Exportar (0) Imprimir
Expandir todo
Expandir Minimizar

Introducción al Cifrado de unidad BitLocker

Se aplica a: Windows Server 2008, Windows Server 2008 R2, Windows Vista

El Cifrado de unidad BitLocker es una característica de protección de datos que está disponible en Windows Server 2008 R2 y en algunas ediciones de Windows 7. La integración de BitLocker con el sistema operativo permite hacer frente a amenazas como, por ejemplo, el robo de datos o la exposición en caso de pérdida, el robo o la retirada inapropiada de equipos.

Los datos de un equipo que se ha perdido o ha sido robado pueden ser objeto de accesos no autorizados mediante la ejecución de una herramienta de ataque de software en el equipo o mediante la transferencia del disco duro a otro equipo. BitLocker ayuda a mitigar el acceso no autorizado a datos porque mejora la protección del sistema y los archivos. Asimismo, BitLocker ayuda a hacer inaccesibles los datos cuando los equipos protegidos por esta característica se retiran o reciclan.

BitLocker aumenta el nivel de protección si se usa con la versión 1.2 del Módulo de plataforma segura (TPM). El TPM es un componente de hardware que los fabricantes instalan en muchos equipos nuevos. Funciona con BitLocker para ayudar a proteger los datos del usuario y garantizar que un equipo no haya sido alterado mientras el sistema estaba sin conexión.

En equipos que no tienen la versión 1.2 de TPM, puede usar BitLocker para cifrar la unidad del sistema operativo Windows. Sin embargo, esta implementación requerirá que el usuario inserte una clave de inicio USB para iniciar el equipo o salir del modo de hibernación y no ofrece la comprobación de integridad del sistema previa al inicio que proporciona BitLocker con un TPM.

Además del TPM, BitLocker ofrece la posibilidad de bloquear el proceso de inicio normal hasta que el usuario proporcione un número de identificación personal (PIN) o inserte un dispositivo extraíble, como una unidad flash USB, que contenga una clave de inicio. Estas medidas de seguridad adicionales proporcionan una autenticación multifactor y la garantía de que el equipo no se iniciará ni reanudará desde la hibernación hasta que se suministre el PIN correcto o la clave de inicio.

Comprobación de integridad del sistema

BitLocker puede usar el TPM para comprobar la integridad de los componentes de arranque iniciales y los datos de la configuración de arranque. Esto ayuda a garantizar que BitLocker permite el acceso a la unidad de cifrado solo si estos componentes no han sido alterados y si la unidad de cifrado se encuentra en el equipo original.

BitLocker ayuda a garantizar la integridad del proceso de inicio a través de las acciones siguientes:

  • Proporciona un método para comprobar que se haya mantenido la integridad del archivo de arranque inicial y para ayudar a garantizar que no haya habido ninguna modificación malintencionada de estos archivos (por ejemplo, modificaciones con virus o rootkits del sector de arranque).

  • Mejora la protección para mitigar los ataques basados en software sin conexión. Cualquier software alternativo que pueda iniciar el sistema no tiene acceso a las claves de descifrado de la unidad del sistema operativo Windows.

  • Bloquea el sistema cuando ha sido alterado. Si cualquiera de los archivos supervisados ha sido alterado, el sistema no se inicia. Esto indica al usuario que ha habido alteraciones, ya que el sistema no se puede iniciar del modo habitual. Si el sistema llega a bloquearse, BitLocker ofrece un sencillo proceso de recuperación.

Requisitos de hardware, firmware y software

Para usar BitLocker, un equipo debe cumplir ciertos requisitos:

  • Para que BitLocker pueda usar la comprobación de integridad del sistema que ofrece un TPM, el equipo debe tener la versión 1.2 de TPM. Si el equipo no tiene ningún TPM, para habilitar BitLocker será necesario que guarde una clave de inicio en un dispositivo extraíble, como una unidad flash USB.

  • Un equipo con un TPM también debe tener un BIOS compatible con TCG (Trusted Computing Group). El BIOS establece una cadena de confianza para el inicio anterior al sistema operativo y debe incluir compatibilidad con la raíz estática de Trust Measurement especificada por el TCG. Un equipo sin un TPM no necesita un BIOS compatible con TCG.

  • El BIOS del sistema (para equipos con y sin TPM) debe admitir la clase de dispositivo de almacenamiento USB, incluida la lectura de archivos pequeños en una unidad flash USB en el entorno anterior al sistema operativo. Para obtener más información acerca de USB, vea la sección de almacenamiento USB solo en masa y las especificaciones de comando UFI de almacenamiento en la página web de USB (http://go.microsoft.com/fwlink/?LinkId=83120 (puede estar en inglés)).

  • El disco duro debe estar particionado con al menos dos unidades:

    • La unidad del sistema operativo (o unidad de arranque) contiene el sistema operativo y los archivos de compatibilidad; debe tener el formato del sistema de archivos NTFS.

    • La unidad del sistema contiene los archivos necesarios para cargar Windows después de que el BIOS haya preparado el hardware del sistema. BitLocker no está habilitado en esta unidad. Para que BitLocker funcione, la unidad del sistema no puede estar cifrada, debe ser distinta de la unidad del sistema operativo y debe tener el formato del sistema de archivos NTFS. La unidad del sistema debe tener al menos 1,5 gigabytes (GB).

Instalación e inicialización

BitLocker se instala automáticamente como parte de la instalación del sistema operativo. Sin embargo, BitLocker no se habilita hasta que se usa el asistente para la instalación de BitLocker para activarlo. Puede obtener acceso al asistente desde el Panel de control o haciendo clic con el botón secundario en la unidad en el Explorador de Windows.

Tras la instalación y configuración iniciales del sistema operativo, el administrador del sistema puede usar en cualquier momento el asistente para inicializar BitLocker. El proceso de inicialización consta de dos pasos:

  1. En los equipos que tienen un TPM, inicialice el TPM mediante el Asistente para inicializar TPM, el elemento Cifrado de unidad BitLocker del Panel de control o la ejecución de un script diseñado para inicializarlo.

  2. Configure BitLocker. Obtenga acceso al asistente para la instalación de BitLocker desde el Panel de control, que le guiará durante la instalación y le mostrará opciones de autenticación avanzadas.

Cuando un administrador local inicializa BitLocker, el administrador también debe crear una contraseña de recuperación o una clave de recuperación. Sin una clave de recuperación o una contraseña de recuperación, es posible que no se pueda obtener acceso ni se puedan recuperar todos los datos de la unidad cifrada si se produce un problema con la unidad protegida por BitLocker.

noteNota
La inicialización de BitLocker y TPM debe llevarla a cabo un miembro del grupo local Administradores del equipo.

Para obtener información detallada acerca de la configuración e implementación de BitLocker, vea la guía paso a paso del Cifrado de unidad de BitLocker de Windows en http://go.microsoft.com/fwlink/?LinkID=140225 (puede estar en inglés).

Implementación empresarial

BitLocker puede usar la infraestructura de Servicios de dominio de Active Directory de una empresa para almacenar claves de recuperación de forma remota. BitLocker ofrece un asistente para la instalación y la administración, así como extensibilidad y capacidad de administración a través de una interfaz de Instrumental de administración de Windows (WMI) con compatibilidad con scripting. BitLocker también tiene una consola de recuperación que se integra en el proceso de arranque inicial para permitir al usuario o al personal del departamento de soporte técnico recuperar el acceso a un equipo bloqueado.

Para obtener más información acerca de la escritura de scripts para BitLocker, vea Win32_EncryptableVolume (http://go.microsoft.com/fwlink/?LinkId=85983 (puede estar en inglés)).

Retirada y reciclaje de equipos

Hoy en día, muchos equipos son reutilizados por personas que no son el propietario o usuario inicial del equipo. En escenarios empresariales, los equipos se pueden volver a implementar en otros departamentos o bien reciclarse como parte de un procedimiento estándar de renovación del hardware.

En el caso de las unidades sin cifrar, es posible que los datos puedan leerse incluso después de formatearlas. Las empresas recurren a menudo a sobrescrituras múltiples o a la destrucción física para reducir el riesgo de exposición de los datos de unidades retiradas.

BitLocker puede ayudar a crear un proceso de retirada simple y rentable. Las empresas pueden reducir permanentemente el riesgo de dejar su información expuesta si dejan los datos cifrados por BitLocker y quitan luego las claves. Es prácticamente imposible obtener acceso a los datos cifrados por BitLocker después de quitar todas las claves de BitLocker porque esto supondría descifrar un cifrado AES de 128 o 256 bits.

Consideraciones sobre seguridad de BitLocker

BitLocker no puede proteger un equipo frente a todos los ataques posibles. Por ejemplo, si un usuario malintencionado o programas como virus o rootkits obtienen acceso al equipo antes de que se pierda o se sustraiga, es posible que logren introducir puntos débiles mediante los que podrían tener acceso a los datos cifrados más adelante. La protección de BitLocker puede verse comprometida si la clave de inicio USB se deja en el equipo o si el PIN o la contraseña de inicio de sesión de Windows no se mantienen en secreto.

El modo de autenticación solo con TPM es el más fácil de implementar, administrar y usar. Asimismo, es posible que sea más adecuado para equipos desatendidos o que deben reiniciarse mientras están desatendidos. Sin embargo, el modo con solo TPM ofrece la menor protección de datos. Si hay partes en su organización que almacenan información confidencial en equipos portátiles, considere la posibilidad de implementar BitLocker con autenticación multifactor en estos equipos.

Para obtener más información acerca de las consideraciones sobre seguridad de BitLocker, vea la página acerca del kit de herramientas de cifrado de datos para equipos portátiles (http://go.microsoft.com/fwlink/?LinkId=85982 (puede estar en inglés)).

Implementación de BitLocker en servidores

Para los servidores que están en un entorno compartido o potencialmente no seguro, como una sucursal, BitLocker se puede usar para cifrar la unidad del sistema operativo y unidades de datos adicionales que se encuentren en el mismo servidor.

De manera predeterminada, BitLocker no se instala con Windows Server 2008 R2. Puede agregar BitLocker en la página Administrador del servidor de Windows Server 2008 R2. Debe reiniciar tras instalar BitLocker en un servidor. Mediante WMI, es posible habilitar BitLocker de forma remota.

BitLocker es compatible con servidores EFI (Extensible Firmware Interface) que usen una arquitectura de procesador de 64 bits.

noteNota
BitLocker no admite las configuraciones de clúster.

Administración de claves

Una vez que la unidad se ha cifrado y protegido con BitLocker, los administradores locales y de dominio pueden usar la página Administrar BitLocker, incluida en el elemento Cifrado de unidad BitLocker del Panel de control, y cambiar la contraseña para desbloquear la unidad, quitar la contraseña de la unidad, agregar una tarjeta inteligente para desbloquear la unidad, volver a guardar o a imprimir la clave de recuperación, desbloquear la unidad automáticamente y restablecer el PIN.

noteNota
El tipo de claves que se pueden usar en un equipo puede controlarse mediante la directiva de grupo. Para obtener más información acerca de cómo usar la directiva de grupo con BitLocker, vea la guía de implementación de BitLocker en http://go.microsoft.com/fwlink/?LinkID=140286 (puede estar en inglés).

Deshabilitación de la protección de BitLocker de forma temporal

Es posible que un administrador desee deshabilitar BitLocker temporalmente en determinadas situaciones, como al:

  • Reiniciar el equipo por motivos de mantenimiento sin requerir ninguna acción por parte del usuario (por ejemplo, escribir un PIN o insertar una clave de inicio).

  • Actualizar el BIOS.

  • Instalar un componente de hardware que tiene memoria de solo lectura opcional (ROM opcional).

  • Actualizar componentes de arranque iniciales básicos sin desencadenar la recuperación de BitLocker. Por ejemplo:

    • Instalar una versión distinta del sistema operativo u otro sistema operativo, lo que podría cambiar el registro de arranque maestro (MBR).

    • Volver a particionar el disco, lo que podría cambiar la tabla de particiones.

    • Realizar otras tareas del sistema que cambian los componentes de arranque validados por el TPM.

  • Actualizar la placa base para reemplazar o quitar el TPM sin desencadenar la recuperación de BitLocker.

  • Desactivar (deshabilitar) o quitar el TPM sin desencadenar la recuperación de BitLocker.

  • Trasladar una unidad de disco protegida por BitLocker a otro equipo sin desencadenar la recuperación de BitLocker.

Se hace referencia de forma conjunta a estos escenarios como escenario de actualización de equipos. BitLocker se puede habilitar o deshabilitar mediante el elemento Cifrado de unidad BitLocker del Panel de control.

Para actualizar un equipo protegido por BitLocker, es necesario realizar los siguientes pasos:

  1. Desactive BitLocker temporalmente pasándolo al modo deshabilitado.

  2. Actualice el sistema o el BIOS.

  3. Vuelva a activar BitLocker.

Si se fuerza BitLocker al modo deshabilitado, la unidad se mantendrá cifrada, pero la clave maestra de la unidad se cifrará con una clave simétrica que se almacena sin cifrar en el disco duro. La disponibilidad de esta clave sin cifrar deshabilita la protección de datos que ofrece BitLocker, pero garantiza que el equipo se iniciará correctamente a partir de entonces sin más intervenciones del usuario. Cuando se vuelve a habilitar BitLocker, la clave sin cifrar se quita del disco y la protección de BitLocker se vuelve a activar. Asimismo, la clave maestra de la unidad se regenera y se cifra de nuevo.

El traslado de la unidad de cifrado (es decir, el disco físico) a otro equipo con BitLocker habilitado no requiere ningún paso adicional porque la clave que protege la clave maestra de la unidad se almacena sin cifrar en el disco.

CautionPrecaución
Dejar expuesta la clave maestra de la unidad, aunque sea por un breve período, supone un riesgo de seguridad, ya que es posible que un atacante haya obtenido acceso a la clave maestra de la unidad y a la clave de cifrado de la unidad completa cuando la clave sin cifrar dejó expuestas estas claves.

Para obtener información detallada acerca de cómo deshabilitar BitLocker, vea la guía paso a paso del Cifrado de unidad BitLocker de Windows en http://go.microsoft.com/fwlink/?LinkID=140225 (puede estar en inglés).

Recuperación del sistema

Existen diversos escenarios que pueden desencadenar un proceso de recuperación, por ejemplo:

  • Traslado de la unidad protegida con BitLocker a un equipo nuevo.

  • Instalación de una nueva placa base con un nuevo TPM.

  • Desactivación, deshabilitación o retirada del TPM.

  • Actualización del BIOS.

  • Actualización de la ROM opcional.

  • Actualización de componentes de arranque iniciales básicos que provoca errores en la comprobación de integridad del sistema.

  • Olvido del PIN cuando la autenticación con PIN está habilitada.

  • Pérdida de la unidad flash USB que contiene la clave de inicio cuando la autenticación con clave de inicio está habilitada.

Un administrador también puede desencadenar la recuperación como mecanismo de control de acceso (por ejemplo, mientras se vuelve a implementar un equipo). Un administrador puede decidir bloquear una unidad cifrada y requerir que los usuarios obtengan información de recuperación de BitLocker para desbloquear la unidad.

Configuración para la recuperación

Mediante la directiva de grupo, un administrador de TI puede elegir los métodos de recuperación que se requerirán, negarán o harán opcionales para los usuarios que habiliten BitLocker. La contraseña de recuperación se puede almacenar en AD DS y el administrador puede hacer que esta opción sea obligatoria, prohibida u opcional para cada usuario del equipo. Asimismo, los datos de recuperación se pueden almacenar en una unidad flash USB.

Contraseña de recuperación

La contraseña de recuperación es un número de 48 dígitos generado aleatoriamente que se puede crear durante la configuración de BitLocker. Si el equipo pasa al modo de recuperación, se solicitará al usuario que escriba esta contraseña con las teclas de función (F0 a F9). La contraseña de recuperación se puede administrar y copiar después de habilitar BitLocker. Mediante la página Administrar BitLocker del elemento Cifrado de unidad BitLocker del Panel de control, la contraseña de recuperación se puede imprimir o guardar en un archivo para usarla más adelante.

Un administrador de dominio puede configurar la directiva de grupo para que genere contraseñas de recuperación automáticamente y cree copias de seguridad de las mismas en AD DS tan pronto como se habilite BitLocker. El administrador de dominio también puede elegir impedir que BitLocker cifre una unidad a menos que el equipo esté conectado a la red y que la copia de seguridad de la contraseña de recuperación en AD DS sea correcta.

Clave de recuperación

La clave de recuperación se puede crear y guardar en una unidad flash USB durante la configuración de BitLocker; también se puede administrar y copiar después de habilitar BitLocker. Si el equipo pasa al modo de recuperación, se solicitará al usuario que inserte la clave de recuperación en el equipo.

¿Te ha resultado útil?
(Caracteres restantes: 1500)
Gracias por sus comentarios

Adiciones de comunidad

AGREGAR
Mostrar:
© 2014 Microsoft