El Cifrado de unidad BitLocker de Windows es una característica de protección de datos disponible en Windows Vista Enterprise y Windows Vista Ultimate para equipos cliente, y en Windows Server 2008. BitLocker ofrece protección mejorada contra el robo o la exposición de datos en equipos extraviados o robados, además de una eliminación de datos más segura cuando se retiran equipos protegidos por BitLocker.

Los datos de un equipo perdido o robado son vulnerables al acceso no autorizado mediante la ejecución de una herramienta de ataque de software en ese equipo, o la transferencia de su disco duro a otro equipo. BitLocker ayuda a mitigar el acceso no autorizado a los datos de equipos extraviados o robados gracias a la combinación de dos importantes procedimientos de protección de datos:

• El cifrado de todo el volumen del sistema operativo Windows en el disco duro. BitLocker cifra todos los archivos de usuario y los archivos de sistema del volumen del sistema operativo, incluidos los archivos de intercambio e hibernación.
  
  
• La comprobación de la integridad de los componentes de arranque iniciales y los datos de la configuración de arranque. En equipos con un Módulo de plataforma segura (TPM) versión 1.2, BitLocker se sirve de las capacidades de seguridad mejorada del TPM para contribuir a garantizar que sólo se puede tener acceso a los datos si los componentes de arranque del equipo no se han modificado y el disco cifrado se encuentra en el equipo original.
  
  

BitLocker está totalmente integrado en Windows Vista y proporciona a las empresas una protección de datos mejorada más fácil de administrar y configurar. Por ejemplo, BitLocker puede utilizar una infraestructura de Servicios de dominio de Active Directory de Microsoft (AD DS) para almacenar de manera remota las claves de recuperación de BitLocker. BitLocker también proporciona una consola de recuperación que permite la recuperación de datos en equipos de distinto dominio o equipos que no se pueden conectar al dominio (por ejemplo, equipos sobre el terreno).

Si habilita BitLocker en un equipo que tiene un TPM versión 1.2, puede agregar un segundo factor de autenticación a la protección TPM. BitLocker ofrece la opción de bloquear el proceso de arranque normal hasta que el usuario proporcione un número de identificación personal (NIP) o inserte un dispositivo USB, como una unidad flash, que contenga una clave de inicio BitLocker. Estas medidas de seguridad adicionales proporcionan una autenticación multifactor y la garantía de que el equipo no se iniciará ni reanudará desde la hibernación hasta que se suministre el NIP o la clave de inicio correcta.

Para poder aprovechar las características de BitLocker, el equipo debe satisfacer los requisitos de hardware y software enumerados en la siguiente tabla.

Requisitos de hardware y software de BitLocker

*BitLocker no requiere un TPM; sin embargo, sólo un equipo con un TPM puede proporcionar la seguridad adicional de la comprobación de integridad del sistema antes del inicio.

Se necesitan dos particiones para ejecutar BitLocker porque la autenticación antes del inicio y la comprobación de la integridad del sistema deben tener lugar fuera del volumen del sistema operativo cifrado. Esta configuración contribuye a proteger el sistema operativo y la información del volumen cifrado. El volumen del sistema no cifrado debe ser de 1,5 gigabytes (GB) como mínimo, lo que permite espacio suficiente para los archivos de arranque, el entorno de ejecución previa de Windows (WinPE) y otros archivos específicos de programas de inicio o actualización. Los clientes de fabricantes y empresas de equipos informáticos también pueden almacenar herramientas de sistema u otras herramientas de recuperación en este volumen.

BitLocker es compatible con el Módulo de plataforma segura (TPM) versión 1.2. BitLocker no admite módulos TPM anteriores. Los TPM versión 1.2 proporcionan una mayor estandarización, un aumento de la seguridad y una funcionalidad mejorada en relación a las versiones anteriores. Windows Vista se diseñó teniendo en cuenta estas mejoras de TPM.

En el panel de control de BitLocker, haga clic en el vínculo Activar BitLocker . Si recibe el siguiente mensaje de error, o bien su equipo no tiene un TPM versión 1.2 o, el BIOS no es compatible con BitLocker o con el TPM:

No se encontró un módulo de plataforma segura (TPM). Se requiere un TPM para activar BitLocker. Si este equipo tiene un TPM, póngase en contacto con el fabricante del equipo para obtener un BIOS compatible con BitLocker.

Si recibe este mensaje de error, póngase en contacto con el fabricante del equipo para comprobar si éste tiene un TPM versión 1.2, o para conseguir una actualización del BIOS.

Algunos equipos pueden tener módulos TPM que no se muestran en el TPM del complemento de Microsoft Management Console de Windows Vista (tpm.msc). Si cree que su equipo tiene un TPM versión 1.2 y recibe este error, póngase en contacto con el fabricante del equipo para obtener una actualización del BIOS. Además, algunos fabricantes proporcionan una configuración del BIOS que, de manera predeterminada, oculta el TPM, mientras que otros fabricantes no habilitan el TPM salvo que esté habilitado en el BIOS. Si cree que su TPM está oculto en el BIOS, consulte la documentación del fabricante para obtener instrucciones que detallen cómo mostrar y/o habilitar el TPM.

Sí, puede habilitar BitLocker en un equipo sin un TPM versión 1.2, siempre y cuando el BIOS pueda leer de una unidad flash USB en el entorno de arranque. La razón para ello es que BitLocker no desbloqueará el volumen protegido hasta que el TPM del equipo o una unidad flash USB proporcionen la clave maestra del propio volumen de BitLocker que contiene la clave de inicio BitLocker de ese equipo. No obstante, los equipos sin TPM no se podrán beneficiar de la comprobación de integridad del sistema que también proporciona BitLocker.

Para determinar si un equipo puede leer de un dispositivo USB durante el proceso de arranque, use la comprobación del sistema de BitLocker como parte del proceso de configuración de BitLocker. Esta comprobación del sistema realiza pruebas para confirmar que el equipo puede leer correctamente de los dispositivos USB en el momento adecuado y que satisface otros requisitos de BitLocker.

Para habilitar BitLocker en un equipo sin un TPM, use la directiva de grupo para habilitar la interfaz de usuario avanzada de BitLocker. Una vez habilitadas las opciones avanzadas, la configuración sin TPM se muestra en el asistente de instalación de BitLocker. Para obtener instrucciones acerca del uso de la directiva de grupo en la habilitación de opciones de usuario avanzadas, consulte http://go.microsoft.com/fwlink/?LinkId=83223 (en inglés).

Póngase en contacto directamente con el fabricante del equipo para solicitar un BIOS compatible con Trusted Computing Group (TCG). Al solicitar un BIOS, plantee las siguientes preguntas:

1. ¿Tiene el equipo un BIOS preparado para Windows Vista? ¿Supera las pruebas de logotipo de Windows Vista?
   
   
2. ¿Es compatible el BIOS con Trusted Computing Group (TCG)?
   
   
3. ¿Tiene el BIOS un mecanismo de actualización seguro para evitar la instalación de un BIOS no autorizado (malintencionado) en el equipo?
   
   

BitLocker está disponible en Windows Vista Ultimate y Windows Vista Enterprise. BitLocker no está disponible en Windows XP.

Primero debe instalar Windows Vista Ultimate o Windows Vista Enterprise y, a continuación, ejecutar la herramienta de preparación de la unidad de BitLocker. De este modo, se configura automáticamente el diseño de partición de disco para BitLocker. Para obtener más información acerca de la herramienta de preparación de la unidad BitLocker, consulte http://go.microsoft.com/fwlink/?LinkId=83261 (en inglés).

Descifrar elimina totalmente la protección BitLocker y descifra completamente el volumen.

La deshabilitación mantiene los datos cifrados pero cifra la clave maestra de volumen de BitLocker con una clave sin cifrado. La clave sin cifrado es una clave criptográfica almacenada sin cifrado ni protección en el volumen del disco. Al almacenar esta clave sin cifrado, la opción de deshabilitación permite realizar cambios y actualizaciones en el equipo sin invertir el tiempo y el costo de descifrar y volver a cifrar todo el volumen. Una vez realizados los cambios y habilitado de nuevo BitLocker, éste proporciona la clave de cifrado a los nuevos valores de los componentes evaluados que se modificaron durante la actualización y, a continuación, se borra la clave sin cifrado.

Cualquier actualización del sistema, incluidas las de Windows Anytime Upgrade, requieren el descifrado del volumen antes de la instalación. Algunas actualizaciones que no son de Microsoft requieren la deshabilitación de BitLocker antes de su instalación. Las actualizaciones de Microsoft Update no requieren el descifrado del volumen ni la deshabilitación de BitLocker.

Consulte la siguiente tabla para determinar si debe deshabilitar BitLocker o descifrar el volumen antes de realizar una instalación de actualización.

Una vez instalada la actualización, puede volver a habilitar BitLocker. Al volver a habilitar BitLocker, éste proporcionará la clave de cifrado a los nuevos valores de los componentes evaluados que se han modificado durante la actualización. Si se aplican este tipo de actualizaciones sin descifrar/deshabilitar BitLocker, el equipo entrará en modo de recuperación al reiniciarse y será necesaria una clave de recuperación o contraseña para tener acceso al equipo.

Sí, puede automatizar la implementación y configuración de BitLocker con scripts que utilicen proveedores del Instrumental de administración de Windows (WMI) para la administración de BitLocker y el TPM. La elección de cómo implementar los scripts depende del entorno. Puede utilizar la herramienta de línea de comandos de BitLocker, manage-bde.wsf, para configurar BitLocker de manera local o remota. Para obtener información adicional acerca de la escritura de scripts que utilizan proveedores de WMI de BitLocker, consulte http://go.microsoft.com/fwlink/?LinkId=80600 (en inglés).

BitLocker proporciona una interfaz de usuario para el cifrado de todo el volumen del sistema operativo, incluidos los archivos de sistema y el archivo de hibernación de Windows Opcionalmente, puede utilizar el Sistema de cifrado de archivos (EFS) de Windows Vista para proteger otros volúmenes. Las claves EFS se almacenan de manera predeterminada en el volumen del sistema operativo. Por tanto, si se habilita BitLocker para el volumen del sistema operativo, todos los datos protegidos por EFS también estarán indirectamente protegidos por BitLocker. Además, los usuarios avanzados pueden cifrar volúmenes de datos locales con una interfaz de línea de comandos (manage-bde.wsf).

No; en circunstancias normales, BitLocker no tiene una repercusión perceptible en el rendimiento de un equipo. Generalmente, impone un porcentaje de sobrecarga de rendimiento de un dígito.

En la mayoría de los casos, el cifrado de BitLocker se procesa a una velocidad de 1 gigabyte (GB) por minuto. El cifrado se produce en segundo plano mientras se continúa trabajando y el sistema puede seguir utilizándose.

Los procesos de cifrado y descifrado de BitLocker se pueden interrumpir apagando el equipo y se volverán a reanudar donde se interrumpieron la próxima vez que se inicie Windows. Esto es así incluso si se produce una interrupción inesperada de la alimentación.

BitLocker no puede ignorar el espacio disponible cuando se cifra volumen porque, normalmente, el espacio de disco no asignado contiene restos de datos que los usuarios creen haber eliminado. No obstante, no resulta eficaz cifrar el espacio disponible en un volumen. Para solucionar este problema, BitLocker crea primero un gran archivo de marcadores de posición que ocupa la mayoría del espacio disponible y, a continuación, elimina los sectores del disco que pertenecen al archivo de marcadores de posición. Durante este proceso, BitLocker deja 6 gigabytes (GB) de espacio disponible para las necesidades del sistema a corto plazo. El resto del espacio, incluidos los 6 GB de espacio disponible no ocupado por el archivo de marcadores de posición, se cifra. Cuando el cifrado del volumen se pone en pausa o se completa, el archivo de marcadores de posición se elimina y la cantidad de espacio disponible vuelve a la normalidad.

Para obtener más información acerca de este proceso, consulte http://go.microsoft.com/fwlink/?LinkId=83240 (en inglés).

No, BitLocker no cifra y descifra todo el volumen cuando lee y escribe datos. Los sectores cifrados del volumen protegido por BitLocker se descifran sólo a medida que los solicitan las operaciones de lectura del sistema. Los bloqueos escritos en el volumen se cifran antes de que el sistema los escriba en el disco físico. Los datos descifrados siempre se almacenan en un volumen habilitado por BitLocker.

Si le preocupa que los usuarios puedan almacenar datos en el volumen descifrado accidentalmente, utilice las listas de control de acceso (ACL) y la directiva de grupo para configurar el control de acceso al volumen u ocultar la letra de la unidad.

Para obtener más información acerca de cómo ocultar las letras de unidad, consulte http://go.microsoft.com/fwlink/?LinkId=83219 (en inglés).

Los siguientes tipos de cambios en el sistema pueden dar lugar a un error en la comprobación de la integridad e impedir que TPM proporcione la clave BitLocker para descifrar el volumen protegido:

• Traslado de la unidad protegida con BitLocker a un equipo nuevo.
  
  
• Instalación de una nueva placa base con un nuevo TPM.
  
  
• Desactivación, deshabilitación o retirada del TPM.
  
  
• Cambio del BIOS, el registro de arranque maestro (MBR), el sector de arranque, el administrador de arranque, o de otros componentes de arranque iniciales o datos de configuración del arranque.
  
  

Esta funcionalidad es así por diseño; BitLocker percibe como un posible ataque la modificación no autorizada de cualquiera de los componentes de arranque iniciales y establecerá el sistema en modo de recuperación. Los administradores autorizados pueden actualizar componentes de arranque sin entrar en modo de recuperación deshabilitando previamente BitLocker.

Sí, puede intercambiar varios discos duros en el mismo equipo si BitLocker está habilitado, pero sólo si los discos duros están habilitados para BitLocker en el mismo equipo.

Si el otro equipo ejecuta Windows Vista Ultimate o Windows Vista Enterprise, se puede desbloquear el disco duro cifrado desde el Panel de control de BitLocker del equipo alternativo.

Nota
Es una manera rápida y directa de recuperar información de un equipo averiado que tiene un volumen protegido por BitLocker en el disco duro.

Cuando se desbloquea el disco duro habilitado para BitLocker en el equipo alternativo, se recuperará la única operación de autenticación disponible. El disco duro se mostrará en el Panel de control de BitLocker Control con una opción para desbloquear el volumen mediante la contraseña o clave de recuperación.

Sí, es posible realizar un arranque dual de una instancia habilitada para BitLocker de Windows Vista Ultimate o Windows Vista Enterprise con otro sistema operativo. Para obtener información adicional acerca de cómo crear y configurar un sistema de arranque dual, consulte http://go.microsoft.com/fwlink/?LinkId=83222 (en inglés).

BitLocker puede generar y utilizar distintas claves. Algunas claves son necesarias y otras son protectores opcionales que se pueden utilizar en función del nivel de seguridad requerido.

Contraseña de propietario de TPM

Antes de habilitar BitLocker en un equipo con un TPM versión 1.2, debe inicializar el TPM. El proceso de inicialización genera una contraseña de propietario de TPM, que es un conjunto de contraseñas en el TPM. Para cambiar el estado del TPM, para habilitarlo o deshabilitarlo, utilice la contraseña de propietario de TPM. Para obtener más información acerca de la administración del TPM, consulte http://go.microsoft.com/fwlink/?LinkId=83223 (en inglés).

Contraseña de recuperación y clave de recuperación

Cuando se configura BitLocker se debe crear una contraseña de recuperación. En caso de que el equipo entre en un estado de recuperación, esta información de recuperación (la contraseña o la clave de recuperación) es necesaria desbloquear los datos cifrados en el volumen. Puede guardar la contraseña de recuperación en uno de estos formatos:

• Como una contraseña numérica compuesta de 48 dígitos divididos en 8 grupos. Durante la recuperación, deberá escribir esta contraseña en la consola de recuperación de BitLocker mediante las teclas de función del teclado.
  
  
• Como una clave de recuperación guardada como un archivo en una unidad flash USB, con un formato que puede leer directamente la consola de recuperación de BitLocker. Durante la recuperación, deberá insertar este dispositivo USB.
  
  

NIP

Para un mayor nivel de seguridad con el TPM, puede configurar BitLocker con un número de identificación personal (NIP). Este NIP es un valor creado por el usuario que se debe introducir cada vez que se inicia el equipo o se reanuda desde la hibernación. El NIP puede contener de 4 a 20 dígitos y se almacena, de manera interna, como un hash de 256 bits de los caracteres Unicode introducidos. Este valor nunca se vuelve a mostrar al usuario de ninguna manera ni por ninguna razón. El NIP se utiliza para proporcionar otro factor de autenticación junto con la autenticación TPM.

Clave de inicio

La configuración de una clave de inicio es otro método para habilitar un mayor nivel de seguridad con el TPM. La clave de inicio es una clave almacenada en una unidad flash USB que se debe insertar cada vez que se inicia el equipo. La clave de inicio se utiliza para proporcionar otro factor de autenticación junto con la autenticación TPM.

Importante
Debe disponer de una clave de inicio para utilizar BitLocker en un equipo sin TPM.

Para obtener información adicional acerca de las claves BitLocker, consulte http://go.microsoft.com/fwlink/?LinkId=83225 (en inglés).

La contraseña de recuperación se puede guardar en una carpeta, en uno o más dispositivos USB o se puede imprimir. De manera opcional, un administrador de dominio puede configurar la directiva de grupo para generar automáticamente contraseñas de recuperación y almacenarlas de modo transparente en los Servicios de dominio de Active Directory (AD DS). Para obtener más información acerca de cómo almacenar información de recuperación en AD DS, consulte http://go.microsoft.com/fwlink/?LinkId=67438 (en inglés).

Sí. Para ello, puede utilizar la herramienta de línea de comandos manage-bde.wsf. Por ejemplo, si se habilita BitLocker sólo con la autenticación TPM y desea agregar la autenticación NIP, utilice el siguiente comando:

cscript %systemroot%\system32\manage-bde.wsf –protectors –add %systemdrive% -tpmandpin <NIP numérico de 4-20 dígitos>

Utilice el siguiente comando para ver una lista de los parámetros disponibles para manage-bde.wsf:

cscript %systemroot%\system32\manage-bde.wsf -?

BitLocker está diseñado para que el volumen cifrado sea irrecuperable sin la autenticación necesaria. Una vez en modo de recuperación, el usuario necesita la contraseña o clave de recuperación para desbloquear el volumen cifrado. Por tanto, le recomendamos encarecidamente que almacene la información de recuperación en los Servicios de domino de Active Directory o en otra ubicación segura.

No obstante, se trata de una valiosa característica cuando se retira o se vende o un equipo, o cuando pasa a utilizarse de otro modo. El equipo se puede colocar en un estado de recuperación para que sólo el poseedor de la información de recuperación pueda tener acceso al contenido del volumen cifrado.

Si bien es técnicamente posible, no se recomienda utilizar una unidad flash USB para almacenar ambas claves. Si se pierde o sustrae la unidad flash USB que contiene la clave de inicio, también perderá el acceso a la clave de recuperación. Además, la introducción de esta clave podría provocar el arranque automático del equipo desde la clave de recuperación, incluso si se han modificado los archivos evaluados por el TPM, lo que sortea la comprobación de integridad del sistema de TPM.

Sí, puede guardar la clave de inicio de un equipo en varias unidades flash USB.

Sí, puede guardar las claves de inicio de BitLocker para diferentes equipos en la misma unidad flash USB.

Puede generar diferentes claves de inicio para el mismo equipo mediante el scripting. No obstante, para equipos con un TPM, la creación de diferentes claves de inicio impide que BitLocker se beneficie de la comprobación de integridad del sistema de TPM.

Es técnicamente posible generar varios NIP, pero no es compatible ni recomendable.

Los datos sin procesar se cifran con la clave de cifrado de volumen completo que, a continuación, se cifra con la clave maestra de volumen. A su vez, la clave maestra de volumen se cifra mediante uno de los distintos métodos posibles dependiendo de la autenticación, es decir, protectores de clave o TPM, y los escenarios de recuperación. En la siguiente tabla se describe cómo se puede cifrar la clave maestra de volumen.

Métodos de cifrado de la clave maestra de volumen

La clave de cifrado del volumen completo se cifra mediante la clave maestra de cifrado y se almacena en el volumen cifrado. La clave maestra de volumen se cifra mediante el protector de clave adecuado y se almacena en el volumen cifrado. La clave sin cifrado, utilizada para cifrar la clave maestra de cifrado, también se almacena en el volumen cifrado junto con la clave maestra de volumen cifrado.

En la siguiente tabla se detalla dónde se almacenan las claves de cifrado de BitLocker y cuáles se utilizan para cifrar otras claves.

Ubicaciones de almacenamiento y datos de cifrado de las claves de BitLocker

Este proceso de almacenamiento garantiza que la clave maestra de volumen nunca se almacene sin cifrar y que, salvo que se deshabilite BitLocker, esté protegida. Por motivos de redundancia, las claves también se almacenan en dos ubicaciones adicionales del volumen. El Administrador de arranque puede leer y procesar las claves

Las teclas F1 a F10 son códigos de identificación asignados de manera universal disponibles en el entorno anterior al sistema operativo en todos los equipos y en todos los idiomas. No todos los teclados permiten utilizar las teclas numéricas del 0 al 9 en el entorno anterior al sistema operativo.

Un atacante puede detectar un NIP mediante un ataque por fuerza bruta. Un ataque por fuerza bruta se produce cuando un atacante utiliza una herramienta automatizada para intentar diferentes combinaciones de NIP hasta detectar la correcta. En los equipos protegidos por BitLocker, este tipo de ataque, también conocido como ataque de diccionario, requiere que el atacante disponga de acceso físico al equipo.

El TPM tiene la capacidad integrada de detectar y reaccionar ante este tipo de ataques. Dado que diferentes fabricantes de TPM pueden admitir distintos NIP y mitigaciones de ataques, póngase en contacto con el fabricante para determinar cómo mitiga su TPM los ataques por fuerza bruta de NIP.

Cuando haya determinado el fabricante de su TPM, póngase en contacto con él para obtener la información específica del proveedor del TPM. La mayoría de los fabricantes utilizan un recuento de errores de autenticación para aumentar exponencialmente el tiempo de bloqueo de la interfaz del NIP. No obstante, cada fabricante posee diferentes directivas relacionadas con cuándo y cómo se disminuye o restablece el contador de errores.

Las siguientes preguntas le ayudarán cuando interrogue a un fabricante de TPM acerca del diseño del mecanismo de mitigación de ataques de diccionario.

• ¿Cuantos intentos de autorización erróneos se pueden producir antes del bloqueo?
  
  
• ¿Cuál es el algoritmo para determinar la duración de un bloqueo basado en el número de intentos erróneos y otros parámetros relevantes?
  
  
• ¿Qué acciones pueden provocar que disminuya o se restablezca el recuento de errores y la duración del bloqueo?
  
  

La directiva de grupo no se puede usar para aplicar reglas NIP de BitLocker. No obstante, se puede usar la directiva de grupo para requerir o deshabilitar la creación de un NIP con el asistente de instalación de BitLocker. Para obtener más información acerca de la configuración de la directiva de grupo, consulte la Guía de seguridad de Windows Vista en http://go.microsoft.com/fwlink/?LinkId=82582 (en inglés).

BitLocker genera un valor hash para el NIP especificado por el usuario mediante SHA-256 y los primeros 160 bits del hash se usan como datos de autorización enviados al TPM para sellar la clave maestra de volumen. La clave maestra de volumen queda así protegida tanto por el TPM como por el NIP. Para quitar el sello de la clave maestra de volumen, deberá escribir el NIP cada vez que el equipo se inicie o se reanude el uso tras la hibernación.

Esto depende del sistema operativo y de la implementación de AD DS.

Windows Server 2003 con Service Pack 1 (SP1)

En AD DS con Windows Server 2003 con SP1, se debe expandir el esquema para que admita el almacenamiento de información de contraseñas de recuperación de BitLocker y el TPM.

Windows Server 2008

En AD DS con Windows Server 2008, el esquema ya incluye los atributos necesarios, empezando con la versión Beta 3.

En AD DS se almacenan tres fragmentos de información principales. En la siguiente tabla se describe esta información.

Información principal almacenada en AD DS

Los marcadores de autenticación se establecen para cifrar la transmisión de información de recuperación desde un Windows Vista cliente a AD DS. BitLocker establece los marcadores de autenticación ADS_SECURE_AUTHENTICATION, ADS_USE_SEALING y ADS_USE_SIGNING. Para obtener información adicional acerca de estos marcadores, consulte http://go.microsoft.com/fwlink/?LinkId=102659 (en inglés).

Sí, en la versión actual de BitLocker la información de recuperación se almacena sin cifrar en AD DS, pero las entradas tienen listas de control de acceso (ACL) que permiten el acceso sólo a los administradores de dominio.

Si un atacante consigue acceso completo a AD DS, todos los equipos del dominio, incluidos los equipos protegidos por BitLocker, pueden estar en peligro. Para obtener más información acerca del acceso de seguridad a AD DS, consulte http://go.microsoft.com/fwlink/?LinkId=83266 (en inglés).

Si se habilita BitLocker en un equipo antes de que se haya aplicado la directiva de grupo para aplicar la copia de seguridad, la información de recuperación no se incluirá automáticamente en la copia de seguridad de AD DS cuando el equipo se sume al dominio o, posteriormente, se aplique la directiva de grupo.

La interfaz del Instrumental de administración de Windows de BitLocker (WMI) permite a los administradores escribir un script para realizar una copia de seguridad o sincronizar la información de recuperación existente de un cliente en línea; sin embargo, BitLocker no administra de manera automática este proceso.

Importante
Unir un equipo al dominio debería ser el primer paso que se realice en los nuevos equipos de una empresa. Una vez unido a un dominio, el almacenamiento de la clave de recuperación de BitLocker en AD DS es automático (cuando se habilita en la directiva de grupo).

No. Por diseño, las entradas de contraseña de recuperación de BitLocker no se eliminan de AD DS; por tanto, puede ver varias contraseñas por cada equipo. Para identificar la última contraseña, compruebe la fecha en el objeto.

BitLocker utiliza el Estándar de cifrado avanzado (AES) como algoritmo de cifrado con longitudes de clave configurables de 128 ó 256 bits, así como un difusor opcional. La configuración de cifrado predeterminada es AES 128 + difusor, pero las opciones se pueden configurar mediante la directiva de grupo. Para obtener más información acerca del método de cifrado BitLocker, consulte http://go.microsoft.com/fwlink/?LinkId=80598 (en inglés).

El difusor está diseñado para mitigar un tipo de ataque posible que implica el cambio de información cifrada para introducir una vulnerabilidad de seguridad en el sistema. Con el difusor, los pequeños cambios en el texto cifrado de un sector afectan a todo el sector cuando se descifran los datos. Este comportamiento dificulta aún más la realización de ataques dirigidos. Para obtener más información acerca del método de cifrado BitLocker, consulte http://go.microsoft.com/fwlink/?LinkId=80598 (en inglés).

La manera más segura de configurar BitLocker es un equipo con un TPM versión 1.2 y una implementación de un BIOS compatible con TCG, más una clave de inicio o un NIP. Estos métodos proporcionan autenticación adicional al requerir una clave física adicional (una unidad flash USB con una clave legible para el equipo escrita en ella) o un NIP establecido por el usuario.

En su configuración básica, BitLocker (con un TPM pero sin autenticación avanzada) proporciona seguridad adicional para el modo de suspensión o hibernación. No obstante, BitLocker ofrece mayor seguridad cuando se configura para utilizar un modo de autenticación avanzado (TPM+NIP, TPM+USB o USB) con el modo de hibernación. Este método es más seguro ya que reanudar el uso tras la hibernación requiere la autenticación BitLocker.

La mayoría de los sistemas operativos utilizan un espacio de memoria compartido y basan la administración de la memoria física en el sistema operativo. Un TPM es un componente de hardware que utiliza su propio firmware interno y circuitos lógicos para las instrucciones de procesamiento, es decir, lo blinda frente a vulnerabilidades de software externo. Para atacar el TPM es necesario disponer de acceso físico al equipo. Además, con frecuencia las herramientas y las habilidades necesarias para atacar hardware son más caras y, normalmente, no están tan disponibles como las que se utilizan para atacar software. Debido a que cada TPM es exclusivo del equipo en el que está instalado, atacar varios equipos con TPM sería difícil y laborioso.

Nota
Configurar BitLocker con un factor adicional de autenticación proporciona incluso más protección frente a los ataques de hardware con TPM.

Actualmente, Microsoft tiene la intención de obtener un certificado 140-2 y evaluaciones de criterio común del Estándar federal de procesamiento de información (FIPS) para el cifrado de unidad de BitLocker.

Sí, puede utilizar el Sistema de cifrado de archivos (EFS) para cifrar archivos en un volumen protegido por BitLocker. BitLocker contribuye a proteger todo el volumen del sistema operativo frente a ataques sin conexión, mientras que EFS puede proporcionar un cifrado de nivel de archivo adicional basado en el usuario para separar la seguridad entre varios usuarios del mismo equipo. También puede utilizar EFS en Windows Vista para cifrar archivos en otros volúmenes que no han sido cifrados por BitLocker. De manera predeterminada, los secretos raíz de EFS se almacenan en el volumen del sistema operativo; por tanto, si se habilita BitLocker para el sistema operativo, los datos cifrados por EFS en otros volúmenes también estarán indirectamente protegidos por BitLocker.

Sí, aunque el depurador se debe activar antes de habilitar BitLocker. La activación del depurador garantiza que se llevan a cabo las mediciones correctas al realizar el sellado en el TPM, lo que permite iniciar correctamente el equipo. Si fuese necesario activar o desactivar la depuración al utilizar BitLocker, asegúrese de deshabilitar primero BitLocker para evitar que el equipo entre en modo de recuperación.

Windows Vista tiene una pila de controladores de almacenamiento modificado para garantizar que se cifran los volcados de memoria cuando BitLocker está habilitado.

Actualmente BitLocker no admite tarjetas inteligentes para la autenticación previa al arranque. No hay un único estándar de la industria para la compatibilidad de tarjetas inteligentes en el BIOS y la mayoría de los equipos o bien no implementan en el BIOS compatibilidad para tarjetas inteligentes, o sólo admiten determinados lectores y tarjetas inteligentes. Esta falta de estándares complica bastante su compatibilidad. Microsoft está evaluando opciones para admitir tarjetas inteligentes como parte de la autenticación previa al arranque.

Microsoft no admite controladores de TPM que no sean de Microsoft y no recomienda su uso. Microsoft no puede garantizar la seguridad o estabilidad del sistema si se utiliza un controlador de TPM que no sea de Microsoft.

Los servicios de base TPM (TBS) ofrecen una interfaz de programación de aplicaciones (API) de muy bajo nivel que proporciona una interfaz para software intermedio, como implementaciones de Trusted Computing Group Software Stack (TSS) diseñadas para comunicarse directamente con un TPM. Los proveedores de software que deseen usar la funcionalidad TPM en sus aplicaciones deben usar un TSS u otra API de nivel de aplicación, y no usar directamente los Servicios de base TPM. Algunos proveedores de TSS poseen versiones de su nivel de software diseñadas para usar el TBS.

Para determinar cuál es su fabricante de TPM, utilice el siguiente procedimiento.

1. Haga clic en Inicio y escriba tpm.msc en el cuadro Iniciar búsqueda.

2. El fabricante de TPM aparece en el panel principal en Información del fabricante del TPM.

Nota
El campo Nombre del fabricante de la lista Información del fabricante del TPM es información proporciona por el TPM que, con frecuencia, está abreviada (como, ATML por Atmel, BRCM por Broadcomm o IFX por Infineon).

Esto no resulta recomendable por distintas razones de seguridad, fiabilidad y compatibilidad del producto. Los cambios en el registro de arranque maestro (MBR) podrían cambiar el entorno de seguridad e impedir que el equipo se inicie normalmente, además de complicar cualquier esfuerzo por recuperar un MBR dañado. Los cambios realizados en el MBR por algo que no sea Windows Vista podrían hacer que el equipo pase al modo de recuperación.

La compatibilidad con equipos que utilizan un firmware de sistema basado en una Interfaz de firmware extendida (EFI) está prevista para Windows Server 2008, pero actualmente no es compatible con Windows Vista. En la actualidad se están fabricando algunos equipos cliente que admiten EFI; por lo tanto, Microsoft está concentrado sus esfuerzos iniciales en la compatibilidad con el BIOS convencional utilizada por la mayoría de los sistemas actuales. A medida que haya más hardware EFI disponible, Microsoft volverá a evaluar la compatibilidad con EFI.