Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products
  • Manage your Dell EMC sites, products, and product-level contacts using Company Administration.

Uso de scripts o automatización para actualizaciones de firmware de TPM desde Dell

Summary: Reglas para la automatización o el uso de scripts en la instalación o administración de actualizaciones de firmware del TPM de Dell.

This article may have been automatically translated. If you have any feedback regarding its quality, please let us know using the form at the bottom of this page.

Article Content


Symptoms


Si necesita scripts u otro medio de automatización desde Dell en relación con la actualización y administración de sus dispositivos TPM, consulte la información y los pasos que se proporcionan en este artículo.


Preguntas frecuentes sobre la automatización de TPM

¿Dell puede proporcionar un script automatizado para actualizar el firmware de TPM o activar un TPM?

No. Dell puede indicar los pasos y las utilidades necesarios para actualizar el firmware de TPM, pero no podemos proporcionar un script. La creación de scripts es algo que los clientes deben hacer por su cuenta, ya que cada entorno es diferente.

¿Un cliente puede automatizar por completo la actualización de firmware de TPM mediante un script?

Los sistemas Latitude/Precision/OptiPlex admiten automatización mediante una combinación de PowerShell y Dell Command Configure (DCC). Esto se debe a una función adicional denominada “PPI Bypass Clear”, que está disponible en estos modelos.

Se recomienda que la persona que crea scripts para la actualización de firmware de TPM esté familiarizada con la clase de WMI Win32_Tpm; para ello, debe revisar la información en el siguiente enlace: Clase Win32_TpmSLN309515_en_US__1iC_External_Link_BD_v1.

¿Qué se puede automatizar?

SLN309515_en_US__2icon NOTA: Es posible que algunas de estas funciones requieran actualizaciones de BIOS, Dell Command Configure 4.0 o más reciente y establecer una contraseña de administrador del BIOS.
  • TPM habilitado: Automatización disponible mediante la opción “PPI Bypass Enable” de Dell Command Configure.
  • TPM deshabilitado: Automatización disponible mediante la opción “PPI Bypass Disable” de Dell Command Configure.
  • Borrado de TPM: Automatización disponible mediante la opción “PPI Bypass Clear” de Dell Command Configure y PowerShell para solicitar el borrado.
    • Dell Command Configure tiene un listado de borrado, pero esto solo refleja la opción en el BIOS y no realizará un borrado en el sistema
  • Cambiar algoritmo hash: Automatización disponible a través de Dell Command Configure.

¿Existe una opción de instalación silenciosa para el firmware de TPM?

Sí. La versión actual del firmware de TPM publicado en el sitio web de soporte de Dell admite el uso del switch /s, el cual permitirá una instalación silenciosa.

¿Cómo puedo encontrar la versión de firmware de TPM?

La versión de firmware de TPM se puede ver cuando ejecuta el instalador. Le dirá la versión actual y la versión que está a punto de instalar. También puede obtener la versión de firmware ejecutando el comando “get-tpm” desde una ventana de PowerShell abierta como administrador.

Aunque Windows 7 y versiones superiores pueden leer la versión de firmware de TPM mediante PowerShell, no se muestra el número de la versión COMPLETA. Solo en Windows 10 versión 1703 (RS2) y superior se puede ver la versión completa y solo con un TPM que se encuentre en el modo 2.0 (Figura 1).

Versión de TPM SLN309515_en_US__3Windows 10 1703
Figura 1: Windows 10 1703 mostrando el número de versión completa de TPM


Automatizar la propiedad de TPM

Dell habilita TPM de forma predeterminada en cualquier sistema que se envía con Windows 10. Los sistemas con TPM aún no activado se pueden habilitar de manera remota utilizando scripts en sistemas Skylake y Kaby Lake a través de Dell Command Configure mediante la opción de BIOS “PPI Bypass Enable”.

SLN309515_en_US__2icon NOTA: Dell recomienda actualizar el firmware de TPM en todo sistema Skylake o Kaby Lake enviado antes del 13 de noviembre del 2017 antes de utilizar el TPM.

Si es propietario de un TPM, pero está deshabilitado, entonces Dell Command Configure no habilitará el TPM. Esto funciona como se diseñó y se implementó como medida de seguridad. No existe un método compatible para habilitar un TPM en modo 2.0 con esta configuración. Se deberá utilizar PowerShell a fin de enviar el comando para habilitar y activar un TPM en modo 1.2. Ejemplo:

(get-wmiObject -class Win32_Tpm -namespace root\cimv2\security\microsofttpm). SetPhysicalPresenceRequest (22)


Automatizar actualización de firmware de TPM

Estos pasos se pueden ejecutar en scripts o realizar manualmente mediante combinaciones de Dell Command Configure y PowerShell:

  1. Compruebe la versión de firmware de TPM para ver si se requiere una actualización
    • Se puede utilizar el comando get-tpm de PowerShell para verificar la versión actual. Esto se puede enviar a un archivo y analizar para verificar si se necesita una actualización.
  2. Suspenda cualquier programa de seguridad mediante el TPM: por ejemplo, suspenda/descifre BitLocker
    • Los medios de automatización varían según el programa
  3. Deshabilite el aprovisionamiento automático de Windows si es necesario (Windows 8/10)
    • Comando de PowerShell: Disable-TpmAutoProvisioning
  4. Actualice el BIOS para garantizar que se agregaron opciones de omisión de PPP
  5. Utilice Dell Command Configure para establecer una contraseña del BIOS
    • CCTK --SetupPwd=
  6. Habilite la omisión de PPI para el borrado mediante Dell Command Configure
    • CCTK --TpmPpiClearOverride=Enabled --ValSetupPwd=
  7. Borrar el TPM
    • Se requieren comandos de PowerShell y no se puede realizar mediante Dell Command Configure
  8. Ejecutar actualización de firmware del TPM
    • El firmware del TPM de Dell se puede ejecutar mediante el switch “/s” para ejecutarse de forma silenciosa
  9. Deshabilite la omisión de PPI para el borrado mediante Dell Command Configure
    • CCTK --TpmPpiClearOverride=Disabled --ValSetupPwd=
  10. Habilite el aprovisionamiento automático de Windows y, si es necesario, reinicie o tome propiedad del TPM
    • Comando de PowerShell: Enable-TpmAutoProvisioning
  11. Habilite cualquier programa de seguridad basado en TPM, como BitLocker

¿Cómo sé si un sistema se puede actualizar con un nuevo firmware de TPM?

Dell ofrece una variedad de sistemas con distintas soluciones de TPM. Para verificar si un sistema soporta una actualización de firmware de TPM, visite el sitio de soporte de Dell y busque en la sección “Controladores y descargas” de ese modelo. Las actualizaciones de firmware de TPM se enumerarán en la categoría “Seguridad”.

SLN309515_en_US__2icon NOTA: Solo un rango limitado de sistemas Skylake y Kaby Lake soportan los modos TPM 1.2 y 2.0. Para cambiar los modos, debe actualizar el firmware al modo correcto. Cualquier sistema que no enumere ambos en la sección “Controladores y descargas” no soporta el cambio de modos.

Article Properties


Affected Product

Security, Software

Last Published Date

21 Feb 2021

Version

3

Article Type

Solution