Descripción del módulo de ciberseguridad TPM

Introducción

El módulo HMIYMINATPM201 está clasificado como módulo industrial. Es compatible con el módulo de pocos pines. Trusted Platform Module (TPM) es una norma internacional para un criptoprocesador seguro, que es un microcontrolador específicamente diseñado para proteger el hardware integrando claves criptográficas en los dispositivos.

Las placas base y el BIOS de Magelis Box iPC permiten instalar el módulo TPM y activar el cifrado con Windows BitLocker. Luego, las unidades de almacenamiento y el sistema operativo se cifran de acuerdo con la contraseña y las claves gestionadas en el módulo de hardware.

En función del número de referencia, el módulo TPM de HMIYMINATPM201 puede estar montado de acuerdo con CTO (configured to order) o puede montarlo el usuario posteriormente como un módulo accesorio opcional. El cifrado puede activarse con BitLocker.

G-SE-0067780.1.gif-high.gif

 

 

Conecte el módulo al conector del Box iPC.

Tabla de compatibilidad del módulo

Número de referencia

Descripción

HMIBMU/HMIBMP

HMIBMI/HMIBMO

HMIYMINATPM201

Módulo TPM 2.0

(1)

NOTA: (1) Se debe volver al módulo de la versión anterior TPM 1.2.

Vista del módulo

Box iPC Optimized:

G-SE-0063040.3.gif-high.gif

 

 

Box iPC Universal/Box iPC Performance:

G-SE-0063062.2.gif-high.gif

 

 

Instalación del módulo

Antes de instalar o extraer una tarjeta mini PCIe, apague el sistema operativo Windows correctamente y desconecte la alimentación del dispositivo.

AVISO

DESCARGA ELECTROSTÁTICA

Adopte las medidas de protección necesarias contra descargas electrostáticas antes de intentar retirar la cubierta de Magelis Industrial PC.

El incumplimiento de estas instrucciones puede causar daño al equipo.

Caution_Color.gifATENCIÓN

HARDWARE SUELTO O CON PAR DE APRIETE EXCESIVO

oNo aplique un par de apriete superior a 0,5 Nm (4.5 lb-in) al apretar los tornillos de los elementos de fijación de instalación, de la envolvente, de los accesorios o del bloque de terminales. Si aprieta demasiado los tornillos, puede dañar la sujeción de la instalación.

oCuando fije o retire los tornillos, asegúrese de que no se caigan dentro del chasis de la unidad Magelis Industrial PC.

El incumplimiento de estas instrucciones puede causar lesiones o daño al equipo.

NOTA: Desconecte la alimentación antes de realizar este procedimiento.

Paso

Acción

1

Instale la tarjeta TPM:

G-SE-0062765.2.gif-high.gif

 

 

Paso

Acción

1

Retire el tornillo:

G-SE-0062763.1.gif-high.gif

 

 

2

Instale la tarjeta TPM:

G-SE-0062766.1.gif-high.gif

 

 

Fije el tornillo:

G-SE-0062777.1.gif-high.gif

 

 

Tabla de compatibilidad del módulo TPM

 

TPM 1.2

TPM 2.0

Compatibilidad con BIOS

Heredado o UEFI

UEFI

Compatibilidad con BitLocker

NOTA: El módulo TPM tiene el firmware TPM 2.0 de manera predeterminada. Es necesario pasar a la versión anterior del firmware, TPM 1.2, para HMIBMU/HMIBMP.

Modelo

BIOS predeterminado

TPM 1.2

TPM 2.0

HMIBMU/HMIBMP

Heredado

Soporte (es necesario volver a la versión 1.2 de TPM)

Sin soporte

HMIBMI/HMIBMO

UEFI

Soporte

Soporte

Función BitLocker

BitLocker es una herramienta de cifrado de discos completa de Windows. Se ha diseñado para proteger los datos proporcionando cifrado para volúmenes enteros. Todos los sistemas operativos predeterminados disponen de esta función, pero si la partición System Reserved se combina con la partición C:\ en el caso de WES7, BitLocker no se puede utilizar para proteger una unidad fija.

Definición de la contraseña de propietario de TPM

NOTA:  Se requiere un teclado para introducir el PIN de BitLocker durante el arranque de la unidad. Durante este paso, la función de pantalla táctil está deshabilitada.

Paso

Acción

1

Abra Panel de control → Cifrado de unidad BitLocker.

G-SE-0058529.1.gif-high.gif

 

 

2

Haga clic en Administración de TPM para acceder a Cambiar contraseña de propietario.

G-SE-0058530.1.gif-high.gif

 

 

3

Seleccione Cambiar contraseña de propietario.

G-SE-0058531.1.gif-high.gif

 

 

4

Seleccione Crear contraseña automáticamente o Crear contraseña manualmente.

G-SE-0058532.1.gif-high.gif

 

 

G-SE-0058533.1.gif-high.gif

 

 

G-SE-0058534.1.gif-high.gif

 

 

NOTA: Si introduce una contraseña errónea más de 30 veces, TPM se bloqueará.

Acerca de la contraseña de propietario de TPM

A partir de Windows 10, versión 1607, Windows no conserva la contraseña de propietario de TPM al aprovisionar el TPM. La contraseña se establece en un valor de entropía alto aleatorio y, a continuación, se descarta.

G-SE-0071560.1.gif-high.gif

 

 

Enlace relacionado de Microsoft: https://docs.microsoft.com/en-us/windows/security/hardware-protection/tpm/change-the-tpm-owner-password

Caution_Color.gifATENCIÓN

FUNCIONAMIENTO IMPREVISTO DEL EQUIPO

Siga la sugerencia de Microsoft. Recomendamos encarecidamente que no realice este cambio. Si cambia el valor de registro, establezca la contraseña manualmente. Puede haber efectos secundarios y Microsoft y Schneider no ofrecen ninguna garantía ni asistencia. Tendrá que asumir la responsabilidad del resultado de tal cambio.

El incumplimiento de estas instrucciones puede causar lesiones o daño al equipo.

Ajuste Activar BitLocker

NOTA:  Se requiere un teclado para introducir el PIN de BitLocker durante el arranque de la unidad. Durante este paso, la función de pantalla táctil está deshabilitada.

Paso

Acción

1

Abra Panel de control → Cifrado de unidad BitLocker.

G-SE-0058529.1.gif-high.gif

 

 

2

Haga clic en Activar BitLocker.

G-SE-0058535.1.gif-high.gif

 

 

3

Seleccione Escribir un PIN, Inserte una unidad flash USB o Permitir que BitLocker desbloquee mi unidad automáticamente.

G-SE-0058536.1.gif-high.gif

 

 

NOTA: Se requiere el teclado para introducir el PIN de BitLocker durante el arranque de la torre. Durante este paso, la función de pantalla táctil está deshabilitada.

4

Introduzca un PIN.

G-SE-0058537.1.gif-high.gif

 

 

5

Seleccione cualquiera de las opciones siguientes: Guardar en la cuenta Microsoft, Guardar en un archivo o Imprimir la clave de recuperación.

G-SE-0058538.1.gif-high.gif

 

 

6

Seleccione Cifrar sólo el espacio en disco utilizado o Cifrar la unidad entera.

G-SE-0058539.1.gif-high.gif

 

 

7

Haga clic en la casilla de verificación de Ejecutar la comprobación del sistema de BitLocker y seleccione Continuar.

G-SE-0058540.1.gif-high.gif

 

 

8

En la figura se muestra el proceso de cifrado (Encryption).

G-SE-0058541.1.gif-high.gif

 

 

El proceso de cifrado (Encryption) ha finalizado.

G-SE-0058542.1.gif-high.gif

 

 

Ajuste Desactivar BitLocker

Paso

Acción

1

Abra Panel de control → Cifrado de unidad BitLocker.

G-SE-0058529.1.gif-high.gif

 

 

2

Haga clic en Desactivar BitLocker.

G-SE-0058543.1.gif-high.gif

 

 

Paso del módulo TPM a una versión anterior

El módulo TPM tiene el firmware TPM 2.0 de manera predeterminada. Se debe volver a la versión del firmware TPM 1.2 para la serie HMIPCCU2B/HMIPCCP2B.

Paso

Acción

1

Deshabilite TPM en BIOS:

1.Vaya a Advanced > Trusted Computing.

2.Deshabilite Security Device Support.

G-SE-0063412.1.gif-high.gif
G-SE-0063411.1.gif-high.gif

2

Inicie la llave de memoria USB de recuperación:

1.Arranque desde la llave de memoria USB de recuperación.

2.Haga clic en Cancel para salir del proceso de recuperación.

G-SE-0065599.1.gif-high.gif

Inicie la herramienta para volver a una versión de TPM anterior.

Escriba Alt + T para iniciar la herramienta para volver a una versión de TPM anterior:

G-SE-0065600.1.gif-high.gif

 

 

3

Haga clic en Yes para iniciar el proceso para volver a una versión anterior

G-SE-0063410.1.gif-high.gif

 

 

4

Se inicia el proceso para volver a una versión anterior.

Una vez que finalice el proceso, pulse Intro para continuar:

G-SE-0063409.2.gif-high.gif

 

 

5

Haga clic en OK para reiniciar:

G-SE-0063408.2.gif-high.gif

 

 

6

Habilite TPM en BIOS:

1.Vaya a Advanced > Trusted Computing.

2.Habilite Security Device Support.

G-SE-0063407.1.gif-high.gif

 

 

7

Compruebe la versión de TPM en Windows:

oVaya a Panel de control > Cifrado de unidad BitLocker > Administración de TPM.

oCompruebe que la versión de TPM sea la 1.2.

G-SE-0063406.1.gif-high.gif

 

 

Instrucción sobre cómo actualizar el firmware de TPM 1.2 para Windows 7

Paso

Acción

1

Seleccione la casilla de verificación para aceptar el acuerdo de licencia.

G-SE-0071233.1.gif-high.gif

 

 

2

Instale el controlador de recuperación de TPM, si es necesario.

NOTA: La instalación puede requerir que se reinicie el ordenador.

3

Compruebe los datos de la plataforma.

G-SE-0071232.1.gif-high.gif

 

 

4

Introduzca la contraseña de propietario en Owner Password o el archivo de copia de seguridad de contraseña de propietario en Owner Password Backup File si el sistema operativo no gestiona esta contraseña.

Realice los pasos siguientes:

oSeleccione I have the Owner Password Backup File (Tengo el archivo de copia de seguridad de la contraseña de propietario).

G-SE-0071231.1.gif-high.gif

oSeleccione el archivo *.tpm.

G-SE-0071230.1.gif-high.gif

oSeleccione Next.

G-SE-0071229.1.gif-high.gif

5

Lleve a cabo la actualización como se indica a continuación:

G-SE-0071228.1.gif-high.gif

 

 

G-SE-0071227.1.gif-high.gif

 

 

6

Reinicie el ordenador.

NOTA: Guarde todo el trabajo que no haya guardado de todas las sesiones de usuario antes de reiniciar el ordenador para asegurarse de que no se pierdan datos.

Se recomienda borrar y reinicializar el TPM tras la actualización para las rutas de actualización incluidas en esta versión de la actualización del firmware de Infineon TPM. Para obtener más información, consulte Microsoft Security Advisory ADV170012 o visite www.infineon.com/tpm-update.

Warning_Color.gifADVERTENCIA

RIESGO ALTO DE PÉRDIDA DE DATOS

Al borrar el TPM se restablecen sus valores predeterminados de fábrica. Se pierden todas las claves creadas y los datos protegidos por esas claves.

El incumplimiento de estas instrucciones puede causar la muerte, lesiones serias o daño al equipo.

Instrucción sobre cómo actualizar el firmware de TPM 1.2 para Windows 8.1

Paso

Acción

1

Seleccione la casilla de verificación para aceptar el acuerdo de licencia.

G-SE-0071226.1.gif-high.gif

 

 

2

Instale el controlador de recuperación de TPM, si es necesario.

NOTA: La instalación puede requerir que se reinicie el ordenador.

3

Compruebe los datos de la plataforma.

G-SE-0071225.1.gif-high.gif

 

 

4

Lleve a cabo la actualización como se indica a continuación:

G-SE-0071224.1.gif-high.gif

 

 

G-SE-0071223.1.gif-high.gif

 

 

5

Reinicie el ordenador.

NOTA: Guarde todo el trabajo que no haya guardado de todas las sesiones de usuario antes de reiniciar el ordenador para asegurarse de que no se pierdan datos.

Se recomienda borrar y reinicializar el TPM tras la actualización para las rutas de actualización incluidas en esta versión de la actualización del firmware de Infineon TPM. Para obtener más información, consulte Microsoft Security Advisory ADV170012 o visite www.infineon.com/tpm-update.

Warning_Color.gifADVERTENCIA

RIESGO ALTO DE PÉRDIDA DE DATOS

Al borrar el TPM se restablecen sus valores predeterminados de fábrica. Se pierden todas las claves creadas y los datos protegidos por esas claves.

El incumplimiento de estas instrucciones puede causar la muerte, lesiones serias o daño al equipo.

Actualización del Firmware de TPM 1.2 para Windows 10

Si se ha asumido la propiedad del TPM con Windows 10® Versión 1607 o posterior, de manera predeterminada la autorización de propietario ya no se almacena en el sistema local. Consulte el Microsoft article para obtener más información. Para actualizar el firmware, tiene que borrar el TPM y volver a asumir la propiedad con el ajuste de Windows modificado. De esta manera, la autorización de propietario se almacena en el sistema local.

Warning_Color.gifADVERTENCIA

RIESGO ALTO DE PÉRDIDA DE DATOS

Al borrar el TPM se restablecen sus valores predeterminados de fábrica. Se pierden todas las claves creadas y los datos protegidos por esas claves.

El incumplimiento de estas instrucciones puede causar la muerte, lesiones serias o daño al equipo.

Paso

Acción

1

Establezca la clave de registro HKLM\Software\Policies\Microsoft\TPM [REG_DWORD] OSManagedAuthLevel en 4.

oSeleccione Run y, a continuación, escriba el texto regedit como se muestra a continuación:

G-SE-0071222.1.gif-high.gif

Haga clic en Aceptar.

oCambie los datos de valor a 4 para OSManagedAuthLevel .

G-SE-0071221.1.gif-high.gif

Haga clic en Aceptar.

2

Inicie tpm.msc y haga clic en Clear TPM... (Borrar TPM).

G-SE-0071220.1.gif-high.gif

 

 

3

Reinicie el ordenador.

NOTA: Guarde todo el trabajo que no haya guardado de todas las sesiones de usuario antes de reiniciar el ordenador para asegurarse de que no se pierdan datos.

4

Inicie tpm.msc y haga clic en Prepare the TPM... (Preparar el TPM).

G-SE-0071219.1.gif-high.gif

 

 

5

Espere a que Windows vuelva a preparar el TPM (Windows almacena la autorización de propietario en el sistema local). Cuando la preparación haya finalizado, el campo de estado en tpm.msc muestra The TPM is ready (El TPM está preparado).

G-SE-0071218.1.gif-high.gif

 

 

6

Ejecute la herramienta de actualización del firmware de TPM para actualizar el firmware del TPM como se muestra a continuación:

G-SE-0071217.1.gif-high.gif

 

 

G-SE-0071216.1.gif-high.gif

 

 

G-SE-0071215.1.gif-high.gif

 

 

7

Reinicie el ordenador.

NOTA: Guarde todo el trabajo que no haya guardado de todas las sesiones de usuario antes de reiniciar el ordenador para asegurarse de que no se pierdan datos.

8

Restaure la clave de registro HKLM\Software\Policies\Microsoft\TPM [REG_DWORD] OSManagedAuthLevel a sus datos de valor anteriores 2.

G-SE-0071214.1.gif-high.gif

 

 

Haga clic en Aceptar.

9

Inicie tpm.msc y haga clic en Clear TPM... (Borrar TPM).

G-SE-0071213.1.gif-high.gif

 

 

10

Reinicie el ordenador.

NOTA: Guarde todo el trabajo que no haya guardado de todas las sesiones de usuario antes de reiniciar el ordenador para asegurarse de que no se pierdan datos.

11

Inicie tpm.msc y haga clic en Prepare the TPM... (Preparar el TPM).

G-SE-0071212.1.gif-high.gif

 

 

12

Espere a que Windows vuelva a preparar el TPM (utilizando las medidas de seguridad de Windows 10). Cuando la preparación haya finalizado, el campo de estado tpm.msc muestra The TPM is ready for use (El TPM está preparado para utilizarlo).

G-SE-0071211.1.gif-high.gif

 

 

Compruebe que la versión del fabricante sea 4.43.