Después de un cambio de disco, Windows muestra Arranque seguro desactivado y el chip confiable no usable. Esta guía práctica te ayuda a habilitar Secure Boot y TPM dos punto cero en BIOS AMI de la placa TH310C‑M3 para cumplir con los requisitos de Windows 11.
Escenario y síntomas
Un equipo con placa base TH310C‑M3 con BIOS AMI (versión 5.12 de dos mil diecinueve) presenta estos signos típicos tras una reparación o sustitución de disco:
- En Seguridad de Windows → Seguridad del dispositivo: Arranque seguro: Desactivado y Procesador de seguridad no utilizable.
- En msinfo32: Estado de arranque seguro = Desactivado y quizá Modo BIOS = Heredado o UEFI con CSM activo.
- En UEFI/BIOS AMI: la opción Secure Boot no aparece, incluso desactivando CSM; pestaña Security con opciones atenuadas.
- Campos DMI con cadenas genéricas (Default string), indicio de firmware genérico u OEM “mínimo”.
La solución se centra en tres llaves: arranque UEFI puro, disco del sistema en GPT y PTT habilitado (el firmware TPM de Intel). Una vez cumplidas, el menú de Secure Boot aparece y permite cargar las claves por defecto.
Resumen rápido para actuar de inmediato
- Haz copia de la configuración de BIOS y guarda claves de BitLocker si existieran.
- En BIOS, desactiva CSM y deja arranque UEFI puro; define una contraseña de supervisor.
- Comprueba que el disco del sistema está en GPT; si es MBR, conviértelo con
mbr2gpt. - En Advanced, habilita Intel PTT y Security Device Support.
- En Secure Boot, instala claves por defecto y habilita el arranque seguro.
- Verifica en Windows con
tpm.msc,msinfo32yConfirm-SecureBootUEFI.
Preparativos y precauciones
- Documenta la configuración actual de BIOS con fotos. Te permitirá revertir cambios si algo no sale como esperabas.
- Clave de BitLocker: si alguna vez activaste cifrado, guarda la clave de recuperación antes de tocar TPM o Secure Boot. Compruébalo con:
manage-bde -status - Alimentación estable: evita actualizar firmware con baterías bajas o cortes de energía.
- Teclado cableado y acceso físico al equipo.
Requisitos que desbloquean el menú de arranque seguro
En muchas BIOS AMI, el menú Secure Boot solo aparece cuando se cumplen dos condiciones: arranque UEFI puro y contraseña de supervisor. Además, Windows requiere tabla de particiones GPT.
Desactivar compatibilidad heredada
- En Boot → CSM o Compatibility Support Module: Disabled.
- Boot Mode: UEFI Only o similar.
- Guarda y reinicia. Si el sistema deja de arrancar, vuelve a entrar a BIOS y elige explícitamente Windows Boot Manager como el primer dispositivo de arranque.
Crear una contraseña de supervisor
- En Security: establece Administrator/Supervisor Password. No la olvides.
- Vuelve al menú principal; ahora deberían desbloquearse Secure Boot y Key Management.
- Tras terminar, podrás retirar la contraseña si lo deseas.
Garantizar particiones en GPT
Si tu disco del sistema usa MBR, Secure Boot no se ofrecerá. Verifica en Windows:
diskpart
list disk
exitSi el disco del sistema no tiene asterisco en la columna Gpt, conviértelo in situ (sin reinstalar) con la herramienta oficial:
mbr2gpt /validate /allowFullOS /disk:0
mbr2gpt /convert /allowFullOS /disk:0Reemplaza disk:0 por el número correcto si tu unidad del sistema es otra. Tras convertir a GPT, entra a BIOS, fuerza UEFI Only y selecciona Windows Boot Manager como prioridad.
Activación de TPM dos punto cero con Intel PTT
En esta plataforma Intel H tres cien diez, lo habitual es que el Trusted Platform Module sea de firmware (PTT). No necesitas un módulo físico adicional.
- Ruta típica en AMI: Advanced → PCH-FW Configuration o Security → Trusted Computing.
- Activa:
- Intel Platform Trust Technology = Enabled
- Security Device Support = Enabled
- TPM Device Selection = PTT o Firmware TPM
- Guarda y reinicia.
En Windows, verifica el estado del procesador de seguridad:
tpm.mscDebe indicar Especificación igual a dos punto cero y El TPM está listo para usarse. También puedes comprobarlo por PowerShell:
Get-Tpm
Salida esperada: TpmPresent: True, TpmReady: True, ManagedAuthLevel: FullActivación de arranque seguro en AMI
Con UEFI puro, GPT y la contraseña de supervisor ya definida, el menú debería ser visible.
- Abre Security o Boot y localiza Secure Boot.
- En OS Type o Secure Boot Mode, elige Windows UEFI Mode.
- En Key Management o Secure Boot Keys, ejecuta Install Default/Factory Keys. Esto carga PK, KEK, DB y DBX de fábrica.
- Activa Secure Boot = Enabled.
- Guarda y reinicia.
De vuelta en Windows, la sección Seguridad del dispositivo debe mostrar Arranque seguro activado. Para confirmación extra:
Confirm-SecureBootUEFISi devuelve True, el sistema está protegido por arranque seguro.
Mapas de menú y nombres frecuentes en AMI
| Objetivo | Ruta habitual | Nombre de opción | Valor recomendado |
|---|---|---|---|
| Arranque UEFI puro | Boot | CSM / Legacy | Disabled |
| Tipo de sistema | Boot | Boot Mode | UEFI Only |
| Contraseña de supervisor | Security | Administrator/Supervisor Password | Definir y recordar |
| TPM por firmware | Advanced → PCH-FW | Intel PTT | Enabled |
| Dispositivo de seguridad | Security | Security Device Support | Enabled |
| Selección de TPM | Security | TPM Device Selection | PTT / Firmware TPM |
| Arranque seguro | Security o Boot | Secure Boot | Enabled |
| Claves de firma | Secure Boot → Key Management | Install Default/Factory Keys | Ejecutar |
Verificaciones y comandos en Windows
Usa esta tabla para validar que todo quedó correcto:
| Comando | Acción | Resultado esperado |
|---|---|---|
msinfo32 | Resumen del sistema | Modo BIOS = UEFI; Estado de arranque seguro = Activado |
tpm.msc | Consola del TPM | Versión de especificación dos punto cero; Listo para usarse |
Get-Tpm | PowerShell | TpmPresent True; TpmReady True |
Confirm-SecureBootUEFI | PowerShell | True |
wmic baseboard get product,version | Identificación de placa | TH310C‑M3 y revisión correcta |
Cuando el menú de arranque seguro no aparece
Si después de cumplir los requisitos sigue sin aparecer el menú, revisa estas causas y soluciones:
- Firmware genérico u OEM básico: los campos DMI con Default string sugieren que, tras la reparación, se instaló una imagen de BIOS genérica que oculta menús. Acción: reinstala la BIOS propia del fabricante para TH310C‑M3 y su revisión exacta. Utiliza la utilidad de actualización integrada de AMI (p. ej., EZ Flash, Instant Flash o similar) y carga valores por defecto tras flashear.
- Versión de BIOS antigua: actualiza a una versión posterior que exponga Secure Boot y corrige menús atenuados.
- Contraseña de supervisor no establecida: sin ella, Key Management puede aparecer en gris. Define la contraseña, entra de nuevo y revisa.
- Disco del sistema en MBR: conviértelo a GPT con
mbr2gpty arranca en UEFI puro. - Falso requisito de módulo físico: en esta plataforma no es necesario un módulo dTPM. Solo considera uno si la BIOS no ofrece PTT y la placa tiene cabecera TPM con soporte confirmado por el fabricante.
Conversión de MBR a GPT con seguridad
Si parte de tus datos son críticos, verifica la salud del disco antes de convertir y realiza copia de seguridad. Procedimiento recomendado:
- Eleva consola como administrador y valida:
mbr2gpt /validate /allowFullOS /disk:0 - Si es válido, convierte:
mbr2gpt /convert /allowFullOS /disk:0 - Entra a BIOS, desactiva CSM y selecciona Windows Boot Manager como primer arranque.
Si por algún motivo el gestor de arranque queda dañado, puedes reconstruirlo desde el entorno de recuperación:
bcdboot C:\Windows /l es-es /s S: /f UEFI
Sustituye S: por la partición del sistema EFI montadaRecuperación y soluciones de arranque
- No arranca tras desactivar CSM: entra a BIOS, restablece CSM solo para recuperar el arranque, confirma que el disco está en GPT y repite la transición a UEFI seleccionando Windows Boot Manager.
- Bucle de reparación automática: ejecuta Reparación de inicio; si no funciona, usa
bcdbootcomo arriba. - Windows no reconoce el TPM: en BIOS, confirma PTT = Enabled y Security Device Support = Enabled. En Windows, ejecuta:
Dism /Online /Cleanup-Image /RestoreHealth sfc /scannowReinicia y vuelve a comprobar conGet-Tpm. - Kernel DMA Protection en desactivado: no bloquea la activación de Secure Boot ni del TPM; es una característica aparte.
Errores comunes y cómo resolverlos
| Mensaje o síntoma | Causa probable | Corrección sugerida |
|---|---|---|
| PCR siete binding not supported | Falta de unión de arranque seguro o TPM deshabilitado | Habilita PTT y Secure Boot; instala claves por defecto |
| TPM no utilizable | PTT deshabilitado o dispositivo de seguridad apagado | Security Device Support = Enabled; Intel PTT = Enabled |
| Menú de Secure Boot ausente | CSM activo, falta contraseña, BIOS genérica | UEFI puro, define supervisor, actualiza BIOS del fabricante |
| Opciones de Security atenuadas | Modo usuario sin privilegios de firmware | Configura contraseña de administrador en BIOS |
| No arranca al pasar a UEFI | Disco aún en MBR o gestor no encontrado | Convierte con mbr2gpt y selecciona Windows Boot Manager; usa bcdboot si es necesario |
| DMI muestra Default string | Firmware genérico instalado | Flashea BIOS correcta para TH310C‑M3 y revisión exacta |
Buenas prácticas al actualizar firmware
- Confirma revisión de la placa (p. ej., V uno punto cero) y usa solo el paquete correspondiente.
- Usa la utilidad de actualización integrada de la propia BIOS AMI; evita flasheos desde herramientas de terceros.
- Tras actualizar, aplica Load Optimized Defaults, configura de nuevo UEFI, PTT y el orden de arranque.
- Comprueba nuevamente msinfo32, tpm.msc y
Confirm-SecureBootUEFI.
Consideraciones sobre claves de arranque seguro
El arranque seguro se basa en cuatro conjuntos de claves: PK, KEK, DB y DBX. Para la mayoría de usuarios, basta con instalar las claves por defecto del fabricante de la placa, que incluyen la aceptación de Windows Boot Manager y la lista de revocación DBX.
- Install Default/Factory Keys: inicializa PK/KEK/DB/DBX de fábrica.
- Delete All Keys o Clear Secure Boot Keys: desactiva el arranque seguro; úsalo solo si vas a reinstalar claves.
- Key Exchange Keys y Forbidden Signatures: mantenlas con los valores estándar salvo necesidades de custom secure boot.
Preguntas frecuentes
¿Necesito un módulo físico de TPM?
No. En esta plataforma el TPM por firmware (Intel PTT) cumple el requisito de Windows.
¿Perderé datos al convertir a GPT?
La herramienta de Microsoft convierte sin borrar, pero siempre es recomendable copia de seguridad previa.
¿Puedo activar el cifrado del dispositivo después?
Sí. Una vez habilitados arranque seguro y PTT, Windows permitirá cifrado con BitLocker o cifrado del dispositivo. Guarda siempre la clave de recuperación.
¿Por qué la pestaña de seguridad aparece en gris?
Hasta que no definas una contraseña de supervisor, AMI oculta o bloquea gestión de claves y opciones críticas.
¿Qué pasa si borro el TPM?
Se pierden claves protegidas. Evítalo salvo que sea estrictamente necesario y asegúrate de tener respaldos y claves de recuperación.
Checklist final
- CSM desactivado; UEFI puro seleccionado.
- Disco del sistema en GPT; Windows Boot Manager en primer lugar.
- Contraseña de supervisor definida temporalmente.
- Intel PTT habilitado y dispositivo de seguridad activado.
- Claves de arranque seguro instaladas y arranque seguro activado.
- Verificado en msinfo32, tpm.msc,
Get-TpmyConfirm-SecureBootUEFI.
Procedimiento detallado paso a paso
- Precauciones:
- Guarda configuración actual con fotos.
- Verifica BitLocker:
manage-bde -status. Anota la clave si el cifrado está activo.
- Entrar en modo avanzado de BIOS:
- Accede a la UEFI AMI y cambia a Advanced Mode si existe.
- En Security, crea la contraseña de supervisor.
- Forzar UEFI puro:
- En Boot, desactiva CSM y fija UEFI Only.
- Ordena el arranque con Windows Boot Manager primero.
- Convertir MBR a GPT si procede:
- Valida y convierte con
mbr2gptcomo se indicó. - Reinicia y confirma que el modo UEFI se mantiene.
- Valida y convierte con
- Habilitar PTT:
- En Advanced → PCH-FW o Trusted Computing, activa Intel PTT y Security Device Support.
- Habilitar el arranque seguro:
- En Secure Boot, establece Windows UEFI Mode.
- Instala claves por defecto y activa Secure Boot.
- Verificar en Windows:
tpm.msc,Get-Tpm,msinfo32,Confirm-SecureBootUEFI.
- Si falta el menú:
- Actualiza a la BIOS específica de la TH310C‑M3 y revisión correcta.
- Repite los pasos de UEFI, PTT y claves.
Anexo de rutas útiles y equivalencias
Según el fabricante que integre AMI, los nombres pueden cambiar ligeramente. Busca equivalentes como los siguientes:
- Secure Boot también puede aparecer bajo Boot.
- Key Management puede llamarse Key Exchange Keys o Secure Boot Keys.
- PCH-FW Configuration puede estar bajo Chipset o Advanced.
- El conmutador de OS Type puede llamarse Secure Boot Mode con opciones Standard o Custom. Usa el modo estándar salvo que gestiones claves propias.
Notas finales para este modelo
Las incongruencias DMI (Default string) y discrepancias de modelo tras una reparación refuerzan la hipótesis de firmware genérico. En estas condiciones, Secure Boot y la gestión de PTT pueden quedar ocultos o restringidos. Prioriza reinstalar la BIOS correcta para la TH310C‑M3 en su revisión exacta, recupera valores por defecto y vuelve a aplicar la secuencia: UEFI puro, GPT, PTT habilitado, claves instaladas y arranque seguro activado.
Conclusión
Con una combinación de UEFI puro, disco en GPT, PTT activo e instalación de claves, el equipo cumple los requisitos de Windows 11 y desaparecen mensajes como TPM no utilizable o PCR siete binding not supported. Si el menú no aparece, el origen suele ser un firmware desactualizado o genérico: reflashear la BIOS correcta habilita los controles que necesitas.