Solucionar problemas del TPM

• Se aplica a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

En este artículo se proporciona información sobre cómo solucionar problemas del módulo de plataforma segura (TPM):

• Solucionar problemas de inicialización del TPM
• Borrar todas las claves del TPM

Con TPM 1.2 y Windows 11, también puede realizar las siguientes acciones:

• Activar o desactivar el TPM

Para obtener información acerca de los cmdlets para el TPM, consulte Cmdlets para el TPM en Windows PowerShell.

Acerca de la inicialización y la propiedad del TPM

Windows se inicializa automáticamente y toma la propiedad del TPM. No es necesario inicializar el TPM y crear una contraseña de propietario.

Inicialización de TPM

Si ve que Windows no puede inicializar el TPM automáticamente, revise la siguiente información:

• Puede intentar borrar el TPM en los valores predeterminados de fábrica, lo que permite que Windows lo reinicialice. Para obtener precauciones importantes para este proceso e instrucciones para completarlo, consulte Borrar todas las claves del TPM.
• Si el TPM es un TPM 2.0 y Windows no lo detecta, compruebe que el hardware del equipo contiene una interfaz de firmware extensible unificada (UEFI) compatible con el grupo de informática de confianza. Además, asegúrese de que, en la configuración de UEFI, el TPM no se ha deshabilitado ni oculto del sistema operativo.
• Si tiene TPM 1.2 con Windows 11, es posible que el TPM esté desactivado y tenga que volver a activarse, como se describe en Activar el TPM. Cuando se vuelve a activar, Windows lo reinicializará.
• Si intenta configurar BitLocker con el TPM, compruebe qué controlador de TPM está instalado en el equipo. Se recomienda usar siempre uno de los controladores de TPM proporcionados por Microsoft y protegidos con BitLocker. Si se instala un controlador TPM que no es de Microsoft, puede impedir que se cargue el controlador de TPM predeterminado y hacer que BitLocker informe de que un TPM no está presente en el equipo. Si tiene instalado un controlador que no es de Microsoft, quítelo y, a continuación, permita que el sistema operativo inicialice el TPM.

Problemas de conexión de red para dispositivos Windows 11 unidos a un dominio

Si tiene Windows 11, la inicialización del TPM no se puede completar cuando el equipo tiene problemas de conexión de red y existen las dos condiciones siguientes:

• Un administrador ha configurado el equipo para requerir que la información de recuperación del TPM se guarde en Active Directory Domain Services (AD DS). Este requisito se puede configurar a través de la directiva de grupo
• No se puede acceder a un controlador de dominio. Este escenario puede producirse en un dispositivo que está actualmente desconectado de la red interna, separado del dominio por un firewall o experimentando un error de componente de red (como un cable desenchufado o un adaptador de red defectuoso)

Si se producen estos problemas, aparece un mensaje de error y no se puede completar el proceso de inicialización. Para evitar el problema, permita que Windows inicialice el TPM mientras está conectado a la red corporativa y puede ponerse en contacto con un controlador de dominio.

Sistemas con varios TPM

Algunos sistemas pueden tener varios TPM y el TPM activo puede alternarse en la UEFI. Windows no admite esta configuración. Si cambia los TPM, Windows podría no detectar o no interactuar correctamente con el nuevo TPM. Si tiene previsto cambiar los TPMs, debe cambiar al nuevo TPM, borrarlo y volver a instalar Windows. Para obtener más información, consulte Borrar todas las claves del TPM.

Por ejemplo, al alternar los TPM, BitLocker entrará en modo de recuperación. Se recomienda encarecidamente que, en sistemas con dos TPM, se seleccione un TPM para usarse y no se cambie la selección.

Borrar todas las claves del TPM

Puedes usar la aplicación Centro de seguridad de Windows Defender para borrar el TPM como paso de solución de problemas o como preparación final antes de una instalación limpia de un nuevo sistema operativo. Preparar una instalación limpia de este modo ayuda a garantizar que el nuevo sistema operativo pueda implementar completamente cualquier funcionalidad basada en TPM que incluya, como la atestación. Sin embargo, incluso si el TPM no se borra antes de instalar un nuevo sistema operativo, la mayoría de las funciones de TPM probablemente funcionarán correctamente.

Al borrar el TPM, se restablece a un estado sin propietario. Después de borrar el TPM, el sistema operativo Windows lo reinicializará automáticamente y volverá a tomar posesión.

Advertencia

Borrar el TPM puede provocar la pérdida de datos. Para obtener más información, consulte la sección siguiente, "Precauciones que se deben tomar antes de borrar el TPM".

Precauciones que debe tomar antes de borrar el TPM

Borrar el TPM puede provocar la pérdida de datos. Para protegerse contra dicha pérdida, revise las siguientes precauciones:

• Borrar el TPM hace que pierda todas las claves creadas asociadas al TPM y los datos protegidos por esas claves, como una tarjeta inteligente virtual o un PIN de inicio de sesión. Asegúrese de que tiene un método de copia de seguridad y recuperación para los datos protegidos o cifrados por el TPM.
• No borre el TPM en un dispositivo que no posea, como un equipo profesional o educativo, sin que el administrador de TI le indique que lo haga.
• Si desea suspender temporalmente las operaciones de TPM en Windows 11, puede desactivar el TPM. Para obtener más información, vea Desactivar el TPM.
• Use siempre la funcionalidad del sistema operativo (como TPM.msc) para borrar el TPM. No borrar el TPM directamente desde UEFI
• Dado que el hardware de seguridad de TPM es una parte física del equipo, antes de borrar el TPM, es posible que quiera leer los manuales o las instrucciones que se incluyen con el equipo, o buscar en el sitio web del fabricante.

La pertenencia al grupo de administradores local, o equivalente, es el requisito mínimo necesario para completar este procedimiento.

Para borrar el TPM

1. Abrir la aplicación Centro de seguridad de Windows Defender.
2. Seleccione Seguridad del dispositivo.
3. Seleccione Detalles del procesador de seguridad.
4. Seleccione Solución de problemas del procesador de seguridad.
5. Seleccione Borrar TPM.
   • Se le pedirá que reinicie el equipo. Durante el reinicio, es posible que la UEFI le pida que presione un botón para confirmar que desea borrar el TPM.
   • Después de reiniciar el dispositivo, el TPM se preparará automáticamente para su uso en Windows.

Activar o desactivar el TPM

Normalmente, el TPM está activado como parte del proceso de inicialización del TPM. Normalmente no es necesario activar o desactivar el TPM. Sin embargo, si es necesario, puede hacerlo mediante MMC de TPM.

Activar el TPM

Si desea usar el TPM después de desactivarlo, puede usar el procedimiento siguiente para activar el TPM.

1. Abra MMC de TPM (tpm.msc).
2. En el panel Acción, seleccione Activar TPM para visualizar la página Habilitar el hardware de seguridad del TPM. Lea las instrucciones de esta página.
3. Seleccione Apagar (o Reiniciar) y, a continuación, siga las indicaciones de la pantalla UEFI.

Después de reiniciar el dispositivo, pero antes de iniciar sesión en Windows, se le pedirá que acepte la reconfiguración del TPM. La aceptación garantiza que el usuario tenga acceso físico al equipo y que el software malintencionado no intente realizar cambios en el TPM.

Desactivar el TPM

Si quiere dejar de usar los servicios proporcionados por el TPM, puedes usar MMC de TPM para desactivar el TPM.

1. Abra MMC de TPM (tpm.msc).
2. En el panel Acción, seleccione Desactivar TPM para visualizar la página Deshabilitar el hardware de seguridad del TPM.
3. En el cuadro de diálogo Deshabilitar el hardware de seguridad del TPM, seleccione un método para escribir la contraseña de propietario y desactivar el TPM:
   • Si guardó la contraseña de propietario del TPM en un dispositivo de almacenamiento extraíble, insértelo y, a continuación, seleccione Tengo el archivo de contraseña de propietario. En el cuadro de diálogo Seleccionar archivo de copia de seguridad con la contraseña de propietario de TPM , seleccione Examinar para buscar el archivo .tpm que se guarda en el dispositivo de almacenamiento extraíble, seleccione Abrir y, a continuación, seleccione Desactivar TPM.
   • Si no tiene el dispositivo de almacenamiento extraíble con la contraseña de propietario de TPM guardada, seleccione Quiero escribir la contraseña. En el cuadro de diálogo Escriba la contraseña de propietario del TPM, escriba la contraseña (incluyendo guiones) y, a continuación, seleccione Desactivar TPM.
   • Si no guardó la contraseña de propietario de TPM o ya no la conoce, seleccione No tengo la contraseña de propietario de TPM y siga las instrucciones que se proporcionan en el cuadro de diálogo y las pantallas UEFI posteriores para desactivar el TPM sin escribir la contraseña.

Usar los cmdlets para el TPM

Puede administrar el TPM con Windows PowerShell. Para obtener más información, consulte Cmdlets para el TPM en Windows PowerShell.