Applies ToWindows 10 Win 10 IoT Ent LTSB 2016 Windows Server 2016 Windows 10 Enterprise, version 1809 Windows Server 2019 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows Server 2022 Azure Local, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2

Fecha de publicación original: Agosto de 13, 2024

KB ID: 5042562

El soporte para Windows 10 finalizará en octubre de 2025

Después del 14 de octubre de 2025, Microsoft ya no proporcionará actualizaciones de software gratuitas desde Windows Update, asistencia técnica ni correcciones de seguridad para Windows 10. El PC seguirá funcionando, pero recomendamos que se cambie a Windows 11.

Más información

Nota importante sobre la directiva SKUSiPolicy.p7b

Para obtener instrucciones sobre cómo aplicar la directiva actualizada, consulte la sección Implementar una directiva de revocación firmada por Microsoft (SKUSiPolicy.p7b). 

En este artículo

Resumen

Microsoft fue consciente de una vulnerabilidad de Windows que permite a un atacante con privilegios de administrador reemplazar archivos actualizados del sistema de Windows que tienen versiones anteriores, lo que abre la puerta a que un atacante pueda volver a introducir las vulnerabilidades a la seguridad basada en virtualización (VBS).  La reversión de estos archivos binarios podría permitir que un atacante sortee las características de seguridad de VBS y exfiltre los datos protegidos por VBS. Este problema se describe en CVE-2024-21302 | Vulnerabilidad de elevación de privilegios en modo kernel seguro de Windows.

Para resolver este problema, revocaremos los archivos de sistema VBS vulnerables que no se actualicen. Debido al gran número de archivos relacionados con VBS que deben bloquearse, usamos un método alternativo para bloquear las versiones de archivo que no se actualizan.

Alcance del impacto

Este problema afecta a todos los dispositivos Windows que admiten VBS. Esto incluye los dispositivos físicos locales y las máquinas virtuales (VM). VBS es compatible con Windows 10 y versiones posteriores de Windows y Windows Server 2016 y versiones posteriores de Windows Server.

El estado de VBS se puede comprobar a través de la Herramienta de información del sistema (Msinfo32.exe) de Microsoft. Esta herramienta recopila información sobre el dispositivo. Después de iniciar Msinfo32.exe, desplázate hacia abajo hasta la fila seguridad basada en virtualización. Si el valor de esta fila está Ejecutándose, VBS está habilitado y ejecutándose.

Cuadro de diálogo Información del sistema con la fila "Seguridad basada en virtualización" resaltada

El estado de VBS también se puede comprobar con Windows PowerShell mediante la clase WMI Win32_DeviceGuard. Para consultar el estado de VBS desde PowerShell, abra una sesión de Windows PowerShell con privilegios elevados y, a continuación, ejecuta el siguiente comando:

Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard

Después de ejecutar el comando de PowerShell anterior, el estado del estado de VBS debe ser uno de los siguientes.

Nombre de campo

Estado

VirtualizationBasedSecurityStatus

  • Si el campo es igual a 0, VBS no está habilitado.

  • Si el campo es igual a 1, VBS está habilitado pero no se ejecuta.

  • Si el campo es igual a 2, VBS está habilitado y en ejecución.

Mitigaciones disponibles

Para todas las versiones compatibles de Windows 10, versión 1507 y versiones posteriores de Windows, y Windows Server 2016 y versiones posteriores Windows Server, los administradores pueden implementar una directiva de revocación firmada por Microsoft (SKUSiPolicy.p7b). Esto bloqueará que el sistema operativo cargue las versiones vulnerables de los archivos de sistema de VBS que no se actualizan.  

Cuando skuSiPolicy.p7b se aplica a un dispositivo Windows, la directiva también se bloqueará en el dispositivo agregando una variable al firmware UEFI. Durante el inicio, la directiva se carga y Windows bloquea la carga de archivos binarios que infringen la directiva. Si se aplica el bloqueo de UEFI y la directiva se quita o se reemplaza por una versión anterior, el Administrador de arranque de Windows no se iniciará y el dispositivo no se iniciará. Este error de arranque no mostrará un error y el sistema procederá a la siguiente opción de arranque disponible que podría dar lugar a un bucle de arranque.

Se ha agregado una directiva de CI adicional firmada por Microsoft que está habilitada de forma predeterminada y no requiere ningún paso de implementación adicional, que no está enlazada a UEFI. Esta directiva de CI firmada se cargará durante el arranque y la aplicación de esta directiva evitará la reversión de archivos de sistema de VBS durante esa sesión de arranque. A diferencia de SKUSiPolicy.p7b, un dispositivo puede seguir arrancando si la directiva habilitada predeterminada se ha manipulado o eliminado. Esta mitigación está disponible en dispositivos con Windows 10 22H2 y posteriores. Los administradores pueden seguir aplicando skuSkiPolicy.p7b para proporcionar protección adicional para la reversión en las sesiones de arranque.  

Los registros de arranque medido de Windows que se usan para atestiguar el estado del arranque del equipo incluyen información sobre la versión de directiva que se carga durante el proceso de arranque. El TPM mantiene estos registros de forma segura durante el arranque y los servicios de atestación de Microsoft analizan estos registros para comprobar que se cargan las versiones correctas de la directiva. Los servicios de atestación aplican reglas que garantizan que se cargue una versión de directiva específica o superior; de lo contrario, el sistema no será atestiguado como saludable.

Para que la mitigación de directivas funcione, la directiva debe actualizarse mediante la actualización de mantenimiento de Windows, ya que los componentes de Windows y la directiva deben ser de la misma versión. Si la mitigación de directivas se copia en el dispositivo, es posible que el dispositivo no se inicie si se aplica la versión incorrecta de la mitigación o si la mitigación puede no funcionar según lo esperado. Además, las mitigaciones descritas en KB5025885 deben aplicarse al dispositivo.

En Windows 11 equipos con núcleo protegido, raíz dinámica de confianza para medición (DRTM) agrega una mitigación adicional para la vulnerabilidad de reversión. Esta mitigación está habilitada de forma predeterminada para los sistemas que ejecutan Windows 11, versión 24H2. En estos sistemas, las claves de cifrado protegidas por VBS están enlazadas a la directiva de VBS CI de sesión de arranque habilitada de forma predeterminada y solo se anularán si se aplica la versión de directiva de CI coincidente. Para habilitar las reversiones iniciadas por el usuario, se ha agregado un período de gracia para habilitar la reversión segura de 1 versión del paquete de windows update sin perder la capacidad de anular la clave maestra vsm. Sin embargo, la reversión iniciada por el usuario solo es posible si no se aplica SKUSiPolicy.p7b. La directiva de CI de VBS exige que no se hayan revertido todos los archivos binarios de arranque a las versiones revocadas. Esto significa que si un atacante con privilegios de administrador revierte a archivos binarios de arranque vulnerables, el sistema no se iniciará. Si la directiva de CI y los archivos binarios se revierte a una versión anterior, los datos protegidos con VSM no se anularán.

Descripción de los riesgos de mitigación

Debes ser consciente de los riesgos potenciales antes de aplicar la directiva de revocación firmada por Microsoft. Revisa estos riesgos y realiza las actualizaciones necesarias en los medios de recuperación antes de aplicar la mitigación.

Nota Estos riesgos solo son aplicables a la directiva SKUSiPolicy.p7b y no a las protecciones habilitadas por defecto.

  • Integridad del código del modo usuario (UMCI) La directiva de revocación firmada por Microsoft permite la integridad del código en modo de usuario para que las reglas de la directiva se apliquen a los archivos binarios del modo de usuario. UMCI también habilita la seguridad de código dinámico de forma predeterminada. La aplicación de estas características puede introducir problemas de compatibilidad con aplicaciones y scripts y puede impedir que se ejecuten y tener un impacto en el rendimiento en el tiempo de inicio. Antes de implementar la mitigación, sigue las instrucciones para implementar la directiva de modo de auditoría para probar posibles problemas.

  • Bloqueo y desinstalación de actualizaciones de UEFI. Después de aplicar el bloqueo UEFI con la directiva de revocación firmada por Microsoft en un dispositivo, el dispositivo no se puede revertir (desinstalando las actualizaciones de Windows, usando un punto de restauración o por otros medios) si sigues aplicando el arranque seguro. Incluso volver a formatear el disco no quitará el bloqueo UEFI de la mitigación si ya se ha aplicado. Esto significa que si intentas revertir el sistema operativo Windows a un estado anterior que no tenga la mitigación aplicada, el dispositivo no se iniciará, no se mostrará ningún mensaje de error y UEFI procederá a la siguiente opción de arranque disponible. Esto podría dar lugar a un bucle de arranque. Debes deshabilitar arranque seguro para quitar el bloqueo UEFI. Tenga en cuenta todas las posibles implicaciones y realice pruebas exhaustivas antes de aplicar las revocaciones que se describen en este artículo al dispositivo.

  • Medios de arranque externo. Después de aplicar las mitigaciones de bloqueo ueFI a un dispositivo, los medios de arranque externo deben actualizarse con la última actualización de Windows instalada en el dispositivo. Si los medios de arranque externo no se actualizan a la misma versión de Windows Update, es posible que el dispositivo no arranque desde ese medio. Consulta las instrucciones de la sección Actualizar medios de arranque externo antes de aplicar las mitigaciones.

  • Entorno de recuperación de Windows. El Entorno de recuperación de Windows (WinRE) del dispositivo debe actualizarse con las últimas actualizaciones de Windows instaladas en el dispositivo antes de que se aplique el SKUSipolicy.p7b al dispositivo. Si omites este paso, puede que WinRE no ejecutes la característica Restablecer PC.  Para obtener más información, consulta Agregar un paquete de actualización a Windows RE.

  • Arranque del Entorno de ejecución de arranque previo (PXE). Si la mitigación se implementa en un dispositivo e intentas usar el arranque PXE, el dispositivo no se iniciará a menos que la actualización de Windows más reciente también se aplique a la imagen de arranque del servidor PXE. No recomendamos implementar mitigaciones en orígenes de arranque de red a menos que el servidor de arranque PXE se haya actualizado a la última actualización de Windows publicada en enero de 2025 o después, incluido el administrador de arranque PXE.  

Directrices de implementación de mitigación

Para solucionar los problemas descritos en este artículo, puedes implementar una directiva de revocación firmada por Microsoft (SkuSiPolicy.p7b). Esta mitigación solo es compatible con Windows 10, versión 1507 y versiones posteriores de Windows, y Windows Server 2016. Antes de implementar la directiva de revocación firmada por Microsoft (SkuSiPolicy.p7b), debes probar si hay problemas de compatibilidad mediante una directiva de modo auditoría.

Nota Si usas BitLocker, asegúrese de que se ha realizado una copia de seguridad de la clave de recuperación de BitLocker. Puedes ejecutar el siguiente comando desde un símbolo del sistema de administrador y anotar la contraseña numérica de 48 dígitos:

manage-bde -protectors -get %systemdrive%​​​​​​​

Implementar una directiva de modo auditoría

La directiva de revocación firmada por Microsoft (SkuSiPolicy.p7b) exige la integridad de código de modo de usuario (UMCI) y la seguridad del código dinámica. Estas características pueden tener problemas de compatibilidad con las aplicaciones de los clientes. Antes de implementar la mitigación, debes implementar una directiva de auditoría para detectar problemas de compatibilidad.

Tienes dos opciones de directiva de auditoría:

  • Usar la directiva de auditoría SiPolicy.p7b proporcionada,

  • O bien, compilar su propia directiva de auditoría binaria a partir de un archivo XML proporcionado.

Recomendamos usar la directiva de auditoría sipolicy.p7b binaria proporcionada, a menos que ya haya implementado una directiva de Control de aplicaciones de Windows Defender (WDAC) existente. La directiva de auditoría binaria proporcionada no tendrá bloqueo UEFI. Los medios de arranque externo y los medios de recuperación no necesitan actualizarse antes de aplicar la directiva de auditoría.

La integridad de código de Windows evaluará los binarios del modo kernel y del usuario en función de las reglas de la directiva de auditoría. Si la integridad del código identifica una aplicación o un script que infringe la directiva, se generará un evento de registro de eventos de Windows con información sobre la aplicación o script bloqueados e información sobre la directiva impuesta. Estos eventos se pueden usar para determinar si se están usando aplicaciones o scripts incompatibles en el dispositivo. Para obtener más información, consulta la sección de registros de evento de Windows.

La directiva de auditoría SiPolicy.p7b se incluye en las últimas actualizaciones de Windows para todos los sistemas operativos Windows compatibles. Esta directiva de auditoría solo debe aplicarse a los dispositivos instalando la actualización de mantenimiento más reciente y, a continuación, sigue estos pasos:

  1. Ejecuta el siguiente comando desde una indicación elevada de Windows PowerShell:

    # Initialize policy location and destination

    $PolicyBinary = $env:windir+"\System32\SecureBootUpdates\VbsSI_Audit.p7b"

    $DestinationBinary = $env:windir+"\System32\CodeIntegrity\SiPolicy.p7b"

    # Copy the audit policy binary

    Copy-Item -Path $PolicyBinary -Destination $DestinationBinary -force

  2. Reinicie el dispositivo.

  3. Confirma que la directiva se carga en el Visor de eventos con la información de la sección Eventos de activación de directivas.

  4. Prueba usando aplicaciones y scripts mientras se aplica la directiva para identificar problemas de compatibilidad.

Para desinstalar la directiva de auditoría SiPolicy.p7b, sigue estos pasos:

  1. Ejecuta el siguiente comando desde una indicación elevada de Windows PowerShell:

    # Initialize policy location

    $PolicyBinary = $env:windir+"\System32\CodeIntegrity\SiPolicy.p7b"

    # Remove SiPolicy.p7b

    Remove-Item -Path $PolicyBinary -force

  2. Reinicie el dispositivo.

  3. Confirma que la directiva de auditoría no se carga en el Visor de eventos con la información de la sección Eventos de activación de directivas.

Implementación de una directiva de revocación firmada por Microsoft (SkuSiPolicy.p7b)

La directiva de revocación firmada por Microsoft se incluye como parte de la actualización de Windows más reciente. Esta directiva solo se debe aplicar a los dispositivos instalando la actualización de Windows más reciente disponible publicada en enero de 2025 o después y, a continuación, sigue estos pasos:

Nota Si faltan actualizaciones, es posible que el dispositivo no se inicie con la mitigación aplicada o que la mitigación no funcione según lo esperado. Asegúrate de actualizar el medio de arranque de Windows con la actualización de Windows más reciente disponible antes de implementar la directiva. Para obtener más información sobre cómo actualizar medios de arranque, consulta la sección Actualización de medios de arranque externo .

  1. Ejecuta el siguiente comando en una indicación elevada de Windows PowerShell:

    $PolicyBinary = $env:windir+"\System32\SecureBootUpdates\SkuSiPolicy.p7b" $MountPoint = 's:' $EFIDestinationFolder = "$MountPoint\EFI\Microsoft\Boot" mountvol $MountPoint /S if (-Not (Test-Path $EFIDestinationFolder)) { New-Item -Path $EFIDestinationFolder -Type Directory -Force } Copy-Item -Path $PolicyBinary -Destination $EFIDestinationFolder -Force mountvol $MountPoint /D

  2. Reinicie el dispositivo

  3. Confirma que la directiva se carga en el Visor de eventos con la información de la sección Registros de eventos de Windows.

Notas

  • No debe quitar el archivo de revocación (directiva) SkuSiPolicy.p7b una vez implementado. Es posible que el dispositivo ya no pueda iniciarse si se quita el archivo.

  • Si el dispositivo no se inicia, consulta la sección Procedimiento de recuperación.

Actualización de medios de arranque externo

Para usar medios de arranque externo con un dispositivo que tenga aplicada una directiva de revocación firmada por Microsoft, el medio de arranque externo debe actualizarse con la actualización más reciente de Windows, incluido el Administrador de arranque. Si el elemento multimedia no incluye la última actualización de Windows, no se iniciará.

Importante Te recomendamos que crees una unidad de recuperación antes de continuar. Este medio se puede usar para reinstalar un dispositivo en caso de que haya un problema importante.

Usa los siguientes pasos para actualizar los medios de arranque externo:

  1. Ve a un dispositivo donde se hayan instalado las últimas actualizaciones de Windows.

  2. Monta el medio de arranque externo como una letra de unidad. Por ejemplo, monte una unidad USB como D:.

  3. Haz clic en Inicio, escribe Crear una unidad de recuperación en el cuadro de búsqueda y, a continuación, haz clic en Crear un panel de control de unidad de recuperación. Sigue las instrucciones para crear una unidad de recuperación mediante la unidad USB montada.

  4. Quita de forma segura la unidad USB montada.

Si administra los medios instalables en su entorno con la guía de Actualizar los medios de instalación de Windows con la actualización dinámica, siga estos pasos:

  1. Ve a un dispositivo donde se hayan instalado las últimas actualizaciones de Windows.

  2. Sigue los pasos de Actualizar medios de instalación de Windows con Actualización dinámica para crear medios que tengan instaladas las últimas actualizaciones de Windows.

Registros de eventos de Windows

Windows registra eventos cuando se cargan directivas de integridad de código, incluidas SkuSiPolicy.p7b, y cuando se impide que se cargue un archivo debido a la aplicación de directivas. Puedes usar estos eventos para comprobar que se ha aplicado la mitigación.

Los registros de integridad de código están disponibles en el Visor de eventos de Windows, en Registros de aplicaciones y servicios > Microsoft > Windows > CodeIntegrity > Operativo > Registros de aplicaciones y servicios > Registros de servicios > Microsoft > Windows > AppLocker > MSI y script.

Para obtener más información sobre los eventos de integridad de código, consulta la Guía operativa del Control de aplicaciones de Windows Defender.

Eventos de activación de directiva

Los eventos de activación de directivas están disponibles en el Visor de eventos de Windows, en registros de aplicaciones y servicios > Microsoft > Windows > CodeIntegrity > Operativo.

CodeIntegrity Event 3099 en el registro de eventos "CodeIntegrity - Operational" indica que se ha cargado una directiva e incluye detalles sobre la directiva cargada. La información del evento incluye el nombre descriptivo de la directiva, un identificador único global (GUID) y un hash de la directiva. Habrá varios eventos de Evento de CodeIntegrity 3099 si hay varias directivas de integridad de código aplicadas al dispositivo.

Cuando se aplique la directiva de auditoría proporcionada, habrá un evento con la siguiente información:

  • PolicyNameBuffer: directiva de auditoría de seguridad basada en virtualización de Microsoft Windows

  • PolicyGUID – {a244370e-44c9-4c06-b551-f6016e563076}

  • PolicyHash – 98FC5872FD022C7DB400953053756A6E62A8F24E7BD8FE080C6525DFBCA38387

Directiva de auditoría de seguridad basada en virtualización de Microsoft

Cuando se aplica la directiva de revocación firmada por Microsoft (SkuSiPolicy.p7b), habrá un evento con la siguiente información (consulta la captura de pantalla del evento CodeIntegrity 3099 a continuación):

  • PolicyNameBuffer: directiva de SI de SKU de Microsoft Windows

  • PolicyGUID – {976d12c8-cb9f-4730-be52-54600843238e}

  • PolicyHash – 107E8FDD187C34CF8B8EA46A4EE99F0DB60F491650DC989DB71B4825DC73169D

Directiva de SI de SKU de Microsoft Windows

Si ha aplicado la directiva de auditoría o la mitigación al dispositivo y al evento de CodeIntegrity 3099 para la directiva aplicada no está presente, la directiva no se aplica. Consulte las instrucciones de implementación para comprobar que la directiva se instaló correctamente.

Nota El evento 3099 de integridad de código no es compatible con las versiones de Windows 10 Enterprise 2016, Windows Server 2016 y Windows 10 Enterprise 2015 LTSB. Para comprobar que se ha aplicado la directiva (directiva de auditoría o revocación), debes montar la partición del sistema EFI mediante el comando mountvol.exe y buscar para ver que la directiva se ha aplicado a la partición EFI. Asegúrate de desmontar la partición del sistema EFI después de la verificación.

SKUSiPolicy.p7b - Directiva de revocación

Se ha aplicado la directiva SKUSiPolicy.p7b

SiPolicy.p7b - Directiva de auditoría

Directiva de auditoría SiPolicy.p7b aplicada

Eventos de auditoría y bloqueo

Los eventos de auditoría y bloqueo de integridad de código están disponibles en el Visor de eventos de Windows en registros de aplicaciones y servicios > Microsoft > Windows > CodeIntegrity > Operativo > Registros de aplicación y servicios > Microsoft > Windows > AppLocker > MSI y Script.

La antigua ubicación de registro incluye eventos sobre el control de ejecutables, dll y controladores. La última ubicación de registro incluye eventos sobre el control de los instaladores MSI, scripts y objetos COM.

Evento de CodeIntegrity 3076 en el registro "CodeIntegrity – Operativo" es el evento de bloque principal para directivas de modo auditoría e indica que se habría bloqueado un archivo si se aplicara una directiva. Este evento incluye información sobre el archivo bloqueado y sobre la directiva impuesta. Para los archivos que la mitigación bloquearía, la información de directiva del evento 3077 coincidirá con la información de directiva de directiva de auditoría del evento 3099.

Evento de CodeIntegrity 3077 en el registro "CodeIntegrity – Operativo" indica que se ha bloqueado la carga de un ejecutable, .dll o controlador. Este evento incluye información sobre el archivo bloqueado y sobre la directiva impuesta. Para los archivos bloqueados por la mitigación, la información de directiva en el evento CodeIntegrity 3077 coincidirá con la información de directiva de SkuSiPolicy.p7b del evento CodeIntegrity 3099. El evento CodeIntegrity 3077 no estará presente si no hay ningún ejecutable, .dll o controladores que infrinjan la directiva de integridad de código en el dispositivo.

Para ver otros eventos de bloque y auditoría de integridad de código, consulte Información sobre los eventos de Control de aplicaciones.

Procedimiento de recuperación y eliminación de directivas

Si algo va mal después de aplicar la mitigación, puedes usar los siguientes pasos para quitar la mitigación:

  1. Suspende BitLocker si está habilitado. Ejecuta el comando siguiente en la ventana del símbolo del sistema con privilegios elevados:

    Manager-bde -protectors -disable c: -rebootcount 3

  2. Desactiva el Arranque seguro desde el menú de UEFI BIOS. El procedimiento para desactivar el arranque seguro difiere entre los modelos y fabricantes de dispositivos. Para obtener ayuda sobre dónde desactivar el arranque seguro, consulta con la documentación del fabricante del dispositivo. Puedes encontrar más detalles en Deshabilitar el arranque seguro.

  3. Quita la directiva SkuSiPolicy.p7b.

    1. Inicia Windows normalmente e inicia sesión. La directiva SkuSiPolicy.p7b debe quitarse de la siguiente ubicación:

      • <partición del sistema EFI>\Microsoft\Boot\SKUSiPolicy.p7b

    2. Ejecute los siguientes comandos desde una sesión de Windows PowerShell con privilegios elevados para limpiar la directiva de esas ubicaciones:

      $PolicyBinary = $env:windir+"\System32\SecureBootUpdates\SkuSiPolicy.p7b" $MountPoint = 's:' $EFIPolicyPath = "$MountPoint\EFI\Microsoft\Boot\SkuSiPolicy.p7b" $EFIDestinationFolder="$MountPoint\EFI\Microsoft\Boot" mountvol $MountPoint /S if (-Not (Test-Path $EFIDestinationFolder)) { New-Item -Path $EFIDestinationFolder -Type Directory -Force } if (Test-Path   $EFIPolicyPath ) {Remove-Item -Path $EFIPolicyPath -Force } ​​​​​​​mountvol $MountPoint /D

  4. Activa Arranque seguro desde BIOS. Consulta con la documentación del fabricante del dispositivo para localizar dónde activar el arranque seguro. Si has desactivado el arranque seguro en el paso 1 y la unidad está protegida por BitLocker, suspende la protección de BitLocker y, a continuación, activa el Arranque seguro desde el menú del BIOS de UEFI.

  5. Activar BitLocker. Ejecuta el comando siguiente en la ventana del símbolo del sistema con privilegios elevados:

    Manager-bde -protectors -enable c:

  6. Reinicie el dispositivo

Cambiar fecha

Descripción

8 de abril de 2025

  • Se ha quitado la primera frase de la sección "Nota importante sobre la directiva SKUSiPolicy.p7b", ya que la actualización más reciente no está disponible actualmente para todas las versiones de Windows.

  • Se ha actualizado la sección "Mitigaciones disponibles" agregando información más detallada.

  • Se han agregado mitigaciones predeterminadas para la sesión de arranque para evitar la reversión de archivos binarios para Windows 10, versión 22H2 y posteriores y protección de datos de VBS para dispositivos basados en DRTM o inicio seguro en Windows 11, versión 24H2.

24 de febrero de 2025

  • Se ha actualizado la nota en la sección "Eventos de activación de políticas" y se ha agregado una segunda captura de pantalla de la lista de directorios que muestra el archivo "SiPolicy.p7b - Audit Policy".

11 de febrero de 2025

  • Se ha actualizado el script del paso 1 en la sección "Implementar una directiva de revocación firmada por Microsoft (SKUSiPolicy.p7b)".

  • Se ha agregado una nota al final de la sección "Eventos de activación de directivas" y se ha agregado una captura de pantalla de la lista de directorios que muestra el archivo "SKUSiPolicy.p7b - Directiva de revocación".

  • Se ha actualizado el script del paso 3b en la sección "Procedimiento de eliminación y recuperación de directivas".

14 de enero de 2025

  • Se ha agregado la nota importante sobre la directiva SKUSiPolicy.p7b en la parte superior de este artículo.*

  • Se ha quitado la siguiente nota (que se agregó el 12 de noviembre de 2024) de la sección "Mitigaciones disponibles" cuando ya no era necesario:"Nota Compatibilidad con las directivas SKUSIPolicy.p7b y VbsSI_Audit.p7b para Windows 10, versión 1507, Windows 10 Enterprise 2016 y Windows Server 2016 se han agregado como parte de las últimas actualizaciones de Windows publicadas el 8 de octubre de 2024 y después. Las versiones más recientes de Windows y Windows Server introdujeron estas directivas en las actualizaciones del 13 de agosto de 2024".

  • Se ha agregado más información a la nota en la sección "Implementar una directiva de revocación firmada por Microsoft (SKUSiPolicy.p7b)". El texto original era "Nota Si faltan actualizaciones, es posible que el dispositivo no se inicie con la mitigación aplicada o que la mitigación no funcione como se esperaba". *

  • Se ha quitado el segundo párrafo de la sección "Actualizando medios de arranque externo". El texto original quitado era "Medios de arranque, que se actualiza con la directiva de revocación firmada por Microsoft, solo debe usarse para arrancar dispositivos que ya tengan aplicada la mitigación.  Si se usa con dispositivos sin la mitigación, el bloqueo UEFI se aplicará durante el inicio desde el medio de arranque. Se producirá un error al iniciarse posteriormente desde el disco, a menos que el dispositivo se actualice con la mitigación o se quite el bloqueo ueFI". *

  • Se ha quitado el paso "Con los medios recién creados montados, copie el archivo SKUSiPolicy.p7b en <MediaRoot>\EFI\Microsoft\Boot (por ejemplo, D:\EFI\Microsoft\Boot)" en el procedimiento "Pasos para actualizar los medios de arranque externo" de la sección "Actualizando medios de arranque externo", ya que este paso ya no es necesario.*

  • Se han quitado los pasos del 3 al 5 del procedimiento "Actualizar medios de instalación de Windows con instrucciones de actualización dinámica " de la sección "Actualización de medios de arranque externo", ya que los pasos ya no son necesarios.*

    • 3. Coloque el contenido del medio en una unidad USB y monte la unidad usb como una letra de unidad. Por ejemplo, monte la unidad USB como D:.

    • 4. Copia SkuSiPolicy.p7b en <MediaRoot>\EFI\Microsoft\Boot (por ejemplo, D:\EFI\Microsoft\Boot).

    • 5. Retire de forma segura la unidad usb montada.

  • Se ha actualizado el primer párrafo del tema "Medios de arranque externo" en la sección "Descripción de los riesgos de mitigación". El texto original era "Después de aplicar las mitigaciones de bloqueo ueFI a un dispositivo, los medios de arranque externo deben actualizarse con las últimas actualizaciones de Windows instaladas en el dispositivo y con la directiva de revocación firmada por Microsoft (SKUSiPolicy.p7b). Si el medio de arranque externo no está actualizado, es posible que el dispositivo no arranque desde ese medio. Consulta las instrucciones de la sección Actualizar medios de arranque externo antes de aplicar las mitigaciones.*

  • Se ha quitado el segundo párrafo del tema "Medios de arranque externo" en la sección "Descripción de los riesgos de mitigación". El texto original era "Medios de arranque, que se actualiza con la directiva de revocación firmada por Microsoft, solo debe usarse para arrancar dispositivos que ya tengan aplicada la mitigación.  Si se usa con dispositivos sin la mitigación, el bloqueo UEFI se aplicará durante el inicio desde el medio de arranque. Se producirá un error al iniciarse posteriormente desde el disco, a menos que el dispositivo se actualice con la mitigación o se quite el bloqueo ueFI". *

  • Se ha actualizado el tema "Arranque del Entorno de ejecución de arranque previo al arranque (PXE) en la sección "Descripción de los riesgos de mitigación". El texto original era "Si la mitigación se implementa en un dispositivo e intentas usar el arranque PXE, el dispositivo no se iniciará a menos que las mitigaciones también se apliquen a los orígenes de arranque de red (raíz donde bootmgfw.efi está presente). Si un dispositivo se inicia desde un origen de arranque de red que tenga aplicada la mitigación, el bloqueo de la UEFI se aplicará al dispositivo y afectará a los inicios posteriores. No se recomienda implementar mitigaciones en orígenes de arranque de red a menos que todos los dispositivos del entorno tengan implementadas las mitigaciones. "*

12 de noviembre de 2024

  • En la sección "Mitigaciones disponibles", se agregó compatibilidad con las directivas SKUSiPolicy.p7b y VbsSI_Audit.p7b para Windows 10, versión 1507, Windows 10 Enterprise 2016 y Windows Server 2016 como parte de las actualizaciones de Windows publicadas el 8 de octubre de 2024 y después.

  • Se han actualizado las fechas de lanzamiento de Windows del 13 de agosto de 2024 al 12 de noviembre de 2024 en todo el año.
SUSCRIBIRSE A FUENTES RSS

¿Necesita más ayuda?

¿Quiere más opciones?

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Ventajas de la suscripción de Microsoft 365

Aprendizaje de Microsoft 365

Seguridad de Microsoft

Centro de accesibilidad