseña está disponible en modo seguro.
El proveedor de credenciales de tarjeta inteligente está disponible en modo seguro durante las redes.

Arquitectura del subsistema de tarjetas inteligentes

Los proveedores proporcionan tarjetas inteligentes y lectores de tarjetas inteligentes, y en muchos casos los
proveedores son diferentes para la tarjeta inteligente y el lector de tarjetas inteligentes. Los controladores para
los lectores de tarjetas inteligentes se escriben en el estándar de equipo personal/tarjeta inteligente (PC/SC).
Cada tarjeta inteligente debe tener un proveedor de servicios criptográficos (CSP) que use las interfaces
CryptoAPI para habilitar las operaciones criptográficas y las API de WinSCard para habilitar las comunicaciones
con hardware de tarjeta inteligente.
Csp base y arquitectura de minidriver de tarjeta inteligente
En la figura 2 se muestra la relación entre cryptoAPI, CSP, proveedor de servicios criptográficos base de tarjeta
inteligente (CSP base) y minidriveres de tarjeta inteligente.

Figura 2 Csp base y arquitectura de minidriver de tarjeta inteligente

Almacenamiento en caché con CSP base y KSP de tarjeta inteligente
La arquitectura de tarjeta inteligente usa mecanismos de almacenamiento en caché para ayudar a optimizar las
operaciones y mejorar el acceso de un usuario a un PIN.
Almacenamiento en caché de datos: la caché de datos proporciona un único proceso para minimizar las
operaciones de E/S de tarjeta inteligente.
Almacenamiento en caché de PIN: la caché de PIN ayuda al usuario a tener que volver a escribir un PIN
cada vez que la tarjeta inteligente no está autenticada.
Almacenamiento en caché de datos
Cada CSP implementa la caché de datos de tarjeta inteligente actual por separado. El CSP base implementa un
mecanismo de almacenamiento en caché sólido que permite un único proceso para minimizar las operaciones
de E/S de tarjeta inteligente.
La memoria caché global existente funciona de la siguiente manera:
1. La aplicación solicita una operación criptográfica. Por ejemplo, se leerá un certificado de usuario desde la
tarjeta inteligente.
2. El CSP comprueba el elemento en la memoria caché.
3. Si el elemento no se encuentra en la memoria caché o si el elemento está almacenado en caché pero no
está actualizado, el elemento se lee desde la tarjeta inteligente.
4. Después de leer cualquier elemento de la tarjeta inteligente, se agrega a la memoria caché. Se reemplaza
cualquier copia desactualizadas existente de ese elemento.
El CSP almacena en caché tres tipos de objetos o datos: anclajes (para obtener más información, consulte
Almacenamiento en caché de PIN), certificados y archivos. Si alguno de los datos almacenados en caché cambia,
el objeto correspondiente se lee de la tarjeta inteligente en operaciones sucesivas. Por ejemplo, si un archivo se
escribe en la tarjeta inteligente, la memoria caché de CSP deja de estar actualizada para los archivos y otros
procesos leen la tarjeta inteligente al menos una vez para actualizar su caché de CSP.
La caché de datos global se hospeda en el servicio Tarjetas inteligentes para Windows. Windows incluye dos
llamadas API de tarjeta inteligente públicas, SCardWriteCache y SCardReadCache. Estas llamadas API hacen que
la funcionalidad de almacenamiento en caché de datos global esté disponible para las aplicaciones. Cada tarjeta
inteligente que se ajusta a la especificación del minidriver de tarjeta inteligente tiene un identificador de tarjeta
de 16 bytes. Este valor se usa para identificar de forma única los datos almacenados en caché que pertenecen a
una tarjeta inteligente determinada. Se usa el tipo GUID estándar de Windows. Estas API permiten a una
aplicación agregar datos a la memoria caché global y leerlos.
Almacenamiento en caché de PIN
La caché de PIN protege al usuario de escribir un PIN cada vez que la tarjeta inteligente no está autenticada. Una
vez autenticada una tarjeta inteligente, no diferenciará entre las aplicaciones del lado host: cualquier aplicación
puede acceder a datos privados en la tarjeta inteligente.
Para mitigar esto, la tarjeta inteligente entra en un estado exclusivo cuando una aplicación se autentica en la
tarjeta inteligente. Sin embargo, esto significa que otras aplicaciones no pueden comunicarse con la tarjeta
inteligente y se bloquearán. Por lo tanto, estas conexiones exclusivas se minimizan. El problema es que un
protocolo (como el protocolo Kerberos) requiere varias operaciones de firma. Por lo tanto, el protocolo requiere
acceso exclusivo a la tarjeta inteligente durante un período prolongado o requiere varias operaciones de
autenticación. Aquí es donde se usa la caché de PIN para minimizar el uso exclusivo de la tarjeta inteligente sin
forzar al usuario a escribir un PIN varias veces.
En el ejemplo siguiente se muestra cómo funciona. En este escenario, hay dos aplicaciones: Outlook e Internet
Explorer. Las aplicaciones usan tarjetas inteligentes para diferentes propósitos.
1. El usuario inicia Outlook e intenta enviar un correo electrónico firmado. La clave privada está en la tarjeta
inteligente.
2. Outlook solicita al usuario el PIN de la tarjeta inteligente. El usuario escribe el PIN correcto.
3. Los datos de correo electrónico se envían a la tarjeta inteligente para la operación de firma. El cliente de
Outlook da formato a la respuesta y envía el correo electrónico.
4. El usuario abre Internet Explorer e intenta acceder a un sitio protegido que requiere la autenticación de
seguridad de la capa de transporte (TLS) para el cliente.
5. Internet Explorer solicita al usuario el PIN de la tarjeta inteligente. El usuario escribe el PIN correcto.
6. La operación de clave privada relacionada con TLS se produce en la tarjeta inteligente y el usuario se
autentica e inicia sesión.
7. El usuario vuelve a Outlook para enviar otro correo electrónico firmado. Esta vez, no se solicita al usuario
un PIN porque el PIN se almacena en caché de la operación anterior. De forma similar, si el usuario usa
Internet Explorer de nuevo para otra operación, Internet Explorer no solicitará al usuario un PIN.
El CSP base mantiene internamente una caché por proceso del PIN. El PIN se cifra y almacena en memoria. Las
funciones que se usan para proteger el PIN son RtlEncryptMemory, RtlDecryptMemory y
RtlSecureZeroMemory, que vaciarán los búferes que contenían el PIN.
Selección de tarjeta inteligente
En las secciones siguientes de este tema se describe cómo Windows aprovecha la arquitectura de tarjeta
inteligente para seleccionar el software, el proveedor y las credenciales correctos del lector de tarjetas
inteligentes para un inicio de sesión correcto de tarjeta inteligente:
Niveles de especificación de contenedor
Operaciones de contenedor
Marcas de contexto
Creación de un nuevo contenedor en contexto silencioso
Comportamiento de selección de tarjeta inteligente
Hacer coincidir un lector de tarjetas inteligentes
Hacer una coincidencia de tarjeta inteligente
Abrir un contenedor predeterminado existente (no se especificó ningún lector)
Abrir un contenedor con nombre GUID existente (no se especificó ningún lector)
Crear un nuevo contenedor (no se especificó ningún lector)
Eliminación de un contenedor
Niveles de especificación de contenedor
En respuesta a una llamada a CryptAcquireContext en CryptoAPI, el CSP base intenta hacer coincidir el
contenedor que el autor de la llamada especifica con una tarjeta inteligente y un lector específicos. El autor de la
llamada puede proporcionar un nombre de contenedor con distintos niveles de especificidad, como se muestra
en la tabla siguiente, y ordenados de las solicitudes más específicas a las menos específicas.
De forma similar, en respuesta a una llamada NCryptOpenKey en CNG, la tarjeta inteligente KSP intenta
coincidir con el contenedor de la misma manera y toma el mismo formato de contenedor, como se muestra en
la tabla siguiente.
 Nota Antes de abrir una clave con la tarjeta inteligente KSP, se debe realizar una llamada a
NCryptOpenStorageProvider (MS_SMART_CARD_KEY_STORAGE_PROVIDER).

T IP O N O M B RE F O RM ATO

I Nombre del lector y nombre del \\.\<Nombre del contenedor de

contenedor nombre>\<de lector>

Ii Nombre del lector y nombre del \\.\<Nombre del lector>

contenedor (NULL)

Iii Solo nombre de contenedor <Nombre del contenedor>

IV Solo contenedor predeterminado NULL

(NULL)

El CSP base y la tarjeta inteligente KSP almacenan en caché la información sobre el proceso de llamada y sobre
las tarjetas inteligentes a las que ha accedido el proceso. Al buscar un contenedor de tarjeta inteligente, el CSP
base o KSP de tarjeta inteligente comprueba primero el proceso en la memoria caché. Si el identificador
almacenado en caché no es válido o no se encuentra ninguna coincidencia, se llama a la API SCardUIDlg para
obtener el identificador de tarjeta.
Operaciones de contenedor
Las tres operaciones de contenedor siguientes se pueden solicitar mediante CryptAcquireContext:
1. Cree un nuevo contenedor. (El equivalente de CNG de CryptAcquireContext con dwFlags establecido en
CRYPT_NEWKEYSET es NCryptCreatePersistedKey).
2. Abra un contenedor existente. (El equivalente de CNG de CryptAcquireContext para abrir el contenedor
es NCryptOpenKey).
3. Elimine un contenedor. (El equivalente de CNG de CryptAcquireContext con dwFlags establecido en
CRYPT_DELETEKEYSET es NCryptDeleteKey).
La heurística que se usa para asociar un identificador criptográfico con una tarjeta inteligente y un lector
determinados se basa en la operación de contenedor solicitada y en el nivel de especificación de contenedor
utilizado.
En la tabla siguiente se muestran las restricciones de la operación de creación de contenedores.

ESP EC IF IC A C IÓ N REST RIC C IÓ N

Sin contexto silencioso La creación de contenedores de claves siempre debe poder

mostrar la interfaz de usuario, como el símbolo del pin.

Sin sobrescribir contenedores existentes Si el contenedor especificado ya existe en la tarjeta

inteligente elegida, elija otra tarjeta inteligente o cancele la
operación.

Marcas de contexto
En la tabla siguiente se muestran las marcas de contexto usadas como restricciones para la operación de
creación de contenedores.

B A N DERA DESC RIP C IÓ N

 B A N DERA DESC RIP C IÓ N

CRYPT_SILENT No se puede mostrar ninguna interfaz de usuario durante

esta operación.

CRYPT_MACHINE_KEYSET No se deben usar datos almacenados en caché durante esta

operación.

CRYPT_VERIFYCONTEXT Solo se puede acceder a los datos públicos en la tarjeta

inteligente.

Además de las operaciones de contenedor y las especificaciones de contenedor, debe tener en cuenta otras
opciones de usuario, como las marcas de CryptAcquireContext, durante la selección de tarjeta inteligente.

Impor tante La marca CRYPT_SILENT no se puede usar para crear un nuevo contenedor.

Creación de un nuevo contenedor en contexto silencioso

Las aplicaciones pueden llamar al CSP base con CRYPT_DEFAULT_CONTAINER_OPTIONAL, establecer el PIN en
contexto silencioso y, a continuación, crear un nuevo contenedor en contexto silencioso. Esta operación tiene
lugar de la siguiente manera:
1. Llame a CryptAcquireContext pasando el nombre del lector de tarjeta inteligente en como un nivel de
especificación de contenedor de tipo II y especificando la marca
CRYPT_DEFAULT_CONTAINER_OPTIONAL.
2. Llame a CryptSetProvParam especificando PP_KEYEXCHANGE_PIN o PP_SIGNATURE_PIN y un PIN ASCII
terminado en null.
3. Libere el contexto adquirido en el paso 1.
4. Llame a CryptAcquireContext con CRYPT_NEWKEYSET y especifique el nivel de especificación del
contenedor de tipo I.
5. Llame a CryptGenKey para crear la clave.
Comportamiento de selección de tarjeta inteligente
En algunos de los siguientes escenarios, se puede pedir al usuario que inserte una tarjeta inteligente. Si el
contexto de usuario es silencioso, se produce un error en esta operación y no se muestra ninguna interfaz de
usuario. De lo contrario, en respuesta a la interfaz de usuario, el usuario puede insertar una tarjeta inteligente o
hacer clic en Cancelar . Si el usuario cancela la operación, se produce un error en la operación. El gráfico de flujo
de la figura 3 muestra los pasos de selección realizados por el sistema operativo Windows.
Figura 3 Compor tamiento de selección de tarjeta inteligente
En general, el comportamiento de selección de tarjeta inteligente se controla mediante la API
SCardUIDlgSelectCard. El CSP base interactúa con esta API llamándola directamente. El CSP base también envía
funciones de devolución de llamada que tienen el propósito de filtrar y hacer coincidir tarjetas inteligentes
candidatas. Los autores de llamadas de CryptAcquireContext proporcionan información de coincidencia de
tarjeta inteligente. Internamente, el CSP base usa una combinación de números de serie de tarjeta inteligente,
nombres de lector y nombres de contenedor para buscar tarjetas inteligentes específicas.
Cada llamada a SCardUI * puede dar lugar a la lectura de información adicional de una tarjeta inteligente
candidata. Las devoluciones de llamada de selección de tarjeta inteligente csp base almacenan en caché esta
información.
Hacer coincidir un lector de tarjetas inteligentes
Para los niveles de especificación de contenedor de tipo I y tipo II, el proceso de selección de tarjeta inteligente
es menos complejo porque solo la tarjeta inteligente del lector con nombre se puede considerar una
coincidencia. El proceso para hacer coincidir una tarjeta inteligente con un lector de tarjetas inteligentes es:
1. Busque el lector de tarjetas inteligentes solicitado. Si no se encuentra, se produce un error en el proceso.
(Esto requiere una búsqueda en caché por nombre de lector).
2. Si no hay ninguna tarjeta inteligente en el lector, se le pedirá al usuario que inserte una tarjeta inteligente.
(Esto solo está en modo no silencioso; si la llamada se realiza en modo silencioso, se producirá un error).
3. Solo para el nivel de especificación de contenedor II, se determina el nombre del contenedor
predeterminado en la tarjeta inteligente elegida.
4. Para abrir un contenedor existente o eliminar un contenedor existente, busque el contenedor
especificado. Si no se encuentra el contenedor especificado en esta tarjeta inteligente, se le pedirá al
usuario que inserte una tarjeta inteligente.
5. Si el sistema intenta crear un nuevo contenedor, si el contenedor especificado ya existe en esta tarjeta
inteligente, se produce un error en el proceso.
Hacer una coincidencia de tarjeta inteligente
Para los niveles de especificación de contenedor III y IV, se usa un método más amplio para hacer coincidir una
tarjeta inteligente adecuada con un contexto de usuario, ya que varias tarjetas inteligentes almacenadas en
caché podrían cumplir los criterios proporcionados.
Abrir un contenedor predeterminado existente (no se especificó ningún lector)
 Nota Esta operación requiere que use la tarjeta inteligente con el CSP base.

1. Para cada tarjeta inteligente a la que ha accedido el CSP base y el identificador y la información del
contenedor se almacenan en caché, el CSP base busca un contenedor predeterminado válido. Se intenta
realizar una operación en el SCARDHANDLE almacenado en caché para comprobar su validez. Si el
identificador de tarjeta inteligente no es válido, el CSP base sigue buscando una nueva tarjeta inteligente.
2. Si no se encuentra una tarjeta inteligente coincidente en la caché de CSP base, el CSP base llama al
subsistema de tarjeta inteligente. SCardUIDlgSelectCard() se usa con un filtro de devolución de llamada
adecuado para buscar una tarjeta inteligente coincidente con un contenedor predeterminado válido.
Abrir un contenedor con nombre GUID existente (no se especificó ningún lector)

Nota Esta operación requiere que use la tarjeta inteligente con el CSP base.

1. Para cada tarjeta inteligente que ya esté registrada con el CSP base, busque el contenedor solicitado.
Intente una operación en el SCARDHANDLE almacenado en caché para comprobar su validez. Si el
identificador de tarjeta inteligente no es válido, el número de serie de la tarjeta inteligente se pasa a la API
SCardUI * para seguir buscando esta tarjeta inteligente específica (en lugar de solo una coincidencia
general para el nombre del contenedor).
2. Si no se encuentra una tarjeta inteligente coincidente en la caché de CSP base, se realiza una llamada al
subsistema de tarjeta inteligente. SCardUIDlgSelectCard() se usa con un filtro de devolución de llamada
adecuado para buscar una tarjeta inteligente coincidente con el contenedor solicitado. O bien, si un
número de serie de tarjeta inteligente se produjo en la búsqueda en el paso 1, el filtro de devolución de
llamada intenta coincidir con el número de serie, no con el nombre del contenedor.
Crear un nuevo contenedor (no se especificó ningún lector)

Nota Esta operación requiere que use la tarjeta inteligente con el CSP base.

Si el PIN no se almacena en caché, no se permite ningún _SILENT CRYPT_SILENT para la creación del contenedor
porque se debe solicitar al usuario un PIN, como mínimo.
Para otras operaciones, el autor de la llamada puede adquirir un contexto de "comprobación" en el contenedor
predeterminado (CRYPT_DEFAULT_CONTAINER_OPTIONAL) y, a continuación, realizar una llamada con
CryptSetProvParam para almacenar en caché el PIN del usuario para las operaciones posteriores.
1. Para cada tarjeta inteligente ya conocida por el CSP, actualice el SCARDHANDLE almacenado y realice las
siguientes comprobaciones:
a. Si se ha quitado la tarjeta inteligente, continúe con la búsqueda.
b. Si la tarjeta inteligente está presente, pero ya tiene el contenedor con nombre, continúe con la
búsqueda.
c. Si la tarjeta inteligente está disponible, pero una llamada a CardQueryFreeSpace indica que la
tarjeta inteligente no tiene suficiente almacenamiento para un contenedor de claves adicional,
continúe la búsqueda.
d. De lo contrario, use la primera tarjeta inteligente disponible que cumpla los criterios anteriores
para la creación del contenedor.
2. Si no se encuentra una tarjeta inteligente coincidente en la caché de CSP, realice una llamada al
subsistema de tarjeta inteligente. La devolución de llamada que se usa para filtrar tarjetas inteligentes
enumeradas comprueba que una tarjeta inteligente candidata aún no tiene el contenedor con nombre y
que CardQueryFreeSpace indica que la tarjeta inteligente tiene espacio suficiente para un contenedor
 adicional. Si no se encuentra ninguna tarjeta inteligente adecuada, se le pedirá al usuario que inserte una
tarjeta inteligente.
Eliminación de un contenedor
1. Si el nombre de contenedor especificado es NULL, se elimina el contenedor predeterminado. La
eliminación del contenedor predeterminado hace que un nuevo contenedor predeterminado se
seleccione arbitrariamente. Por este motivo, no se recomienda esta operación.
2. Para cada tarjeta inteligente ya conocida por el CSP, actualice el SCARDHANDLE almacenado y realice las
siguientes comprobaciones:
a. Si la tarjeta inteligente no tiene el contenedor con nombre, continúe con la búsqueda.
b. Si la tarjeta inteligente tiene el contenedor con nombre, pero el identificador de tarjeta inteligente
ya no es válido, almacene el número de serie de la tarjeta inteligente coincidente y pásela a
SCardUI *.
3. Si no se encuentra una tarjeta inteligente coincidente en la caché de CSP, realice una llamada al
subsistema de tarjeta inteligente. La devolución de llamada que se usa para filtrar las tarjetas inteligentes
enumeradas debe comprobar que una tarjeta inteligente candidata tiene el contenedor con nombre. Si se
proporcionó un número de serie como resultado de la búsqueda de caché anterior, la devolución de
llamada debe filtrar las tarjetas inteligentes enumeradas en el número de serie en lugar de en las
coincidencias de contenedor. Si el contexto no es silencioso y no se encuentra ninguna tarjeta inteligente
adecuada, muestra la interfaz de usuario que pide al usuario que inserte una tarjeta inteligente.
Arquitectura basada en CSP base y KSP en Windows
En la figura 4 se muestra la arquitectura de criptografía que usa el sistema operativo Windows.
Figura 4 Arquitectura de criptografía
Propiedades de CSP base y KSP de tarjeta inteligente en Windows
Las siguientes propiedades se admiten en versiones de Windows designadas en la lista Se aplica a al principio
de este tema.

Nota Las definiciones de API se encuentran en WinCrypt.h y WinSCard.h.

P RO P IEDA D DESC RIP C IÓ N

PP_USER_CERTSTORE : se usa para devolver un HCERTSTORE que contiene todos

los certificados de usuario en la tarjeta inteligente.
- Solo lectura (solo se usa en CryptGetProvParam)
- Llamador responsable de cerrar el almacén de certificados
- Certificado codificado mediante PKCS_7_ASN_ENCODING o
X509_ASN_ENCODING
- CSP debe establecer KEY_PROV_INFO en certificados
- Se debe suponer que el almacén de certificados es un
almacén en memoria.
- Los certificados deben tener una propiedad
CRYPT_KEY_PROV_INFO válida.
 P RO P IEDA D DESC RIP C IÓ N

PP_ROOT_CERTSTORE - Lectura y escritura (usada por CryptGetProvParam y

CryptSetProvParam)
- Se usa para escribir una colección de certificados raíz en la
tarjeta inteligente o devolver HCERTSTORE, que contiene
certificados raíz de la tarjeta inteligente.
- Se usa principalmente para unirse a un dominio mediante
una tarjeta inteligente
- Llamador responsable de cerrar el almacén de certificados

PP_SMARTCARD_READER - Solo lectura (solo se usa en CryptGetProvParam)

: devuelve el nombre del lector de tarjeta inteligente como
una cadena ANSI que se usa para construir un nombre de
contenedor completo (es decir, un lector de tarjetas
inteligentes más un contenedor)

PP_SMARTCARD_GUID - Devolver guid de tarjeta inteligente (también conocido

como número de serie), que debe ser único para cada tarjeta
inteligente
: lo usa el servicio de propagación de certificados para
realizar un seguimiento del origen de un certificado raíz.

PP_UI_PROMPT : se usa para establecer la cadena de búsqueda del cuadro de

diálogo de inserción de tarjeta SCardUIDlgSelectCard
- Persistente para todo el proceso cuando se establece
- Solo escritura (solo se usa en CryptSetProvParam)

Implicaciones para los CSP en Windows

Los proveedores de servicios criptográficos (CSP), incluidos los CSP de tarjeta inteligente personalizados, siguen
siendo compatibles, pero no se recomienda este enfoque. El uso del CSP base existente y KSP de tarjeta
inteligente con el modelo de minidriver de tarjetas inteligentes para tarjetas inteligentes proporciona ventajas
significativas en términos de rendimiento y PIN y almacenamiento en caché de datos. Se puede configurar un
minidriver para que funcione en las capas CryptoAPI y CNG. Esto proporciona ventajas de la compatibilidad
criptográfica mejorada, incluida la criptografía de curva elíptica y AES.
Si un CSP y un minidriver de tarjeta inteligente registran una tarjeta inteligente, la que se instaló más
recientemente se usará para comunicarse con la tarjeta inteligente.
Escritura de un minidriver de tarjeta inteligente, CSP o KSP
Los CSP y KSP están diseñados para escribirse solo si la funcionalidad específica no está disponible en la
arquitectura actual del minidriver de tarjeta inteligente. Por ejemplo, la arquitectura de minidriver de tarjeta
inteligente admite módulos de seguridad de hardware, por lo que se podría escribir un minidriver para un
módulo de seguridad de hardware, y es posible que no sea necesario un CSP o KSP a menos que sea necesario
para admitir algoritmos que no se implementan en el CSP base o KSP de tarjeta inteligente.
Para obtener más información sobre cómo escribir un minidriver de tarjeta inteligente, CSP o KSP, consulte
Minidriveres de tarjeta inteligente.
 Enumeración y requisitos de certificados
08/11/2022 • 22 minutes to read

En este tema para los desarrolladores de tarjetas inteligentes y profesionales de TI se describe cómo se
administran y usan los certificados para el inicio de sesión con tarjeta inteligente.
Cuando se inserta una tarjeta inteligente, se realizan los pasos siguientes.

Nota A menos que se mencione lo contrario, todas las operaciones se realizan de forma silenciosa
(CRYPT_SILENT se pasa a CryptAcquireContext).

1. La base de datos del administrador de recursos de tarjeta inteligente busca el proveedor de servicios
criptográficos (CSP) de la tarjeta inteligente.
2. Un nombre de contenedor completo se construye mediante el nombre del lector de tarjeta inteligente y
se pasa al CSP. El formato es \\.\<Nombre> del lector\
3. Se llama a CryptAcquireContext para recuperar un contexto en el contenedor predeterminado. Si se
produce un error, la tarjeta inteligente no se podrá usar para el inicio de sesión de tarjeta inteligente.
4. El nombre del contenedor se recupera mediante el parámetro PP_CONTAINER con CryptGetProvParam.
5. Con el contexto adquirido en el paso 3, se consulta el CSP para el parámetro PP_USER_CERTSTORE
(agregado en Windows Vista). Para obtener más información, consulte Arquitectura de tarjeta inteligente.
Si la operación se realiza correctamente, se devuelve el nombre de un almacén de certificados y el flujo
del programa se omite en el paso 8.
6. Si se produce un error en la operación del paso 5, se consulta el contexto de contenedor predeterminado
del paso 3 para la clave AT_KEYEXCHANGE.
7. A continuación, se consulta el certificado desde el contexto de clave mediante KP_CERTIFICATE. El
certificado se agrega a un almacén de certificados en memoria.
8. Para cada certificado del almacén de certificados del paso 5 o del paso 7, se realizan las siguientes
comprobaciones:
a. El certificado debe ser válido, en función del reloj del sistema del equipo (no expirado o válido con
una fecha futura).
b. El certificado no debe estar en la parte AT_SIGNATURE de un contenedor.
c. El certificado debe tener un nombre principal de usuario (UPN) válido.
d. El certificado debe tener el uso de la clave de firma digital.
e. El certificado debe tener el EKU de inicio de sesión de tarjeta inteligente.
Cualquier certificado que cumpla estos requisitos se mostrará al usuario con el UPN del certificado (o
dirección de correo electrónico o asunto, dependiendo de la presencia de las extensiones de certificado).

Nota Estos requisitos son los mismos que los de Windows Server 2003, pero se realizan antes de
que el usuario escriba el PIN. Puede invalidar muchos de ellos mediante directiva de grupo
configuración.

9. A continuación, el proceso elige un certificado y se escribe el PIN.

10. [Link] empaqueta la información y la envía a [Link] para procesar el intento de inicio de sesión.
11. Si se ejecuta correctamente, [Link] se cierra. Esto hace que se libere el contexto adquirido en el
 paso 3.

Acerca de la compatibilidad con certificados

Aunque las versiones de Windows anteriores a Windows Vista incluyen compatibilidad con tarjetas inteligentes,
los tipos de certificados que pueden contener las tarjetas inteligentes son limitados. Las limitaciones son:
Cada certificado debe tener un nombre principal de usuario (UPN) y el identificador de objeto de inicio
de sesión de tarjeta inteligente (también conocido como OID) en el campo de atributo de uso mejorado
de claves (EKU). Hay una configuración de directiva de grupo, Permitir que los certificados ECC se usen
para el inicio de sesión y la autenticación, para que el EKU sea opcional.
Cada certificado debe almacenarse en la parte AT_KEYEXCHANGE del contenedor CryptoAPI
predeterminado y no se admiten contenedores CryptoAPI no predeterminados.
En la tabla siguiente se muestra la compatibilidad con certificados en versiones anteriores del sistema operativo
Windows.

SIST EM A O P ERAT IVO C O M PAT IB IL IDA D C O N C ERT IF IC A DO S

Windows Server 2008 R2 y Windows 7 Compatibilidad con el inicio de sesión de tarjeta inteligente
con certificados basados en ECC. El inicio de sesión con
tarjeta inteligente ECC está habilitado a través de directiva
de grupo.

ECDH_P256
ECDH
Curva P-256 de FIPS 186-2

ECDSA_P256
ECDSA
Curva P-256 de FIPS 186-2

ECDH_P384
ECDH
Curva P-384 de FIPS 186-2

ECDH_P521
ECDH
Curva P-521 de FIPS 186-2

ECDSA_P256
ECDH
Curva P-256 de FIPS 186-2

ECDSA_P384
ECDSA
Curva P-384 de FIPS 186-2

ECDSA_P521
ECDSA
Curva P-384 de FIPS 186-2

Windows Server 2008 y Windows Vista Los certificados válidos se enumeran y muestran desde
todas las tarjetas inteligentes y se presentan al usuario.
Las claves ya no están restringidas al contenedor
predeterminado y se pueden elegir certificados en
contenedores diferentes.
Los certificados basados en criptografía de curva elíptica
(ECC) no se admiten para el inicio de sesión con tarjeta
inteligente

Flujo de inicio de sesión de tarjeta inteligente en Windows

La mayoría de los problemas durante la autenticación se producen debido a cambios en el comportamiento de
la sesión. Cuando se producen cambios, la autoridad de seguridad local (LSA) no vuelve a obtener el contexto de
sesión; se basa en su lugar en el proveedor de servicios criptográficos para controlar el cambio de sesión.
En las versiones admitidas de Windows designadas en la lista Se aplica a al principio de este tema, los
certificados de cliente que no contienen un UPN en el campo subjectAltName (SAN) del certificado se pueden
habilitar para el inicio de sesión, que admite una variedad más amplia de certificados y admite varios
certificados de inicio de sesión en la misma tarjeta.
La compatibilidad con varios certificados en la misma tarjeta está habilitada de forma predeterminada. Los
nuevos tipos de certificado deben habilitarse a través de directiva de grupo.
Si habilita la directiva Permitir claves de firma válidas para la directiva de proveedor de credenciales de
inicio de sesión, los certificados que estén disponibles en la tarjeta inteligente con una clave de solo firma
aparecerán en la pantalla de inicio de sesión. Esto permite a los usuarios seleccionar su experiencia de inicio de
sesión. Si la directiva está deshabilitada o no está configurada, los certificados basados en clave de firma de
tarjeta inteligente no se muestran en la pantalla de inicio de sesión.
En el diagrama siguiente se muestra cómo funciona el inicio de sesión de tarjeta inteligente en las versiones
compatibles de Windows.

Flujo de inicio de sesión de tarjeta inteligente

Estos son los pasos que se realizan durante el inicio de sesión de una tarjeta inteligente:
1. Winlogon solicita la información de credenciales de la interfaz de usuario de inicio de sesión.
2. De forma asincrónica, se inicia el administrador de recursos de tarjeta inteligente y el proveedor de
credenciales de tarjeta inteligente hace lo siguiente:
a. Obtiene información de credenciales (una lista de credenciales conocidas o, si no existen
credenciales, la información del lector de tarjetas inteligentes detectada por Windows).
b. Obtiene una lista de lectores de tarjetas inteligentes (mediante la API WinSCard) y la lista de
tarjetas inteligentes insertadas en cada una de ellas.
c. Enumera cada tarjeta para comprobar que hay un certificado de inicio de sesión controlado por
directiva de grupo. Si el certificado está presente, el proveedor de credenciales de tarjeta
inteligente lo copia en una caché temporal y segura en el equipo o terminal.
 Nota Las entradas de caché de tarjeta inteligente se crean para certificados con un nombre de
firmante o con un identificador de clave de firmante. Si el certificado tiene un nombre de firmante, se
almacena con un índice que se basa en el nombre del firmante y el emisor del certificado. Si se usa
otro certificado con el mismo nombre de firmante y emisor de certificados, reemplazará la entrada
almacenada en caché existente. Un cambio en este comportamiento después de Windows Vista
permite la condición cuando el certificado no tiene un nombre de firmante, la memoria caché se crea
con un índice que se basa en el identificador de clave de sujeto y el emisor del certificado. Si otro
certificado tiene el mismo identificador de clave de firmante y emisor de certificados, se reemplaza la
entrada de caché. Cuando los certificados no tienen un nombre de firmante ni un identificador de
clave de firmante, no se crea una entrada almacenada en caché.

d. Notifica a la interfaz de usuario de inicio de sesión que tiene nuevas credenciales.

3. La interfaz de usuario de inicio de sesión solicita las nuevas credenciales del proveedor de credenciales
de tarjeta inteligente. Como respuesta, el proveedor de credenciales de tarjeta inteligente proporciona
cada certificado de inicio de sesión a la interfaz de usuario de inicio de sesión y se muestran los iconos de
inicio de sesión correspondientes. El usuario selecciona un icono de certificado de inicio de sesión basado
en tarjeta inteligente y Windows muestra un cuadro de diálogo PIN.
4. El usuario escribe el PIN y, a continuación, presiona ENTRAR. El proveedor de credenciales de tarjeta
inteligente cifra el PIN.
5. El proveedor de credenciales que reside en el sistema LogonUI recopila el PIN. Como parte del
empaquetado de credenciales en el proveedor de credenciales de tarjeta inteligente, los datos se
empaquetan en una estructura KERB_CERTIFICATE_LOGON. El contenido principal de la estructura
KERB_CERTIFICATE_LOGON es el PIN de tarjeta inteligente, los datos csp (como el nombre de lector y el
nombre del contenedor), el nombre de usuario y el nombre de dominio. El nombre de usuario es
necesario si el dominio de inicio de sesión no está en el mismo bosque porque permite asignar un
certificado a varias cuentas de usuario.
6. El proveedor de credenciales encapsula los datos (como el PIN cifrado, el nombre del contenedor, el
nombre del lector y la especificación de la clave de tarjeta) y los envía de vuelta a LogonUI.
7. Winlogon presenta los datos de LogonUI a LSA con la información del usuario en LSALogonUser.
8. LSA llama al paquete de autenticación Kerberos (Kerberos SSP) para crear una solicitud de servicio de
autenticación Kerberos (KRB_AS_REQ), que contiene un preautorizador (como se especifica en RFC 4556:
Criptografía de clave pública para la autenticación inicial en Kerberos (PKINIT)).
Si la autenticación se realiza mediante un certificado que usa una firma digital, los datos de autenticación
previa constan del certificado público del usuario y el certificado firmado digitalmente con la clave
privada correspondiente.
Si la autenticación se realiza mediante un certificado que usa el cifrado de claves, los datos de
autenticación previa constan del certificado público del usuario y del certificado cifrado con la clave
privada correspondiente.
9. Para firmar la solicitud digitalmente (según RFC 4556), se realiza una llamada al CSP correspondiente
para una operación de clave privada. Dado que la clave privada en este caso se almacena en una tarjeta
inteligente, se llama al subsistema de tarjeta inteligente y se completa la operación necesaria. El resultado
se devuelve al proveedor de soporte técnico de seguridad de Kerberos (SSP).
10. El SSP de Kerberos envía una solicitud de autenticación para un vale de concesión de vales (TGT) (por RFC
4556) al servicio del Centro de distribución de claves (KDC) que se ejecuta en un controlador de dominio.
11. El KDC busca el objeto de cuenta del usuario en Servicios de dominio de Active Directory (AD DS), como
se detalla en Requisitos y asignaciones de certificados de cliente, y usa el certificado del usuario para
comprobar la firma.
12. El KDC valida el certificado del usuario (tiempo, ruta de acceso y estado de revocación) para asegurarse
de que el certificado procede de un origen de confianza. El KDC usa CryptoAPI para crear una ruta de
certificación desde el certificado del usuario a un certificado de entidad de certificación raíz (CA) que
 reside en el almacén raíz en el controlador de dominio. A continuación, el KDC usa CryptoAPI para
comprobar la firma digital en el autenticador firmado que se incluyó en los campos de datos de
autenticación previa. El controlador de dominio comprueba la firma y usa la clave pública del certificado
del usuario para demostrar que la solicitud se originó en el propietario de la clave privada que
corresponde a la clave pública. El KDC también comprueba que el emisor es de confianza y aparece en el
almacén de certificados NTAUTH.
13. El servicio KDC recupera la información de la cuenta de usuario de AD DS. El KDC crea un TGT, que se
basa en la información de la cuenta de usuario que recupera de AD DS. Los campos de datos de
autorización del TGT incluyen el identificador de seguridad (SID) del usuario, los SID de los grupos de
dominios universales y globales a los que pertenece el usuario, y (en un entorno multidominio) los SID
para los grupos universales de los que el usuario es miembro.
14. El controlador de dominio devuelve el TGT al cliente como parte de la respuesta KRB_AS_REP.

Nota El paquete KRB_AS_REP consta de:

Certificado de atributo de privilegio (PAC)
SID del usuario
SID de cualquier grupo del que el usuario sea miembro
Una solicitud para el servicio de concesión de vales (TGS)
Datos de autenticación previa

TGT se cifra con la clave maestra del KDC y la clave de sesión se cifra con una clave temporal. Esta clave
temporal se deriva en función de RFC 4556. Con CryptoAPI, se descifra la clave temporal. Como parte del
proceso de descifrado, si la clave privada está en una tarjeta inteligente, se realiza una llamada al
subsistema de tarjeta inteligente mediante el CSP especificado para extraer el certificado correspondiente
a la clave pública del usuario. (Las llamadas mediante programación para el certificado incluyen
CryptAcquireContext, CryptSetProvParam con el PIN, CryptgetUserKey y CryptGetKeyParam). Una vez
obtenida la clave temporal, el SSP de Kerberos descifra la clave de sesión.
15. El cliente valida la respuesta del KDC (tiempo, ruta de acceso y estado de revocación). Primero
comprueba la firma del KDC mediante la construcción de una ruta de certificación desde el certificado del
KDC a una CA raíz de confianza y, a continuación, usa la clave pública del KDC para comprobar la firma de
respuesta.
16. Ahora que se ha obtenido un TGT, el cliente obtiene un vale de servicio, que se usa para iniciar sesión en
el equipo local.
17. Con éxito, LSA almacena los vales y devuelve un mensaje de éxito a LSALogonUser. Una vez emitido este
mensaje de éxito, se selecciona y establece el perfil de usuario del dispositivo, se crea una instancia de
directiva de grupo actualización y se realizan otras acciones.
18. Una vez cargado el perfil de usuario, el servicio de propagación de certificación (CertPropSvc) detecta
este evento, lee los certificados de la tarjeta inteligente (incluidos los certificados raíz) y, a continuación,
los rellena en el almacén de certificados del usuario (MYSTORE).
19. La comunicación del administrador de recursos de CSP a tarjeta inteligente se produce en el canal LRPC.
20. Si la autenticación se realiza correctamente, el servicio de propagación de certificados (CertPropSvc)
propaga los certificados al almacén del usuario de forma asincrónica.
21. Cuando se quita la tarjeta, se quitan los certificados del almacén de caché seguro temporal. Los
certificados ya no están disponibles para el inicio de sesión, pero permanecen en el almacén de
certificados del usuario.

Nota Se crea un SID para cada usuario o grupo en el momento en que se crea una cuenta de usuario o una
cuenta de grupo en la base de datos de cuentas de seguridad local o en AD DS. El SID nunca cambia, incluso
si se cambia el nombre de la cuenta de usuario o grupo.
Para obtener más información sobre el protocolo Kerberos, consulte Microsoft Kerberos.
De forma predeterminada, el KDC comprueba que el certificado del cliente contiene la autenticación de cliente
de tarjeta inteligente EKU szOID_KP_SMARTCARD_LOGON. Sin embargo, si está habilitada, la opción Permitir
cer tificados sin atributo de cer tificado de uso de clave extendida directiva de grupo permite que el
KDC no requiera el EKU SC-LOGON. Sc-LOGON EKU no es necesario para las asignaciones de cuentas basadas
en la clave pública.

Certificado KDC
Servicios de certificados de Active Directory proporciona tres tipos de plantillas de certificado:
Controlador de dominio
Autenticación del controlador de dominio
Autenticación Kerberos
En función de la configuración del controlador de dominio, uno de estos tipos de certificados se envía como
parte del paquete AS_REP.

Asignaciones y requisitos de certificado de cliente

Los requisitos de certificado se enumeran en las versiones del sistema operativo Windows. La asignación de
certificados describe cómo se asigna la información del certificado a la cuenta de usuario.
Requisitos de certificados
El certificado de tarjeta inteligente tiene requisitos de formato específicos cuando se usa con Windows XP y
sistemas operativos anteriores. Puede habilitar cualquier certificado para que sea visible para el proveedor de
credenciales de tarjeta inteligente.

REQ UISITO S PA RA W IN DO W S 8. 1,
W IN DO W S 8, W IN DO W S 7, W IN DO W S
C O M P O N EN T E VISTA , W IN DO W S 10 Y W IN DO W S 11 REQ UISITO S PA RA W IN DO W S XP

Ubicación del punto de distribución No obligatorio La ubicación debe especificarse, estar

CRL en línea y disponible, por ejemplo:
[1]Punto de distribución CRL
Nombre del punto de distribución:
Nombre completo:
URL=
<[Link]

Uso de claves Firma digital Firma digital

Restricciones básicas No obligatorio [Subject Type=End Entity, Path Length

Constraint=None] (Opcional)

Uso mejorado de claves (EKU) No se requiere el identificador de - Autenticación de cliente

objeto de inicio de sesión de tarjeta ([Link].[Link].2)
inteligente. El identificador de objeto de
autenticación de cliente solo es
Nota Si hay un EKU, debe contener necesario si se usa un certificado para
el EKU de inicio de sesión de la tarjeta la autenticación SSL.
inteligente. Los certificados sin EKU se
pueden usar para el inicio de sesión. - Inicio de sesión con tarjeta
inteligente ([Link].[Link].2.2)
 REQ UISITO S PA RA W IN DO W S 8. 1,
W IN DO W S 8, W IN DO W S 7, W IN DO W S
C O M P O N EN T E VISTA , W IN DO W S 10 Y W IN DO W S 11 REQ UISITO S PA RA W IN DO W S XP

Nombre alternativo del firmante El identificador de correo electrónico Otro nombre: Principal Name=(UPN),
no es necesario para el inicio de sesión por ejemplo:
con tarjeta inteligente. UPN=user1@[Link]
El identificador de objeto OtherName
de UPN es [Link].[Link].2.3.
El valor othername de UPN debe ser
una cadena UTF8 codificada en ASN1.

Sujeto No obligatorio Nombre distintivo del usuario. Este

campo es una extensión obligatoria,
pero el rellenado de este campo es
opcional.

Intercambio de claves (campo No es necesario para los certificados No obligatorio

AT_KEYEXCHANGE) de inicio de sesión de tarjeta
inteligente si está habilitada una
configuración de directiva de grupo.
(De forma predeterminada, la
configuración de directiva de grupo no
está habilitada).

Crl No obligatorio No obligatorio

Upn No obligatorio No obligatorio

Notas Puede habilitar cualquier certificado Hay dos tipos predefinidos de claves
para que sea visible para el proveedor privadas. Estas claves son Solo firma
de credenciales de tarjeta inteligente. (AT_SIGNATURE) y Intercambio de
claves (AT_KEYEXCHANGE). Los
certificados de inicio de sesión de
tarjeta inteligente deben tener un tipo
de clave privada de Intercambio de
claves (AT_KEYEXCHANGE).

Asignaciones de certificados de cliente

La asignación de certificados se basa en el UPN contenido en el campo subjectAltName (SAN) del certificado.
También se admiten certificados de cliente que no contienen información en el campo SAN.
SSL/TLS puede asignar certificados que no tienen SAN y la asignación se realiza mediante los atributos AltSecID
en las cuentas de cliente. El AltSecID X509, que se usa en la autenticación de cliente SSL/TLS, tiene el formato
"X509: <I>"<Nombre> del emisor"<S>"<Nombre> del firmante. El <nombre> del emisor y <el nombre> del
firmante se toman del certificado de cliente, con '\r' y '\n' reemplazados por ','.
Puntos de distribución de lista de revocación de cer tificados
UPN en el campo Nombre alternativo del firmante

Campos Asunto y Emisor

Esta asignación de cuentas es compatible con el KDC, además de otros seis métodos de asignación. En la
ilustración siguiente se muestra un flujo de lógica de asignación de cuentas de usuario que usa el KDC.
Flujo de alto nivel de procesamiento de cer tificados para el inicio de sesión

El objeto de certificado se analiza para buscar contenido para realizar la asignación de cuentas de usuario.
Cuando se proporciona un nombre de usuario con el certificado, el nombre de usuario se usa para
localizar el objeto de cuenta. Esta operación es la más rápida, ya que se produce la coincidencia de
cadenas.
Cuando solo se proporciona el objeto de certificado, se realiza una serie de operaciones para localizar el
nombre de usuario para asignar el nombre de usuario a un objeto de cuenta.
Cuando no hay información de dominio disponible para la autenticación, el dominio local se usa de
forma predeterminada. Si se va a usar cualquier otro dominio para la búsqueda, se debe proporcionar
una sugerencia de nombre de dominio para realizar la asignación y el enlace.
La asignación basada en atributos genéricos no es posible porque no hay ninguna API genérica para recuperar
atributos de un certificado. Actualmente, el primer método que localiza una cuenta detiene correctamente la
búsqueda. Pero se produce un error de configuración si dos métodos asignan el mismo certificado a cuentas de
usuario diferentes cuando el cliente no proporciona el nombre de cliente a través de las sugerencias de
asignación.
En la ilustración siguiente se muestra el proceso de asignación de cuentas de usuario para el inicio de sesión en
el directorio mediante la visualización de varias entradas en el certificado.
Lógica de procesamiento de cer tificados

La directiva NT_AUTH se describe mejor en la sección del parámetro CERT_CHAIN_POLICY_NT_AUTH de la

función CertVerifyCertificateChainPolicy. Para obtener más información, vea CertVerifyCertificateChainPolicy.

Inicio de sesión con tarjeta inteligente para un único usuario con un

certificado en varias cuentas
Un único certificado de usuario se puede asignar a varias cuentas. Por ejemplo, es posible que un usuario pueda
iniciar sesión en una cuenta de usuario y también iniciar sesión como administrador de dominio. La asignación
se realiza mediante el AltSecID construido en función de los atributos de las cuentas de cliente. Para obtener
información sobre cómo se evalúa esta asignación, consulte Requisitos y asignaciones de certificados de cliente.

Nota Dado que cada cuenta tiene un nombre de usuario diferente, se recomienda habilitar la opción
Permitir sugerencia de nombre de usuario directiva de grupo (clave del Registro X509HintsNeeded )
para proporcionar los campos opcionales que permiten a los usuarios escribir sus nombres de usuario e
información de dominio para iniciar sesión.

En función de la información disponible en el certificado, las condiciones de inicio de sesión son:

1. Si no hay ningún UPN presente en el certificado:
a. El inicio de sesión puede producirse en el bosque local o en otro bosque si un único usuario con
un certificado necesita iniciar sesión en cuentas diferentes.
b. Se debe proporcionar una sugerencia si la asignación no es única (por ejemplo, si varios usuarios
están asignados al mismo certificado).
2. Si un UPN está presente en el certificado:
a. El certificado no se puede asignar a varios usuarios del mismo bosque.
b. El certificado se puede asignar a varios usuarios en bosques diferentes. Para que un usuario inicie
sesión en otros bosques, se debe proporcionar una sugerencia X509 al usuario.

Inicio de sesión con tarjeta inteligente para varios usuarios en una

sola cuenta
Un grupo de usuarios podría iniciar sesión en una sola cuenta (por ejemplo, una cuenta de administrador). Para
esa cuenta, los certificados de usuario se asignan para que estén habilitados para el inicio de sesión.
Se pueden asignar varios certificados distintos a una sola cuenta. Para que funcione correctamente, el
certificado no puede tener UPN.
Por ejemplo, si Certificate1 tiene CN=CNName1, Certificate2 tiene CN=User1 y Certificate3 tiene CN=User2, el
AltSecID de estos certificados se puede asignar a una sola cuenta mediante la asignación de nombres Usuarios y
equipos de Active Directory.

Inicio de sesión con tarjeta inteligente entre bosques

Para que la asignación de cuentas funcione entre bosques, especialmente en los casos en los que no hay
suficiente información disponible en el certificado, el usuario podría escribir una sugerencia en forma de
nombre de usuario, como dominio\usuario, o un UPN completo, como user@[Link].

Nota Para que el campo de sugerencia aparezca durante el inicio de sesión de tarjeta inteligente, la opción
Permitir sugerencia de nombre de usuario directiva de grupo (clave del Registro X509HintsNeeded )
debe estar habilitada en el cliente.

Compatibilidad de OCSP con PKINIT

El Protocolo de estado de certificado en línea (OCSP), que se define en RFC 2560, permite a las aplicaciones
obtener información oportuna sobre el estado de revocación de un certificado. Dado que las respuestas OCSP
son pequeñas y están bien enlazadas, es posible que los clientes restringidos quieran usar OCSP para
comprobar la validez de los certificados de Kerberos en el KDC, para evitar la transmisión de CRL de gran
tamaño y para ahorrar ancho de banda en redes restringidas. Para obtener información sobre las claves del
Registro CRL, consulte Configuración del Registro y directiva de grupo de tarjeta inteligente.
Los KDC de Windows intentan obtener respuestas OCSP y usarlas cuando estén disponibles. Este
comportamiento no se puede deshabilitar. CryptoAPI para OCSP almacena en caché las respuestas OCSP y el
estado de las respuestas. El KDC solo admite respuestas OCSP para el certificado de firmante.
Los equipos cliente de Windows intentan solicitar las respuestas OCSP y las usan en la respuesta cuando están
disponibles. Este comportamiento no se puede deshabilitar.

Requisitos de certificado raíz de tarjeta inteligente para su uso con el

inicio de sesión de dominio
Para que el inicio de sesión funcione en un dominio basado en tarjetas inteligentes, el certificado de tarjeta
inteligente debe cumplir las condiciones siguientes:
 El certificado raíz KDC de la tarjeta inteligente debe tener un punto de distribución DE CRL HTTP
enumerado en su certificado.
El certificado de inicio de sesión de tarjeta inteligente debe tener el punto de distribución HTTP CRL en su
certificado.
El punto de distribución CRL debe tener una CRL válida publicada y una CRL delta, si procede, incluso si
el punto de distribución CRL está vacío.
El certificado de tarjeta inteligente debe contener uno de los siguientes elementos:
Campo de asunto que contiene el nombre de dominio DNS en el nombre distintivo. Si no lo hace,
se produce un error en la resolución de un dominio adecuado, por lo que se producirá un error en
los Servicios de Escritorio remoto y en el inicio de sesión del dominio con la tarjeta inteligente.
UN UPN donde el nombre de dominio se resuelve en el dominio real. Por ejemplo, si el nombre de
dominio es [Link], el UPN se username@[Link]. Si se
omite alguna parte del nombre de dominio, el cliente Kerberos no puede encontrar el dominio
adecuado.
Aunque los puntos de distribución HTTP CRL están activados de forma predeterminada en Windows Server
2008, las versiones posteriores del sistema operativo Windows Server no incluyen puntos de distribución HTTP
CRL. Para permitir el inicio de sesión con tarjeta inteligente en un dominio en estas versiones, haga lo siguiente:
1. Habilite los puntos de distribución HTTP CRL en la ca.
2. Reinicie la CA.
3. Vuelva a emitir el certificado KDC.
4. Emita o vuelva a emitir el certificado de inicio de sesión de la tarjeta inteligente.
5. Propague el certificado raíz actualizado a la tarjeta inteligente que desea usar para el inicio de sesión de
dominio.
La solución alternativa consiste en habilitar la opción Permitir sugerencia de nombre de usuario directiva de
grupo (clave del Registro X509HintsNeeded ), que permite al usuario proporcionar una sugerencia en la
interfaz de usuario de credenciales para el inicio de sesión de dominio.
Si el equipo cliente no está unido al dominio o si está unido a otro dominio, el equipo cliente solo puede
resolver el dominio de servidor examinando el nombre distintivo en el certificado, no el UPN. Para que este
escenario funcione, el certificado requiere un asunto completo, incluido DC=<DomainControllerName>, para la
resolución de nombres de dominio.
Para implementar certificados raíz en una tarjeta inteligente para el dominio unido actualmente, puede usar el
siguiente comando:
cer tutil -scroots update
Para obtener más información sobre esta opción para la herramienta de línea de comandos, vea -SCRoots.

Ver también
Funcionamiento del inicio de sesión mediante tarjetas inteligentes en Windows
 Tarjeta inteligente y Servicios de Escritorio remoto
08/11/2022 • 6 minutes to read

En este tema para el profesional de TI se describe el comportamiento de Los servicios de Escritorio remoto al
implementar el inicio de sesión con tarjeta inteligente.
El contenido de este tema se aplica a las versiones de Windows que se designan en la lista Se aplica a al
principio de este tema. En estas versiones, la lógica de redireccionamiento de tarjetas inteligentes y la API de
WinSCard se combinan para admitir varias sesiones redirigidas en un solo proceso.
Se requiere compatibilidad con tarjetas inteligentes para habilitar muchos escenarios de Servicios de Escritorio
remoto. Entre ellos se incluyen los siguientes:
Usar el cambio rápido de usuario o los servicios de Escritorio remoto. Un usuario no puede establecer
una conexión de escritorio remoto basada en tarjetas inteligentes redirigida. Es decir, el intento de
conexión no se realiza correctamente en el cambio rápido de usuario o desde una sesión de Servicios de
Escritorio remoto.
Habilitar el sistema de cifrado de archivos (EFS) para localizar el lector de tarjetas inteligentes del usuario
desde el proceso de autoridad de seguridad local (LSA) en cambio rápido de usuario o en una sesión de
Servicios de Escritorio remoto. Si EFS no puede localizar el lector o certificado de tarjeta inteligente, EFS
no puede descifrar los archivos de usuario.

Redireccionamiento de Servicios de Escritorio remoto

En un escenario de Escritorio remoto, un usuario usa un servidor remoto para ejecutar servicios y la tarjeta
inteligente es local para el equipo que usa el usuario. En un escenario de inicio de sesión de tarjeta inteligente, el
servicio de tarjeta inteligente del servidor remoto redirige al lector de tarjetas inteligentes que está conectado al
equipo local donde el usuario está intentando iniciar sesión.

Redireccionamiento de Escritorio remoto

Notas sobre el modelo de redireccionamiento:
1. Este escenario es una sesión de inicio de sesión remoto en un equipo con Servicios de Escritorio remoto.
 En la sesión remota (etiquetada como "Sesión de cliente"), el usuario ejecuta net use /smar tcard .
2. Las flechas representan el flujo del PIN después de que el usuario escriba el PIN en el símbolo del sistema
hasta que llegue a la tarjeta inteligente del usuario en un lector de tarjetas inteligentes que esté
conectado al equipo cliente de Conexión a Escritorio remoto (RDC).
3. El LSA realiza la autenticación en la sesión 0.
4. El procesamiento de CryptoAPI se realiza en el LSA ([Link]). Esto es posible porque el
redireccionamiento RDP ([Link]) permite el contexto por sesión, en lugar de por proceso.
5. Los componentes WinScard y SCRedir, que eran módulos independientes en sistemas operativos
anteriores a Windows Vista, ahora se incluyen en un módulo. La biblioteca ScHelper es un contenedor
CryptoAPI específico del protocolo Kerberos.
6. La decisión de redireccionamiento se toma por contexto de tarjeta inteligente, en función de la sesión del
subproceso que realiza la llamada SCardEstablishContext.
7. Se realizaron cambios en [Link] implementación en Windows Vista para mejorar el
redireccionamiento de tarjetas inteligentes.

Experiencia de inicio de sesión único del servidor host de sesión de

Escritorio remoto
Como parte del cumplimiento de criterios comunes, el cliente RDC debe configurarse para usar el
Administrador de credenciales para adquirir y guardar la contraseña del usuario o el PIN de la tarjeta inteligente.
El cumplimiento de criterios comunes requiere que las aplicaciones no tengan acceso directo a la contraseña o
el PIN del usuario.
El cumplimiento de criterios comunes requiere específicamente que la contraseña o el PIN nunca deje el LSA sin
cifrar. Un escenario distribuido debe permitir que la contraseña o el PIN viajen entre un LSA de confianza y otro,
y no se puede descifrar durante el tránsito.
Cuando se usa el inicio de sesión único (SSO) habilitado para tarjetas inteligentes para las sesiones de Servicios
de Escritorio remoto, los usuarios todavía deben iniciar sesión para cada nueva sesión de Servicios de Escritorio
remoto. Sin embargo, al usuario no se le pide un PIN más de una vez para establecer una sesión de Servicios de
Escritorio remoto. Por ejemplo, después de que el usuario haga doble clic en un icono de documento de
Microsoft Word que reside en un equipo remoto, se le pide al usuario que escriba un PIN. Este PIN se envía
mediante un canal seguro que la credencial SSP ha establecido. El PIN se enruta de vuelta al cliente RDC a través
del canal seguro y se envía a Winlogon. El usuario no recibe ninguna solicitud adicional para el PIN, a menos
que el PIN sea incorrecto o haya errores relacionados con tarjetas inteligentes.
Servicios de Escritorio remoto e inicio de sesión con tarjeta inteligente
Servicios de Escritorio remoto permite a los usuarios iniciar sesión con una tarjeta inteligente escribiendo un
PIN en el equipo cliente RDC y enviándolo al servidor host de sesión de Escritorio remoto de una manera
similar a la autenticación basada en el nombre de usuario y la contraseña.
Además, directiva de grupo configuración específica de Servicios de Escritorio remoto debe estar habilitada para
el inicio de sesión basado en tarjetas inteligentes.
Para habilitar el inicio de sesión con tarjeta inteligente en un servidor host de sesión de Escritorio remoto (host
de sesión de Escritorio remoto), el certificado del Centro de distribución de claves (KDC) debe estar presente en
el equipo cliente RDC. Si el equipo no está en el mismo dominio o grupo de trabajo, se puede usar el siguiente
comando para implementar el certificado:
cer tutil -dspublish NTAuthCA "DSCDPContainer"
El nombre común de DSCDPContainer (CN) suele ser el nombre de la entidad de certificación.
Por ejemplo:
cer tutil -dspublish NTAuthCA < Certfile> "CN=NTAuthCer tificates,CN=Public Key
Ser vices,CN=Ser vices,CN=Configuration,DC=engineering,DC=contoso,DC=com"
Para obtener información sobre esta opción para la herramienta de línea de comandos, vea -dsPublish.
Servicios de Escritorio remoto e inicio de sesión de tarjeta inteligente entre dominios
Para habilitar el acceso remoto a los recursos de una empresa, el certificado raíz del dominio debe
aprovisionarse en la tarjeta inteligente. Desde un equipo unido a un dominio, ejecute el siguiente comando en la
línea de comandos:
cer tutil -scroots update
Para obtener información sobre esta opción para la herramienta de línea de comandos, vea -SCRoots.
Para servicios de Escritorio remoto entre dominios, el certificado KDC del servidor host de sesión de Escritorio
remoto también debe estar presente en el almacén NTAUTH del equipo cliente. Para agregar el almacén, ejecute
el siguiente comando en la línea de comandos:
cer tutil -addstore -enterprise NTAUTH < Certfile>
Donde <CertFile> es el certificado raíz del emisor de certificados KDC.
Para obtener información sobre esta opción para la herramienta de línea de comandos, vea -addstore.

Nota Si usa la credencial SSP en equipos que ejecutan las versiones compatibles del sistema operativo que
se designan en la lista Se aplica a al principio de este tema: para iniciar sesión con una tarjeta inteligente
desde un equipo que no está unido a un dominio, la tarjeta inteligente debe contener la certificación raíz del
controlador de dominio. No se puede establecer un canal seguro de infraestructura de clave pública (PKI) sin
la certificación raíz del controlador de dominio.

El inicio de sesión en Servicios de Escritorio remoto en un dominio solo funciona si el UPN del certificado usa el
siguiente formulario: <ClientName>@<DomainDNSName>
El UPN del certificado debe incluir un dominio que se pueda resolver. De lo contrario, el protocolo Kerberos no
puede determinar con qué dominio se va a establecer contacto. Para resolver este problema, habilite
sugerencias de dominio GPO X509. Para obtener más información sobre esta configuración, vea Configuración
de directiva de grupo y del Registro de tarjetas inteligentes.

Ver también
Funcionamiento del inicio de sesión mediante tarjetas inteligentes en Windows
 Tarjetas inteligentes para el servicio de Windows
08/11/2022 • 2 minutes to read

En este tema para los desarrolladores de tarjetas inteligentes y profesionales de TI se describe cómo el servicio
Smart Cards for Windows (anteriormente denominado Smart Card Resource Manager) administra los lectores y
las interacciones de las aplicaciones.
El servicio Tarjetas inteligentes para Windows proporciona la infraestructura básica para todos los demás
componentes de tarjeta inteligente, ya que administra los lectores de tarjetas inteligentes y las interacciones de
la aplicación en el equipo. Es totalmente compatible con las especificaciones establecidas por el grupo de trabajo
de PC/SC. Para obtener información sobre estas especificaciones, consulte el sitio web Especificaciones del
grupo de trabajo de PC/SC.
El servicio Tarjetas inteligentes para Windows se ejecuta en el contexto de un servicio local y se implementa
como un servicio compartido del proceso de host de servicios (svchost). El servicio Tarjetas inteligentes para
Windows, Scardsvr, tiene la siguiente descripción del servicio:
 <serviceData
dependOnService="PlugPlay"
description="@%SystemRoot%\System32\[Link],-5"
displayName="@%SystemRoot%\System32\[Link],-1"
errorControl="normal"
group="SmartCardGroup"
imagePath="%SystemRoot%\system32\[Link] -k LocalServiceAndNoImpersonation"
name="SCardSvr"
objectName="NT AUTHORITY\LocalService"
requiredPrivileges="SeCreateGlobalPrivilege,SeChangeNotifyPrivilege"
sidType="unrestricted"
start="demand"
type="win32ShareProcess"
>
<failureActions resetPeriod="900">
<actions>
<action
delay="120000"
type="restartService"
/>
<action
delay="300000"
type="restartService"
/>
<action
delay="0"
type="none"
/>
</actions>
</failureActions>
<securityDescriptor name="ServiceXSecurity"/>
</serviceData>

<registryKeys buildFilter="">
<registryKey keyName="HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SCardSvr\Parameters">
<registryValue
name="ServiceDll"
value="%SystemRoot%\System32\[Link]"
valueType="REG_EXPAND_SZ"
/>
<registryValue
name="ServiceMain"
value="CalaisMain"
valueType="REG_SZ"
/>
<registryValue
name="ServiceDllUnloadOnStop"
value="1"
valueType="REG_DWORD"
/>
</registryKey>
</registryKeys>

Nota Para que [Link] se invoque como el instalador de clase adecuado, el archivo INF de un lector de
tarjetas inteligentes debe especificar lo siguiente para Class y ClassGUID :
Class=SmartCardReader
ClassGuid={50DD5230-BA8A-11D1-BF5D-0000F805F530}

De forma predeterminada, el servicio está configurado para el modo manual. Los creadores de controladores de
lector de tarjetas inteligentes deben configurar sus INF para que inicien el servicio automáticamente y
[Link] archivos llamen a un punto de entrada predefinido para iniciar el servicio durante la instalación. El
punto de entrada se define como parte de la clase Smar tCardReader y no se llama directamente a él. Si un
dispositivo se anuncia como parte de esta clase, el punto de entrada se invoca automáticamente para iniciar el
servicio cuando se inserta el dispositivo. El uso de este método garantiza que el servicio esté habilitado cuando
sea necesario, pero también está deshabilitado para los usuarios que no usan tarjetas inteligentes.
Cuando se inicia el servicio, realiza varias funciones:
1. Se registra a sí mismo para las notificaciones de servicio.
2. Se registra a sí mismo para las notificaciones de Plug and Play (PnP) relacionadas con la eliminación y
adiciones de dispositivos.
3. Inicializa su caché de datos y un evento global que indica que el servicio se ha iniciado.

Nota En el caso de las implementaciones de tarjeta inteligente, considere la posibilidad de enviar todas las
comunicaciones en sistemas operativos Windows con lectores de tarjetas inteligentes a través del servicio
Tarjetas inteligentes para Windows. Esto proporciona una interfaz para realizar un seguimiento, seleccionar
y comunicarse con todos los controladores que se declaran miembros del grupo de dispositivos de lector de
tarjetas inteligentes.

El servicio Tarjetas inteligentes para Windows clasifica cada ranura de lector de tarjetas inteligentes como un
lector único y cada ranura también se administra por separado, independientemente de las características físicas
del dispositivo. El servicio Tarjetas inteligentes para Windows controla las siguientes acciones de alto nivel:
Introducción al dispositivo
Inicialización del lector
Notificación a los clientes de nuevos lectores
Serialización del acceso a los lectores
Acceso a tarjetas inteligentes
Tunelización de comandos específicos del lector

Ver también
Funcionamiento del inicio de sesión mediante tarjetas inteligentes en Windows
 Servicio de propagación de certificados
08/11/2022 • 3 minutes to read

En este tema para el profesional de TI se describe el servicio de propagación de certificados (CertPropSvc), que
se usa en la implementación de tarjetas inteligentes.
El servicio de propagación de certificados se activa cuando un usuario que ha iniciado sesión inserta una tarjeta
inteligente en un lector que está conectado al equipo. Esta acción hace que el certificado se lea desde la tarjeta
inteligente. A continuación, los certificados se agregan al almacén personal del usuario. Las acciones del servicio
de propagación de certificados se controlan mediante directiva de grupo. Para obtener más información,
consulte Configuración de directiva de grupo y registro de tarjetas inteligentes.

Nota El servicio de propagación de certificados debe ejecutarse para que funcione la Plug and Play de
tarjeta inteligente.

En la ilustración siguiente se muestra el flujo del servicio de propagación de certificados. La acción comienza
cuando un usuario que ha iniciado sesión inserta una tarjeta inteligente.
1. La flecha etiquetada 1 indica que Service Control Manager (SCM) notifica al servicio de propagación de
certificados (CertPropSvc) cuando un usuario inicia sesión y CertPropSvc comienza a supervisar las
tarjetas inteligentes en la sesión de usuario.
2. La flecha con la etiqueta R representa la posibilidad de una sesión remota y el uso del redireccionamiento
de tarjeta inteligente.
3. La flecha etiquetada 2 indica la certificación al lector.
4. La flecha etiquetada 3 indica el acceso al almacén de certificados durante la sesión de cliente.
Ser vicio de propagación de cer tificados

1. Un usuario que ha iniciado sesión inserta una tarjeta inteligente.

2. CertPropSvc recibe una notificación de que se insertó una tarjeta inteligente.
3. CertPropSvc lee todos los certificados de todas las tarjetas inteligentes insertadas. Los certificados se
escriben en el almacén de certificados personal del usuario.

Nota El servicio de propagación de certificados se inicia como una dependencia de Servicios de Escritorio
remoto.

Las propiedades del servicio de propagación de certificados incluyen:

CERT_STORE_ADD_REPLACE_EXISTING_INHERIT_PROPERTIES agrega certificados al almacén personal de
un usuario.
Si el certificado tiene la propiedad CERT_ENROLLMENT_PROP_ID (como define wincrypt.h), filtra las
solicitudes vacías y las coloca en el almacén de solicitudes del usuario actual, pero no las propaga al
almacén personal del usuario.
El servicio no propaga ningún certificado de equipo al almacén personal de un usuario ni propaga
certificados de usuario a un almacén de equipos.
El servicio propaga los certificados según directiva de grupo opciones establecidas, que pueden incluir:
Activar la propagación de cer tificados desde la tarjeta inteligente especifica si se debe
propagar el certificado de un usuario.
Activar la propagación de cer tificados raíz desde la tarjeta inteligente especifica si se
deben propagar los certificados raíz.
Configurar la limpieza del cer tificado raíz especifica cómo se quitan los certificados raíz.

Servicio de propagación de certificados raíz

La propagación de certificados raíz es responsable de los siguientes escenarios de implementación de tarjeta
inteligente cuando aún no se ha establecido la confianza de la infraestructura de clave pública (PKI):
Unirse al dominio
Acceso a una red de forma remota
En ambos casos, el equipo no está unido a un dominio y, por lo tanto, directiva de grupo no administra la
confianza. Sin embargo, el objetivo es autenticarse en un servidor remoto, como el controlador de dominio. La
propagación de certificados raíz proporciona la capacidad de usar la tarjeta inteligente para incluir la cadena de
confianza que falta.
Cuando se inserta la tarjeta inteligente, el servicio de propagación de certificados propaga los certificados raíz
de la tarjeta a los almacenes de certificados de equipo raíz de tarjeta inteligente de confianza. Este proceso
establece una relación de confianza con los recursos empresariales. También puede usar una acción de limpieza
posterior cuando se quite la tarjeta inteligente del usuario del lector o cuando el usuario cierre la sesión. Esto se
puede configurar con directiva de grupo. Para obtener más información, consulte Configuración de directiva de
grupo y registro de tarjetas inteligentes.
Para obtener más información sobre los requisitos de certificado raíz, consulte Requisitos de certificado raíz de
tarjeta inteligente para su uso con el inicio de sesión de dominio.

Ver también
Funcionamiento del inicio de sesión mediante tarjetas inteligentes en Windows
 Servicio Directiva de extracción de tarjetas
inteligentes
08/11/2022 • 2 minutes to read

En este tema para el profesional de TI se describe el rol del servicio de directivas de eliminación (ScPolicySvc) en
la implementación de tarjetas inteligentes.
El servicio de directiva de eliminación de tarjeta inteligente es aplicable cuando un usuario ha iniciado sesión
con una tarjeta inteligente y, a continuación, quita esa tarjeta inteligente del lector. La acción que se realiza
cuando se quita la tarjeta inteligente se controla mediante directiva de grupo configuración. Para obtener más
información, consulte Configuración de directiva de grupo y registro de tarjetas inteligentes.
Ser vicio de directivas de eliminación de tarjetas inteligentes

Los números de la ilustración anterior representan las siguientes acciones:

1. Winlogon no participa directamente en la supervisión de eventos de eliminación de tarjetas inteligentes.
La secuencia de pasos que intervienen cuando se quita una tarjeta inteligente comienza con el proveedor
de credenciales de tarjeta inteligente en el proceso de interfaz de usuario de inicio de sesión. Cuando un
usuario inicia sesión correctamente con una tarjeta inteligente, el proveedor de credenciales de tarjeta
inteligente captura el nombre del lector. A continuación, esta información se almacena en el Registro con
el identificador de sesión donde se inició el inicio de sesión.
2. El servicio administrador de recursos de tarjeta inteligente notifica al servicio de directivas de eliminación
de tarjetas inteligentes que se ha producido un inicio de sesión.
3. ScPolicySvc recupera la información de tarjeta inteligente que el proveedor de credenciales de tarjeta
inteligente almacenó en el Registro. Esta llamada se redirige si el usuario está en una sesión remota. Si se
quita la tarjeta inteligente, se notifica a ScPolicySvc.
4. ScPolicySvc llama a Servicios de Escritorio remoto para realizar la acción adecuada si la solicitud es cerrar
 la sesión del usuario o desconectar la sesión del usuario, lo que podría dar lugar a la pérdida de datos. Si
la configuración está configurada para bloquear el equipo cuando se quita la tarjeta inteligente,
ScPolicySvc envía un mensaje a Winlogon para bloquear el equipo.

Ver también
Funcionamiento del inicio de sesión mediante tarjetas inteligentes en Windows
 Herramientas y configuración de Tarjeta inteligente
08/11/2022 • 2 minutes to read

Este tema para profesionales de TI y desarrolladores de tarjetas inteligentes se vincula a información sobre la
depuración, la configuración y los eventos de tarjetas inteligentes.
Esta sección de la Referencia técnica de tarjeta inteligente contiene información sobre lo siguiente:
Información de depuración de tarjetas inteligentes: obtenga información sobre herramientas y servicios
en versiones compatibles de Windows para ayudar a identificar problemas de certificado.
Configuración de directiva de grupo y registro de tarjeta inteligente: obtenga información sobre la
configuración de directiva de grupo relacionada con tarjetas inteligentes y las claves del Registro que se
pueden establecer por equipo, incluido cómo editar y aplicar directiva de grupo configuración a equipos
locales o de dominio.
Eventos de tarjeta inteligente: obtenga información sobre los eventos que se pueden usar para
administrar tarjetas inteligentes en una organización, incluido cómo supervisar la instalación, el uso y los
errores.

Ver también
Referencia técnica de tarjeta inteligente
 Solución de problemas de tarjetas inteligentes
08/11/2022 • 6 minutes to read

En este artículo se explican las herramientas y servicios que los desarrolladores de tarjetas inteligentes pueden
usar para ayudar a identificar problemas de certificado con la implementación de tarjetas inteligentes.
La depuración y el seguimiento de problemas de tarjetas inteligentes requiere una variedad de herramientas y
enfoques. En las secciones siguientes se proporcionan instrucciones sobre las herramientas y los enfoques que
puede usar.
Certutil
Depuración y seguimiento mediante el preprocesador de seguimiento de software de Windows (WPP)
Protocolo Kerberos, Centro de distribución de claves (KDC) y depuración y seguimiento NTLM
Servicio de tarjeta inteligente
Lectores de tarjetas inteligentes
Diagnósticos de CryptoAPI 2.0

Certutil
Para obtener una descripción completa de Certutil, incluidos ejemplos que muestran cómo usarlo, vea Certutil
[W2012].
Enumerar los certificados disponibles en la tarjeta inteligente
Para enumerar los certificados que están disponibles en la tarjeta inteligente, escriba certutil -scinfo .

NOTE
No es necesario escribir un PIN para esta operación. Puede presionar ESC si se le pide un PIN.

Eliminación de certificados en la tarjeta inteligente

Cada certificado se incluye en un contenedor. Al eliminar un certificado en la tarjeta inteligente, se elimina el
contenedor del certificado.
Para buscar el valor del contenedor, escriba certutil -scinfo .
Para eliminar un contenedor, escriba cer tutil -delkey -csp "Microsoft Base Smar t Card Cr ypto Provider"
"<ContainerValue>".

Depuración y seguimiento mediante WPP

WPP simplifica el seguimiento del funcionamiento del proveedor de seguimiento. Proporciona un mecanismo
para que el proveedor de seguimiento registre mensajes binarios en tiempo real. Los mensajes registrados se
pueden convertir en un seguimiento legible de la operación. Para obtener más información, vea Diagnóstico con
WPP: blog de NDIS.
Habilitación del seguimiento
Con WPP, use uno de los siguientes comandos para habilitar el seguimiento:
 [Link] -kd -r t -star t < FriendlyName> -guid # < GUID> -F.\ < LogFileName> .etl -flags <
Banderas> -ft 1
inicio < de logman FriendlyName> -ets -p { <GUID>} - <Flags> -ft 1 -r t -o .\ <[Link]> -
mode 0x00080000
Puede usar los parámetros de la tabla siguiente.

N O M B RE DESC RIP T IVO GUID F L A GS

scardsvr 13038e47-ffec-425d-bc69- 0xffff

5707708075fe

winscard 3fce7c5f-fb3b-4bce-a9d8- 0xffff

55cc0ce1cf01

basecsp 133a980d-035d-4e2d-b250- 0x7

94577ad8fced

scksp 133a980d-035d-4e2d-b250- 0x7

94577ad8fced

msclmd fb36caf4-582b-4604-8841- 0x7

9263574c4f2c

credprov dba0e0e0-505a-4ab6-aa3f- 0xffff

22f6f743b480

certprop 30eae751-411f-414c-988b- 0xffff

a8bfa8913f49

scfilter eed7f3c9-62ba-400e-a001- 0xffff

658869df9a91

wudfusbccid a3c09ba3-2f62-4be5-a50f- 0xffff

8278a646ac9d

Ejemplos
Para habilitar el seguimiento del servicio SCardSvr:
[Link] -kd -r t -star t scardsvr -guid #13038e47-ffec-425d-bc69-5707708075fe -f
.\[Link] -flags 0xffff -ft 1
logman star t scardsvr -ets -p {13038e47-ffec-425d-bc69-5707708075fe} 0xffff -ft 1 -r t -o
.\[Link] -mode 0x00080000
Para habilitar el seguimiento de [Link]:
[Link] -kd -r t -star t scfilter -guid #eed7f3c9-62ba-400e-a001-658869df9a91 -f
.\[Link] -flags 0xffff -ft 1
Detener el seguimiento
Con WPP, use uno de los siguientes comandos para detener el seguimiento:
[Link] -stop < FriendlyName>
logman -stop < FriendlyName> -Ets
Ejemplos
Para detener un seguimiento:
[Link] -stop scardsvr
logman -stop scardsvr -ets

Depuración y seguimiento del protocolo Kerberos, KDC y NTLM

Puede usar estos recursos para solucionar problemas de estos protocolos y el KDC:
Sugerencias de solución de problemas de Kerberos y LDAP.
Kit de controladores de Windows (WDK) y Herramientas de depuración para Windows (WinDbg). Puede
usar la herramienta de registro de seguimiento en este SDK para depurar errores de autenticación
Kerberos.
Para comenzar el seguimiento, puede usar Tracelog . Los distintos componentes usan GUID de control
diferentes, como se explica en estos ejemplos. Para obtener más información, consulte Tracelog .
NTLM
Para habilitar el seguimiento para la autenticación NTLM, ejecute el siguiente comando en la línea de comandos:
[Link] -kd -r t -star t ntlm -guid #5BBB6C18-AA45-49b1-A15F-085F7ED0AA90 -f .\[Link]
-flags 0x15003 -ft 1
Para detener el seguimiento de la autenticación NTLM, ejecute este comando:
tracelog -stop ntlm
Autenticación Kerberos
Para habilitar el seguimiento para la autenticación Kerberos, ejecute este comando:
[Link] -kd -r t -star t kerb -guid #6B510852-3583-4e2d-AFFE-A67F9F223438 -f .\[Link] -
flags 0x43 -ft 1
Para detener el seguimiento de la autenticación Kerberos, ejecute este comando:
[Link] -stop kerb
Kdc
Para habilitar el seguimiento del KDC, ejecute el siguiente comando en la línea de comandos:
[Link] -kd -r t -star t kdc -guid #1BBA8B19-7F31-43c0-9643-6E911F79A06B -f .\[Link] -
flags 0x803 -ft 1
Para detener el seguimiento del KDC, ejecute el siguiente comando en la línea de comandos:
[Link] -stop kdc
Para detener el seguimiento desde un equipo remoto, ejecute este comando: [Link] -s <ComputerName>.

NOTE
La ubicación predeterminada para [Link] es %systemroot%system32\. Use la opción -s para proporcionar un
nombre de equipo.

Configuración del seguimiento con el Registro

También puede configurar el seguimiento editando los valores del Registro Kerberos que se muestran en la
tabla siguiente.

EL EM EN TO C O N F IGURA C IÓ N DE C L AVE DEL REGIST RO

NTLM HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
\Lsa\MSV1_0
Nombre del valor: NtLmInfoLevel
Tipo de valor: DWORD
Datos de valor: c0015003

Kerberos HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
\Lsa\Kerberos
Nombre del valor: LogToFile
Tipo de valor: DWORD
Datos de valor: 00000001

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
\Lsa\Kerberos\Parameters
Nombre del valor: KerbDebugLevel
Tipo de valor: DWORD
Datos de valor: c0000043

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
\Lsa\Kerberos\Parameters
Nombre del valor: LogToFile
Tipo de valor: DWORD
Datos de valor: 00000001

Kdc HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service
s\Kdc
Nombre del valor: KdcDebugLevel
Tipo de valor: DWORD
Datos de valor: c0000803

Si usó Tracelog , busque el siguiente archivo de registro en el directorio actual: [Link]/[Link]/[Link].

Si usó la configuración de clave del Registro que se muestra en la tabla anterior, busque los archivos de registro
de seguimiento en las siguientes ubicaciones:
NTLM: %systemroot%\tracing\msv1_0
Kerberos: %systemroot%\tracing\kerberos
KDC: %systemroot%\tracing\kdcsvc
Para descodificar archivos de seguimiento de eventos, puede usar Tracefmt ([Link]). Tracefmt es una
herramienta de línea de comandos que da formato y muestra mensajes de seguimiento desde un archivo de
registro de seguimiento de eventos (.etl) o una sesión de seguimiento en tiempo real. Tracefmt puede mostrar
los mensajes en la ventana del símbolo del sistema o guardarlos en un archivo de texto. Se encuentra en el
subdirectorio \tools\tracing del Kit de controladores de Windows (WDK). Para obtener más información,
consulte Tracefmt .

Servicio de tarjeta inteligente

El servicio del administrador de recursos de tarjeta inteligente se ejecuta en el contexto de un servicio local. Se
implementa como un servicio compartido del proceso de host de servicios (svchost).
Para comprobar si se está ejecutando el ser vicio de tarjeta inteligente
1. Presione CTRL+ALT+SUPR y, a continuación, seleccione Iniciar administrador de tareas .
2. En el cuadro de diálogo Administrador de tareas de Windows , seleccione la pestaña Ser vicios .
3. Seleccione la columna Nombre para ordenar la lista alfabéticamente y escriba s .
4. En la columna Nombre , busque SCardSvr y, a continuación, busque en la columna Estado para ver si
el servicio se está ejecutando o detenido.
Para reiniciar el ser vicio de tarjeta inteligente
1. Ejecute como administrador en el símbolo del sistema.
2. Si aparece el cuadro de diálogo Control de cuentas de usuario , confirme que la acción que muestra
es la que quiere y, a continuación, seleccione Sí .
3. En el símbolo del sistema, escriba net stop SCardSvr .
4. En el símbolo del sistema, escriba net start SCardSvr .

Puede usar el siguiente comando en el símbolo del sistema para comprobar si el servicio se está ejecutando:
sc queryex scardsvr .

El ejemplo de código siguiente es una salida de ejemplo de este comando:

SERVICE_NAME: scardsvr
TYPE : 20 WIN32_SHARE_PROCESS
STATE : 4 RUNNING
(STOPPABLE, NOT_PAUSABLE, ACCEPTS_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
PID : 1320
FLAGS :
C:\>

Lectores de tarjetas inteligentes

Al igual que con cualquier dispositivo conectado a un equipo, se pueden usar Administrador de dispositivos
para ver las propiedades y comenzar el proceso de depuración.
Para comprobar si el lector de tarjetas inteligentes funciona
1. Vaya a Equipo .
2. Haga clic con el botón derecho en Equipo y, a continuación, seleccione Propiedades .
3. En Tareas , seleccione Administrador de dispositivos .
4. En Administrador de dispositivos, expanda Lectores de tarjetas inteligentes , seleccione el nombre del
lector de tarjetas inteligentes que desea comprobar y, a continuación, seleccione Propiedades .

NOTE
Si el lector de tarjetas inteligentes no aparece en Administrador de dispositivos, en el menú Acción , seleccione Buscar
cambios de hardware .

Diagnósticos de CryptoAPI 2.0

CryptoAPI 2.0 Diagnostics está disponible en versiones de Windows que admiten CryptoAPI 2.0 y pueden
ayudarle a solucionar problemas de infraestructura de clave pública (PKI).
CryptoAPI 2.0 Diagnostics registra eventos en el registro de eventos de Windows. Los registros contienen
información detallada sobre la validación de la cadena de certificados, las operaciones del almacén de
certificados y la comprobación de firmas. Esta información facilita la identificación de las causas de los
problemas y reduce el tiempo necesario para el diagnóstico.
Para obtener más información sobre los diagnósticos de CryptoAPI 2.0, consulte Solución de problemas de una
PKI empresarial.

Ver también
Referencia técnica de tarjeta inteligente
 Directiva de grupo de tarjeta inteligente y
configuración de registros
08/11/2022 • 24 minutes to read

En este artículo para profesionales de TI y desarrolladores de tarjetas inteligentes se describen la configuración

de directiva de grupo, la configuración de clave del Registro, la configuración de directiva de seguridad local y la
configuración de directivas de delegación de credenciales que están disponibles para configurar tarjetas
inteligentes.
En las secciones y tablas siguientes se enumeran la configuración de directiva de grupo relacionada con la
tarjeta inteligente y las claves del Registro que se pueden establecer por equipo. Si usa objetos de directiva de
grupo de dominio (GPO), puede editar y aplicar directiva de grupo configuración a equipos locales o de
dominio.
Configuración de directiva de grupo principal para tarjetas inteligentes
Permitir certificados sin atributo de certificado de uso de clave extendido
Permitir que los certificados ECC se usen para el inicio de sesión y la autenticación
Permitir que se muestre la pantalla de desbloqueo integrado en el momento del inicio de sesión
Permitir claves de firma válidas para el inicio de sesión
Permitir el tiempo de certificados no válidos
Permitir sugerencia de nombre de usuario
Configuración de la limpieza del certificado raíz
Mostrar cadena cuando se bloquea la tarjeta inteligente
Filtrar certificados de inicio de sesión duplicados
Forzar la lectura de todos los certificados de la tarjeta inteligente
Notificar al usuario de la instalación correcta del controlador de tarjeta inteligente
Impedir que Credential Manager devuelva los PIN de texto no cifrado
Invertir el nombre del firmante almacenado en un certificado al mostrarlo
Activar la propagación de certificados desde una tarjeta inteligente
Activar la propagación de certificados raíz desde la tarjeta inteligente
Activar el servicio de Plug and Play de tarjeta inteligente
Claves del Registro KSP de CSP base y tarjeta inteligente
Comprobación de claves del Registro de CRL
Configuración de directiva de grupo de tarjeta inteligente adicional y claves del Registro

Configuración de directiva de grupo principal para tarjetas

inteligentes
La siguiente configuración de directiva de grupo de tarjeta inteligente se encuentra en Configuración del
equipo\Plantillas administrativas\Componentes de Windows\Tarjeta inteligente.
Las claves del Registro se encuentran en las siguientes ubicaciones:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\ScPnP\EnableScPnP
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Smar tCardCredentialProvi
der
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Cer tProp

NOTE
La información del Registro del lector de tarjetas inteligentes está en
HKEY_LOCAL_MACHINE\Software\Microsoft\Cr yptography\Calais\Readers .
La información del Registro de tarjetas inteligentes está en
HKEY_LOCAL_MACHINE\Software\Microsoft\Cr yptography\Calais\Smar tCards .

En la tabla siguiente se enumeran los valores predeterminados de esta configuración de GPO. Las variaciones se
documentan en las descripciones de la directiva de este artículo.

T IP O DE SERVIDO R O GP O VA LO R P REDET ERM IN A DO

Directiva de dominio predeterminada No configurado

Directiva de controlador de dominio predeterminada No configurado

configuración predeterminada del servidor de Stand-Alone No configurado

Configuración predeterminada efectiva del controlador de Deshabilitado

dominio

Configuración predeterminada efectiva del servidor miembro Deshabilitado

Configuración predeterminada efectiva del equipo cliente Deshabilitado

Permitir certificados sin atributo de certificado de uso de clave extendido

Puede usar esta configuración de directiva para permitir que los certificados sin un uso mejorado de claves
(EKU) se use para el inicio de sesión.

NOTE
El atributo de certificado de uso mejorado de claves también se conoce como uso extendido de claves.
En las versiones de Windows anteriores a Windows Vista, los certificados de tarjeta inteligente que se usan para iniciar
sesión requieren una extensión EKU con un identificador de objeto de inicio de sesión de tarjeta inteligente. Esta
configuración de directiva se puede usar para modificar esa restricción.

Cuando esta configuración de directiva está activada, también se pueden usar certificados con los siguientes
atributos para iniciar sesión con una tarjeta inteligente:
Certificados sin EKU
Certificados con un EKU de uso general
 Certificados con un EKU de autenticación de cliente
Cuando esta configuración de directiva no está activada, solo se pueden usar certificados que contengan el
identificador de objeto de inicio de sesión de tarjeta inteligente para iniciar sesión con una tarjeta inteligente.

EL EM EN TO DESC RIP C IÓ N

Clave del Registro AllowCertificatesWithNoEKU

Valores predeterminados No hay cambios por versiones del sistema operativo

Deshabilitados y no configurados son equivalentes

Administración de directivas Requisito de reinicio: Ninguno

Requisito de cierre de sesión: Ninguno
Conflictos de directivas: Ninguno

Notas y recursos

Permitir que los certificados ECC se usen para el inicio de sesión y la autenticación
Puede usar esta configuración de directiva para controlar si se pueden usar certificados de criptografía de curva
elíptica (ECC) en una tarjeta inteligente para iniciar sesión en un dominio.
Cuando esta configuración está activada, se pueden usar certificados ECC en una tarjeta inteligente para iniciar
sesión en un dominio.
Cuando esta configuración no está activada, los certificados ECC en una tarjeta inteligente no se pueden usar
para iniciar sesión en un dominio.

EL EM EN TO DESC RIP C IÓ N

Clave del Registro EnumerateECCCer ts

Valores predeterminados No hay cambios por versiones del sistema operativo

Deshabilitados y no configurados son equivalentes

Administración de directivas Requisito de reinicio: Ninguno

Requisito de cierre de sesión: Ninguno
Conflictos de directivas: Ninguno

Notas y recursos Esta configuración de directiva solo afecta a la capacidad de

un usuario para iniciar sesión en un dominio. Los certificados
ECC en una tarjeta inteligente que se usan para otras
aplicaciones, como la firma de documentos, no se ven
afectados por esta configuración de directiva.
Si usa una clave ECDSA para iniciar sesión, también debe
tener una clave ECDH asociada para permitir el inicio de
sesión cuando no esté conectado a la red.

Permitir que se muestre la pantalla de desbloqueo integrado en el momento del inicio de sesión
Puede usar esta configuración de directiva para determinar si la característica de desbloqueo integrada está
disponible en la interfaz de usuario (UI) de inicio de sesión. La característica se introdujo como una característica
estándar en el proveedor de soporte técnico de seguridad de credenciales en Windows Vista.
Cuando esta configuración está activada, la característica de desbloqueo integrada está disponible.
Cuando esta configuración no está activada, la característica no está disponible.
 EL EM EN TO DESC RIP C IÓ N

Clave del Registro AllowIntegratedUnblock

Valores predeterminados No hay cambios por versiones del sistema operativo

Deshabilitados y no configurados son equivalentes

Administración de directivas Requisito de reinicio: Ninguno

Requisito de cierre de sesión: Ninguno
Conflictos de directivas: Ninguno

Notas y recursos Para usar la característica de desbloqueo integrada, la tarjeta

inteligente debe admitirla. Consulte con el fabricante del
hardware para comprobar que la tarjeta inteligente admite
esta característica.
Puede crear un mensaje personalizado que el usuario ve
cuando se bloquea la tarjeta inteligente configurando la
configuración de directiva Cadena de visualización cuando se
bloquea la tarjeta inteligente.

Permitir claves de firma válidas para el inicio de sesión

Puede usar esta configuración de directiva para permitir que los certificados basados en clave de firma se
enumeren y estén disponibles para el inicio de sesión.
Cuando esta configuración está activada, todos los certificados que están disponibles en la tarjeta inteligente
con una clave de solo firma se muestran en la pantalla de inicio de sesión.
Cuando esta configuración no está activada, los certificados disponibles en la tarjeta inteligente con una clave de
solo firma no aparecen en la pantalla de inicio de sesión.

EL EM EN TO DESC RIP C IÓ N

Clave del Registro AllowSignatureOnlyKeys

Valores predeterminados No hay cambios por versiones del sistema operativo

Deshabilitados y no configurados son equivalentes

Administración de directivas Requisito de reinicio: Ninguno

Requisito de cierre de sesión: Ninguno
Conflictos de directivas: Ninguno

Notas y recursos

Permitir el tiempo de certificados no válidos

Puede usar esta configuración de directiva para permitir que se muestren certificados que hayan expirado o que
aún no sean válidos para el inicio de sesión.

NOTE
Antes de Windows Vista, los certificados tenían que contener una hora válida y no expirar. Para que se use un certificado,
el controlador de dominio debe aceptarlo. Esta configuración de directiva solo controla qué certificados se muestran en el
equipo cliente.

Cuando esta configuración está activada, los certificados se muestran en la pantalla de inicio de sesión,
independientemente de si tienen una hora no válida o si su validez de tiempo ha expirado.
Cuando esta configuración de directiva no está activada, los certificados que han expirado o aún no son válidos
no aparecen en la pantalla de inicio de sesión.

EL EM EN TO DESC RIP C IÓ N

Clave del Registro AllowTimeInvalidCer tificates

Valores predeterminados No hay cambios por versiones del sistema operativo

Deshabilitados y no configurados son equivalentes

Administración de directivas Requisito de reinicio: Ninguno

Requisito de cierre de sesión: Ninguno
Conflictos de directivas: Ninguno

Notas y recursos

Permitir sugerencia de nombre de usuario

Puede usar esta configuración de directiva para determinar si aparece un campo opcional durante el inicio de
sesión y proporciona un proceso de elevación posterior en el que los usuarios pueden escribir su nombre de
usuario o nombre de usuario y dominio, que asocia un certificado al usuario.
Cuando esta configuración de directiva está activada, los usuarios ven un campo opcional donde pueden
escribir su nombre de usuario o nombre de usuario y dominio.
Cuando esta configuración de directiva no está activada, los usuarios no ven este campo opcional.

EL EM EN TO DESC RIP C IÓ N

Clave del Registro X509HintsNeeded

Valores predeterminados No hay cambios por versiones del sistema operativo

Deshabilitados y no configurados son equivalentes

Administración de directivas Requisito de reinicio: Ninguno

Requisito de cierre de sesión: Ninguno
Conflictos de directivas: Ninguno

Notas y recursos

Configuración de la limpieza del certificado raíz

Puede usar esta configuración de directiva para administrar el comportamiento de limpieza de los certificados
raíz. Los certificados se comprueban mediante una cadena de confianza y el delimitador de confianza para el
certificado digital es la entidad de certificación raíz (CA). Una ENTIDAD de certificación puede emitir varios
certificados con el certificado raíz como certificado superior de la estructura de árbol. Se usa una clave privada
para firmar otros certificados. Esto crea una confiabilidad heredada para todos los certificados inmediatamente
bajo el certificado raíz.
Cuando esta configuración de directiva está activada, puede establecer las siguientes opciones de limpieza:
Sin limpieza . Cuando el usuario cierra la sesión o quita la tarjeta inteligente, los certificados raíz usados
durante la sesión persisten en el equipo.
Limpie los cer tificados en la eliminación de tarjetas inteligentes . Cuando se quita la tarjeta
inteligente, se quitan los certificados raíz.
Limpie los cer tificados al cerrar la sesión . Cuando el usuario cierra la sesión de Windows, se quitan
 los certificados raíz.
Cuando esta configuración de directiva no está activada, los certificados raíz se quitan automáticamente cuando
el usuario cierra sesión en Windows.

EL EM EN TO DESC RIP C IÓ N

Clave del Registro RootCer tificateCleanupOption

Valores predeterminados No hay cambios por versiones del sistema operativo

Deshabilitados y no configurados son equivalentes

Administración de directivas Requisito de reinicio: Ninguno

Requisito de cierre de sesión: Ninguno
Conflictos de directivas: Ninguno

Notas y recursos

Mostrar cadena cuando se bloquea la tarjeta inteligente

Puede usar esta configuración de directiva para cambiar el mensaje predeterminado que un usuario ve si su
tarjeta inteligente está bloqueada.
Cuando esta configuración de directiva está activada, puede crear y administrar el mensaje mostrado que el
usuario ve cuando se bloquea una tarjeta inteligente.
Cuando esta configuración de directiva no está activada (y la característica de desbloqueo integrada también
está habilitada), el usuario ve el mensaje predeterminado del sistema cuando se bloquea la tarjeta inteligente.

EL EM EN TO DESC RIP C IÓ N

Clave del Registro IntegratedUnblockPromptString

Valores predeterminados No hay cambios por versiones del sistema operativo

Deshabilitados y no configurados son equivalentes

Administración de directivas Requisito de reinicio: Ninguno

Requisito de cierre de sesión: Ninguno
Conflictos de directivas: esta configuración de directiva solo
es efectiva cuando se habilita la pantalla Permitir desbloqueo
integrado que se mostrará en el momento de la directiva de
inicio de sesión .

Notas y recursos

Filtrar certificados de inicio de sesión duplicados

Puede usar esta configuración de directiva para configurar qué certificados de inicio de sesión válidos se
muestran.
 NOTE
Durante el período de renovación de certificados, la tarjeta inteligente de un usuario puede tener varios certificados de
inicio de sesión válidos emitidos desde la misma plantilla de certificado, lo que puede causar confusión sobre qué
certificado seleccionar. Este comportamiento puede producirse cuando se renueva un certificado y el certificado antiguo
aún no ha expirado.
Si se emiten dos certificados desde la misma plantilla con la misma versión principal y son para el mismo usuario (esto
viene determinado por su UPN), se determina que son los mismos.

Cuando esta configuración de directiva está activada, se produce el filtrado para que el usuario pueda
seleccionar solo entre los certificados válidos más actuales.
Si esta configuración de directiva no está activada, todos los certificados se muestran al usuario.
Esta configuración de directiva se aplica al equipo después de aplicar la configuración de directiva Permitir
tiempo no válido de certificados .

EL EM EN TO DESC RIP C IÓ N

Clave del Registro FilterDuplicateCer ts

Valores predeterminados No hay cambios por versiones del sistema operativo

Deshabilitados y no configurados son equivalentes

Administración de directivas Requisito de reinicio: Ninguno

Requisito de cierre de sesión: Ninguno
Conflictos de directivas: Ninguno

Notas y recursos Si hay dos o más de los mismos certificados en una tarjeta
inteligente y esta configuración de directiva está habilitada,
se mostrará el certificado que se usa para iniciar sesión en
equipos que ejecutan Windows 2000, Windows XP o
Windows Server 2003. De lo contrario, se mostrará el
certificado con el tiempo de expiración más lejano.

Forzar la lectura de todos los certificados de la tarjeta inteligente

Puede usar esta configuración de directiva para administrar cómo Windows lee todos los certificados de la
tarjeta inteligente para el inicio de sesión. Durante el inicio de sesión, Windows lee solo el certificado
predeterminado de la tarjeta inteligente a menos que admita la recuperación de todos los certificados en una
sola llamada. Esta configuración de directiva obliga a Windows a leer todos los certificados de la tarjeta
inteligente.
Cuando esta configuración de directiva está activada, Windows intenta leer todos los certificados de la tarjeta
inteligente, independientemente del conjunto de características de CSP.
Cuando esta directiva no está activada, Windows intenta leer solo el certificado predeterminado de las tarjetas
inteligentes que no admiten la recuperación de todos los certificados en una sola llamada. Los certificados
distintos del valor predeterminado no están disponibles para el inicio de sesión.

EL EM EN TO DESC RIP C IÓ N

Clave del Registro ForceReadingAllCer tificates

Valores predeterminados No hay cambios por versiones del sistema operativo

Deshabilitados y no configurados son equivalentes
 EL EM EN TO DESC RIP C IÓ N

Administración de directivas Requisito de reinicio: Ninguno

Requisito de cierre de sesión: Ninguno
Conflictos de directivas: Ninguno

Impor tante : Habilitar esta configuración de directiva puede

afectar negativamente al rendimiento durante el proceso de
inicio de sesión en determinadas situaciones.

Notas y recursos Póngase en contacto con el proveedor de tarjetas

inteligentes para determinar si la tarjeta inteligente y el CSP
asociado admiten el comportamiento necesario.

Notificar al usuario de la instalación correcta del controlador de tarjeta inteligente

Puede usar esta configuración de directiva para controlar si el usuario ve un mensaje de confirmación cuando se
instala un controlador de dispositivo de tarjeta inteligente.
Cuando esta configuración de directiva está activada, el usuario ve un mensaje de confirmación cuando se
instala un controlador de dispositivo de tarjeta inteligente.
Cuando esta configuración no está activada, el usuario no ve un mensaje de instalación del controlador de
dispositivo de tarjeta inteligente.

EL EM EN TO DESC RIP C IÓ N

Clave del Registro ScPnPNotification

Valores predeterminados No hay cambios por versiones del sistema operativo

Deshabilitados y no configurados son equivalentes

Administración de directivas Requisito de reinicio: Ninguno

Requisito de cierre de sesión: Ninguno
Conflictos de directivas: Ninguno

Notas y recursos Esta configuración de directiva solo se aplica a los

controladores de tarjeta inteligente que han pasado el
proceso de prueba de Windows Hardware Quality Labs
(WHQL).

Impedir que Credential Manager devuelva los PIN de texto no cifrado

Puede usar esta configuración de directiva para evitar que Credential Manager devuelva PIN de texto no cifrado.

NOTE
El administrador de credenciales lo controla el usuario en el equipo local y almacena las credenciales de exploradores y
aplicaciones de Windows compatibles. Las credenciales se guardan en carpetas cifradas especiales en el equipo bajo el
perfil del usuario.

Cuando esta configuración de directiva está activada, Credential Manager no devuelve un PIN de texto no
cifrado.
Cuando esta configuración no está activada, el Administrador de credenciales puede devolver PIN de texto no
cifrado.
 EL EM EN TO DESC RIP C IÓ N

Clave del Registro DisallowPlaintextPin

Valores predeterminados No hay cambios por versiones del sistema operativo

Deshabilitados y no configurados son equivalentes

Administración de directivas Requisito de reinicio: Ninguno

Requisito de cierre de sesión: Ninguno
Conflictos de directivas: Ninguno

Notas y recursos Si esta configuración de directiva está habilitada, es posible

que algunas tarjetas inteligentes no funcionen en equipos
que ejecutan Windows. Consulte al fabricante de tarjetas
inteligentes para determinar si se debe habilitar esta
configuración de directiva.

Invertir el nombre del firmante almacenado en un certificado al mostrarlo

Puede usar esta configuración de directiva para controlar la forma en que aparece el nombre del firmante
durante el inicio de sesión.

NOTE
Para ayudar a los usuarios a distinguir un certificado de otro, el nombre principal de usuario (UPN) y el nombre común se
muestran de forma predeterminada. Por ejemplo, cuando esta configuración está habilitada, si el firmante del certificado
es CN=User1, OU=Users, DN=example, DN=com y el UPN es user1@[Link], se muestra "User1" con
"user1@[Link]". Si el UPN no está presente, se muestra todo el nombre del firmante. Esta configuración controla la
apariencia de ese nombre de firmante y es posible que tenga que ajustarse para su organización.

Cuando esta configuración de directiva está activada, el nombre del firmante durante el inicio de sesión aparece
invertido de la forma en que se almacena en el certificado.
Cuando esta configuración de directiva no está activada, el nombre del firmante aparece igual que se almacena
en el certificado.

EL EM EN TO DESC RIP C IÓ N

Clave del Registro ReverseSubject

Valores predeterminados No hay cambios por versiones del sistema operativo

Deshabilitados y no configurados son equivalentes

Administración de directivas Requisito de reinicio: Ninguno

Requisito de cierre de sesión: Ninguno
Conflictos de directivas: Ninguno

Notas y recursos

Activar la propagación de certificados desde una tarjeta inteligente

Puede usar esta configuración de directiva para administrar la propagación de certificados que se produce
cuando se inserta una tarjeta inteligente.
 NOTE
El servicio de propagación de certificados se aplica cuando un usuario que ha iniciado sesión inserta una tarjeta
inteligente en un lector que está conectado al equipo. Esta acción hace que el certificado se lea desde la tarjeta inteligente.
A continuación, los certificados se agregan al almacén personal del usuario.

Cuando esta configuración de directiva está activada, la propagación de certificados se produce cuando el
usuario inserta la tarjeta inteligente.
Cuando esta configuración de directiva está desactivada, no se produce la propagación de certificados y los
certificados no están disponibles para las aplicaciones, como Outlook.

EL EM EN TO DESC RIP C IÓ N

Clave del Registro Cer tPropEnabled

Valores predeterminados No hay cambios por versiones del sistema operativo

Habilitados y no configurados son equivalentes

Administración de directivas Requisito de reinicio: Ninguno

Requisito de cierre de sesión: Ninguno
Conflictos de directivas: esta configuración de directiva debe
estar habilitada para permitir que la opción Activar la
propagación de certificados raíz desde la tarjeta inteligente
funcione cuando esté habilitada.

Notas y recursos

Activar la propagación de certificados raíz desde la tarjeta inteligente

Puede usar esta configuración de directiva para administrar la propagación del certificado raíz que se produce
cuando se inserta una tarjeta inteligente.

NOTE
El servicio de propagación de certificados se aplica cuando un usuario que ha iniciado sesión inserta una tarjeta
inteligente en un lector que está conectado al equipo. Esta acción hace que el certificado se lea desde la tarjeta inteligente.
A continuación, los certificados se agregan al almacén personal del usuario.

Cuando esta configuración de directiva está activada, la propagación del certificado raíz se produce cuando el
usuario inserta la tarjeta inteligente.
Cuando esta configuración de directiva no está activada, la propagación del certificado raíz no se produce
cuando el usuario inserta la tarjeta inteligente.

EL EM EN TO DESC RIP C IÓ N

Clave del Registro Propagación de EnableRootCer tificate

Valores predeterminados No hay cambios por versiones del sistema operativo

Habilitados y no configurados son equivalentes
 EL EM EN TO DESC RIP C IÓ N

Administración de directivas Requisito de reinicio: Ninguno

Requisito de cierre de sesión: Ninguno
Conflictos de directivas: para que esta configuración de
directiva funcione, también debe habilitarse la opción Activar
la propagación de certificados desde la tarjeta inteligente .

Notas y recursos

Activar el servicio de Plug and Play de tarjeta inteligente

Puede usar esta configuración de directiva para controlar si la tarjeta inteligente Plug and Play está habilitada.

NOTE
Los usuarios pueden usar tarjetas inteligentes de proveedores que han publicado sus controladores a través de Windows
Update sin necesidad de middleware especial. Estos controladores se descargarán de la misma manera que los
controladores para otros dispositivos en Windows. Si un controlador adecuado no está disponible en Windows Update, se
usa un mini driver compatible con PIV que se incluye con cualquiera de las versiones compatibles de Windows para estas
tarjetas.

Cuando esta configuración de directiva está activada, el sistema intenta instalar un controlador de dispositivo de
tarjeta inteligente la primera vez que se inserta una tarjeta inteligente en un lector de tarjetas inteligentes.
Cuando esta configuración de directiva no está activada, no se instala un controlador de dispositivo cuando se
inserta una tarjeta inteligente en un lector de tarjetas inteligentes.

EL EM EN TO DESC RIP C IÓ N

Clave del Registro EnableScPnP

Valores predeterminados No hay cambios por versiones del sistema operativo

Habilitados y no configurados son equivalentes

Administración de directivas Requisito de reinicio: Ninguno

Requisito de cierre de sesión: Ninguno
Conflictos de directivas: Ninguno

Notas y recursos Esta configuración de directiva solo se aplica a los

controladores de tarjeta inteligente que han pasado el
proceso de prueba de Windows Hardware Quality Labs
(WHQL).

Claves del Registro KSP de CSP base y tarjeta inteligente

Las siguientes claves del Registro se pueden configurar para el proveedor de servicios de criptografía base
(CSP) y el proveedor de almacenamiento de claves de tarjeta inteligente (KSP). En las tablas siguientes se
enumeran las claves. Todas las claves usan el tipo DWORD.
Las claves del Registro del CSP base están en el Registro en
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cr yptography\Defaults\Provider\Microsoft Base
Smar t Card Cr ypto Provider .
Las claves del Registro de la tarjeta inteligente KSP están en
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Cr yptography\Providers\Microsoft Smar t
Card Key Storage Provider .
Claves del Registro para el CSP base y KSP de tarjeta inteligente

C L AVE DEL REGIST RO DESC RIP C IÓ N

AllowPrivateExchangeKeyImpor t Un valor distinto de cero permite importar claves privadas

de intercambio RSA (por ejemplo, cifrado) para su uso en
escenarios de archivado de claves.
Valor predeterminado: 00000000

AllowPrivateSignatureKeyImpor t Un valor distinto de cero permite importar claves privadas

de firma RSA para su uso en escenarios de archivado de
claves.
Valor predeterminado: 00000000

DefaultPrivateKeyLenBits Define la longitud predeterminada de las claves privadas, si

lo desea.
Valor predeterminado: 00000400
Parámetro de generación de claves predeterminado: claves
de 1024 bits

RequireOnCardPrivateKeyGen Esta clave establece la marca que requiere la generación de

claves privadas en tarjeta (valor predeterminado). Si se
establece este valor, se puede importar una clave generada
en un host en la tarjeta inteligente. Esto se usa para tarjetas
inteligentes que no admiten la generación de claves en
tarjeta o donde se requiere la custodia de claves.
Valor predeterminado: 00000000

TransactionTimeoutMilliseconds Los valores de tiempo de espera predeterminados permiten

especificar si se producirá un error en las transacciones que
tardan demasiado tiempo.
Valor predeterminado: 000005dc
El tiempo de espera predeterminado para mantener
transacciones en la tarjeta inteligente es de 1,5 segundos.

Claves de registro adicionales para la tarjeta inteligente KSP

C L AVE DEL REGIST RO DESC RIP C IÓ N

AllowPrivateECDHEKeyImpor t Este valor permite importar claves privadas de curva elíptica

efímera Diffie-Hellman (ECDHE) para su uso en escenarios de
archivado de claves.
Valor predeterminado: 00000000

AllowPrivateECDSAKeyImpor t Este valor permite importar claves privadas del algoritmo de

firma digital de curva elíptica (ECDSA) para su uso en
escenarios de archivado de claves.
Valor predeterminado: 00000000

Comprobación de claves del Registro de CRL

En la tabla siguiente se enumeran las claves y los valores correspondientes para desactivar la comprobación de
la lista de revocación de certificados (CRL) en el Centro de distribución de claves (KDC) o el cliente. Para
administrar la comprobación de CRL, debe configurar los valores para el KDC y el cliente.
Comprobación de claves del Registro de CRL
 C L AVE DEL REGIST RO DETA L L ES

HKEY_LOCAL_MACHINE\SYSTEM\CCS\Ser vices\Kdc\U Tipo = DWORD

seCachedCRLOnlyAndIgnoreRevocationUnknownErro Valor = 1
rs

HKEY_LOCAL_MACHINE\SYSTEM\CCS\Control\LSA\K Tipo = DWORD

erberos\Parameters\UseCachedCRLOnlyAndIgnoreRe Valor = 1
vocationUnknownErrors

Configuración de directiva de grupo de tarjeta inteligente adicional y

claves del Registro
En una implementación de tarjeta inteligente, se pueden usar configuraciones de directiva de grupo adicionales
para mejorar la facilidad de uso o la seguridad. Dos de estas opciones de configuración de directiva que pueden
complementar una implementación de tarjeta inteligente son:
Desactivar la delegación de equipos
Inicio de sesión interactivo: no necesita CTRL+ALT+SUPR (no se recomienda)
La siguiente configuración de directiva de grupo relacionada con la tarjeta inteligente se encuentra en
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones
de seguridad.
Configuración de directiva de seguridad local

DIREC T IVA DE GRUP O

C O N F IGURA C IÓ N Y C L AVE DEL
REGIST RO P REDET ERM IN A DO DESC RIP C IÓ N

Inicio de sesión interactivo: requerir Deshabilitado Esta configuración de directiva de

tarjeta inteligente seguridad requiere que los usuarios
inicien sesión en un equipo mediante
scforceoption una tarjeta inteligente.

Habilitado Los usuarios solo pueden

iniciar sesión en el equipo mediante
una tarjeta inteligente.
Deshabilitado Los usuarios pueden
iniciar sesión en el equipo mediante
cualquier método.
 DIREC T IVA DE GRUP O
C O N F IGURA C IÓ N Y C L AVE DEL
REGIST RO P REDET ERM IN A DO DESC RIP C IÓ N

Inicio de sesión interactivo: Esta configuración de directiva no está Esta configuración determina lo que
comportamiento de extracción de definida, lo que significa que el sistema ocurre cuando la tarjeta inteligente de
tarjeta inteligente la trata como Sin acción . un usuario que ha iniciado sesión se
quita del lector de tarjetas inteligentes.
scremoveoption Las opciones son:
Sin acción
Bloquear estación de trabajo : la
estación de trabajo está bloqueada
cuando se quita la tarjeta inteligente,
por lo que los usuarios pueden salir del
área, tomar su tarjeta inteligente con
ellos y seguir manteniendo una sesión
protegida.
Forzar cierre de sesión : el usuario
cierra sesión automáticamente cuando
se quita la tarjeta inteligente.
Desconectar si una sesión de
Ser vicios de Escritorio remoto : la
eliminación de la tarjeta inteligente
desconecta la sesión sin cerrar la
sesión del usuario. El usuario puede
volver a insertar la tarjeta inteligente y
reanudar la sesión más adelante, o en
otro equipo equipado con un lector de
tarjetas inteligentes, sin tener que
volver a iniciar sesión. Si la sesión es
local, esta configuración de directiva
funciona de forma idéntica a la opción
Bloquear estación de trabajo .

Nota : En versiones anteriores de

Windows Server, Servicios de Escritorio
remoto se llamaba Terminal Services.

Desde el Editor de directivas de seguridad local ([Link]), puede editar y aplicar directivas del sistema para
administrar la delegación de credenciales para equipos locales o de dominio.
La siguiente configuración de directiva de grupo relacionada con la tarjeta inteligente se encuentra en
Configuración del equipo\Plantillas administrativas\System\Delegación de credenciales.
Las claves del Registro están en
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\Credssp\PolicyDefaults .

NOTE
En la tabla siguiente, las credenciales nuevas son aquellas que se le solicitan al ejecutar una aplicación.

Configuración de la directiva de delegación de credenciales

DIREC T IVA DE GRUP O

C O N F IGURA C IÓ N Y C L AVE DEL
REGIST RO P REDET ERM IN A DO DESC RIP C IÓ N
DIREC T IVA DE GRUP O
C O N F IGURA C IÓ N Y C L AVE DEL
REGIST RO P REDET ERM IN A DO DESC RIP C IÓ N

Permitir delegación de credenciales No configurado Esta configuración de directiva se

nuevas aplica:
Cuando se logró la autenticación del
AllowFreshCredentials servidor a través de un certificado
X509 de confianza o un protocolo
Kerberos.
A las aplicaciones que usan el
componente CredSSP (por ejemplo,
Servicios de Escritorio remoto).

Habilitado : puede especificar los

servidores donde se pueden delegar
las credenciales nuevas del usuario.
No configurado : después de la
autenticación mutua adecuada, se
permite la delegación de credenciales
nuevas a servicios de Escritorio remoto
que se ejecutan en cualquier equipo.
Deshabilitado : no se permite la
delegación de credenciales nuevas a
ningún equipo.

Nota : Esta configuración de directiva

se puede establecer en uno o varios
nombres de entidad de seguridad de
servicio (SPN). El SPN representa el
servidor de destino donde se pueden
delegar las credenciales de usuario. Se
permite un carácter comodín único al
especificar el SPN, por ejemplo:
Use *TERMSRV/** para el host de
sesión de Escritorio remoto (host de
sesión de Escritorio remoto) que se
ejecuta en cualquier equipo.
Use
TERMSRV/[Link]
[Link] para el host de sesión de
Escritorio remoto que se ejecuta en el
equipo
[Link].
Use
TERMSRV/*.[Link].c
om para el host de sesión de Escritorio
remoto que se ejecuta en todos los
equipos de
.[Link]
 DIREC T IVA DE GRUP O
C O N F IGURA C IÓ N Y C L AVE DEL
REGIST RO P REDET ERM IN A DO DESC RIP C IÓ N

Permitir delegación de credenciales No configurado Esta configuración de directiva se

nuevas con autenticación de servidor aplica:
solo NTLM Cuando se logró la autenticación del
servidor mediante NTLM.
AllowFreshCredentialsWhenNTLM Para las aplicaciones que usan el
Only componente CredSSP (por ejemplo,
Escritorio remoto).

Habilitado : puede especificar los

servidores donde se pueden delegar
las credenciales nuevas del usuario.
No configurado : después de la
autenticación mutua adecuada, se
permite la delegación de credenciales
nuevas al host de sesión de Escritorio
remoto que se ejecuta en cualquier
equipo (TERMSRV/*).
Deshabilitado : no se permite la
delegación de credenciales nuevas a
ningún equipo.

Nota : Esta configuración de directiva

se puede establecer en uno o varios
SPN. El SPN representa el servidor de
destino donde se pueden delegar las
credenciales de usuario. Se permite un
solo carácter comodín (*) al especificar
el SPN.
Consulte la descripción de la
configuración de directiva Permitir
credenciales nuevas de
delegación para obtener ejemplos.

Denegar la delegación de credenciales No configurado Esta configuración de directiva se

nuevas aplica a las aplicaciones que usan el
componente CredSSP (por ejemplo,
DenyFreshCredentials Escritorio remoto).

Habilitado : puede especificar los

servidores en los que no se pueden
delegar las credenciales nuevas del
usuario.
Deshabilitado o no configurado :
no se especifica un servidor.

Nota : Esta configuración de directiva

se puede establecer en uno o varios
SPN. El SPN representa el servidor de
destino donde no se pueden delegar
las credenciales de usuario. Se permite
un solo carácter comodín (*) al
especificar el SPN.
Para obtener ejemplos, consulte la
configuración de directiva "Permitir la
delegación de credenciales nuevas".

Si usa Servicios de Escritorio remoto con inicio de sesión de tarjeta inteligente, no puede delegar las
credenciales predeterminadas y guardadas. Las claves del Registro de la tabla siguiente, que se encuentran en
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\Credssp\PolicyDefaults , y se omite la
configuración de directiva de grupo correspondiente.

C O N F IGURA C IÓ N DE DIREC T IVA DE GRUP O

C L AVE DEL REGIST RO C O RRESP O N DIEN T E

AllowDefaultCredentials Permitir delegación de credenciales predeterminadas

AllowDefaultCredentialsWhenNTLMOnly Permitir delegación de credenciales predeterminadas con

autenticación de servidor solo NTLM

AllowSavedCredentials Permitir delegación de credenciales guardadas

AllowSavedCredentialsWhenNTLMOnly Permitir delegación de credenciales guardadas con

autenticación de servidor solo NTLM

Ver también
Referencia técnica de tarjeta inteligente
 Eventos de tarjeta inteligente
08/11/2022 • 15 minutes to read

En este tema para el desarrollador de tarjetas inteligentes y profesionales de TI se describen los eventos
relacionados con la implementación y el desarrollo de tarjetas inteligentes.
Se pueden usar varios eventos para supervisar las actividades de tarjeta inteligente en un equipo, incluida la
instalación, el uso y los errores. En las secciones siguientes se describen los eventos y la información que se
pueden usar para administrar tarjetas inteligentes en una organización.
Nombre del lector de tarjetas inteligentes
Eventos de advertencia de tarjeta inteligente
Eventos de error de tarjeta inteligente
Eventos de Plug and Play de tarjeta inteligente

Nombre del lector de tarjetas inteligentes

El administrador de recursos de tarjeta inteligente no usa el nombre del dispositivo de Administrador de
dispositivos para describir un lector de tarjetas inteligentes. En su lugar, el nombre se construye a partir de tres
atributos de dispositivo que se consultan directamente desde el controlador de lector de tarjetas inteligentes.
Los tres atributos siguientes se usan para construir el nombre del lector de tarjeta inteligente:
Nombre del proveedor
Tipo de dispositivo de interfaz
Unidad de dispositivo
El nombre del dispositivo del lector de tarjeta inteligente se construye con el formato <VendorName> <Type>
<DeviceUnit>. Por ejemplo, "Contoso Smart Card Reader 0" se construye a partir de la siguiente información:
Nombre del proveedor: Contoso
Tipo de dispositivo de interfaz: Lector de tarjeta inteligente
Unidad de dispositivo: 0

Eventos de advertencia de tarjeta inteligente

Nota IOCTL en la tabla siguiente hace referencia al control de entrada y salida.

ID. DE EVEN TO M EN SA JE DE A DVERT EN C IA DESC RIP C IÓ N

 ID. DE EVEN TO M EN SA JE DE A DVERT EN C IA DESC RIP C IÓ N

620 La tarjeta inteligente Resource Esto ocurre si el administrador de

Manager no pudo cancelar IOCTL %3 recursos intenta cancelar un comando
para el lector '%2': %1. Es posible que al lector de tarjetas inteligentes cuando
el lector ya no responda. Si este error el servicio de tarjeta inteligente se está
persiste, es posible que la tarjeta cerrando o después de quitar una
inteligente o el lector no funcionen tarjeta inteligente del lector de tarjetas
correctamente. %n%nComando inteligentes y no se pudo cancelar el
encabezado: %4 comando. Esto puede dejar el lector de
tarjetas inteligentes en un estado
inutilizable hasta que se quite del
equipo o se reinicie el equipo.

%1 = Código de error de Windows

%2 = Nombre del lector de tarjeta
inteligente
%3 = IOCTL que se está cancelando
%4 = Primeros 4 bytes del comando
que se envió a la tarjeta inteligente

619 El lector de tarjetas inteligentes '%2' no Esto ocurre cuando un lector no ha

ha respondido a IOCTL %3 en %1 respondido a un IOCTL después de un
segundos. Si este error persiste, es período de tiempo inusualmente largo.
posible que la tarjeta inteligente o el Actualmente, este error se envía
lector no funcionen correctamente. después de que un lector no responda
%n%nComando encabezado: %4 durante 150 segundos. Esto puede
dejar el lector de tarjetas inteligentes
en un estado inutilizable hasta que se
quite del equipo o se reinicie el equipo.

%1 = Número de segundos que el

IOCTL ha estado esperando
%2 = Nombre del lector de tarjeta
inteligente
%3 = IOCTL enviado
%4 = Primeros 4 bytes del comando
que se envió a la tarjeta inteligente

Eventos de error de tarjeta inteligente

ID. DE EVEN TO M EN SA JE DE ERRO R DESC RIP C IÓ N

202 No se pudo inicializar la aplicación de Error y el servicio no se puede

servidor inicializar correctamente. Reiniciar el
equipo puede resolver el problema.

203 El control de servidor no tiene Se trata de un error interno

memoria para el objeto de referencia irrecuperable que indica un error en el
del lector. servicio de tarjeta inteligente. La causa
más común son los recursos de equipo
limitados. Reiniciar el equipo puede
resolver el problema.
ID. DE EVEN TO M EN SA JE DE ERRO R DESC RIP C IÓ N

204 No se pudo crear el evento de Se trata de un error interno

apagado del control de servidor: %1 irrecuperable que indica un error en el
servicio de tarjeta inteligente. La causa
más común son los recursos de equipo
limitados. Reiniciar el equipo puede
resolver el problema.
%1 = Código de error de Windows

205 El objeto lector tiene un nombre Hay dos lectores de tarjetas

duplicado: %1 inteligentes que tienen el mismo
nombre. Quite el lector de tarjetas
inteligentes que está causando este
mensaje de error.
%1 = Nombre del lector de tarjetas
inteligentes duplicado

206 No se pudo crear un evento de cambio Se trata de un error interno

de lector global. irrecuperable que indica un error en el
servicio de tarjeta inteligente. La causa
más común son los recursos de equipo
limitados. Reiniciar el equipo puede
resolver el problema.

401 Excepción de apagado del lector del Un lector de tarjetas inteligentes no

comando de expulsión de tarjeta pudo expulsar una tarjeta inteligente
inteligente mientras el lector de tarjetas
inteligentes se apagaba.

406 El objeto Lector no puede identificar el Un lector de tarjetas inteligentes no

dispositivo respondió correctamente a una
solicitud de información sobre el
dispositivo, que es necesaria para
construir el nombre del lector de
tarjetas inteligentes. El servicio no
reconocerá el lector de tarjetas
inteligentes hasta que se quite del
equipo y se vuelva a insertar o hasta
que se reinicie el equipo.

502 Error en la inicialización de la sección Se trata de un error interno

crítica del estado del servicio irrecuperable que indica un error en el
servicio de tarjeta inteligente. La causa
más común son los recursos de equipo
limitados. Reiniciar el equipo puede
resolver el problema.

504 Resource Manager no se puede crear Se trata de un error interno

la marca de evento de apagado: %1 irrecuperable que indica un error en el
servicio de tarjeta inteligente. La causa
más común son los recursos de equipo
limitados. Reiniciar el equipo puede
resolver el problema.
%1 = Código de error de Windows
ID. DE EVEN TO M EN SA JE DE ERRO R DESC RIP C IÓ N

506 La tarjeta inteligente Resource Se trata de un error interno

Manager no pudo registrar el servicio: irrecuperable que indica un error en el
%1 servicio de tarjeta inteligente. La causa
más común son los recursos de equipo
limitados. Reiniciar el equipo puede
resolver el problema.
%1 = Código de error de Windows

506 La tarjeta inteligente Resource Error al intentar agregar un lector de

Manager recibió una excepción Plug and Play. Es posible que el
inesperada del evento PnP %1 dispositivo ya esté en uso o que esté
defectuoso. Para resolver este mensaje
de error, intente volver a agregar el
dispositivo o reinicie el equipo.
%1 = Nombre del identificador
afectado

507 No hay memoria disponible para la No hay suficiente memoria del sistema
sección Crítico del estado del servicio disponible. Esto impide que el servicio
administre el estado. Reiniciar el equipo
puede resolver el problema.

508 La tarjeta inteligente Resource Error al intentar agregar un lector de

Manager recibió una excepción Plug and Play. Es posible que el
inesperada del evento PnP %1 dispositivo ya esté en uso o que esté
defectuoso. Para resolver este mensaje
de error, intente volver a agregar el
dispositivo o reinicie el equipo.
%1 = Nombre del identificador
afectado

509 La tarjeta inteligente Resource Error al intentar agregar un lector de

Manager recibió una excepción Plug and Play. Es posible que el
inesperada del evento PnP %1 dispositivo ya esté en uso o que esté
defectuoso. Para resolver este mensaje
de error, intente volver a agregar el
dispositivo o reinicie el equipo.
%1 = Nombre del identificador
afectado

510 Tarjeta inteligente Resource Manager Error al intentar agregar un lector de

identificador NULL recibido del evento tarjetas inteligentes Plug and Play. Es
PnP %1 posible que el dispositivo ya esté en
uso o que esté defectuoso. Para
resolver este mensaje de error, intente
volver a agregar el dispositivo o
reinicie el equipo.
%1 = Nombre del identificador
afectado

511 La tarjeta inteligente Resource Error al intentar agregar un lector de

Manager recibió una excepción Plug and Play. Es posible que el
inesperada del evento PnP %1 dispositivo ya esté en uso o que esté
defectuoso. Para resolver este mensaje
de error, intente volver a agregar el
dispositivo o reinicie el equipo.
%1 = Nombre del identificador
afectado
ID. DE EVEN TO M EN SA JE DE ERRO R DESC RIP C IÓ N

512 Tarjeta inteligente Resource Manager Error al intentar agregar un lector de

identificador NULL recibido del evento tarjetas inteligentes Plug and Play. Es
PnP %1 posible que el dispositivo ya esté en
uso o que esté defectuoso. Para
resolver este mensaje de error, intente
volver a agregar el dispositivo o
reinicie el equipo.
%1 = Nombre del identificador
afectado

513 La tarjeta inteligente Resource Error al intentar agregar un lector de

Manager recibió una excepción Plug and Play. Es posible que el
inesperada del evento PnP %1 dispositivo ya esté en uso o que esté
defectuoso. Para resolver este mensaje
de error, intente volver a agregar el
dispositivo o reinicie el equipo.
%1 = Nombre del identificador
afectado

514 No se pudo agregar el lector %2: %1 a Se trata de un error interno

la tarjeta inteligente Resource Manager irrecuperable que indica un error en el
servicio de tarjeta inteligente. La causa
más común son los recursos de equipo
limitados. Reiniciar el equipo puede
resolver el problema.
%1 = Código de error de Windows
%2 = Nombre del lector de tarjeta
inteligente

515 No se pudo declarar el estado de la Se trata de un error interno

tarjeta inteligente Resource Manager: irrecuperable que indica un error en el
%1 servicio de tarjeta inteligente. Es
posible que el servicio de tarjeta
inteligente no funcione correctamente.
Reiniciar el servicio o equipo puede
resolver este problema.
%1 = Código de error de Windows

516 Tarjeta inteligente Resource Manager Se trata de un error interno

no se pudo declarar el apagado: %1 irrecuperable que indica un error en el
servicio de tarjeta inteligente. Es
posible que el servicio de tarjeta
inteligente no pueda detenerse.
Reiniciar el equipo puede resolver este
problema.
%1 = Código de error de Windows

517 Tarjeta inteligente Resource Manager Se trata de un error interno

recibió una excepción inesperada al irrecuperable que indica un error en el
intentar agregar el lector %1 servicio de tarjeta inteligente. La causa
más común son los recursos de equipo
limitados. Reiniciar el equipo puede
resolver el problema.
%1 = Nombre del lector de tarjeta
inteligente
ID. DE EVEN TO M EN SA JE DE ERRO R DESC RIP C IÓ N

521 Tarjeta inteligente Resource Manager Error al intentar agregar un lector de

identificador NULL recibido del evento tarjetas inteligentes Plug and Play. Es
PnP %1 posible que el dispositivo ya esté en
uso o que esté defectuoso. Para
resolver este mensaje de error, intente
volver a agregar el dispositivo o
reinicie el equipo.
%1 = Nombre del identificador
afectado

523 Tarjeta inteligente Resource Manager Error al intentar agregar un lector de

identificador NULL recibido del evento tarjetas inteligentes Plug and Play. Es
PnP %1 posible que el dispositivo ya esté en
uso o que esté defectuoso. Para
resolver este mensaje de error, intente
volver a agregar el dispositivo o
reinicie el equipo.
%1 = Nombre del identificador
afectado

602 La inicialización del controlador de El servicio no puede abrir un canal de

lector WDM no puede abrir el comunicación con el lector de tarjetas
dispositivo lector: %1 inteligentes. No puede usar el lector de
tarjetas inteligentes hasta que se
resuelva el problema.
%1 = Código de error de Windows

603 La inicialización del controlador del No hay suficiente memoria del sistema
lector WDM no tiene memoria disponible. Esto impide que el servicio
disponible para controlar el dispositivo administre el lector de tarjetas
%1 inteligentes que se agregó. Reiniciar el
equipo puede resolver el problema.
%1 = Nombre del lector afectado

604 El control de servidor no puede Se trata de un error interno

establecer el evento de eliminación del irrecuperable que indica un error en el
lector: %1 servicio de tarjeta inteligente. La causa
más común son los recursos de equipo
limitados. Reiniciar el equipo puede
resolver el problema.
%1 = Código de error de Windows

605 El objeto lector no pudo crear un Se trata de un error interno

evento superpuesto: %1 irrecuperable que indica un error en el
servicio de tarjeta inteligente. La causa
más común son los recursos de equipo
limitados. Reiniciar el equipo puede
resolver el problema.
%1 = Código de error de Windows

606 El objeto lector no pudo crear un Se trata de un error interno

evento de eliminación: %1 irrecuperable que indica un error en el
servicio de tarjeta inteligente. La causa
más común son los recursos de equipo
limitados. Reiniciar el equipo puede
resolver el problema.
%1 = Código de error de Windows
ID. DE EVEN TO M EN SA JE DE ERRO R DESC RIP C IÓ N

607 No se pudo iniciar el subproceso de Se trata de un error interno

supervisión del objeto lector: %1 irrecuperable que indica un error en el
servicio de tarjeta inteligente. La causa
más común son los recursos de equipo
limitados. Reiniciar el equipo puede
resolver el problema.
%1 = Código de error de Windows

608 No se pudo crear el temporizador de Se trata de un error interno

apagado del monitor de lector: %1 irrecuperable que indica un error en el
servicio de tarjeta inteligente. La causa
más común son los recursos de equipo
limitados. Reiniciar el equipo puede
resolver el problema.
%1 = Código de error de Windows

609 El monitor del lector no pudo crear un Se trata de un error interno

evento superpuesto: %1 irrecuperable que indica un error en el
servicio de tarjeta inteligente. La causa
más común son los recursos de equipo
limitados. Reiniciar el equipo puede
resolver el problema.
%1 = Código de error de Windows

610 Lector de tarjeta inteligente '%2' El lector no puede transmitir

rechazado IOCTL %3: %1 Si este error correctamente el IOCTL indicado a la
persiste, es posible que la tarjeta tarjeta inteligente. Esto puede indicar
inteligente o el lector no funcionen un error de hardware, pero este error
correctamente.%n%nComando también puede producirse si se quita
encabezado: %4 una tarjeta inteligente o un lector de
tarjetas inteligentes del sistema
mientras se está realizando una
operación.
%1 = Código de error de Windows
%2 = Nombre del lector de tarjetas
inteligentes
%3 = IOCTL que se envió
%4 = Primeros 4 bytes del comando
enviado a la tarjeta inteligente
Estos eventos se deben a la
funcionalidad heredada en la pila de
tarjetas inteligentes. Se puede omitir si
no hay ningún error perceptible en los
escenarios de uso de tarjetas
inteligentes. También puede ver este
error si su eSIM se reconoce como un
controlador de tarjeta inteligente.

611 Error en la inicialización del lector de Se trata de un error interno

tarjetas inteligentes irrecuperable que indica un error en el
servicio de tarjeta inteligente. La causa
más común son los recursos de equipo
limitados. Reiniciar el equipo puede
resolver este problema.
ID. DE EVEN TO M EN SA JE DE ERRO R DESC RIP C IÓ N

612 Umbral de reintento de error del Esto ocurre cuando un lector de

monitor de inserción del lector tarjetas inteligentes falla varias veces
alcanzado: %1 para responder correctamente al
IOCTL, lo que indica si una tarjeta
inteligente está presente en el lector. El
lector de tarjetas inteligentes está
marcado como defectuoso y no es
reconocido por el servicio hasta que se
quita del equipo y se reinicia o hasta
que se reinicia el equipo.
%1 = Código de error de Windows

615 Umbral de reintento de error del Esto ocurre cuando un lector de

monitor de eliminación del lector tarjetas inteligentes falla varias veces
alcanzado: %1 para responder correctamente al
IOCTL, lo que indica si una tarjeta
inteligente está presente en el lector. El
lector de tarjetas inteligentes está
marcado como defectuoso y no es
reconocido por el servicio hasta que se
quita del equipo y se reinicia o hasta
que se reinicia el equipo.
%1 = Código de error de Windows

616 El monitor de lector '%2' recibió código Esto ocurre cuando un lector de
de error no detectada: %1 tarjetas inteligentes falla varias veces
para responder correctamente al
IOCTL, lo que indica si una tarjeta
inteligente está presente en el lector. El
lector de tarjetas inteligentes está
marcado como defectuoso y no es
reconocido por el servicio hasta que se
quita del equipo y se reinicia o hasta
que se reinicia el equipo.
%1 = Código de error de Windows
%2 = Nombre del lector

617 Excepción del monitor de lector '%1': Error desconocido al supervisar un

salir del subproceso lector de tarjetas inteligentes para
inserciones y eliminaciones de tarjetas
inteligentes. El lector de tarjetas
inteligentes está marcado como
defectuoso y no es reconocido por el
servicio hasta que se quita del equipo
y se reinicia o hasta que se reinicia el
equipo.
%1 = Nombre del lector de tarjeta
inteligente

618 La tarjeta inteligente Resource Se trata de un error interno

Manager encontró un error interno irrecuperable que indica un error en el
irrecuperable. servicio de tarjeta inteligente. La causa
más común son los recursos de equipo
limitados. Reiniciar el equipo puede
resolver el problema.
 ID. DE EVEN TO M EN SA JE DE ERRO R DESC RIP C IÓ N

621 No se pudo acceder al evento de inicio Se trata de un error interno

del control de servidor: %1 irrecuperable que indica un error en el
servicio de tarjeta inteligente. La causa
más común son los recursos de equipo
limitados. Reiniciar el equipo puede
resolver el problema.
%1 = Código de error de Windows
Estos eventos se deben a la
funcionalidad heredada en la pila de
tarjetas inteligentes. Se puede omitir si
no hay ningún error perceptible en los
escenarios de uso de tarjetas
inteligentes.

622 Control de servidor no pudo acceder al Se trata de un error interno

evento de detención: %1 irrecuperable que indica un error en el
servicio de tarjeta inteligente. La causa
más común son los recursos de equipo
limitados. Reiniciar el equipo puede
resolver el problema.
%1 = Código de error de Windows

Eventos de Plug and Play de tarjeta inteligente

ID. DE EVEN TO T IP O DE EVEN TO M EN SA JE DE EVEN TO DESC RIP C IÓ N

1000 Error No se pudo obtener el La tarjeta inteligente Plug

identificador de dispositivo and Play no pudo obtener
para la tarjeta inteligente en el identificador de
el lector %1. El código dispositivo de la tarjeta
devuelto es %2. inteligente. Esta información
es necesaria para
determinar el controlador
correcto. La tarjeta
inteligente puede estar
defectuosa.
%1 = Nombre del lector de
tarjeta inteligente
%2 = Código de error de
Windows

1001 Información Software instalado La tarjeta inteligente Plug

correctamente para la and Play instalado
tarjeta inteligente en el correctamente un
lector %1. El nombre de la minidriver para la tarjeta
tarjeta inteligente es %2. insertada.
%1 = Nombre del lector de
tarjeta inteligente
%2 = Nombre del nuevo
dispositivo de tarjeta
inteligente

Ver también
Referencia técnica de tarjeta inteligente
 Información general sobre tarjetas inteligentes
virtuales
08/11/2022 • 9 minutes to read

Este tema para profesionales de TI proporciona información general sobre la tecnología de tarjetas inteligentes
virtuales desarrollada por Microsoft e incluye vínculos a temas adicionales que le ayudarán a evaluar, planear,
aprovisionar y administrar tarjetas inteligentes virtuales.
¿Te refieres a...
Tarjetas inteligentes

NOTE
Windows Hello para empresas es la autenticación moderna en dos fases para Windows 10. Microsoft dejará de usar las
tarjetas inteligentes virtuales en el futuro, pero no se ha establecido ninguna fecha en este momento. Los clientes que
usan Windows 10 y tarjetas inteligentes virtuales deben pasar a Windows Hello para empresas. Microsoft publicará la
fecha con antelación para asegurarse de que los clientes tengan tiempo de plazo adecuado para pasar a Windows Hello
para empresas. Se recomienda que las nuevas implementaciones de Windows 10 usen Windows Hello para empresas. Las
tarjetas inteligentes virtuales siguen siendo compatibles con Windows 7 y Windows 8.

Descripción de la característica
La tecnología de tarjetas inteligentes virtuales de Microsoft ofrece ventajas de seguridad comparables a las
tarjetas inteligentes físicas mediante la autenticación en dos fases. Las tarjetas inteligentes virtuales emulan la
funcionalidad de las tarjetas inteligentes físicas, pero usan el chip módulo de plataforma segura (TPM) que está
disponible en equipos de muchas organizaciones, en lugar de requerir el uso de una tarjeta inteligente física y
un lector independientes. Las tarjetas inteligentes virtuales se crean en el TPM, donde las claves que se usan
para la autenticación se almacenan en hardware protegido criptográficamente.
Mediante el uso de dispositivos TPM que proporcionan las mismas funcionalidades criptográficas que las
tarjetas inteligentes físicas, las tarjetas inteligentes virtuales logran las tres propiedades clave que se desean
para las tarjetas inteligentes: no exportabilidad, criptografía aislada y anti-martillado.

Aplicaciones prácticas
Las tarjetas inteligentes virtuales son funcionalmente similares a las tarjetas inteligentes físicas y aparecen en
Windows como tarjetas inteligentes que siempre se insertan. Las tarjetas inteligentes virtuales se pueden usar
para la autenticación en recursos externos, la protección de datos mediante el cifrado seguro y la integridad
mediante la firma confiable. Se implementan fácilmente mediante métodos internos o una solución comprada, y
pueden convertirse en un reemplazo completo de otros métodos de autenticación segura en una configuración
corporativa de cualquier escala.
Casos de uso de autenticación
Autenticación en dos fases\acceso remoto basado en u2012
Después de que un usuario tenga una tarjeta inteligente virtual tpm totalmente funcional, aprovisionada con un
certificado de inicio de sesión, el certificado se usa para obtener acceso fuertemente autenticado a los recursos
corporativos. Cuando se aprovisiona el certificado adecuado en la tarjeta virtual, el usuario solo necesita
proporcionar el PIN de la tarjeta inteligente virtual, como si fuera una tarjeta inteligente física, para iniciar sesión
en el dominio.
En la práctica, esto es tan fácil como escribir una contraseña para acceder al sistema. Técnicamente, es mucho
más seguro. El uso de la tarjeta inteligente virtual para acceder al sistema demuestra al dominio que el usuario
que solicita la autenticación tiene posesión del equipo personal en el que se ha aprovisionado la tarjeta y conoce
el PIN de la tarjeta inteligente virtual. Dado que esta solicitud no pudo haberse originado posiblemente desde
un sistema distinto del sistema certificado por el dominio para el acceso de este usuario y el usuario no pudo
haber iniciado la solicitud sin conocer el PIN, se establece una autenticación segura en dos fases.
Autenticación de cliente
Las tarjetas inteligentes virtuales también se pueden usar para la autenticación de cliente mediante secure
socket layer (SSL) o una tecnología similar. De forma similar al acceso al dominio con una tarjeta inteligente
virtual, se puede aprovisionar un certificado de autenticación para la tarjeta inteligente virtual, que se
proporciona a un servicio remoto, tal como se solicita en el proceso de autenticación del cliente. Esto se ajusta a
los principios de la autenticación en dos fases porque el certificado solo es accesible desde el equipo que
hospeda la tarjeta inteligente virtual y el usuario debe escribir el PIN para el acceso inicial a la tarjeta.
Redirección de tarjetas inteligentes vir tuales para conexiones de escritorio remoto
El concepto de autenticación en dos fases asociada a las tarjetas inteligentes virtuales se basa en la proximidad
de los usuarios a los equipos a los que acceden a los recursos de dominio. Por lo tanto, cuando un usuario se
conecta de forma remota a un equipo que hospeda tarjetas inteligentes virtuales, las tarjetas inteligentes
virtuales que se encuentran en el equipo remoto no se pueden usar durante la sesión remota. Sin embargo, las
tarjetas inteligentes virtuales que se almacenan en el equipo de conexión (que está bajo el control físico del
usuario) se cargan en el equipo remoto y se pueden usar como si se hubieran instalado mediante el TPM del
equipo remoto. Esto amplía los privilegios de un usuario al equipo remoto, a la vez que mantiene los principios
de la autenticación en dos fases.
Windows To Go y tarjetas inteligentes vir tuales
Las tarjetas inteligentes virtuales funcionan bien con Windows To Go, donde un usuario puede arrancar en una
versión compatible de Windows desde un dispositivo de almacenamiento extraíble compatible. Se puede crear
una tarjeta inteligente virtual para el usuario y está asociada al TPM en el equipo host físico al que está
conectado el dispositivo de almacenamiento extraíble. Cuando el usuario inicia el sistema operativo desde un
equipo físico diferente, la tarjeta inteligente virtual no estará disponible. Esto se puede usar para escenarios en
los que muchos usuarios comparten un único equipo físico. A cada usuario se le puede proporcionar un
dispositivo de almacenamiento extraíble para Windows To Go, que tiene una tarjeta inteligente virtual
aprovisionada para el usuario. De este modo, los usuarios solo pueden acceder a su tarjeta inteligente virtual
personal.
Casos de uso de confidencialidad
Cifrado de correo electrónico S/MIME
Las tarjetas inteligentes físicas están diseñadas para contener claves privadas que se pueden usar para el cifrado
y descifrado de correo electrónico. Esta funcionalidad también existe en las tarjetas inteligentes virtuales. Al usar
S/MIME con la clave pública de un usuario para cifrar el correo electrónico, el remitente de un correo electrónico
puede estar seguro de que solo la persona con la clave privada correspondiente podrá descifrar el correo
electrónico. Esta garantía es el resultado de la no exportabilidad de la clave privada. Nunca existe al alcance de
software malintencionado y permanece protegido por el TPM, incluso durante el descifrado.
BitLocker para volúmenes de datos
La tecnología de cifrado de unidad sBitLocker usa el cifrado de clave simétrica para proteger el contenido del
disco duro de un usuario. Esto garantiza que si la propiedad física de un disco duro está en peligro, un
adversario no podrá leer los datos de la unidad. La clave utilizada para cifrar la unidad se puede almacenar en
una tarjeta inteligente virtual, lo que requiere conocimientos del PIN de la tarjeta inteligente virtual para acceder
a la unidad y la posesión del equipo que hospeda la tarjeta inteligente virtual tpm. Si la unidad se obtiene sin
acceso al TPM que hospeda la tarjeta inteligente virtual, cualquier ataque por fuerza bruta será muy difícil.
BitLocker también se puede usar para cifrar unidades portátiles, lo que implica almacenar claves en tarjetas
inteligentes virtuales. En este escenario (a diferencia del uso de BitLocker con una tarjeta inteligente física), la
unidad cifrada solo se puede usar cuando está conectada al host para la tarjeta inteligente virtual que se usa
para cifrar la unidad, ya que la clave de BitLocker solo es accesible desde este equipo. Sin embargo, este método
puede ser útil para garantizar la seguridad de las unidades de copia de seguridad y los usos de almacenamiento
personal fuera del disco duro principal.
Caso de uso de integridad de datos
Datos de firma
Para comprobar la autoría de los datos, un usuario puede firmarlos mediante una clave privada que se almacena
en la tarjeta inteligente virtual. Las firmas digitales confirman la integridad y el origen de los datos. Si la clave se
almacena en un sistema operativo accesible, un usuario malintencionado podría acceder a ella y usarla para
modificar los datos ya firmados o para suplantar la identidad del propietario de la clave. Sin embargo, si esta
clave se almacena en una tarjeta inteligente virtual, solo se puede usar para firmar datos en el equipo host. No
se puede exportar a otros sistemas (intencionada o involuntariamente, como con el robo de malware). Esto hace
que las firmas digitales sean mucho más seguras que otros métodos para el almacenamiento de claves
privadas.

Funcionalidad nueva y modificada a partir de Windows 8.1

Las mejoras en Windows 8.1 permiten a los desarrolladores crear aplicaciones de Microsoft Store para crear y
administrar tarjetas inteligentes virtuales.
El protocolo de administración de dispositivos de tarjeta inteligente virtual DCOM Interfaces for Trusted
Platform Module (TPM) proporciona una interfaz de protocolo remoto del modelo de objetos de componente
distribuido (DCOM) que se usa para crear y destruir tarjetas inteligentes virtuales. Una tarjeta inteligente virtual
es un dispositivo que presenta una interfaz de dispositivo que cumple con la especificación de PC/SC para
dispositivos de interfaz conectados por PC a su plataforma de sistema operativo (SO) host. Este protocolo no
supone nada sobre la implementación subyacente de dispositivos de tarjetas inteligentes virtuales. En concreto,
aunque está destinada principalmente a la administración de tarjetas inteligentes virtuales basadas en TPMs,
también se puede usar para administrar otros tipos de tarjetas inteligentes virtuales.
¿Qué valor apor ta este cambio?
A partir de Windows 8.1, los desarrolladores de aplicaciones pueden compilar en sus aplicaciones las siguientes
funcionalidades de mantenimiento de tarjetas inteligentes virtuales para aliviar algunas de las cargas
administrativas.
Cree una nueva tarjeta inteligente virtual o seleccione una tarjeta inteligente virtual en la lista de tarjetas
inteligentes virtuales disponibles en el sistema. Identifique el con el que se supone que la aplicación debe
trabajar.
Personalice la tarjeta inteligente virtual.
Cambie la clave de administrador.
Diversifique la clave de administrador que permite al usuario desbloquear el PIN en un escenario
bloqueado por PIN.
Cambie el PIN.
Restablezca o desbloquee el PIN.
Destruya la tarjeta inteligente virtual.
¿Qué funciona de manera diferente?
A partir de Windows 8.1, los desarrolladores de aplicaciones de Microsoft Store pueden crear aplicaciones que
tengan la capacidad de pedir al usuario que restablezca o desbloquee y cambie un PIN de tarjeta inteligente
virtual. Esto supone más responsabilidad para el usuario de mantener su tarjeta inteligente virtual, pero
también puede proporcionar una experiencia de usuario y una experiencia de administración más coherentes en
su organización.
Para obtener más información sobre el desarrollo de aplicaciones de Microsoft Store con estas funcionalidades,
consulte Trusted Platform Module Virtual Smart Card Management Protocol( Protocolo de administración de
tarjetas inteligentes virtuales del módulo de plataforma segura).
Para obtener más información sobre cómo administrar estas funcionalidades en tarjetas inteligentes virtuales,
consulte Descripción y evaluación de tarjetas inteligentes virtuales.

Requisitos de hardware
Para usar la tecnología de tarjeta inteligente virtual, TPM 1.2 es el mínimo necesario para los equipos que
ejecutan Windows 10 o Windows Server 2016.

Requisitos de software
Para usar la tecnología de tarjeta inteligente virtual, los equipos deben ejecutar uno de los siguientes sistemas
operativos:
Windows Server 2016
Windows Server 2012 R2
Windows Server 2012
Windows10
Windows 8.1
Windows 8

Ver también
Comprender y evaluar las tarjetas inteligentes virtuales
Introducción a las tarjetas inteligentes virtuales: guía paso a paso
Usar tarjetas inteligentes virtuales
Implementar tarjetas inteligentes virtuales
Evaluar la seguridad de las tarjetas inteligentes virtuales
Tpmvscmgr
 Comprender y evaluar las tarjetas inteligentes
virtuales
08/11/2022 • 15 minutes to read

En este tema para profesionales de TI se describe la tecnología de tarjetas inteligentes virtuales desarrollada por
Microsoft; sugiere cómo puede caber en el diseño de autenticación; y proporciona vínculos a recursos
adicionales que puede usar para diseñar, implementar y solucionar problemas de tarjetas inteligentes virtuales.
La tecnología de tarjetas inteligentes virtuales usa claves criptográficas que se almacenan en equipos que tienen
instalado el módulo de plataforma segura (TPM). Las tarjetas inteligentes virtuales ofrecen ventajas de
seguridad comparables a las tarjetas inteligentes convencionales mediante la autenticación en dos fases. La
tecnología también ofrece más comodidad para los usuarios y tiene un menor costo de implementación.
Mediante el uso de dispositivos TPM que proporcionan las mismas capacidades criptográficas que las tarjetas
inteligentes convencionales, las tarjetas inteligentes virtuales logran las tres propiedades clave que se desean
para las tarjetas inteligentes: no exportabilidad, criptografía aislada y anti-martillo.
Las tarjetas inteligentes virtuales son funcionalmente similares a las tarjetas inteligentes físicas. Aparecen como
tarjetas inteligentes insertadas siempre y se pueden usar para la autenticación en recursos externos, la
protección de datos mediante el cifrado seguro y la integridad mediante la firma confiable. Dado que el
hardware habilitado para TPM está disponible fácilmente y las tarjetas inteligentes virtuales se pueden
implementar fácilmente mediante el uso de métodos de inscripción de certificados existentes, las tarjetas
inteligentes virtuales pueden convertirse en un reemplazo completo de otros métodos de autenticación segura
en una configuración corporativa de cualquier escala.
Este tema contiene las secciones siguientes:
Comparación de tarjetas inteligentes virtuales con tarjetas inteligentes físicas: compara propiedades,
aspectos funcionales, seguridad y costo.
Opciones de diseño de autenticación: describe cómo se pueden usar contraseñas, tarjetas inteligentes y
tarjetas inteligentes virtuales para alcanzar los objetivos de autenticación en su organización.
Consulte también: Vínculos a otros temas que pueden ayudarle a diseñar, implementar y solucionar
problemas de tarjetas inteligentes virtuales.

Comparación de tarjetas inteligentes virtuales con tarjetas

inteligentes físicas
Las tarjetas inteligentes virtuales funcionan de forma muy similar a las tarjetas inteligentes físicas, pero difieren
en que protegen las claves privadas mediante el TPM del equipo en lugar de los medios de tarjeta inteligente.
Una tarjeta inteligente virtual aparece a las aplicaciones como una tarjeta inteligente convencional. Las claves
privadas de la tarjeta inteligente virtual están protegidas, no por el aislamiento de la memoria física, sino por las
funcionalidades criptográficas del TPM. Toda la información confidencial se cifra mediante el TPM y, a
continuación, se almacena en el disco duro en su forma cifrada.
Todas las operaciones criptográficas se producen en el entorno seguro y aislado del TPM y las claves privadas
sin cifrar nunca se usan fuera de este entorno. Por lo tanto, al igual que las tarjetas inteligentes físicas, las
tarjetas inteligentes virtuales permanecen seguras frente a cualquier malware en el host. Además, si el disco
duro está en peligro de alguna manera, un usuario malintencionado no podrá acceder a las claves almacenadas
en la tarjeta inteligente virtual porque se cifran de forma segura mediante el TPM. Las claves también se pueden
proteger mediante el cifrado de unidad BitLocker.
Las tarjetas inteligentes virtuales mantienen las tres propiedades clave de las tarjetas inteligentes físicas:
No expor tabilidad : dado que toda la información privada de la tarjeta inteligente virtual se cifra
mediante el TPM en el equipo host, no se puede usar en un equipo diferente con un TPM diferente.
Además, los TPM están diseñados para ser resistentes a manipulaciones y no exportables, por lo que un
usuario malintencionado no puede realizar ingeniería inversa de un TPM idéntico ni instalar el mismo
TPM en otro equipo. Para obtener más información, consulte Evaluación de la seguridad de tarjetas
inteligentes virtuales.
Criptografía aislada : los TPM proporcionan las mismas propiedades de criptografía aislada que
ofrecen las tarjetas inteligentes físicas, y esto lo usan las tarjetas inteligentes virtuales. Las copias sin
cifrar de las claves privadas solo se cargan dentro del TPM y nunca en la memoria a la que el sistema
operativo puede acceder. Todas las operaciones criptográficas con estas claves privadas se producen
dentro del TPM.
Anti-hammering : si un usuario escribe un PIN incorrectamente, la tarjeta inteligente virtual responde
mediante la lógica de anti-martilleo del TPM, que rechaza otros intentos durante un período de tiempo
en lugar de bloquear la tarjeta. Esto también se conoce como bloqueo. Para obtener más información,
consulte Evaluación de la seguridad de tarjetas inteligentes virtuales.
Las siguientes subsecciones comparan la funcionalidad, la seguridad y el costo de las tarjetas inteligentes
virtuales y las tarjetas inteligentes físicas.
Funcionalidad
El sistema de tarjetas inteligentes virtuales diseñado por Microsoft imita estrechamente la funcionalidad de las
tarjetas inteligentes convencionales. La diferencia más llamativa para el usuario final es que la tarjeta inteligente
virtual es esencialmente una tarjeta inteligente que siempre se inserta en el equipo. No hay ningún método para
exportar la tarjeta inteligente virtual del usuario para su uso en otros equipos, lo que aumenta la seguridad de
las tarjetas inteligentes virtuales. Si un usuario requiere acceso a recursos de red en varios equipos, se pueden
emitir varias tarjetas inteligentes virtuales para ese usuario. Además, un equipo que se comparte entre varios
usuarios puede hospedar varias tarjetas inteligentes virtuales para distintos usuarios.
La experiencia de usuario básica para una tarjeta inteligente virtual es tan sencilla como usar una contraseña
para acceder a una red. Dado que la tarjeta inteligente se carga de forma predeterminada, el usuario
simplemente debe escribir el PIN que está asociado a la tarjeta para obtener acceso. Los usuarios ya no tienen
que llevar tarjetas y lectores ni realizar acciones físicas para usar la tarjeta.
Además, aunque la funcionalidad de anti-martilleo de la tarjeta inteligente virtual es igualmente segura a la de
una tarjeta inteligente física, los usuarios de tarjetas inteligentes virtuales nunca tienen que ponerse en contacto
con un administrador para desbloquear la tarjeta. En su lugar, simplemente esperan un período de tiempo
(según las especificaciones de TPM) antes de volver a intentar entrar en el PIN. Como alternativa, el
administrador puede restablecer el bloqueo proporcionando datos de autenticación de propietario al TPM en el
equipo host.
Seguridad
Las tarjetas inteligentes físicas y las tarjetas inteligentes virtuales ofrecen niveles de seguridad comparables.
Ambos implementan la autenticación en dos fases para usar recursos de red. Sin embargo, difieren en ciertos
aspectos, incluida la seguridad física y la practicidad de un ataque. Debido a su diseño compacto y portátil, las
tarjetas inteligentes convencionales se mantienen con mayor frecuencia cerca de su usuario previsto. Ofrecen
poca oportunidad de adquisición por parte de un adversario potencial, por lo que cualquier tipo de interacción
con la tarjeta es difícil sin cometer una variedad de robos.
Sin embargo, las tarjetas inteligentes virtuales de TPM residen en el equipo de un usuario que se puede dejar
con frecuencia desatendido, lo que proporciona una oportunidad para que un usuario malintencionado martilla
el TPM. Aunque las tarjetas inteligentes virtuales están totalmente protegidas contra el martilleo (al igual que las
tarjetas inteligentes físicas), esta accesibilidad hace que la logística de un ataque sea algo más sencilla. Además,
el comportamiento de anti-martilleo de una tarjeta inteligente de TPM difiere en que solo presenta un retraso
de tiempo en respuesta a errores repetidos de PIN, en lugar de bloquear completamente al usuario.
Sin embargo, las tarjetas inteligentes virtuales proporcionan varias ventajas para mitigar estos ligeros déficits
de seguridad. Lo más importante es que es mucho menos probable que se pierda una tarjeta inteligente virtual.
Las tarjetas inteligentes virtuales se integran en equipos y dispositivos que el usuario ya posee para otros fines
y tiene incentivos para mantener la seguridad. Si el equipo o dispositivo que hospeda la tarjeta inteligente
virtual se pierde o se roba, un usuario observará más inmediatamente su pérdida que la pérdida de una tarjeta
inteligente física. Cuando un equipo o dispositivo se identifica como perdido, el usuario puede notificar al
administrador del sistema, que puede revocar el certificado asociado a la tarjeta inteligente virtual en ese
dispositivo. Esto impide cualquier acceso no autorizado futuro en ese equipo o dispositivo si el PIN de la tarjeta
inteligente virtual está en peligro.
Coste
Si una empresa quiere implementar tarjetas inteligentes físicas, debe comprar tarjetas inteligentes y lectores de
tarjetas inteligentes para todos los empleados. Aunque se pueden encontrar opciones relativamente
económicas, las opciones que garantizan las tres propiedades clave de la seguridad de las tarjetas inteligentes
(en particular, la no exportabilidad) son más costosas. Si los empleados tienen equipos con un TPM integrado,
las tarjetas inteligentes virtuales se pueden implementar sin costos de material adicionales. Estos equipos y
dispositivos son relativamente comunes en el mercado.
Además, el costo de mantenimiento de las tarjetas inteligentes virtuales es menor que el de las tarjetas
inteligentes físicas, que se pierden fácilmente, se roban o se rompen del desgaste normal. Las tarjetas
inteligentes virtuales de TPM solo se pierden o interrumpen si el equipo host o dispositivo está perdido o roto,
lo que en la mayoría de los casos es mucho menos frecuente.
Resumen de comparación

TA RJETA S IN T EL IGEN T ES F ÍSIC A S TA RJETA S IN T EL IGEN T ES VIRT UA L ES DE T P M

Protege las claves privadas mediante la funcionalidad Protege las claves privadas mediante la funcionalidad
criptográfica integrada de la tarjeta. criptográfica del TPM.

Almacena las claves privadas en memoria no volátil aislada Almacena claves privadas cifradas en el disco duro. El cifrado
en la tarjeta, lo que significa que el acceso a las claves garantiza que estas claves solo se pueden descifrar y usar en
privadas es solo desde la tarjeta y que nunca se permite el el TPM, no en la memoria accesible del sistema operativo.
acceso al sistema operativo.

Garantiza la no exportabilidad a través del fabricante de Garantiza la no exportabilidad a través del fabricante de
tarjetas, lo que incluye aislar la información privada del TPM, lo que incluye la incapacidad de un adversario para
acceso al sistema operativo. replicar o quitar el TPM.

Realiza y aísla las operaciones criptográficas dentro de las Realiza y aísla las operaciones criptográficas en el TPM del
funcionalidades integradas de la tarjeta. equipo o dispositivo del usuario.

Proporciona anti-martilleo a través de la tarjeta. Después de Proporciona anti-martilleo a través del TPM. Los intentos
un número determinado de intentos de entrada de PIN con con errores sucesivos aumentan el tiempo de bloqueo del
errores, la tarjeta bloquea el acceso adicional hasta que se dispositivo (el tiempo que el usuario tiene que esperar antes
realiza una acción administrativa. de intentarlo de nuevo). Esto lo puede restablecer un
administrador.
 TA RJETA S IN T EL IGEN T ES F ÍSIC A S TA RJETA S IN T EL IGEN T ES VIRT UA L ES DE T P M

Requiere que los usuarios lleven consigo su tarjeta Permite a los usuarios acceder a sus equipos o dispositivos
inteligente y lector de tarjetas inteligentes para acceder a los habilitados para TPM y, potencialmente, acceder a la red, sin
recursos de red. equipo adicional.

Permite la portabilidad de credenciales insertando la tarjeta Impide la exportación de credenciales desde un equipo o
inteligente en lectores de tarjetas inteligentes que están dispositivo determinado. Sin embargo, las tarjetas
conectados a otros equipos. inteligentes virtuales se pueden emitir para el mismo usuario
en varios equipos o dispositivos mediante certificados
adicionales.

Permite que varios usuarios accedan a los recursos de red a Permite que varios usuarios accedan a los recursos de red a
través del mismo equipo insertando sus tarjetas inteligentes través del mismo equipo o dispositivo mediante la emisión
personales. de una tarjeta inteligente virtual para cada usuario de ese
equipo o dispositivo.

Requiere que el usuario lleve la tarjeta, lo que dificulta que Almacena la tarjeta inteligente virtual en el equipo del
un atacante acceda al dispositivo e inicie un intento de usuario, que puede dejarse desatendida y permitir una
martillo. ventana de mayor riesgo para los intentos de martillo.

Proporciona un dispositivo generalmente de un solo uso que Instala la tarjeta inteligente virtual en un dispositivo que
se lleva explícitamente con el fin de la autenticación. La tiene otros fines para el usuario, por lo que el usuario tiene
tarjeta inteligente puede ser fácilmente extraviada u un mayor incentivo para ser responsable del equipo o
olvidada. dispositivo.

Alerta a los usuarios de que su tarjeta se pierde o se roba Instala la tarjeta inteligente virtual en un dispositivo que el
solo cuando necesitan iniciar sesión y observar que falta. usuario probablemente necesite para otros fines, por lo que
los usuarios notarán su pérdida mucho más rápidamente.
Esto reduce la ventana de riesgo asociada.

Requiere que las empresas inviertan en tarjetas inteligentes y Requiere que las empresas garanticen que todos los
lectores de tarjetas inteligentes para todos los empleados. empleados tienen equipos habilitados para TPM, que son
relativamente comunes.

Permite usar una directiva de eliminación de tarjeta Elimina la necesidad de una directiva de eliminación de
inteligente para afectar al comportamiento del sistema tarjetas inteligentes porque una tarjeta inteligente virtual
cuando se quita la tarjeta inteligente. Por ejemplo, la TPM siempre está presente y no se puede quitar del equipo.
directiva puede determinar si la sesión de inicio de sesión del
usuario está bloqueada o terminada cuando el usuario quita
la tarjeta.

Opciones de diseño de autenticación

En la sección siguiente se presentan varias opciones de uso común y sus respectivas fortalezas y debilidades,
que las organizaciones pueden tener en cuenta para la autenticación.
Contraseñas
Una contraseña es una cadena secreta de caracteres que está asociada a las credenciales de identificación de la
cuenta de un usuario. Esto establece la identidad del usuario. Aunque las contraseñas son la forma de
autenticación más utilizada, también son las más débiles. En un sistema en el que las contraseñas se usan como
el único método de autenticación de usuario, solo las personas que conocen sus contraseñas se consideran
usuarios válidos.
La autenticación con contraseña supone una gran responsabilidad para el usuario. Las contraseñas deben ser lo
suficientemente complejas para que no se puedan adivinar fácilmente, pero deben ser lo suficientemente
sencillas como para confirmarse en la memoria y no almacenarse en una ubicación física. Incluso si este
equilibrio se logra correctamente, existe una amplia variedad de ataques (como ataques por fuerza bruta,
interceptación y tácticas de ingeniería social) donde un usuario malintencionado puede adquirir la contraseña
de un usuario e suplantar la identidad de esa persona. A menudo, un usuario no se dará cuenta de que la
contraseña está en peligro, lo que facilita a un usuario malintencionado mantener el acceso a un sistema si se ha
obtenido una contraseña válida.
Contraseñas únicas
Una contraseña de un solo uso (OTP) es similar a una contraseña tradicional, pero es más segura porque solo se
puede usar una vez para autenticar a un usuario. El método para determinar cada nueva contraseña varía según
la implementación. Sin embargo, suponiendo una implementación segura de cada nueva contraseña, los OTP
tienen varias ventajas sobre el modelo de autenticación de contraseña clásica. Lo más importante es que si un
token OTP determinado se intercepta en la transmisión entre el usuario y el sistema, el interceptor no puede
usarlo para transacciones futuras. De forma similar, si un usuario malintencionado obtiene el OTP de un usuario
válido, el interceptor tendrá acceso limitado al sistema (solo una sesión).
Tarjetas inteligentes
Las tarjetas inteligentes son dispositivos de autenticación física, que mejoran el concepto de contraseña al
requerir que los usuarios tengan realmente su dispositivo de tarjeta inteligente con ellos para acceder al
sistema, además de conocer el PIN que proporciona acceso a la tarjeta inteligente. Las tarjetas inteligentes
tienen tres propiedades clave que ayudan a mantener su seguridad:
No expor tabilidad : la información almacenada en la tarjeta, como las claves privadas del usuario, no se
puede extraer de un dispositivo y usarse en otro medio.
Criptografía aislada : todas las operaciones criptográficas relacionadas con la tarjeta (como el cifrado
seguro y el descifrado de datos) se producen en un procesador criptográfico de la tarjeta, por lo que el
software malintencionado del equipo host no puede observar las transacciones.
Anti-mar tilleo : para evitar el acceso a la tarjeta por un ataque por fuerza bruta, un número establecido
de intentos de entrada de PIN consecutivos incorrectos bloquea la tarjeta hasta que se realiza una acción
administrativa.
Las tarjetas inteligentes proporcionan una seguridad muy mejorada solo sobre las contraseñas, ya que es
mucho más difícil para un usuario malintencionado obtener y mantener el acceso a un sistema. Lo más
importante es que el acceso a un sistema de tarjeta inteligente requiere que los usuarios tengan una tarjeta
válida y que conozcan el PIN que proporciona acceso a esa tarjeta. Es muy difícil para un ladrón adquirir la
tarjeta y el PIN.
La seguridad adicional se logra por la naturaleza singular de la tarjeta porque solo existe una copia de la tarjeta,
solo una persona puede usar las credenciales de inicio de sesión y los usuarios notarán rápidamente si la tarjeta
se ha perdido o robado. Esto reduce considerablemente la ventana de riesgo del robo de credenciales en
comparación con el uso de una contraseña solo.
Desafortunadamente, esta seguridad adicional incluye costos adicionales de material y soporte técnico. Las
tarjetas inteligentes tradicionales son costosas de comprar (las tarjetas y los lectores de tarjetas deben
proporcionarse a los empleados), y también pueden ser fácilmente extraviadas o robadas.
Tarjetas inteligentes vir tuales
Para solucionar estos problemas, las tarjetas inteligentes virtuales emulan la funcionalidad de las tarjetas
inteligentes tradicionales, pero en lugar de requerir la compra de hardware adicional, usan tecnología que los
usuarios ya poseen y es más probable que tengan con ellas en todo momento. Teóricamente, cualquier
dispositivo que pueda proporcionar las tres propiedades clave de las tarjetas inteligentes (no exportabilidad,
criptografía aislada y anti-martilleo) se puede encargar como una tarjeta inteligente virtual. Sin embargo, la
plataforma de tarjeta inteligente virtual desarrollada por Microsoft se limita actualmente al uso del chip módulo
de plataforma segura (TPM), que se instala en la mayoría de los equipos modernos.
Las tarjetas inteligentes virtuales que usan un TPM proporcionan los tres principios de seguridad principales de
las tarjetas inteligentes tradicionales (no exportabilidad, criptografía aislada y anti-martillo). También son menos
costosos de implementar y más cómodos para los usuarios. Dado que muchos equipos corporativos ya tienen
un TPM integrado, no hay ningún costo asociado con la compra de hardware nuevo. La posesión de un equipo o
dispositivo por parte del usuario es equivalente a la posesión de una tarjeta inteligente, y la identidad de un
usuario no se puede asumir desde ningún otro equipo o dispositivo sin el aprovisionamiento administrativo de
credenciales adicionales. Por lo tanto, la autenticación en dos fases se logra porque el usuario debe tener un
equipo configurado con una tarjeta inteligente virtual y conocer el PIN para usar la tarjeta inteligente virtual.

Ver también
Introducción a las tarjetas inteligentes virtuales: guía paso a paso
Usar tarjetas inteligentes virtuales
Implementar tarjetas inteligentes virtuales
Evaluar la seguridad de las tarjetas inteligentes virtuales
 Introducción a las tarjetas inteligentes virtuales: guía
paso a paso
08/11/2022 • 6 minutes to read

En este tema para profesionales de TI se describe cómo configurar un entorno de prueba básico para usar
tarjetas inteligentes virtuales de TPM.
Las tarjetas inteligentes virtuales son una tecnología de Microsoft que ofrece ventajas de seguridad
comparables en la autenticación en dos fases a las tarjetas inteligentes físicas. También ofrecen más comodidad
para los usuarios y menor costo para que las organizaciones se implementen. Mediante el uso de dispositivos
del Módulo de plataforma segura (TPM) que proporcionan las mismas capacidades criptográficas que las
tarjetas inteligentes físicas, las tarjetas inteligentes virtuales logran las tres propiedades clave deseadas por las
tarjetas inteligentes: no exportabilidad, criptografía aislada y anti-martillo.
En este tutorial paso a paso se muestra cómo configurar un entorno de prueba básico para usar tarjetas
inteligentes virtuales de TPM. Después de completar este tutorial, tendrá instalada una tarjeta inteligente virtual
funcional en el equipo Windows.
Requisitos de tiempo
Debería poder completar este tutorial en menos de una hora, excepto la instalación de software y la
configuración del dominio de prueba.
Pasos del tutorial
Requisitos previos
Paso 1: Crear la plantilla de certificado
Paso 2: Creación de la tarjeta inteligente virtual tpm
Paso 3: Inscribirse para el certificado en la tarjeta inteligente virtual de TPM

Impor tante Esta configuración básica es solo para fines de prueba. No está pensado para su uso en un
entorno de producción.

Requisitos previos
Necesitará:
Un equipo que ejecuta Windows 10 con un TPM instalado y totalmente funcional (versión 1.2 o versión
2.0).
Dominio de prueba al que se puede unir el equipo enumerado anteriormente.
Acceso a un servidor de ese dominio con una entidad de certificación (CA) totalmente instalada y en
ejecución.

Paso 1: Crear la plantilla de certificado

En el servidor de dominio, debe crear una plantilla para el certificado que va a solicitar para la tarjeta inteligente
virtual.
Para crear la plantilla de certificado
1. En el servidor, abra Microsoft Management Console (MMC). Una manera de hacerlo es escribir [Link]
en el menú Inicio , hacer clic con el botón derecho ** [Link]**y hacer clic en Ejecutar como
administrador .
2. Haz clic en Archivo y, a continuación, elige Agregar o Quitar complemento .

3. En la lista de complementos disponibles, haga clic en Plantillas de cer tificadoy , a continuación, haga
clic en Agregar .

4. Las plantillas de certificado ahora se encuentran en Raíz de la consola en MMC. Haga doble clic en él
para ver todas las plantillas de certificado disponibles.
5. Haga clic con el botón derecho en la plantilla Inicio de sesión de tarjeta inteligente y haga clic en
Plantilla duplicada .

6. En la pestaña Compatibilidad , en Entidad de cer tificación , revise la selección y cámbiela si es

necesario.
 7. En la pestaña General :
a. Especifique un nombre, como inicio de sesión de tarjeta inteligente vir tual de TPM .
b. Establezca el período de validez en el valor deseado.
8. En la pestaña Control de solicitudes :
a. Establezca la finalidad en Inicio de sesión de firma y tarjeta inteligente .
b. Haga clic en Preguntar al usuario durante la inscripción .
9. En la pestaña Criptografía :
a. Establezca el tamaño mínimo de clave en 2048.
b. Haga clic en Solicitudes debe usar uno de los siguientes proveedores y, a continuación,
seleccione Proveedor criptográfico de tarjeta inteligente base de Microsoft .
10. En la pestaña Seguridad , agregue el grupo de seguridad al que desea conceder acceso de inscripción .
Por ejemplo, si desea conceder acceso a todos los usuarios, seleccione el grupo Usuarios autenticados
y, a continuación, seleccione Inscribir permisos para ellos.
11. Haga clic en Aceptar para finalizar los cambios y crear la nueva plantilla. La nueva plantilla debería
aparecer ahora en la lista de plantillas de certificado.
12. Seleccione Archivo y, a continuación, haga clic en Agregar o quitar complemento para agregar el
complemento Entidad de certificación a la consola mmc. Cuando se le pregunte qué equipo desea
administrar, seleccione el equipo en el que se encuentra la entidad de certificación, probablemente
equipo local .
13. En el panel izquierdo de MMC, expanda Entidad de cer tificación (local) y, a continuación, expanda la
entidad de certificación dentro de la lista Entidad de certificación.
14. Haga clic con el botón derecho en Plantillas de cer tificado , haga clic en Nuevoy , a continuación, haga
clic en Plantilla de cer tificado para emitir .

15. En la lista, seleccione la nueva plantilla que acaba de crear (inicio de sesión de tarjeta inteligente
vir tual de TPM ) y, a continuación, haga clic en Aceptar .

Nota La plantilla puede tardar algún tiempo en replicarse en todos los servidores y estar disponible
en esta lista.

16. Una vez replicada la plantilla, en MMC, haga clic con el botón derecho en la lista Entidad de certificación,
haga clic en Todas las tareasy , a continuación, haga clic en Detener ser vicio . A continuación, haga clic
con el botón derecho en el nombre de la CA de nuevo, haga clic en Todas las tareasy , a continuación,
 haga clic en Iniciar ser vicio .

Paso 2: Creación de la tarjeta inteligente virtual tpm

En este paso, creará la tarjeta inteligente virtual en el equipo cliente mediante la herramienta de línea de
comandos, [Link].
Para crear la tarjeta inteligente virtual tpm
1. En un equipo unido a un dominio, abra una ventana del símbolo del sistema con credenciales
administrativas.

2. En el símbolo del sistema, escriba lo siguiente y presione ENTRAR:

[Link] create /name TestVSC /pin default /adminkey random /generate

Esto creará una tarjeta inteligente virtual con el nombre TestVSC , omitirá la clave de desbloqueo y
generará el sistema de archivos en la tarjeta. El PIN se establecerá en el valor predeterminado, 12345678.
Para que se le pida un PIN, en lugar de /pin predeterminado , puede escribir /pin prompt .
Para obtener más información sobre la herramienta de línea de comandos tpmvscmgr, consulte Uso de
tarjetas inteligentes virtuales y Tpmvscmgr.
3. Espere varios segundos a que finalice el proceso. Al finalizar, [Link] le proporcionará el
identificador de instancia de dispositivo para la tarjeta inteligente virtual tpm. Almacene este identificador
para una referencia posterior, ya que necesitará que administre o quite la tarjeta inteligente virtual.

Paso 3: Inscribirse para el certificado en la tarjeta inteligente virtual de

TPM
La tarjeta inteligente virtual debe aprovisionarse con un certificado de inicio de sesión para que sea totalmente
funcional.
Para inscribir el certificado
1. Para abrir la consola certificados, escriba cer [Link] en el menú Inicio .
2. Haga clic con el botón derecho en Personal , haga clic en Todas las tareasy , a continuación, haga clic en
Solicitar nuevo cer tificado .

3. Siga las indicaciones y, cuando se le ofrezca una lista de plantillas, active la casilla Inicio de sesión de
tarjeta inteligente vir tual de TPM (o lo que haya llamado a la plantilla en el paso 1).

4. Si se le solicita un dispositivo, seleccione la tarjeta inteligente virtual de Microsoft que corresponda a la

que creó en la sección anterior. Se muestra como Dispositivo de identidad (perfil de Microsoft).
5. Escriba el PIN que se estableció al crear la tarjeta inteligente virtual tpm y, a continuación, haga clic en
Aceptar .
6. Espere a que finalice la inscripción y, a continuación, haga clic en Finalizar .
La tarjeta inteligente virtual ahora se puede usar como una credencial alternativa para iniciar sesión en el
dominio. Para comprobar que la configuración de la tarjeta inteligente virtual y la inscripción de certificados se
realizaron correctamente, cierre la sesión actual e inicie sesión. Al iniciar sesión, verá el icono de la nueva tarjeta
inteligente virtual de TPM en la pantalla De escritorio seguro (inicio de sesión) o se le dirigirá automáticamente
al cuadro de diálogo de inicio de sesión de la tarjeta inteligente de TPM. Haga clic en el icono, escriba el PIN (si
es necesario) y, a continuación, haga clic en Aceptar . Debería iniciar sesión en su cuenta de dominio.

Ver también
Comprender y evaluar las tarjetas inteligentes virtuales
Usar tarjetas inteligentes virtuales
Implementar tarjetas inteligentes virtuales
 Usar tarjetas inteligentes virtuales
08/11/2022 • 5 minutes to read

En este tema para profesionales de TI se describen los requisitos de las tarjetas inteligentes virtuales, cómo usar
tarjetas inteligentes virtuales y las herramientas que están disponibles para ayudarle a crearlas y administrarlas.

Requisitos, restricciones y limitaciones

Á REA REQ UISITO S Y DETA L L ES

Sistemas operativos compatibles Windows Server 2016

Windows Server 2012 R2
Windows Server 2012
Windows10
Windows 8.1
Windows 8

Módulo de plataforma segura (TPM) compatible Cualquier TPM que se adhiera a las especificaciones
principales de TPM para la versión 1.2 o la versión 2.0
(según lo establecido por el grupo de computación de
confianza) se admite para su uso como tarjeta inteligente
virtual. Para obtener más información, consulte la
especificación principal de TPM.

Tarjetas inteligentes virtuales admitidas por equipo Diez tarjetas inteligentes se pueden conectar a un equipo o
dispositivo a la vez. Esto incluye tarjetas inteligentes físicas y
virtuales combinadas.

Nota
Puede crear más de una tarjeta inteligente virtual; sin
embargo, después de crear más de cuatro tarjetas
inteligentes virtuales, puede empezar a notar la degradación
del rendimiento. Dado que todas las tarjetas inteligentes
aparecen como si siempre estuvieran insertadas, si más de
una persona comparte un equipo o dispositivo, cada
persona puede ver todas las tarjetas inteligentes virtuales
que se crean en ese equipo o dispositivo. Si el usuario
conoce los valores de PIN de todas las tarjetas inteligentes
virtuales, el usuario también podrá usarlos.

Número admitido de certificados en una tarjeta inteligente Una sola tarjeta inteligente virtual tpm puede contener 30
virtual certificados distintos con las claves privadas
correspondientes. Los usuarios pueden seguir renovando
certificados en la tarjeta hasta que el número total de
certificados de una tarjeta supere los 90. La razón por la que
el número total de certificados es diferente del número total
de claves privadas es que a veces la renovación se puede
realizar con la misma clave privada, en cuyo caso no se
genera una nueva clave privada.
 Á REA REQ UISITO S Y DETA L L ES

Requisitos de PIN, clave de desbloqueo de PIN (PUK) y clave El PIN y el PUK deben tener un mínimo de ocho caracteres
administrativa que pueden incluir números, caracteres alfabéticos y
caracteres especiales.
La clave administrativa debe escribirse como 48 caracteres
hexadecimales. Es un DES triple de 3 teclas con el método de
relleno ISO/IEC 9797 2 en modo de encadenamiento CBC.

Uso de [Link]
Para crear y eliminar tarjetas inteligentes virtuales de TPM para los usuarios finales, la herramienta de línea de
comandos tpmvscmgr se incluye como una herramienta de línea de comandos con el sistema operativo. Puede
usar los parámetros Crear y Eliminar para administrar tarjetas inteligentes virtuales en equipos locales o
remotos. Para obtener información sobre el uso de esta herramienta, vea Tpmvscmgr.

Creación y eliminación de tarjetas inteligentes virtuales mediante

programación
Las tarjetas inteligentes virtuales también se pueden crear y eliminar mediante api. Para obtener más
información, vea las siguientes clases e interfaces:
TpmVirtualSmartCardManager
RemoteTpmVirtualSmartCardManager
ITpmVirtualSmartCardManager
ITPMVirtualSmartCardManagerStatusCallBack
Puede usar las API que se introdujeron en el espacio de nombres [Link] en Windows
Server 2012 R2 y Windows 8.1 para crear aplicaciones de Microsoft Store para administrar todo el ciclo de vida
de las tarjetas inteligentes virtuales. Para obtener información sobre cómo crear una aplicación para ello,
consulte Autenticación segura: compilar aplicaciones que aprovechan tarjetas inteligentes virtuales en entornos
empresariales, BYOD y consumidores | Compilación de | de 2013 Canal 9.
En la tabla siguiente se describen las características que se pueden desarrollar en una aplicación de Microsoft
Store:

C A RA C T ERÍST IC A TA RJETA IN T EL IGEN T E F ÍSIC A TA RJETA IN T EL IGEN T E VIRT UA L

Consulta y supervisión de lectores de Sí Sí

tarjetas inteligentes

Enumerar las tarjetas inteligentes Sí Sí

disponibles en un lector y recuperar el
nombre de la tarjeta y el identificador
de la tarjeta

Comprobar si la clave administrativa Sí Sí

de una tarjeta es correcta

Aprovisionar (o volver a formatear) Sí Sí

una tarjeta con un identificador de
tarjeta determinado
 C A RA C T ERÍST IC A TA RJETA IN T EL IGEN T E F ÍSIC A TA RJETA IN T EL IGEN T E VIRT UA L

Para cambiar el PIN, escriba el PIN Sí Sí

antiguo y especifique un nuevo PIN.

Cambie la clave administrativa, Sí Sí

restablezca el PIN o desbloquee la
tarjeta inteligente mediante un
método de desafío o respuesta.

Crear una tarjeta inteligente virtual No aplicable Sí

Eliminación de una tarjeta inteligente No aplicable Sí

virtual

Establecimiento de directivas de PIN No Sí

Para obtener más información sobre estas API de Windows, consulte:

Espacio de nombres [Link] (Windows)
Espacio de nombres [Link] (Windows)

Distinguir las tarjetas inteligentes virtuales basadas en TPM de las

tarjetas inteligentes físicas
Para ayudar a los usuarios a distinguir visualmente una tarjeta inteligente virtual basada en módulo de
plataforma segura (TPM) de tarjetas inteligentes físicas, la tarjeta inteligente virtual tiene un icono diferente. El
siguiente icono se muestra durante el inicio de sesión y en otras pantallas que requieren que el usuario escriba
el PIN de una tarjeta inteligente virtual.

Una tarjeta inteligente virtual basada en TPM tiene la etiqueta Dispositivo de seguridad en la interfaz de
usuario.

Cambio del PIN

El PIN de una tarjeta inteligente virtual se puede cambiar siguiendo estos pasos:
Inicie sesión con el PIN o la contraseña antiguos.
Presione Ctrl+Alt+Supr y elija Cambiar una contraseña .
Seleccione Opciones de inicio de sesión .
Seleccione el icono de tarjeta inteligente virtual.
Escriba y confirme el nuevo PIN.

Resolución de problemas
TPM no aprovisionado
Para que una tarjeta inteligente virtual basada en TPM funcione correctamente, un TPM aprovisionado debe
estar disponible en el equipo. Si el TPM está deshabilitado en el BIOS o no se aprovisiona con la propiedad
completa y la clave raíz de almacenamiento, se producirá un error en la creación de la tarjeta inteligente virtual
de TPM.
Si el TPM se inicializa después de crear una tarjeta inteligente virtual, la tarjeta dejará de funcionar y tendrá que
volver a crearse.
Si la propiedad del TPM se estableció en una instalación de Windows Vista, el TPM no estará listo para usar
tarjetas inteligentes virtuales. El administrador del sistema debe borrar e inicializar el TPM para que sea
adecuado para crear tarjetas inteligentes virtuales de TPM.
Si se vuelve a instalar el sistema operativo, las tarjetas inteligentes virtuales de TPM anteriores ya no están
disponibles y deben volver a crearse. Si se actualiza el sistema operativo, las tarjetas inteligentes virtuales de
TPM anteriores estarán disponibles para su uso en el sistema operativo actualizado.
TPM en estado de bloqueo
A veces, debido a intentos frecuentes de PIN incorrectos de un usuario, el TPM puede entrar en el estado de
bloqueo. Para reanudar el uso de la tarjeta inteligente virtual de TPM, es necesario restablecer el bloqueo en el
TPM mediante la contraseña del propietario o esperar a que expire el bloqueo. Al desbloquear el PIN del usuario
no se restablece el bloqueo en el TPM. Cuando el TPM está bloqueado, la tarjeta inteligente virtual de TPM
aparece como si estuviera bloqueada. Cuando el TPM entra en el estado de bloqueo porque el usuario ha escrito
un PIN incorrecto demasiadas veces, puede que sea necesario restablecer el PIN de usuario mediante las
herramientas de administración de tarjetas inteligentes virtuales, como la herramienta de línea de comandos
tpmvscmgr.

Ver también
Para obtener información sobre los casos de uso de autenticación, confidencialidad e integridad de datos,
consulte Información general sobre tarjetas inteligentes virtuales.
 Implementar tarjetas inteligentes virtuales
08/11/2022 • 28 minutes to read

Se aplica a: Windows 10, Windows Server 2016

En este tema para el profesional de TI se describen los factores que se deben tener en cuenta al implementar
una solución de autenticación de tarjeta inteligente virtual.
Los dispositivos de identidad tradicionales, como las tarjetas inteligentes físicas, siguen un ciclo de vida
predecible en cualquier implementación, como se muestra en el diagrama siguiente.

Los dispositivos físicos son creados por un fabricante dedicado y luego comprados por la empresa que, en
última instancia, lo implementará. El dispositivo pasa por la fase de personalización, donde se establecen sus
propiedades únicas. En las tarjetas inteligentes, estas propiedades son la clave de administrador, el número de
identificación personal (PIN), la clave de desbloqueo de PIN (PUK) y su apariencia física. Para aprovisionar el
dispositivo, se carga con los certificados necesarios, como un certificado de inicio de sesión. Después de
aprovisionar el dispositivo, está listo para su uso. El dispositivo simplemente debe mantenerse. Por ejemplo,
debe reemplazar las tarjetas cuando se pierden o se roban y restablecer los PIN cuando los usuarios los olvidan.
Por último, retirará los dispositivos cuando superen su duración prevista o cuando los empleados abandonen la
empresa.
Este tema contiene información sobre las siguientes fases del ciclo de vida de una tarjeta inteligente virtual:
Creación y personalización de tarjetas inteligentes virtuales
Aprovisionamiento de tarjetas inteligentes virtuales
Mantenimiento de tarjetas inteligentes virtuales

Creación y personalización de tarjetas inteligentes virtuales

Una empresa compra los dispositivos para implementarlos. El dispositivo pasa por la fase de personalización,
donde se establecen sus propiedades únicas. En las tarjetas inteligentes, estas propiedades son la clave de
administrador, el número de identificación personal (PIN), la clave de desbloqueo de PIN (PUK) y su apariencia
física. La seguridad que se proporciona para una tarjeta inteligente virtual de TPM se aprovisiona
completamente en el TPM del host.
Preparación del módulo de plataforma segura
El Asistente para el aprovisionamiento de TPM, que se inicia desde la consola de administración de TPM ,
lleva al usuario a través de todos los pasos para preparar el TPM para su uso.
Al crear tarjetas inteligentes virtuales, tenga en cuenta las siguientes acciones en el TPM:
Habilitar y activar : los TPM están integrados en muchos equipos listos para el sector, pero a menudo
no están habilitados y activados de forma predeterminada. En algunos casos, el TPM debe habilitarse y
activarse a través del BIOS. Para obtener más información, vea Inicializar y configurar la propiedad del
TPM.
Tomar posesión : al aprovisionar el TPM, establece una contraseña de propietario para administrar el
TPM en el futuro y establece la clave raíz de almacenamiento. Para proporcionar protección contra el
martillo para tarjetas inteligentes virtuales, el usuario o un administrador de dominio deben poder
restablecer la contraseña del propietario del TPM. Para el uso corporativo de tarjetas inteligentes virtuales
de TPM, se recomienda que el administrador de dominio corporativo restrinja el acceso a la contraseña
de propietario de TPM almacenándola en Active Directory, no en el registro local. Cuando se establece la
propiedad de TPM en Windows Vista, es necesario borrar y reinicializar el TPM. Para obtener más
información, consulte Información general sobre la tecnología del módulo de plataforma segura.
Administrar : puede administrar la propiedad de una tarjeta inteligente virtual cambiando la contraseña
del propietario y puede administrar la lógica anti-martillamiento restableciendo el tiempo de bloqueo.
Para obtener más información, consulte Administración del bloqueo de TPM.
Un TPM podría funcionar en modo de funcionalidad reducida. Esto podría ocurrir, por ejemplo, si el sistema
operativo no puede determinar si la contraseña del propietario está disponible para el usuario. En esos casos, el
TPM se puede usar para crear una tarjeta inteligente virtual, pero se recomienda encarecidamente llevar el TPM
a un estado totalmente listo para que cualquier circunstancia inesperada no deje al usuario bloqueado para usar
el equipo.
Las herramientas de administración de implementación de tarjetas inteligentes que requieren una
comprobación de estado de un TPM antes de intentar crear una tarjeta inteligente virtual de TPM pueden
hacerlo mediante la interfaz WMI de TPM.
En función de la configuración del equipo designado para instalar tarjetas inteligentes virtuales de TPM, es
posible que sea necesario aprovisionar el TPM antes de continuar con la implementación de la tarjeta inteligente
virtual. Para obtener más información sobre el aprovisionamiento, consulte Uso de tarjetas inteligentes
virtuales.
Para obtener más información sobre cómo administrar LOS TPM mediante herramientas integradas, consulte
Servicios de módulo de plataforma segura directiva de grupo Configuración.
Creación
Una tarjeta inteligente virtual tpm simula una tarjeta inteligente física y usa el TPM para proporcionar la misma
funcionalidad que el hardware de tarjeta inteligente física. Una tarjeta inteligente virtual aparece dentro del
sistema operativo como una tarjeta inteligente física que siempre se inserta. Las versiones compatibles del
sistema operativo Windows presentan un lector de tarjetas inteligentes virtuales y una tarjeta inteligente virtual
a las aplicaciones con la misma interfaz que las tarjetas inteligentes físicas, pero los mensajes hacia y desde la
tarjeta inteligente virtual se traducen a comandos de TPM. Este proceso garantiza la integridad de la tarjeta
inteligente virtual a través de las tres propiedades de seguridad de la tarjeta inteligente:
No expor tabilidad : dado que toda la información privada de la tarjeta inteligente virtual se cifra
mediante el TPM en el equipo host, no se puede usar en un equipo diferente con un TPM diferente.
Además, los TPM están diseñados para ser resistentes a manipulaciones y no exportables, por lo que un
usuario malintencionado no puede realizar ingeniería inversa de un TPM idéntico ni instalar el mismo
TPM en otro equipo. Para obtener más información, consulte Evaluación de la seguridad de tarjetas
inteligentes virtuales.
 Criptografía aislada : los TPM proporcionan las mismas propiedades de criptografía aislada que
ofrecen las tarjetas inteligentes físicas, y esto lo usan las tarjetas inteligentes virtuales. Las copias sin
cifrar de las claves privadas solo se cargan dentro del TPM y nunca en la memoria a la que el sistema
operativo puede acceder. Todas las operaciones criptográficas con estas claves privadas se producen
dentro del TPM.
Anti-hammering : si un usuario escribe un PIN incorrectamente, la tarjeta inteligente virtual responde
mediante la lógica de anti-martilleo del TPM, que rechaza otros intentos durante un período de tiempo
en lugar de bloquear la tarjeta. Esto también se conoce como bloqueo. Para obtener más información,
consulte Tarjeta inteligente virtual bloqueada y Evaluación de la seguridad de tarjetas inteligentes
virtuales.
Hay varias opciones para crear tarjetas inteligentes virtuales, en función del tamaño de la implementación y el
presupuesto de la organización. La opción de menor costo es usar [Link] para crear tarjetas
individualmente en los equipos de los usuarios. Como alternativa, se puede comprar una solución de
administración de tarjetas inteligentes virtuales para lograr más fácilmente la creación de tarjetas inteligentes
virtuales a mayor escala y ayudar en fases adicionales de implementación. Las tarjetas inteligentes virtuales se
pueden crear en equipos que se van a aprovisionar para un empleado o en aquellos que ya están en posesión
de un empleado. En cualquier enfoque, debe haber algún control central sobre la personalización y el
aprovisionamiento. Si un equipo está diseñado para su uso por varios empleados, se pueden crear varias
tarjetas inteligentes virtuales en un equipo.
Para obtener información sobre la herramienta de línea de comandos de la tarjeta inteligente virtual de TPM,
consulte Tpmvscmgr.
Personalización
Durante la personalización de tarjetas inteligentes virtuales, se asignan los valores de la clave de administrador,
el PIN y el PUK. Al igual que con una tarjeta física, conocer la clave de administrador es importante para
restablecer el PIN o para eliminar la tarjeta en el futuro. (Si se establece una PUK, la clave de administrador ya
no se puede usar para restablecer el PIN).
Dado que la clave de administrador es fundamental para la seguridad de la tarjeta, es importante tener en
cuenta el entorno de implementación y decidir la estrategia de configuración de clave de administrador
adecuada. Entre las opciones de estas estrategias se incluyen:
Uniforme : las claves de administrador de todas las tarjetas inteligentes virtuales que se implementan en
la organización son las mismas. Aunque esto facilita la infraestructura de mantenimiento (solo se debe
almacenar una clave), es muy poco segura. Esta estrategia podría ser suficiente para organizaciones muy
pequeñas, pero si la clave de administrador está en peligro, se deben volver a emitir todas las tarjetas
inteligentes virtuales que usan esta clave.
Aleatorio, no almacenado : las claves de administrador se asignan aleatoriamente para todas las
tarjetas inteligentes virtuales y no se registran. Esta es una opción válida si los administradores de
implementación no requieren la capacidad de restablecer los PIN y, en su lugar, prefieren eliminar y
volver a emitir tarjetas inteligentes virtuales. Esta también podría ser una estrategia viable si el
administrador prefiere establecer valores PUK para las tarjetas inteligentes virtuales y, a continuación,
usar este valor para restablecer los PIN, si es necesario.
Aleatorio, almacenado : las claves de administrador se asignan aleatoriamente y se almacenan en una
ubicación central. La seguridad de cada tarjeta es independiente de las demás. Esto es seguro a gran
escala a menos que la base de datos de claves de administrador esté en peligro.
Determinista : las claves de administrador son el resultado de alguna función o información conocida.
Por ejemplo, el identificador de usuario podría usarse para generar aleatoriamente datos que se pueden
procesar aún más a través de un algoritmo de cifrado simétrico mediante un secreto. Esta clave de
administrador se puede regenerar de forma similar cuando sea necesario y no es necesario almacenarla.
 La seguridad de este método se basa en la seguridad del secreto usado.
Aunque las metodologías clave puk y administrador proporcionan la funcionalidad de desbloqueo y
restablecimiento, lo hacen de maneras diferentes. El PUK es un PIN que simplemente se escribe en el equipo
para habilitar el restablecimiento del PIN del usuario.
La metodología de clave de administrador adopta un enfoque de desafío-respuesta. La tarjeta proporciona un
conjunto de datos aleatorios después de que los usuarios comprueben su identidad al administrador de
implementación. A continuación, el administrador cifra los datos con la clave de administrador y devuelve los
datos cifrados al usuario. Si los datos cifrados coinciden con los generados por la tarjeta durante la
comprobación, la tarjeta permitirá el restablecimiento del PIN. Dado que nadie que no sea el administrador de
implementación nunca puede acceder a la clave de administrador, ninguna otra parte (incluidos los empleados)
puede interceptarla ni grabarla. Esto proporciona importantes ventajas de seguridad más allá del uso de un
PUK, una consideración importante durante el proceso de personalización.
Las tarjetas inteligentes virtuales de TPM se pueden personalizar individualmente cuando se crean con la
herramienta de línea de comandos tpmvscmgr. O bien, las organizaciones pueden comprar una solución de
administración que pueda incorporar personalización en una rutina automatizada. Una ventaja adicional de esta
solución es la creación automatizada de claves de administrador. [Link] permite a los usuarios crear sus
propias claves de administrador, lo que puede ser perjudicial para la seguridad de las tarjetas inteligentes
virtuales.

Aprovisionamiento de tarjetas inteligentes virtuales

El aprovisionamiento es el proceso de carga de credenciales específicas en una tarjeta inteligente virtual tpm.
Estas credenciales constan de certificados creados para proporcionar a los usuarios acceso a un servicio
específico, como el inicio de sesión de dominio. Se permite un máximo de 30 certificados en cada tarjeta
inteligente virtual. Al igual que con las tarjetas inteligentes físicas, se deben tomar varias decisiones con
respecto a la estrategia de aprovisionamiento, en función del entorno de la implementación y del nivel de
seguridad deseado.
Un alto nivel de garantía de aprovisionamiento seguro requiere una certeza absoluta sobre la identidad de la
persona que recibe el certificado. Por lo tanto, un método de aprovisionamiento de alta seguridad usa
credenciales seguras previamente aprovisionadas, como una tarjeta inteligente física, para validar la identidad
durante el aprovisionamiento. La corrección en persona en las estaciones de inscripción es otra opción, ya que
un individuo puede demostrar fácilmente y de forma segura su identidad con un pasaporte o el permiso de
conducir, aunque esto puede ser inviable a mayor escala. Para lograr un nivel de garantía similar, una
organización grande puede implementar una estrategia de "inscripción en nombre de", en la que los empleados
están inscritos con sus credenciales por un superior que puede comprobar personalmente sus identidades. Esto
crea una cadena de confianza que garantiza que las personas se comprueben en persona con respecto a sus
identidades propuestas, pero sin la presión administrativa de aprovisionar todas las tarjetas inteligentes
virtuales desde una única estación de inscripción central.
Para las implementaciones en las que un nivel de garantía alto no es una preocupación principal, puede usar
soluciones de autoservicio. Estos pueden incluir el uso de un portal en línea para obtener credenciales o
simplemente inscribirse para certificados mediante el Administrador de certificados, en función de la
implementación. Tenga en cuenta que la autenticación con tarjeta inteligente virtual solo es tan segura como el
método de aprovisionamiento. Por ejemplo, si se usan credenciales de dominio débiles (como una contraseña
solo) para solicitar el certificado de autenticación, la autenticación de tarjeta inteligente virtual será equivalente
a usar solo la contraseña y se perderán las ventajas de la autenticación en dos fases.
Para obtener información sobre el uso del Administrador de certificados para configurar tarjetas inteligentes
virtuales, consulte Introducción a las tarjetas inteligentes virtuales: Guía de tutorial.
Las soluciones de alta seguridad y autoservicio abordan el aprovisionamiento de tarjetas inteligentes virtuales
suponiendo que el equipo del usuario se haya emitido antes de la implementación de la tarjeta inteligente
virtual, pero no siempre es así. Si las tarjetas inteligentes virtuales se implementan con nuevos equipos, se
pueden crear, personalizar y aprovisionar en el equipo antes de que el usuario tenga contacto con ese equipo.
En esta situación, el aprovisionamiento es relativamente sencillo, pero se deben realizar comprobaciones de
identidad para asegurarse de que el destinatario del equipo es la persona que se esperaba durante el
aprovisionamiento. Para ello, es necesario que el empleado establezca el PIN inicial bajo la supervisión del
administrador o administrador de implementación.
Al aprovisionar los equipos, también debe tener en cuenta la longevidad de las credenciales que se
proporcionan para las tarjetas inteligentes virtuales. Esta elección debe basarse en el umbral de riesgo de la
organización. Aunque las credenciales de larga duración son más cómodas, también es más probable que se
vean comprometidas durante su vida útil. Para decidir la duración adecuada de las credenciales, la estrategia de
implementación debe tener en cuenta la vulnerabilidad de su criptografía (cuánto tiempo podría tardar en
descifrar las credenciales) y la probabilidad de ataque.
Si una tarjeta inteligente virtual está en peligro, los administradores deben poder revocar las credenciales
asociadas, como lo harían con un portátil perdido o robado. Esto requiere un registro de las credenciales que
coinciden con el usuario y el equipo, que es una funcionalidad que no existe de forma nativa en Windows. Es
posible que los administradores de implementación quieran considerar soluciones de complemento para
mantener este tipo de registro.
Tarjetas inteligentes virtuales en dispositivos de consumidor que se usan para el acceso corporativo
Hay técnicas que permiten a los empleados aprovisionar tarjetas inteligentes virtuales e inscribirse en
certificados que se pueden usar para autenticar a los usuarios. Esto resulta útil cuando los empleados intentan
acceder a los recursos corporativos desde dispositivos que no están unidos al dominio corporativo. Estos
dispositivos se pueden definir aún más para no permitir que los usuarios descarguen y ejecuten aplicaciones
desde orígenes distintos de la Tienda Windows (por ejemplo, dispositivos que ejecutan Windows RT).
Puedes usar las API que se introdujeron en Windows Server 2012 R2 y Windows 8.1 para compilar aplicaciones
de la Tienda Windows que puedes usar para administrar todo el ciclo de vida de las tarjetas inteligentes
virtuales. Para obtener más información, vea Crear y eliminar tarjetas inteligentes virtuales mediante
programación.
Propietario de TPMAuth en el registro
Cuando un dispositivo o equipo no está unido a un dominio, el propietario de TPMAuth se almacena en el
registro en HKEY_LOCAL_MACHINE. Esto expone algunas amenazas. La mayoría de los vectores de amenazas
están protegidos por BitLocker, pero las amenazas que no están protegidas incluyen:
Un usuario malintencionado posee un dispositivo que tiene una sesión de inicio de sesión local activa
antes de que se bloquee el dispositivo. El usuario malintencionado podría intentar un ataque por fuerza
bruta en el PIN de la tarjeta inteligente virtual y, a continuación, acceder a los secretos corporativos.
Un usuario malintencionado posee un dispositivo que tiene una sesión de red privada virtual (VPN)
activa. A continuación, el dispositivo se ve comprometido.
La mitigación propuesta para los escenarios anteriores consiste en usar directivas de Exchange ActiveSync (EAS)
para reducir el tiempo de bloqueo automático de cinco minutos a 30 segundos de inactividad. Las directivas
para el bloqueo automático se pueden establecer al aprovisionar tarjetas inteligentes virtuales. Si una
organización quiere más seguridad, también puede configurar una configuración para quitar ownerAuth del
dispositivo local.
Para obtener información de configuración sobre la clave del Registro ownerAuth de TPM, consulte la
configuración de directiva de grupo Configurar el nivel de información de autorización del propietario de TPM
disponible para el sistema operativo.
Para obtener información sobre las directivas de EAS, consulte introducción al motor de directivas de Exchange
ActiveSync.
Tarjetas administradas y no administradas
En la tabla siguiente se describen las diferencias importantes entre las tarjetas inteligentes virtuales
administradas y no administradas que existen en los dispositivos de consumidor:

TA RJETA S A DM IN IST RA DA S Y N O
O P ERA C IÓ N A DM IN IST RA DA S TA RJETA S N O A DM IN IST RA DA S

Restablecimiento del PIN cuando el Sí No, la tarjeta debe eliminarse y volver

usuario olvida el PIN a crearse.

Permitir al usuario cambiar el PIN Sí No, la tarjeta debe eliminarse y volver

a crearse.

Tarjetas administradas
El administrador de TI u otra persona de ese rol designado pueden atender una tarjeta inteligente virtual
administrada. Permite que el administrador de TI tenga influencia o control completo sobre aspectos específicos
de la tarjeta inteligente virtual desde su creación hasta su eliminación. Para administrar estas tarjetas, a menudo
se requiere una herramienta de administración de implementación de tarjetas inteligentes virtuales.
Creación de tarjetas administradas
Un usuario puede crear una tarjeta inteligente virtual en blanco mediante la herramienta de línea de comandos
tpmvscmgr, que es una herramienta integrada que se ejecuta con credenciales administrativas a través de un
símbolo del sistema con privilegios elevados. Esta tarjeta inteligente virtual debe crearse con parámetros
conocidos (como valores predeterminados) y debe dejarse sin formato (en concreto, no se debe especificar la
opción /generate ).
El siguiente comando crea una tarjeta inteligente virtual que más adelante se puede administrar mediante una
herramienta de administración de tarjetas inteligentes iniciada desde otro equipo (como se explica en la sección
siguiente):
[Link] create /name "VirtualSmartCardForCorpAccess" /AdminKey DEFAULT /PIN PROMPT

Como alternativa, en lugar de usar una clave de administrador predeterminada, un usuario puede escribir una
clave de administrador en la línea de comandos:
[Link] create /name "VirtualSmartCardForCorpAccess" /AdminKey PROMPT /PIN PROMPT

En cualquier caso, el sistema de administración de tarjetas debe tener en cuenta la clave de administrador inicial
que se usa para que pueda tomar posesión de la tarjeta inteligente virtual y cambiar la clave de administrador a
un valor al que solo se puede acceder a través de la herramienta de administración de tarjetas operada por el
administrador de TI. Por ejemplo, cuando se usa el valor predeterminado, la clave de administrador se establece
en:
10203040506070801020304050607080102030405060708

Para obtener información sobre el uso de esta herramienta de línea de comandos, consulte Tpmvscmgr.
Administración de tarjetas administradas
Una vez creada la tarjeta inteligente virtual, el usuario debe abrir una conexión de escritorio remoto a una
estación de inscripción, por ejemplo, en un equipo unido al dominio. Las tarjetas inteligentes virtuales asociadas
a un equipo cliente están disponibles para su uso en la conexión a Escritorio remoto. El usuario puede abrir una
herramienta de administración de tarjetas dentro de la sesión remota que puede tomar posesión de la tarjeta y
aprovisionarla para que la use el usuario. Esto requiere que un usuario pueda establecer una conexión de
escritorio remoto desde un equipo no unido a un dominio a un equipo unido a un dominio. Esto puede requerir
una configuración de red específica, como a través de directivas IPsec.
Cuando los usuarios necesitan restablecer o cambiar un PIN, deben usar la conexión a Escritorio remoto para
completar estas operaciones. Pueden usar las herramientas integradas para el desbloqueo de PIN y el cambio
de PIN o la herramienta de administración de tarjetas inteligentes.
Administración de certificados para tarjetas administradas
De forma similar a las tarjetas inteligentes físicas, las tarjetas inteligentes virtuales requieren la inscripción de
certificados.
Emisión de certificados
Los usuarios pueden inscribirse para obtener certificados desde una sesión de Escritorio remoto que se
establece para aprovisionar la tarjeta. Este proceso también se puede administrar mediante la herramienta de
administración de tarjetas inteligentes que el usuario ejecuta a través de la conexión a Escritorio remoto. Este
modelo funciona para implementaciones que requieren que el usuario firme una solicitud de inscripción
mediante una tarjeta inteligente física. No es necesario instalar el controlador de la tarjeta inteligente física en el
equipo cliente si está instalado en el equipo remoto. Esto es posible gracias a la funcionalidad de
redireccionamiento de tarjetas inteligentes que se introdujo en Windows Server 2003, lo que garantiza que las
tarjetas inteligentes conectadas al equipo cliente estén disponibles para su uso durante una sesión remota.
Como alternativa, sin establecer una conexión de escritorio remoto, los usuarios pueden inscribirse para obtener
certificados desde la consola de administración de certificados ([Link]) en un equipo cliente. Los usuarios
también pueden crear una solicitud y enviarla a un servidor desde una aplicación de inscripción de certificados
personalizada (por ejemplo, una entidad de registro) que tenga acceso controlado a la entidad de certificación
(CA). Esto requiere la configuración empresarial específica y las implementaciones para las directivas de
inscripción de certificados (CEP) y servicios de inscripción de certificados (CES).
Administración del ciclo de vida de los certificados
Puede renovar certificados a través de conexiones de Escritorio remoto, directivas de inscripción de certificados
o servicios de inscripción de certificados. Los requisitos de renovación pueden ser diferentes de los requisitos
de emisión iniciales, en función de la directiva de renovación.
La revocación de certificados requiere un planeamiento cuidadoso. Cuando la información sobre el certificado
que se va a revocar está disponible de forma confiable, el certificado específico se puede revocar fácilmente.
Cuando la información sobre el certificado que se va a revocar no es fácil de determinar, es posible que sea
necesario revocar todos los certificados que se emiten al usuario en la directiva que se usó para emitir el
certificado. Por ejemplo, esto podría ocurrir si un empleado informa de un dispositivo perdido o en peligro, y la
información que asocia el dispositivo con un certificado no está disponible.

Tarjetas no administradas
Un administrador de TI no puede atender las tarjetas inteligentes virtuales no administradas. Las tarjetas no
administradas pueden ser adecuadas si una organización no tiene una herramienta de administración de
implementación de tarjeta inteligente elaborada y no es deseable usar conexiones de escritorio remoto para
administrar la tarjeta. Dado que el administrador de TI no puede atender las tarjetas no administradas, cuando
un usuario necesita ayuda con una tarjeta inteligente virtual (por ejemplo, restablecer o desbloquear un PIN), la
única opción disponible para el usuario es eliminar la tarjeta y crearla de nuevo. Esto da lugar a la pérdida de las
credenciales del usuario y debe volver a inscribirse.
Creación de tarjetas no administradas
Un usuario puede crear una tarjeta inteligente virtual mediante la herramienta de línea de comandos
Tpmvscmgr, que se ejecuta con credenciales administrativas a través de un símbolo del sistema con privilegios
elevados. El siguiente comando crea una tarjeta no administrada que se puede usar para inscribir certificados:
[Link] create /name "VirtualSmartCardForCorpAccess" /AdminKey RANDOM /PIN PROMPT /generate
Este comando crea una tarjeta con una clave de administrador aleatoria. La clave se descarta automáticamente
después de la creación de la tarjeta. Si los usuarios olvidan o quieren cambiar su PIN, deben eliminar la tarjeta y
volver a crearla. Para eliminar la tarjeta, un usuario puede ejecutar el siguiente comando:
[Link] destroy /instance <instance ID>

donde <id.> de instancia es el valor que se imprime en la pantalla cuando el usuario crea la tarjeta. En concreto,
para la primera tarjeta creada, el identificador de instancia es ROOT\SMARTCARDREADER\0000).
Administración de certificados para tarjetas no administradas
En función de los requisitos de seguridad que son únicos para una organización, los usuarios pueden inscribirse
inicialmente para obtener certificados desde la consola de administración de certificados ([Link]) o desde
aplicaciones de inscripción de certificados personalizadas. Este último método puede crear una solicitud y
enviarla a un servidor que tenga acceso a la entidad de certificación. Esto requiere configuraciones e
implementaciones organizativas específicas para las directivas de inscripción de certificados y los servicios de
inscripción de certificados. Windows tiene herramientas integradas, específicamente [Link] y [Link],
que pueden usar los scripts para realizar la inscripción desde la línea de comandos.
Solicitar el certificado proporcionando solo credenciales de dominio
La manera más sencilla de que los usuarios soliciten certificados es proporcionar sus credenciales de dominio a
través de un script que pueda realizar la inscripción a través de los componentes integrados que tiene en su
lugar para las solicitudes de certificado.
Como alternativa, se puede instalar una aplicación (como una aplicación de línea de negocio) en el equipo para
realizar la inscripción mediante la generación de una solicitud en el cliente. La solicitud se envía a un servidor
HTTP, que puede reenviarla a una entidad de registro.
Otra opción es hacer que el usuario acceda a un portal de inscripción que esté disponible a través de Internet
Explorer. La página web puede usar las API de scripting para realizar la inscripción de certificados.
Firma de la solicitud con otro certificado
Puede proporcionar a los usuarios un certificado a corto plazo a través de un archivo de Intercambio de
información personal (.pfx). Puede generar el archivo .pfx iniciando una solicitud desde un equipo unido a un
dominio. Se pueden aplicar restricciones de directiva adicionales en el archivo .pfx para afirmar la identidad del
usuario.
El usuario puede importar el certificado en el almacén MY (que es el almacén de certificados del usuario).
Además, su organización puede presentar al usuario un script que se puede usar para firmar la solicitud del
certificado a corto plazo y para solicitar una tarjeta inteligente virtual.
Para las implementaciones que requieren que los usuarios usen una tarjeta inteligente física para firmar la
solicitud de certificado, puede usar el procedimiento:
1. Los usuarios inician una solicitud en un equipo unido a un dominio.
2. Los usuarios completan la solicitud mediante una tarjeta inteligente física para firmar la solicitud.
3. Los usuarios descargan la solicitud en la tarjeta inteligente virtual en su equipo cliente.
Uso de una contraseña única para la inscripción
Otra opción para asegurarse de que los usuarios se autentican fuertemente antes de emitir certificados de
tarjeta inteligente virtual es enviar a un usuario una contraseña única a través de SMS, correo electrónico o
teléfono. A continuación, el usuario escribe la contraseña de un solo uso durante la inscripción de certificados
desde una aplicación o un script en un escritorio que invoca herramientas de línea de comandos integradas.
Administración del ciclo de vida de los certificados
La renovación de certificados se puede realizar desde las mismas herramientas que se usan para la inscripción
inicial de certificados. Las directivas de inscripción de certificados y los servicios de inscripción de certificados
también se pueden usar para realizar la renovación automática.
La revocación de certificados requiere un planeamiento cuidadoso. Cuando la información sobre el certificado
que se va a revocar está disponible de forma confiable, el certificado específico se puede revocar fácilmente.
Cuando la información sobre el certificado que se va a revocar no es fácil de determinar, es posible que sea
necesario revocar todos los certificados que se emiten al usuario en la directiva que se usó para emitir el
certificado. Por ejemplo, esto podría ocurrir si un empleado informa de un dispositivo perdido o en peligro, y la
información que asocia el dispositivo con un certificado no está disponible.

Mantenimiento de tarjetas inteligentes virtuales

El mantenimiento es una parte significativa del ciclo de vida de la tarjeta inteligente virtual y una de las
consideraciones más importantes desde la perspectiva de la administración. Una vez creadas, personalizadas y
aprovisionadas las tarjetas inteligentes virtuales, se pueden usar para la autenticación en dos fases. Los
administradores de implementación deben tener en cuenta varios escenarios administrativos comunes, que se
pueden abordar mediante una solución de tarjeta inteligente virtual comprada o caso por caso con métodos
internos.
Renovación : renovar las credenciales de tarjeta inteligente virtual es una tarea normal que es necesaria para
conservar la seguridad de una implementación de tarjeta inteligente virtual. La renovación es el resultado de
una solicitud firmada de un usuario que especifica el par de claves deseado para las nuevas credenciales. En
función de la elección del usuario o la especificación de implementación, el usuario puede solicitar credenciales
con el mismo par de claves que se usó anteriormente o elegir un par de claves recién generado.
Al renovar con una clave usada anteriormente, no se requieren pasos adicionales porque se emitió un
certificado seguro con esta clave durante el aprovisionamiento inicial. Sin embargo, cuando el usuario solicita
un nuevo par de claves, debe realizar los mismos pasos que se usaron durante el aprovisionamiento para
garantizar la solidez de las credenciales. La renovación con nuevas claves debe producirse periódicamente para
contrarrestar sofisticados intentos a largo plazo por parte de usuarios malintencionados de infiltrarse en el
sistema. Cuando se asignan nuevas claves, debe asegurarse de que las nuevas claves las usan los usuarios
esperados en las mismas tarjetas inteligentes virtuales.
Restablecimiento de PIN : restablecer los PIN de tarjetas inteligentes virtuales también es una necesidad
frecuente, ya que los empleados olvidan sus PIN. Hay dos maneras de hacerlo, en función de las opciones
tomadas anteriormente en la implementación: usar un PUK (si se establece la PUK) o usar un enfoque de
desafío-respuesta con la clave de administración. Antes de restablecer el PIN, la identidad del usuario debe
comprobarse mediante algunos medios distintos de la tarjeta, lo más probable es que el método de verificación
que usó durante el aprovisionamiento inicial (por ejemplo, la corrección en persona). Esto es necesario en
escenarios de error del usuario cuando los usuarios olvidan sus PIN. Sin embargo, nunca debe restablecer un
PIN si se ha puesto en peligro porque el nivel de vulnerabilidad después de exponer el PIN es difícil de
identificar. Se debe volver a emitir la tarjeta completa.
Restablecimiento de bloqueo : un precursor frecuente para restablecer un PIN es la necesidad de restablecer
el tiempo de bloqueo de TPM porque la lógica de anti-martillo de TPM se activará con varios errores de entrada
de PIN para una tarjeta inteligente virtual. Esto es actualmente específico del dispositivo.
Retirar tarjetas : el aspecto final de la administración de tarjetas inteligentes virtuales es retirar las tarjetas
cuando ya no son necesarias. Cuando un empleado deja la empresa, es deseable revocar el acceso al dominio.
Revocar las credenciales de inicio de sesión de la entidad de certificación (CA) logra este objetivo.
La tarjeta debe volver a emitirse si otros empleados usan el mismo equipo sin volver a instalar el sistema
operativo. La reutilización de la tarjeta anterior puede permitir que el antiguo empleado cambie el PIN después
de salir de la organización y, a continuación, secuestrar los certificados que pertenecen al nuevo usuario para
obtener acceso no autorizado al dominio. Sin embargo, si el empleado toma el equipo habilitado para tarjetas
inteligentes virtuales, solo es necesario revocar los certificados almacenados en la tarjeta inteligente virtual.
Preparación de emergencia
Reemitimiento de tarjetas
El escenario más común de una organización es la emisión de tarjetas inteligentes virtuales, que pueden ser
necesarias si el sistema operativo se vuelve a instalar o si la tarjeta inteligente virtual está en peligro de alguna
manera. La reemitencia es esencialmente la recreación de la tarjeta, lo que implica establecer un nuevo PIN y
una clave de administrador y aprovisionar un nuevo conjunto de certificados asociados. Se trata de una
necesidad inmediata cuando una tarjeta está en peligro, por ejemplo, si el equipo virtual protegido con tarjeta
inteligente se expone a un adversario que podría tener acceso al PIN correcto. La reemitencia es la respuesta
más segura a una exposición desconocida de la privacidad de una tarjeta. Además, la reemitencia es necesaria
después de reinstalar un sistema operativo porque el perfil del dispositivo de tarjeta inteligente virtual se quita
con todos los demás datos de usuario cuando se vuelve a instalar el sistema operativo.
Tarjeta inteligente virtual bloqueada
El comportamiento contra el martillo de una tarjeta inteligente virtual tpm es diferente del de una tarjeta
inteligente física. Una tarjeta inteligente física se bloquea después de que el usuario escriba el PIN incorrecto
varias veces. Una tarjeta inteligente virtual tpm introduce un retraso con tiempo después de que el usuario
escriba el PIN incorrecto varias veces. Si el TPM está en modo de retraso temporal, cuando el usuario intenta
usar la tarjeta inteligente virtual de TPM, se notifica al usuario que la tarjeta está bloqueada. Además, si habilita
la funcionalidad de desbloqueo integrada, el usuario puede ver la interfaz de usuario para desbloquear la tarjeta
inteligente virtual y cambiar el PIN. El desbloqueo de la tarjeta inteligente virtual no restablece el bloqueo de
TPM. El usuario debe realizar un paso adicional para restablecer el bloqueo de TPM o esperar a que expire el
retraso temporal.
Para obtener más información sobre cómo establecer la directiva Permitir desbloqueo integrado, vea Permitir
que se muestre la pantalla Desbloqueo integrado en el momento del inicio de sesión.

Ver también
Comprender y evaluar las tarjetas inteligentes virtuales
Introducción a las tarjetas inteligentes virtuales: guía paso a paso
Usar tarjetas inteligentes virtuales
Evaluar la seguridad de las tarjetas inteligentes virtuales
Tpmvscmgr
 Evaluar la seguridad de las tarjetas inteligentes
virtuales
08/11/2022 • 4 minutes to read

En este tema para profesionales de TI se describen las características y consideraciones de seguridad al

implementar tarjetas inteligentes virtuales de TPM.

Detalles de no exportabilidad de tarjetas inteligentes virtuales

Un aspecto crucial de las tarjetas inteligentes virtuales de TPM es su capacidad para almacenar y usar datos
secretos de forma segura, específicamente que los datos protegidos no se pueden exportar. Se puede acceder a
los datos y usarlos dentro del sistema de tarjetas inteligentes virtuales, pero no tienen sentido fuera de su
entorno previsto. En las tarjetas inteligentes virtuales de TPM, la seguridad se garantiza con una jerarquía de
claves segura, que incluye varias cadenas de cifrado. Esto se origina con la clave raíz de almacenamiento de
TPM, que se genera y almacena en el TPM y nunca se expone fuera del chip. La jerarquía de claves de TPM está
diseñada para permitir el cifrado de datos de usuario con la clave raíz de almacenamiento, pero autoriza el
descifrado con el PIN de usuario de forma que cambiar el PIN no requiera volver a cifrar los datos.
En el diagrama siguiente se muestra la jerarquía de claves seguras y el proceso de acceso a la clave de usuario.

Las claves siguientes se almacenan en el disco duro:

Clave de usuario
Clave de tarjeta inteligente, cifrada por la clave raíz de almacenamiento
Clave de autorización para el descifrado de claves de usuario, cifrada por la parte pública de la clave de
tarjeta inteligente
Cuando el usuario escribe un PIN, se autoriza el uso de la clave de tarjeta inteligente descifrada con este PIN. Si
esta autorización se realiza correctamente, se usa la clave de tarjeta inteligente descifrada para descifrar la clave
de autenticación. A continuación, la clave de autenticación se proporciona al TPM para autorizar el descifrado y
el uso de la clave del usuario que se almacena en la tarjeta inteligente virtual.
La clave de autenticación es la única información confidencial que se usa como texto sin formato fuera del TPM,
pero su presencia en la memoria está protegida por La API de protección de datos de Microsoft (DPAPI), de
modo que antes de almacenarse de cualquier manera, se cifra. Todos los datos que no sean la clave de
autenticación se procesan solo como texto sin formato dentro del TPM, que está completamente aislado del
acceso externo.

Detalles de anti-martilleo de tarjetas inteligentes virtuales

La funcionalidad de anti-martilleo de tarjetas inteligentes virtuales se basa en la funcionalidad de anti-martilleo
del TPM que habilita la tarjeta inteligente virtual. Sin embargo, la versión 1.2 del TPM y las especificaciones
posteriores (diseñadas por el grupo de informática de confianza) proporcionan directrices muy flexibles para
responder al martillado. La especificación solo requiere que el TPM implemente la protección contra ataques de
prueba y error en el PIN del usuario, PUK y el mecanismo de desafío y respuesta.
El grupo de informática de confianza también especifica que si la respuesta a los ataques implica suspender la
función adecuada del TPM durante algún período de tiempo o hasta que se realice una acción administrativa, el
TPM debe impedir la ejecución de los comandos de TPM autorizados. El TPM puede impedir la ejecución de
comandos de TPM hasta la finalización de la respuesta al ataque. Además de usar un retraso de tiempo o
requerir una acción administrativa, un TPM también podría forzar un reinicio cuando se detecta un ataque.
Trusted Computing Group permite a los fabricantes un nivel de creatividad en su elección de implementación.
Cualquier metodología elegida por los fabricantes de TPM determina la respuesta contra el martillo de las
tarjetas inteligentes virtuales de TPM. Algunos aspectos típicos de la protección contra ataques incluyen:
1. Permitir solo un número limitado de intentos de PIN incorrectos antes de habilitar un bloqueo que exija
un retraso de tiempo antes de que el TPM acepte otros comandos.

Nota Introducida en Windows Server 2012 R2 y Windows 8.1, si el usuario escribe el PIN incorrecto
cinco veces consecutivas para una tarjeta inteligente virtual (que funciona junto con el TPM), la tarjeta
se bloquea. Cuando se bloquea la tarjeta, debe desbloquearse mediante la clave administrativa o el
PUK.

2. Aumente el retraso de tiempo exponencialmente a medida que el usuario escriba el PIN incorrecto para
que un número excesivo de intentos de PIN incorrectos desencadene rápidamente retrasos prolongados
en la aceptación de comandos.
3. Tener un mecanismo de pérdida de errores para permitir que el TPM restablezca los retrasos temporales
durante un período de tiempo. Esto resulta útil en los casos en los que un usuario válido ha escrito el PIN
incorrecto ocasionalmente, por ejemplo, debido a la complejidad del PIN.
Por ejemplo, se tardarán 14 años en adivinar un PIN de 8 caracteres para un TPM que implemente la siguiente
protección:
1. Número de PIN incorrectos permitidos antes de entrar en el bloqueo (umbral): 9
2. Tiempo en que el TPM está bloqueado después de alcanzar el umbral: 10 segundos
3. El retraso con tiempo se duplica para cada PIN incorrecto después de alcanzar el umbral

Ver también
Comprender y evaluar las tarjetas inteligentes virtuales
 Tpmvscmgr
08/11/2022 • 5 minutes to read

La herramienta de línea de comandos tpmvscmgr permite a los usuarios con credenciales administrativas crear
y eliminar tarjetas inteligentes virtuales de TPM en un equipo. Para obtener ejemplos de cómo se puede usar
este comando, consulte Ejemplos.

Sintaxis
Tpmvscmgr create [/quiet] /name <name> /AdminKey {DEFAULT | PROMPT | RANDOM} [/PIN {DEFAULT | PROMPT}] [/PUK
{DEFAULT | PROMPT}] [/generate] [/machine <machine name>] [/pinpolicy [policy options]] [/attestation
{AIK_AND_CERT | AIK_ONLY}] [/?]

Tpmvscmgr destroy [/quiet] [/instance <device instance ID>] [/machine <machine name>] [/?]

Parámetros para el comando Create

El comando Crear configura nuevas tarjetas inteligentes virtuales en el sistema del usuario. Devuelve el
identificador de instancia de la tarjeta recién creada para una referencia posterior si se requiere la eliminación. El
identificador de instancia tiene el formato ROOT\SMARTCARDREADER\000n, donde n comienza desde 0 y
aumenta en 1 cada vez que se crea una nueva tarjeta inteligente virtual.

PA RÁ M ET RO DESC RIP C IÓ N

/Nombre Obligatorio. Indica el nombre de la nueva tarjeta inteligente

virtual.

/AdminKey Indica la clave de administrador deseada que se puede usar

para restablecer el PIN de la tarjeta si el usuario olvida el PIN.
PREDETERMINADO Especifica el valor predeterminado de
0102030405060708010203040506070801020304050607
08.
PRONTO Solicita al usuario que escriba un valor para la
clave de administrador.
ALEATORIO Da como resultado una configuración
aleatoria para la clave de administrador de una tarjeta que
no se devuelve al usuario. Esto crea una tarjeta que podría
no ser manejable mediante herramientas de administración
de tarjetas inteligentes. Cuando se genera con RANDOM, la
clave de administrador se establece en 48 caracteres
hexadecimales.

/ANCLAR Indica el valor de PIN de usuario deseado.

PREDETERMINADO Especifica el PIN predeterminado de
12345678.
PRONTO Solicita al usuario que escriba un PIN en la línea
de comandos. El PIN debe tener un mínimo de ocho
caracteres y puede contener números, caracteres y
caracteres especiales.
PA RÁ M ET RO DESC RIP C IÓ N

/PUK Indica el valor de clave de desbloqueo de PIN (PUK) deseado.

El valor puk debe tener un mínimo de ocho caracteres y
puede contener números, caracteres y caracteres especiales.
Si se omite el parámetro, la tarjeta se crea sin puk.
PREDETERMINADO Especifica la PUK predeterminada de
12345678.
PRONTO Solicita al usuario que escriba un PUK en la línea
de comandos.

/Generar Genera los archivos en el almacenamiento necesarios para

que funcione la tarjeta inteligente virtual. Si se omite el
parámetro /generate, equivale a crear una tarjeta sin este
sistema de archivos. Una tarjeta sin un sistema de archivos
solo se puede administrar mediante un sistema de
administración de tarjetas inteligentes, como Microsoft
Configuration Manager.

/Máquina Permite especificar el nombre de un equipo remoto en el que

se puede crear la tarjeta inteligente virtual. Esto solo se
puede usar en un entorno de dominio y se basa en DCOM.
Para que el comando cree correctamente una tarjeta
inteligente virtual en otro equipo, el usuario que ejecuta este
comando debe ser miembro del grupo de administradores
locales del equipo remoto.

/pinpolicy Si se usa el símbolo del sistema /pin , /pinpolicy

permite especificar las siguientes opciones de directiva de
PIN:
minlen < longitud mínima del PIN>
Si no se especifica, el valor predeterminado es 8. El límite
inferior es 4.
maxlen < longitud máxima del PIN>
Si no se especifica, el valor predeterminado es 127. El límite
superior es 127.
Mayúsculas Puede ser PERMITIDO , NO PERMITIDO o
OBLIGATORIO. El valor predeterminado es ALLOWED.
Minúsculas Puede ser PERMITIDO , NO PERMITIDO o
OBLIGATORIO. El valor predeterminado es ALLOWED.
Dígitos Puede ser PERMITIDO , NO PERMITIDO o
OBLIGATORIO. El valor predeterminado es ALLOWED.
specialchars Puede ser PERMITIDO , NO PERMITIDO o
OBLIGATORIO. El valor predeterminado es ALLOWED.

Cuando se usa /pinpolicy , los caracteres PIN deben ser

caracteres ASCII imprimibles.
 PA RÁ M ET RO DESC RIP C IÓ N

/Certificación Configura la atestación (solo asunto). Esta atestación usa un

certificado de clave de identidad de atestación (AIK) como
delimitador de confianza para garantizar que las claves y los
certificados de tarjetas inteligentes virtuales están
verdaderamente enlazados a hardware. Los métodos de
atestación son:
**** AIK_AND_CERT Crea un AIK y obtiene un certificado
AIK de la entidad de certificación en la nube (CA) de
Microsoft. Esto requiere que el dispositivo tenga un TPM con
un certificado EK. Si se especifica esta opción y no hay
conectividad de red, es posible que se produzca un error en
la creación de la tarjeta inteligente virtual.
**** AIK_ONLY Crea un AIK, pero no obtiene un certificado
AIK.

/? Muestra la Ayuda para este comando.

Parámetros para el comando Destroy

El comando Destruir elimina de forma segura una tarjeta inteligente virtual de un equipo.

WARNING
Cuando se elimina una tarjeta inteligente virtual, no se puede recuperar.

PA RÁ M ET RO DESC RIP C IÓ N

/Ejemplo Especifica el identificador de instancia de la tarjeta inteligente

virtual que se va a quitar. El instanceID se generó como
salida por [Link] cuando se creó la tarjeta. El
parámetro /instance es un campo obligatorio para el
comando Destroy.

/Máquina Permite especificar el nombre de un equipo remoto en el que

se eliminará la tarjeta inteligente virtual. Esto solo se puede
usar en un entorno de dominio y se basa en DCOM. Para
que el comando elimine correctamente una tarjeta
inteligente virtual en otro equipo, el usuario que ejecuta este
comando debe ser miembro del grupo de administradores
locales del equipo remoto.

/? Muestra la Ayuda para este comando.

Observaciones
La pertenencia al grupo Administradores (o equivalente) en el equipo de destino es el mínimo necesario para
ejecutar todos los parámetros de este comando.
En el caso de las entradas alfanuméricas, se permite el conjunto ASCII completo de 127 caracteres.

Ejemplos
El siguiente comando muestra cómo crear una tarjeta inteligente virtual que se puede administrar más adelante
mediante una herramienta de administración de tarjetas inteligentes iniciada desde otro equipo.
 [Link] create /name "VirtualSmartCardForCorpAccess" /AdminKey DEFAULT /PIN PROMPT

Como alternativa, en lugar de usar una clave de administrador predeterminada, puede crear una clave de
administrador en la línea de comandos. El siguiente comando muestra cómo crear una clave de administrador.

[Link] create /name "VirtualSmartCardForCorpAccess" /AdminKey PROMPT /PIN PROMPT

El siguiente comando creará la tarjeta inteligente virtual no administrada que se puede usar para inscribir
certificados.

[Link] create /name "VirtualSmartCardForCorpAccess" /AdminKey RANDOM /PIN PROMPT /generate

El comando anterior creará una tarjeta inteligente virtual con una clave de administrador aleatoria. La clave se
descarta automáticamente después de crear la tarjeta. Esto significa que si el usuario olvida el PIN o quiere
cambiar el PIN, el usuario debe eliminar la tarjeta y volver a crearla. Para eliminar la tarjeta, el usuario puede
ejecutar el siguiente comando.

[Link] destroy /instance <instance ID>

donde <id.> de instancia es el valor impreso en la pantalla cuando el usuario creó la tarjeta. En concreto, para la
primera tarjeta creada, el identificador de instancia es ROOT\SMARTCARDREADER\0000.
El siguiente comando creará una tarjeta inteligente virtual tpm con el valor predeterminado para la clave de
administrador y una directiva de PIN y un método de atestación especificados:

[Link] create /name "VirtualSmartCardForCorpAccess" /PIN PROMPT /pinpolicy minlen 4 maxlen 8

/AdminKey DEFAULT /attestation AIK_AND_CERT /generate

Referencias adicionales
Información general sobre tarjetas inteligentes virtuales
 Seguridad de Windows y la nube
08/11/2022 • 3 minutes to read

La fuerza de trabajo de hoy en día tiene más libertad y movilidad que nunca. Con el crecimiento de la adopción
de la nube empresarial, el aumento del uso de aplicaciones personales y el aumento del uso de aplicaciones de
terceros, el riesgo de exposición de datos es mayor. Al habilitar la protección Zero-Trust, Windows 11 funciona
con los servicios en la nube de Microsoft. Los servicios en la nube y Windows ayudan a las organizaciones a
reforzar su infraestructura de seguridad en varias nubes, proteger las cargas de trabajo de nube híbrida y
proteger la información confidencial al tiempo que controlan el acceso y mitigan las amenazas.
Windows 11 incluye los servicios en la nube que aparecen en la tabla siguiente:

T IP O DE SERVIC IO DESC RIP C IÓ N

Administración de dispositivos móviles (MDM) y Microsoft Windows 11 admite MDM, una solución de administración
Intune empresarial que le ayuda a administrar las directivas de
seguridad y las aplicaciones empresariales de su
organización. MDM permite al equipo de seguridad
administrar dispositivos sin poner en peligro la privacidad de
las personas en sus dispositivos personales.

Los servidores que no son de Microsoft se pueden usar para

administrar Windows 11 mediante protocolos estándar del
sector.

Para más información, consulte Administración de

dispositivos móviles.

Cuenta de Microsoft Cuando los usuarios agregan su cuenta Microsoft a

Windows 11, pueden traer sus opciones de Configuración de
Windows, Microsoft Edge, Xbox, favoritos de páginas web,
archivos, fotos y mucho más en sus dispositivos.

La cuenta de Microsoft permite a los usuarios administrar

todo en un solo lugar. Pueden mantener las pestañas sobre
sus suscripciones y el historial de pedidos, organizar la vida
digital de su familia, actualizar su configuración de privacidad
y seguridad, realizar un seguimiento de la salud y la
seguridad de sus dispositivos e incluso obtener
recompensas.

Para obtener más información, consulte Cuentas de

Microsoft.
 T IP O DE SERVIC IO DESC RIP C IÓ N

OneDrive OneDrive es el almacenamiento en línea para sus archivos,

fotos y datos. OneDrive proporciona opciones adicionales de
seguridad, copia de seguridad y restauración para archivos y
fotos importantes. Con opciones tanto personales como
empresariales, las personas pueden usar OneDrive para
almacenar y proteger archivos en la nube, lo que permite a
los usuarios usarlos en sus equipos portátiles, escritorios y
dispositivos móviles. Si se pierde o se roba un dispositivo, las
personas pueden recuperar rápidamente todos sus archivos,
fotos y datos importantes.

OneDrive Personal Vault también proporciona protección

para los archivos más confidenciales sin perder la comodidad
del acceso en cualquier lugar. Los archivos se protegen
mediante la verificación de identidades, pero son fácilmente
accesibles para los usuarios en sus dispositivos. Obtenga
información sobre cómo configurar Personal Vault.

Si hay un ataque de ransomware, OneDrive puede habilitar

la recuperación. Y si ha configurado copias de seguridad en
OneDrive, tiene más opciones para mitigar y recuperarse de
un ataque de ransomware. Obtenga más información sobre
cómo recuperarse de un ataque de ransomware mediante
Office 365.

Acceso a Azure Active Directory Microsoft Azure Active Directory (Azure AD) es una solución
completa de administración de identidades y acceso en la
nube para administrar identidades y directorios, habilitar el
acceso a las aplicaciones y proteger las identidades frente a
amenazas de seguridad.

Con Azure AD, puede administrar y proteger identidades

para que los empleados, asociados y clientes accedan a las
aplicaciones y servicios que necesitan. Windows 11 funciona
sin problemas con Azure Active Directory para proporcionar
acceso seguro, administración de identidades e inicio de
sesión único en aplicaciones y servicios desde cualquier lugar.

Para más información, consulte ¿Qué es Azure AD?

Pasos siguientes
Más información sobre MDM y Windows 11
Más información sobre la seguridad de Windows
 Bases de seguridad de Windows
08/11/2022 • 2 minutes to read

Microsoft se compromete a invertir continuamente en mejorar nuestro proceso de desarrollo de software, crear
software altamente seguro por diseño y abordar los requisitos de cumplimiento de seguridad. En Microsoft,
incorporamos consideraciones de seguridad y privacidad de las primeras fases del ciclo de vida de todos
nuestros procesos de desarrollo de software. Creamos seguridad desde el terreno para una defensa eficaz en el
entorno de amenazas de hoy en día.
Nuestra sólida base de seguridad usa recompensas por errores del ciclo de vida de desarrollo de seguridad de
Microsoft (SDL), compatibilidad con estándares y certificaciones de seguridad de productos y firma de Código
de Azure. Como resultado, mejoramos la seguridad mediante la producción de software con menos defectos y
vulnerabilidades en lugar de depender de la aplicación de actualizaciones después de que se hayan identificado
vulnerabilidades.
Use los vínculos de la tabla siguiente para obtener más información sobre las bases de seguridad:

C O N C EP TO DESC RIP C IÓ N

Validación de FIPS 140-2 La Publicación 140-2 del Estándar Federal de Procesamiento

de Información (FIPS) es un estándar del gobierno de ee. UU.
FIPS se basa en el artículo 5131 de la Ley de Reforma de la
Gestión de la Tecnología de la Información de 1996. Define
los requisitos de seguridad mínimos para los módulos
criptográficos en los productos de TI. Microsoft mantiene un
compromiso activo con el cumplimiento de los requisitos del
estándar FIPS 140-2, habiendo validado los módulos
criptográficos en su contra desde que se estableció por
primera vez en 2001.

Obtenga más información sobre la validación de FIPS 140-2.

Certificaciones de criterios comunes Microsoft admite el programa de certificación Common

Criteria, garantiza que los productos incorporan las
características y funciones requeridas por los perfiles de
protección de criterios comunes pertinentes y completa las
certificaciones de criterios comunes de los productos de
Microsoft Windows.

Obtenga más información sobre las certificaciones de

criterios comunes.

Ciclo de vida de desarrollo de seguridad de Microsoft El ciclo de vida de desarrollo de seguridad (SDL) es un
proceso de garantía de seguridad que se centra en el
desarrollo de software. Sdl ha desempeñado un papel
fundamental en la inserción de seguridad y privacidad en
software y cultura en Microsoft.

Obtenga más información sobre EL SDL de Microsoft.

C O N C EP TO DESC RIP C IÓ N

Programa de recompensas de Microsoft por la detección de Si encuentra una vulnerabilidad en un producto, servicio o
errores dispositivo de Microsoft, queremos saber de usted. Si su
informe de vulnerabilidad afecta a un producto o servicio
que está dentro del ámbito de uno de nuestros programas
de recompensas a continuación, podría recibir un premio de
recompensas de acuerdo con las descripciones del programa.

Obtenga más información sobre el Programa de

recompensas por errores de Microsoft.
 Ciclo de vida de desarrollo de seguridad de
Microsoft
08/11/2022 • 2 minutes to read

El ciclo de vida de desarrollo de seguridad (SDL) es un proceso de garantía de seguridad que se centra en el
desarrollo de software. Como iniciativa de Microsoft y una directiva obligatoria desde 2004, sdl ha
desempeñado un papel fundamental en la inserción de la seguridad y la privacidad en el software y la cultura en
Microsoft.

Con la ayuda de la combinación de un enfoque holístico y práctico, el SDL pretende reducir el número y la
gravedad de las vulnerabilidades en el software. Sdl introduce seguridad y privacidad en todas las fases del
proceso de desarrollo.
El SDL de Microsoft se basa en tres conceptos básicos:
Educación
Mejora continua de procesos
Responsabilidad
Para más información sobre SDL, visite el sitio de ingeniería de seguridad.
Además, descargue la notas del producto Implementación simplificada de SDL de Microsoft.
 Validación de FIPS 140-2
08/11/2022 • 182 minutes to read

Información general estándar de FIPS 140-2

La Publicación 140-2 del Estándar Federal de Procesamiento de Información (FIPS) es un estándar del gobierno
de ee. UU. FIPS se basa en el artículo 5131 de la Ley de Reforma de la Gestión de la Tecnología de la Información
de 1996. Define los requisitos de seguridad mínimos para los módulos criptográficos en los productos de TI.
El Programa de Validación de Módulos Criptográficos (CMVP) es un esfuerzo conjunto del Instituto Nacional de
Estándares y Tecnología (NIST) y el Centro Canadiense de Ciberseguridad (CCCS). Valida los módulos
criptográficos con los requisitos de seguridad de los módulos criptográficos (parte de FIPS 140-2) y los
estándares de criptografía FIPS relacionados. Los requisitos de seguridad fips 140-2 abarcan 11 áreas
relacionadas con el diseño y la implementación de un módulo criptográfico. El laboratorio de tecnología de la
información nist opera un programa relacionado que valida los algoritmos criptográficos aprobados por FIPS en
el módulo.

Enfoque de Microsoft para la validación fips 140-2

Microsoft mantiene un compromiso activo con el cumplimiento de los requisitos del estándar FIPS 140-2,
habiendo validado los módulos criptográficos en su contra desde que se estableció por primera vez en 2001.
Microsoft valida sus módulos criptográficos en CMVP de NIST, como se describió anteriormente. Varios
productos de Microsoft, incluidos Windows 10, Windows Server y muchos servicios en la nube, usan estos
módulos criptográficos.

Uso de Windows en un modo de operación aprobado por FIPS 140-2

Windows 10 y Windows Server se pueden configurar para ejecutarse en un modo de operación aprobado por
FIPS 140-2, lo que se conoce comúnmente como "modo FIPS". Si activa el modo FIPS, los módulos Biblioteca de
primitivas criptográficas ([Link]) y Biblioteca de primitivas criptográficas en modo kernel ([Link])
ejecutarán auto pruebas antes de que Windows ejecute operaciones criptográficas. Estas pruebas automáticas
se ejecutan según la sección 4.9 de FIPS 140-2. Garantizan que los módulos funcionen correctamente.
La biblioteca de primitivas criptográficas y la biblioteca de primitivas criptográficas en modo kernel son los
únicos módulos afectados por el modo FIPS. El modo FIPS no impedirá que Windows y sus subsistemas usen
algoritmos criptográficos no validados por FIPS. El modo FIPS es simplemente un aviso para aplicaciones o
componentes distintos de la biblioteca de primitivas criptográficas y la biblioteca de primitivas criptográficas en
modo kernel.
Las regulaciones gubernamentales de EE. UU. siguen mandando el modo FIPS para los dispositivos
gubernamentales que ejecutan Windows. Otros clientes deben decidir por sí mismos si el modo FIPS es
adecuado para ellos. Hay muchas aplicaciones y protocolos que usan la directiva de modo FIPS para determinar
qué funcionalidad criptográfica se va a ejecutar. Los clientes que buscan seguir el estándar FIPS 140-2 deben
investigar la configuración de sus aplicaciones y protocolos. Esta investigación ayudará a garantizar que se
puedan configurar para usar criptografía validada de FIPS 140-2.
Para lograr este modo de funcionamiento aprobado por FIPS 140-2 de Windows, los administradores deben
completar los cuatro pasos que se describen a continuación.
Paso 1: Asegúrese de que los módulos criptográficos validados por FIPS 140-2 estén instalados
Los administradores deben asegurarse de que todos los módulos criptográficos instalados estén validados con
FIPS 140-2. Las tablas que enumeran los módulos validados, organizados por versión del sistema operativo,
están disponibles más adelante en este artículo.
Paso 2: Asegúrese de que se siguen todas las directivas de seguridad para todos los módulos criptográficos.
Cada uno de los módulos criptográficos tiene una directiva de seguridad definida que debe cumplirse para que
el módulo funcione en su modo aprobado fips 140-2. La directiva de seguridad se puede encontrar en el
documento de directiva de seguridad (SPD) publicado de cada módulo. Los SPD de cada módulo se pueden
encontrar en la tabla de módulos validados al final de este artículo. Seleccione el número de versión del módulo
para ver el SPD publicado para el módulo.
Paso 3: Habilitar la directiva de seguridad FIPS
Windows proporciona la configuración de directiva de seguridad, Criptografía del sistema: use algoritmos
compatibles con FIPS para el cifrado, el hash y la firma. Algunos productos de Microsoft usan esta configuración
para determinar si se debe ejecutar en modo FIPS. Cuando esta directiva está activada, los módulos
criptográficos validados en Windows también funcionarán en modo FIPS. Esta directiva se puede establecer
mediante la directiva de seguridad local, como parte de directiva de grupo, o a través de una solución de
Administración de dispositivos moderna (MDM). Para obtener más información sobre la directiva, vea
Criptografía del sistema: Uso de algoritmos compatibles con FIPS para cifrado, hash y firma.
Paso 4: Asegúrese de que solo se usan algoritmos criptográficos validados por FIPS
El modo FIPS se aplica en el nivel de la aplicación o servicio. El sistema operativo o los módulos criptográficos
individuales no la aplican. Las aplicaciones o servicios que se ejecutan en modo FIPS deben seguir las directivas
de seguridad de los módulos validados. No deben usar un algoritmo criptográfico que no sea compatible con
FIPS.
En resumen, una aplicación o servicio se ejecuta en modo FIPS si:
Comprobaciones de la marca de directiva
Aplica directivas de seguridad de módulos validados

Módulos criptográficos validados por Microsoft FIPS 140-2

En las tablas siguientes se identifican los módulos criptográficos que se usan en un sistema operativo,
organizados por versión.
Módulos usados por los clientes de Windows
Para obtener más información, expanda cada sección del sistema operativo.

Windows 10, versión 1809

Windows 10, versión 1803
Windows 10, versión 1709
Windows 10, versión 1703
Windows 10, versión 1607
Windows 10, versión 1511
Windows 10, versión 1507
Windows 8.1
Windows 8
Windows 7
Windows Vista SP1
Windows Vista
Windows XP SP3
Windows XP SP2
Windows XP SP1
 Windows XP
Windows 2000 SP3
Windows 2000 SP2
Windows 2000 SP1
Windows 2000
Windows 95 y Windows 98
Windows NT 4.0
Módulos usados por Windows Server
Para obtener más información, expanda cada sección del sistema operativo.

Windows Ser ver 2019, versión 1809

Windows Ser ver, versión 1803
Windows Ser ver, versión 1709
Windows Ser ver 2016
Windows Ser ver 2012 R2
Windows Ser ver 2012
Windows Ser ver 2008 R2
WindowsSer ver2008
Windows Ser ver 2003 SP2
Windows Ser ver 2003 SP1
Windows Ser ver 2003

Otros productos
Para obtener más información, expanda cada sección de producto.

Windows Embedded Compact 7 y Windows Embedded Compact 8

Windows CE 6.0 y Windows Embedded Compact 7
Proveedor criptográfico de Outlook

Algoritmos criográficos
Las tablas siguientes se organizan mediante algoritmos criptográficos con sus modos, estados y tamaños de
clave. Para cada implementación de algoritmo (sistema operativo o plataforma), hay un vínculo al certificado
emitido por el Programa de validación de algoritmos criptográficos (CAVP). Para obtener más información,
expanda cada sección de algoritmo.

Estándar de cifrado avanzado (AES)

Componente
Generador de bits aleatorios deterministas (DRBG)
Algoritmo de firma digital (DSA)
Algoritmo de firma digital de cur va elíptica (ECDSA)
Keyed-Hash código de autenticación de mensajes (HMAC)
Esquema de contrato de clave (KAS)
SP 800-108 Key-Based Funciones de derivación de claves (KBKDF)
Generador de números aleatorios (RNG)
Rsa
Estándar de hash seguro (SHS)
SP 800-132 Password-Based función de derivación de claves (PBKDF)
Triple DES
Contact
fips@[Link]

Referencias
FIPS 140-2, Requisitos de seguridad para módulos criptográficos)
Preguntas más frecuentes sobre el Programa de validación de módulos criptográficos (CMVP)
SP 800-57 - Recomendación para la administración de claves - Parte 1: General (revisada)
SP 800-131A: transiciones: recomendación para la transición del uso de algoritmos criptográficos y
longitudes de clave

Preguntas más frecuentes

¿Cuánto tiempo se tarda en certificar un módulo criptográfico?
Microsoft comienza la certificación de módulos criptográficos después de cada versión de características
principales de Windows 10 y Windows Server. La duración de cada evaluación varía en función de muchos
factores.
¿Cuándo realiza Microsoft una validación FIPS 140?
La cadencia para iniciar la validación del módulo se alinea con las actualizaciones de características de Windows
10 y Windows Server. A medida que el sector del software evoluciona, los sistemas operativos se lanzan con
más frecuencia. Microsoft completa el trabajo de validación en las versiones principales, pero, entre versiones,
busca minimizar los cambios en los módulos criptográficos.
¿Cuál es la diferencia entre fips 140 validado y compatible con FIPS 140?
FIPS 140 validado significa que el módulo criptográfico, o un producto que inserta el módulo, ha sido validado
("certificado") por cmvp para cumplir los requisitos fips 140-2. La conformidad con FIPS 140 es un término del
sector para los productos de TI que se basan en productos validados por FIPS 140 para la funcionalidad
criptográfica.
Cómo saber si se valida un servicio o una aplicación de Windows fips 140-2?
Los módulos criptográficos usados en Windows se validan a través de CMVP. No se validan mediante servicios
individuales, aplicaciones, periféricos de hardware u otras soluciones. Cualquier solución compatible debe
llamar a un módulo criptográfico validado fips 140-2 en el sistema operativo subyacente y el sistema operativo
debe configurarse para ejecutarse en modo FIPS. Póngase en contacto con el proveedor del servicio, la
aplicación o el producto para obtener información sobre si llama a un módulo criptográfico validado.
¿Qué significa cuando se opera en modo FIPS en un certificado?
Esta etiqueta significa que se deben seguir ciertas reglas de configuración y seguridad para usar el módulo
criptográfico en cumplimiento con su directiva de seguridad FIPS 140-2. Cada módulo tiene su propia directiva
de seguridad (una especificación precisa de las reglas de seguridad con las que funcionará) y emplea algoritmos
criptográficos aprobados, administración de claves criptográficas y técnicas de autenticación. Las reglas de
seguridad se definen en el Documento de directiva de seguridad (SPD) para cada módulo.
¿Cuál es la relación entre FIPS 140-2 y Common Criteria?
FIPS 140-2 y Common Criteria son dos estándares de seguridad independientes con fines diferentes, pero
complementarios. FIPS 140-2 está diseñado específicamente para validar módulos criptográficos de software y
hardware. Los criterios comunes están diseñados para evaluar las funciones de seguridad en los productos de
hardware y software de TI. Las evaluaciones de criterios comunes suelen basarse en validaciones FIPS 140-2
para garantizar que la funcionalidad criptográfica básica se implementa correctamente.
¿Cómo se relaciona FIPS 140 con el Suite B?
Suite B es un conjunto de algoritmos criptográficos definidos por la Agencia de Seguridad Nacional (NSA) de Ee.
UU. como parte de su Programa de Modernización Criptográfica. El conjunto de algoritmos criptográficos de
Suite B se usará tanto para la información sin clasificar como para la información más clasificada. Los
algoritmos criptográficos de Suite B son un subconjunto de los algoritmos criptográficos aprobados por FIPS
permitidos por el estándar FIPS 140-2.
¿SMB3 (bloque de mensajes del servidor) FIPS 140 es compatible con Windows?
SMB3 puede ser compatible con FIPS 140, si Windows está configurado para funcionar en modo FIPS 140 tanto
en el cliente como en el servidor. En el modo FIPS, SMB3 se basa en los módulos criptográficos validados por
Windows FIPS 140 subyacentes para las operaciones criptográficas.
 Certificaciones de Criterios comunes
08/11/2022 • 6 minutes to read

Microsoft se compromete a optimizar la seguridad de sus productos y servicios. Como parte de ese
compromiso, Microsoft apoya el Programa de certificación de criterios comunes, garantiza que los productos
incorporen las características y funciones requeridas por los perfiles de protección de criterios comunes
pertinentes y complete las certificaciones common criteria de los productos de Microsoft Windows. En este
tema se enumeran los productos de Windows certificados actuales y archivados, junto con la documentación
pertinente de cada certificación.

Productos certificados
Las versiones de producto siguientes están certificadas actualmente con el perfil de protección citado, tal como
se muestra en el Portal de criterios comunes:
El destino de seguridad describe las ediciones del producto en el ámbito, la funcionalidad de seguridad del
producto y las medidas de garantía del perfil de protección utilizado como parte de la evaluación.
La Guía administrativa proporciona instrucciones sobre cómo configurar el producto para que coincida con
la configuración evaluada.
El informe de certificación o el informe de validación documenta los resultados de la evaluación por parte
del equipo de validación, y el informe de actividad de control proporciona detalles sobre las acciones del
evaluador.
Para obtener más información, expanda cada sección de producto.

Windows 10, versión 2004, Windows Ser ver, versión 2004, Windows Ser ver Core Datacenter
(Azure Fabric Controller), Windows Ser ver Core Datacenter (Azure Stack)
Windows 10, versión 1909, Windows Ser ver, versión 1909, Windows Ser ver 2019, versión 1809
Hyper-V
Windows 10, versión 1909, Windows Ser ver, versión 1909
Windows 10, versión 1903, Windows Ser ver, versión 1903
Windows 10, versión 1809, Windows Ser ver, versión 1809
Windows 10, versión 1803, Windows Ser ver, versión 1803
Windows 10, versión 1709, Windows Ser ver, versión 1709
Windows 10, versión 1703, Windows Ser ver, versión 1703
Windows 10, versión 1607, Windows Ser ver 2016
Windows 10, versión 1507, Windows Ser ver 2012 R2

Productos certificados archivados

Las versiones de producto siguientes se certificaron con el perfil de protección citado y ahora se archivan, como
se muestra en el Portal de criterios comunes:
El destino de seguridad describe las ediciones del producto en el ámbito, la funcionalidad de seguridad del
producto y las medidas de garantía del perfil de protección utilizado como parte de la evaluación.
La Guía administrativa proporciona instrucciones sobre cómo configurar el producto para que coincida con
la configuración evaluada.
El informe de certificación o el informe de validación documenta los resultados de la evaluación por parte
del equipo de validación, y el informe de actividad de control proporciona detalles sobre las acciones del
 evaluador.
Para obtener más información, expanda cada sección de producto.

Windows Ser ver 2016, Windows Ser ver 2012 R2, Windows 10
Windows 10, versión 1607, Windows 10 Mobile, versión 1607
Windows 10, versión 1607, Windows Ser ver 2016
Windows 10, versión 1511
Windows 10, versión 1507, Windows 10 Mobile, versión 1507
Windows 10, versión 1507
Windows 8.1 con Surface 3, Windows Phone 8.1 con Lumia 635 y Lumia 830
Surface Pro 3, Windows 8.1
Windows 8.1, Windows Phone 8.1
Windows 8, Windows Ser ver 2012
Windows 8, Windows RT
Windows 8, Windows Ser ver 2012 BitLocker
Windows 8, Windows RT, Windows Ser ver 2012 cliente VPN de IPsec
Windows 7, Windows Ser ver 2008 R2
Rol de Hyper-V de Microsoft Windows Ser ver 2008 R2
Windows Vista, Windows Ser ver 2008 en EAL4+
Windows Vista, Windows Ser ver 2008 en EAL1
Rol de Hyper-V de Microsoft Windows Ser ver 2008
Ser vidor de cer tificados de Windows Ser ver 2003
Ser vicios de Administración de derechos de Windows