Applies ToWindows 10, version 1703, all editions Windows Server 2016 Windows Server 2016 Essentials Windows Server 2016 Standard Windows 10 Windows 10, version 1511, all editions Windows 10, version 1607, all editions Windows Server 2012 R2 Datacenter Windows Server 2012 R2 Standard Windows Server 2012 R2 Essentials Windows Server 2012 R2 Foundation Windows 8.1 Enterprise Windows 8.1 Pro Windows 8.1 Windows RT 8.1 Windows Server 2012 Datacenter Windows Server 2012 Standard Windows Server 2012 Essentials Windows Server 2012 Foundation Windows Server 2008 R2 Service Pack 1 Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Web Edition Windows Server 2008 R2 Foundation Windows 7 Service Pack 1 Windows 7 Ultimate Windows 7 Enterprise Windows 7 Professional Windows 7 Home Premium Windows 7 Home Basic Windows 7 Starter Windows Vista Service Pack 2 Windows Vista Home Basic Windows Vista Home Premium Windows Vista Business Windows Vista Ultimate Windows Vista Enterprise Windows Vista Starter Windows Server 2008 Service Pack 2 Windows Server 2008 Foundation Windows Server 2008 Standard Windows Server 2008 for Itanium-Based Systems Windows Server 2008 Web Edition Windows Server 2008 Enterprise Windows Server 2008 Datacenter

Resumen

En este artículo se ayuda a identificar y solucionar problemas en los dispositivos afectados por la vulnerabilidad que se describe en el Aviso de seguridad de Microsoft ADV170012.

Este proceso se centra en los siguientes casos de uso de Windows Hello para empresas (WHFB) y Azure AD (AAD) que ofrece Microsoft:

  • Unión a Azure AD

  • Unión a Hybrid Azure AD

  • Registro en Azure AD

Más información

 Identificar el escenario de uso de AAD 

  1. Abra una ventana del símbolo del sistema.

  2. Ejecute el siguiente comando para obtener el estado del dispositivo:dsregcmd.exe /status

  3. En la salida del comando, examine los valores de las propiedades que figuran en la siguiente tabla para determinar el escenario de uso de AAD.

    Propiedad

    Descripción

    AzureAdJoined

    Indica si el dispositivo está unido a Azure AD.

    EnterpriseJoined

    Indica si el dispositivo está unido a AD FS. Esto forma parte de un escenario de cliente solo local en el que Windows Hello para empresas se implementa y administra de manera local.

    DomainJoined

    Indica si el dispositivo está unido a un dominio de Active Directory tradicional.

    WorkplaceJoined

    Indica si el usuario actual agregó una cuenta profesional o educativa a su perfil actual. Esto se conoce como registro en Azure AD. El sistema no tiene en cuenta esta opción de configuración si el dispositivo indica AzureAdJoined.

Unión a Hybrid Azure AD

Si DomainJoined y AzureAdJoined indican , el dispositivo está unido a Hybrid Azure AD. Por lo tanto, el dispositivo está unido a Azure Active Directory y a un dominio de Active Directory tradicional.

Flujo de trabajo

Las implementaciones pueden variar entre una organización y otra. Diseñamos el siguiente flujo de trabajo para ofrecer las herramientas que necesita para desarrollar su propio plan interno con el fin de mitigar los dispositivos afectados. El flujo de trabajo contiene los siguientes pasos:

  1. Identificar los dispositivos afectados. Busque en el entorno los módulos de plataforma segura (TPM), claves y dispositivos afectados.

  2. Corregir los dispositivos afectados. Corrija los efectos en los dispositivos afectados según los pasos específicos del caso que se indican en este artículo.

Nota sobre el borrado de TPM

Dado que los módulos de plataforma segura se usan para almacenar información secreta que los distintos servicios y aplicaciones usan, el borrado del TPM puede tener efectos empresariales imprevistos o negativos. Antes de borrar un TPM, asegúrese de investigar y validar que todos los servicios y aplicaciones que usan información secreta protegida mediante TPM se hayan identificado y preparado correctamente para la eliminación y recreación la información secreta.

Cómo identificar los dispositivos afectados

Para identificar los TPM afectados, consulte el Aviso de seguridad de Microsoft ADV170012.

Cómo corregir los dispositivos afectados

Use los siguientes pasos en los dispositivos afectados según el escenario de uso de AAD.

  1. Asegúrese de que existe una cuenta de administrador local válida en el dispositivo o cree una.

    Nota

    Es recomendable comprobar que la cuenta funciona. Para ello, inicie sesión en el dispositivo con la nueva cuenta de administrador local y abra un símbolo del sistema elevado para confirmar que dispone de los permisos correctos.

     

  2. Si inició sesión en un dispositivo con una cuenta de Microsoft, vaya a Configuración > Cuentas > Cuentas de correos y aplicaciones y quite la cuenta conectada.

  3. Instale una actualización de firmware para el dispositivo.

    Nota

    Siga las indicaciones del OEM sobre la aplicación de la actualización del firmware de TPM. Consulte el Paso 4: "Aplicar las actualizaciones de firmware aplicables" en el Aviso de seguridad de Microsoft ADV170012 para obtener información sobre cómo obtener la actualización de TPM del OEM.

     

  4. Desconecte el dispositivo de Azure AD.

    Nota

    Antes de continuar, asegúrese de crear una copia de seguridad de la clave de BitLocker en una ubicación que no sea el equipo local.

    1. Vaya a Configuración > Sistema > Acerca de y haga clic en Administrar o desconectar del trabajo o de la escuela.

    2. Haga clic en Conectado a <AzureAD>y luego en Desconectar.

    3. Cuando se lo soliciten, haga clic en para confirmar.

    4. Cuando se le solicite que se desconecte de la organización, haga clic en Desconectar.

    5. Especifique la información de la cuenta de administrador local del dispositivo.

    6. Haga clic en Reiniciar más tarde.

  5. Quite el TPM.

    Nota

    Al borrar el TPM, se quitarán todas las claves e información secreta almacenadas en el dispositivo. Antes de continuar, asegúrese que los demás servicios que usan TPM se hayan suspendido o validado.

    Windows 8 o posterior: BitLocker se suspende automáticamente si usa cualquiera de los dos siguientes métodos recomendados para borrar el TPM.

    Windows 7: Antes de continuar, BitLocker se debe suspender manualmente.(Consulte más información sobre cómo suspender BitLocker).  

    1. Para quitar el TPM, use uno de los siguientes métodos:

      • Usar Microsoft Management Console.

        1. Presione Win + R, escriba tpm.msc y haga clic en Aceptar.

        2. Haga clic en Quitar TPM.

      • Ejecute el cmdlet Clear-Tpm.

    2. Haga clic en Reiniciar.Nota Se le puede solicitar que quite el TPM al iniciar.

  6. Cuando se haya reiniciado el dispositivo, inicie sesión en él con la cuenta de administrador local.

  7. Vuelva a unir el dispositivo a Azure AD. Es posible que se solicite configurar un nuevo PIN la próxima vez que inicie sesión.

  1. Si inició sesión en el dispositivo con una cuenta de Microsoft, vaya a Configuración > Cuentas > Cuentas de correos y aplicaciones y quite la cuenta conectada.

  2. En un símbolo del sistema con privilegios elevados, ejecute el comando siguiente:dsregcmd.exe /leave /debug

    Nota

    La salida del comando debería indicar AzureADJoined: No.

     

  3. Instale una actualización de firmware para el dispositivo.

    Nota

    Nota Siga las indicaciones del OEM sobre la aplicación de la actualización del firmware de TPM. Consulte el Paso 4: "Aplicar las actualizaciones de firmware aplicables" en el Aviso de seguridad de Microsoft ADV170012 para obtener información sobre cómo obtener la actualización de TPM del OEM.

  4. Quite el TPM.

    Nota

    Al borrar el TPM, se quitarán todas las claves e información secreta almacenadas en el dispositivo. Antes de continuar, asegúrese que los demás servicios que usan TPM se hayan suspendido o validado.

    Windows 8 o posterior: BitLocker se suspende automáticamente si usa cualquiera de los dos siguientes métodos recomendados para borrar el TPM.

    Windows 7: Antes de continuar, BitLocker se debe suspender manualmente.(Consulte más información sobre cómo suspender BitLocker).

     

    1. Para quitar el TPM, use uno de los siguientes métodos:

      • Usar Microsoft Management Console.

        1. Presione Win + R, escriba tpm.msc y haga clic en Aceptar.

        2. Haga clic en Quitar TPM.

      • Ejecute el cmdlet Clear-Tpm.

    2. Haga clic en Reiniciar.Nota Se le puede solicitar que quite el TPM al iniciar.

Cuando se inicie el dispositivo, Windows genera nuevas claves y vuelve a unir el dispositivo a Azure AD automáticamente. Durante este proceso, puede seguir usando el dispositivo. Sin embargo, es posible que el acceso a los recursos, como Microsoft Outlook, OneDrive y otras aplicaciones que requieren SSO o directivas de acceso condicional se vea limitado.

Nota Si usa una cuenta de Microsoft, debe conocer la contraseña.

  1. Instale una actualización de firmware para el dispositivo.

    Nota

    Siga las indicaciones del OEM sobre la aplicación de la actualización del firmware de TPM. Consulte el Paso 4: "Aplicar las actualizaciones de firmware aplicables" en el Aviso de seguridad de Microsoft ADV170012 para obtener información sobre cómo obtener la actualización de TPM del OEM.

     

  2. Quite la cuenta profesional de Azure AD.

    1. Vaya a Configuración > Cuentas > Obtener acceso a trabajo o escuela, haga clic en la cuenta profesional o educativa y luego en Desconectar.

    2. Cuando se le pide confirmación de la desconexión, haga clic en .

  3. Quite el TPM.

    Nota

    Al borrar el TPM, se quitarán todas las claves e información secreta almacenadas en el dispositivo. Antes de continuar, asegúrese que los demás servicios que usan TPM se hayan suspendido o validado.

    Windows 8 o posterior: BitLocker se suspende automáticamente si usa cualquiera de los dos siguientes métodos recomendados para borrar el TPM.

    Windows 7: Antes de continuar, BitLocker se debe suspender manualmente.(Consulte más información sobre cómo suspender BitLocker).

     

    1. Para quitar el TPM, use uno de los siguientes métodos:

      • Usar Microsoft Management Console.

        1. Presione Win + R, escriba tpm.msc y haga clic en Aceptar.

        2. Haga clic en Quitar TPM.

      • Ejecute el cmdlet Clear-Tpm.

    2. Haga clic en Reiniciar.Nota Se le puede solicitar que quite el TPM al iniciar.

    3. Si usó una cuenta de Microsoft que tiene un PIN, debe iniciar sesión en el dispositivo mediante la contraseña.

    4. Vuelva a agregar la cuenta profesional al dispositivo.

      1. Vaya a Configuración > Cuentas > Obtener acceso a trabajo o escuela y haga clic en Conectar.

      2. Especifique la cuenta profesional y haga clic en Siguiente.

      3. Especifique la cuenta profesional y contraseña, y haga clic en Iniciar sesión.

      4. Si la organización ha configurado Microsoft Azure Multi-Factor Authentication para unir dispositivos a Azure AD, indique el segundo factor antes de continuar.

      5. Valide que la información que se muestra es correcta y haga clic en Unirse. Debería aparecer el siguiente mensaje:You’re all set! We’ve added your account successfully You now have access to your organizations apps and services.

 

SUSCRIBIRSE A FUENTES RSS

¿Necesita más ayuda?

¿Quiere más opciones?

Descubrir Comunidad

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Ventajas de la suscripción a Microsoft 365

Aprendizaje de Microsoft 365

Seguridad de Microsoft

Centro de accesibilidad

Las comunidades le ayudan a formular y responder preguntas, enviar comentarios y leer a expertos con conocimientos extensos.

Pregunte en Microsoft Community

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders