Microsoft.com
Bienvenido Iniciar sesión
Recursos para Profesionales de TI
Evaluar y enviar comentarios
TechNet

  Encender vista de ancho de banda bajo
Guía paso a paso del Cifrado de unidades BitLocker de Windows

Actualizado: abril de 2007

Se aplica a: Windows Server 2008,Windows Vista

Esta guía paso a paso ofrece las instrucciones necesarias para utilizar el Cifrado de unidad BitLocker™ de Windows® en un entorno de prueba. Se recomienda que primero siga los pasos ofrecidos en esta guía en un entorno de prueba. Las guías paso a paso no se desarrollan siempre para su uso en la implementación de características del sistema operativo Windows Vista® sin documentación adicional (como la que se ofrece en la sección Recursos adicionales), y como documento independiente se deben utilizar con discreción.

¿Qué es el Cifrado de unidad BitLocker?

El cifrado de unidad BitLocker es una nueva característica de seguridad integral de Windows Vista que ofrece una protección significativa al sistema operativo del equipo y a los datos almacenados en el volumen del sistema operativo. BitLocker asegura que los datos almacenados en un equipo en que se ejecuta Windows Vista permanecen cifrados incluso si se manipula el equipo cuando no funciona el sistema operativo. Esto ayuda a protegerse contra "ataques sin conexión", ataques producidos al deshabilitar o esquivar el sistema operativo, o realizados mediante la sustracción física del disco duro para atacar los datos de forma separada.

BitLocker utiliza un Módulo de plataforma segura (TPM) para ofrecer protección mejorada a los datos y garantizar la integridad de los componentes de arranque inicial. El cifrado de todo el volumen de Windows ayuda a proteger los datos contra robo o impedir que los vean personas no autorizadas.

BitLocker está diseñado para ofrecer la mejor experiencia para el usuario. Está diseñado para sistemas que tienen un microchip TPM y BIOS compatibles Un TPM compatible se define como un microchip TPM versión 1.2 Un BIOS compatible debe admitir el TPM y Static Root of Trust Measurement, tal y como lo establece Trusted Computing Group. Para obtener más información acerca de las especificaciones de TPM, consulte la sección de especificaciones de TPM del sitio web de Trusted Computing Group (http://go.microsoft.com/fwlink/?LinkId=72757).

El TPM interactúa con BitLocker para ofrecer una protección eficaz cuando se inicia el sistema. Esto es transparente al usuario, no se cambia el inicio de sesión. Sin embargo, si el TPM no está o se ha modificado, o si la información de arranque ha cambiado, BitLocker entrará en modo recuperación y será necesaria la contraseña de recuperación para volver a obtener acceso a los datos.

¿Quién debe utilizar el Cifrado de unidad BitLocker?

Esta guía está dirigida a:

  • Analistas y consultores de TI que evalúan el producto

  • Administradores de seguridad informática

En esta guía

El objetivo de esta guía es ayudar a los administradores a familiarizarse con el Cifrado de unidades BitLocker de Windows Vista. En las secciones siguientes se ofrecen información básica y procedimientos que los administradores necesitan para comenzar a configurar e implementar BitLocker en sus redes.

El escenario 1 proporciona instrucciones para la creación de dos particiones necesarias para el Cifrado de unidad BitLocker. El escenario 2 explica la forma de cifrar una unidad utilizando BitLocker y un TPM. El escenario 3 describe el uso de las opciones de inicio avanzadas de BitLocker. El escenario 4 describe la forma de obtener acceso a los datos cifrados después de bloquearlos y de comprobar BitLocker mediante la generación de un bloqueo. El escenario 5 indica la forma de desactivar BitLocker.

noteNota
Los escenarios que se describen en esta guía pertenecen al uso del Cifrado de unidad BitLocker con volúmenes de sistema operativo. Cuando el volumen del sistema operativo está cifrado, BitLocker también puede usarse para cifrar volúmenes de datos fijados.

Requisitos del Cifrado de unidad BitLocker

Estos pasos se deben usar únicamente en la realización de pruebas. Esta guía no debe ser el único recurso para implementar características de Windows Server® 2008 o Windows Vista.

Requisitos de hardware y software

  • Un equipo con los requisitos mínimos de Windows Vista.

  • Un microchip TPM versión 1.2 activado (escenarios 2 y 3).

  • BIOS compatible con Trusted Computing Group (TCG) (escenarios 2 y 3).

  • Dos particiones de unidad NTFS, una para el volumen del sistema y otra para el volumen del sistema operativo. La partición del volumen del sistema debe tener como mínimo 1,5 gigabytes (GB) y debe establecerse como partición activa (escenario 1).

  • Una configuración de BIOS que inicie el equipo primero desde la unidad de disco duro, no desde las unidades USB o CD.

noteNota
En cualquier prueba que incluya la unidad flash USB, el BIOS debe permitir la lectura de unidades flash USB durante el inicio del sistema.

  • Es muy recomendable que no ejecute un depurador del kernel mientras BitLocker está habilitado, ya que el depurador podría tener acceso a las claves de cifrado y otros datos confidenciales. Sin embargo, puede habilitar la depuración del kernel antes de habilitar BitLocker. Si habilita la depuración del kernel después de habilitar BitLocker, el sistema comenzará de forma automática con el proceso de recuperación cada vez que reinicie el equipo. Si habilita la depuración de arranque (depuración del kernel con la opción "-bootdebug"), el sistema comenzará de forma automática con el proceso de recuperación cada vez que reinicie el equipo.

Escenario 1: Creación de particiones en un disco duro para Cifrado de unidad BitLocker

Para que funcione BitLocker, deben existir al menos dos particiones en el disco duro. La primera partición es el volumen del sistema y se etiqueta con S en este documento. Este volumen contiene la información de arranque en un espacio no cifrado. La segunda partición es el volumen del sistema operativo y se etiqueta con C en este documento. Este volumen está cifrado y contiene el sistema operativo y los datos de usuario.

Las particiones se deben crear antes de instalar Windows Vista.

noteNota
En algunos casos, un volumen puede suponer varias particiones. Este documento trata sólo de volúmenes simples, en los que un volumen y una partición son funcionalmente equivalentes. BitLocker trabaja con volúmenes (estructuras lógicas), pero muchas herramientas de discos trabajan con particiones físicas de disco.

El escenario 1 describe la forma de crear las dos particiones necesarias para BitLocker. Este procedimiento presupone que se ha hecho una copia de seguridad de todos los datos del disco.

noteNota
Asegúrese de que ha realizado una copia de seguridad de todos los datos y tiene la clave de producto de Windows Vista.

noteNota
Si ya tiene instalado Windows Vista en una partición simple, puede utilizar la herramienta de preparación de la unidad BitLocker para configurar los volúmenes necesarios para BitLocker. Para obtener más información, consulte http://support.microsoft.com/kb/930063.

Creación de particiones en un disco sin sistema operativo para BitLocker

Con este procedimiento, el equipo se inicia con el DVD del producto y, a continuación, se escriben varios comandos que realizan lo siguiente:

  • Crean una nueva partición primaria de 1,5 GB.

  • Establecen esta partición como activa.

  • Crean una segunda partición primaria utilizando el resto del espacio de disco.

  • Dan formato a ambas particiones de forma que se puedan utilizar como volúmenes de Windows.

  • Instalan Windows Vista en el volumen mayor (unidad C).

noteNota
Debe crear una segunda partición activa para que BitLocker funcione bien.

Las letras de unidad podrían no corresponder a las que aparecen en este ejemplo. En este ejemplo, el volumen del sistema operativo se etiqueta con C, y el volumen del sistema se etiqueta con S (para el volumen del sistema). También se asume que el sistema sólo tiene una unidad de disco duro física.

Creación de particiones en un disco sin sistema operativo para BitLocker

  1. Inicie el equipo con el DVD del producto Windows Vista.

  2. En la pantalla inicial de Instalar Windows, elija Idioma de instalación, Formato de hora y moneda y Distribución del teclado, y finalmente haga clic en Siguiente.

  3. En la siguiente pantalla de Instalar Windows, haga clic en Reparar el equipo, en la parte inferior izquierda de la pantalla.

  4. En el cuadro de diálogo Opciones de recuperación del sistema, asegúrese de que no quede seleccionado ningún sistema operativo. Para ello, haga clic en el cuadro en blanco de la lista de Sistemas operativos, al final de todas las entradas que aparecen en la lista. A continuación, haga clic en Siguiente.

  5. En el siguiente cuadro de diálogo de Opciones de recuperación del sistema, haga clic en Símbolo del sistema.

  6. Use Diskpart para crear una partición en el volumen del sistema operativo. En el símbolo del sistema, escriba diskpart y presione ENTRAR.

  7. Escriba select disk 0.

  8. Escriba clean para borrar la tabla de particiones existente.

  9. Escriba create partition primary size=1500 para que la partición que está creando se establezca como primaria.

  10. Escriba assign letter=S para dar a esta partición la denominación S.

  11. Escriba active para que la nueva partición se establezca como activa.

  12. Escriba create partition primary para crear otra partición primaria. Instalará Windows en la partición más grande.

  13. Escriba assign letter=C para dar a esta partición la denominación C.

  14. Escriba list volume para ver por pantalla una lista de todos los volúmenes del disco. Podrá ver una lista de cada volumen, números de volumen, letras, etiquetas, sistemas de archivo, tipos, tamaños y otra información. Compruebe que tiene dos volúmenes y que conoce la etiqueta de cada uno de ellos.

  15. Escriba exit para salir de la aplicación Diskpart.

  16. Escriba format c: /y /q /fs:NTFS para dar el formato correcto al volumen C.

  17. Escriba format s: /y /q /fs:NTFS para dar el formato correcto al volumen S

  18. Escriba exit para salir de la ventana del símbolo del sistema.

  19. En la ventana Opciones de recuperación del sistema, utilice el icono de cerrar ventana en la esquina superior derecha (o presione ALT+F4) para cerrar la ventana y regresar a la pantalla principal de la instalación. No haga clic en Apagar ni en Reiniciar.

  20. Haga clic en Instalar ahora y continúe con el proceso de instalación de Windows Vista. Instale Windows Vista en el volumen mayor, C: (volumen del sistema operativo).

Escenario 2: Activación del Cifrado de unidad BitLocker

El escenario 2 presenta los procedimientos para activar la protección de Cifrado de unidad BitLocker en un sistema con un TPM. Después de cifrar el volumen, el usuario inicia sesión en el equipo con normalidad.

Utilice el siguiente procedimiento para activar Cifrado de unidad BitLocker.

Antes de comenzar

  • Debe haber iniciado sesión como administrador.

  • Se puede configurar una impresora para imprimir las contraseñas de recuperación.

Activación del Cifrado de unidad BitLocker

  1. Haga clic en Inicio, en Panel de Control, en Seguridad y, a continuación, haga clic en Cifrado de unidad BitLocker.

  2. Si aparece el mensaje Control de cuentas de usuario, compruebe que la acción propuesta es la que necesita y, a continuación, haga clic en Continuar. Para obtener más información, consulte Recursos adicionales más adelante en este documento.

  3. En la página Cifrado de unidad BitLocker, haga clic en Activar BitLocker en el volumen del sistema operativo.

    Si el TPM no está inicializado, aparece el asistente para Inicializar el hardware de seguridad de TPM. Siga las instrucciones para inicializar el TPM y reinicie el equipo.

  4. En la página Guardar la contraseña de recuperación, encontrará las siguientes opciones:

    • Guardar contraseña en una unidad USB. Guarda la contraseña en una unidad flash USB.

    • Guardar la contraseña en una carpeta. Guarda la contraseña en una unidad de red u otra ubicación.

    • Imprimir la contraseña. Imprime la contraseña.

    Utilice una o más de estas opciones para conservar la contraseña de recuperación. Seleccione las opciones que desee y siga los pasos del asistente para establecer la ubicación donde se guarda o imprime la contraseña de recuperación.

    Cuando haya terminado de guardar la contraseña de recuperación, haga clic en Siguiente.

    ImportantImportante
    La contraseña de recuperación es obligatoria en el momento de mover una unidad cifrada a otro equipo o cuando se realizan cambios en la información de arranque del sistema. Esta contraseña es tan importante que se recomienda hacer copias adicionales de la misma almacenadas en lugares protegidos para asegurar el acceso a los datos. Necesitará la contraseña de recuperación para desbloquear los datos cifrados en el volumen si BitLocker pasa a estado bloqueado (consulte Escenario 4: Recuperación de datos protegidos con Cifrado de unidad BitLocker). Esta contraseña de recuperación es única y sólo sirve para este cifrado de BitLocker concreto. No se puede utilizar para recuperar datos cifrados procedentes de otra sesión de cifrado de BitLocker.

    ImportantImportante
    Para una mayor seguridad, guarde las contraseñas de recuperación en un lugar diferente del equipo.

  5. En la página Cifrar el volumen de disco seleccionado, confirme que la casilla Ejecutar la comprobación del sistema de BitLocker está activada y después haga clic en Continuar.

    Confirme que desea reiniciar el equipo haciendo clic en Reiniciar ahora. El equipo se reinicia y BitLocker comprueba si el equipo es compatible con BitLocker y está preparado para cifrar. De no ser así, se muestra un mensaje de error que alerta del problema.

  6. Si está preparado para cifrar, aparece la barra de estado Cifrado en curso. Puede observar cómo progresa el estado de finalización del cifrado del volumen de disco arrastrando el cursor del mouse sobre el icono de Cifrado de unidad BitLocker en la barra de herramientas situada en la parte inferior de la pantalla. .

    Una vez terminado este procedimiento, se ha cifrado el volumen del sistema operativo y se ha creado una contraseña de recuperación única para este volumen. No observará ningún cambio la próxima vez que inicie sesión. Si alguna vez cambia el TPM o no se puede acceder a él, si se producen cambios en archivos clave del sistema, o si alguien intenta arrancar el equipo desde un disco para sortear al sistema operativo, el equipo conmutará a modo de recuperación hasta que se suministre la clave de recuperación.

Escenario 3: Habilitación de opciones de inicio avanzadas de Cifrado de unidad BitLocker

El escenario 3 ofrece los procedimientos para cambiar la configuración de la Directiva de grupo del equipo para habilitar Cifrado de unidad BitLocker sin un TPM o para habilitar una de las opciones de inicio avanzadas de BitLocker: uso de un TPM con un NIP o uso de un TPM con una clave de inicio.

En un escenario sin TPM, utilizará una clave de inicio para autenticarse a si mismo. La clave de inicio se ubica en una unidad flash USB insertada en el equipo antes de encenderlo. En este escenario, el equipo debe disponer de un BIOS que pueda leer unidades flash USB en el entorno previo al sistema operativo (en el momento del inicio). El BIOS se puede verificar durante la comprobación hardware que se realiza al final del asistente para configuración de BitLocker.

En un escenario que utiliza un TPM con opción de inicio avanzada, se puede agregar un segundo factor de autenticación a la protección TPM estándar: un NIP, "algo que ya conoce", o una clave de inicio en una unidad flash USB, "algo que tiene". Para utilizar una unidad flash USB con un TPM, el equipo debe tener un BIOS que pueda leer unidades flash USB en el entorno previo al sistema operativo (en el momento del inicio). El BIOS se puede verificar durante la comprobación hardware que se realiza al final del asistente para configuración de BitLocker.

Antes de comenzar

  • Debe haber iniciado sesión como administrador.

  • Debe disponer de una unidad flash USB para guardar la contraseña de recuperación.

  • Se recomienda utilizar una segunda unidad flash USB para guardar la clave de inicio en un lugar distinto al de la contraseña de recuperación.

Activación del Cifrado de unidad BitLocker en un equipo sin TPM compatible

  1. Haga clic en Inicio, escriba gpedit.msc en el cuadro Iniciar búsqueda y a continuación presione ENTRAR.

  2. Si aparece el cuadro de diálogo Control de cuentas de usuario, compruebe que la acción propuesta es la que necesita y, a continuación, haga clic en Continuar. Para obtener más información, consulte Recursos adicionales más adelante en este documento.

  3. En el árbol de consola Editor de objetos de directiva de grupo, haga clic en Directiva de equipo local, en Plantillas administrativas, en Componentes de Windows y, a continuación, haga doble clic en Cifrado de unidad BitLocker.

  4. Haga doble clic en el parámetro Configuración del panel de control: Habilitar opciones de inicio avanzadas. El cuadro de diálogo Configuración del Panel de control: Habilitar opciones de inicio avanzadas se abre.

  5. Seleccione la opción Habilitado, active la casilla Permitir BitLocker sin un TPM compatible y, a continuación, haga clic en Aceptar.

    Ha cambiado la configuración de la directiva, de forma que puede utilizar una clave de inicio en lugar de un TPM.

  6. Cierre el Editor de objetos de directiva de grupo.

  7. Para que la directiva de grupo se aplique inmediatamente, haga clic en Inicio, escriba gpupdate.exe /force en el cuadro Iniciar búsqueda y, a continuación, presione ENTRAR.Espere a que el proceso finalice.

  8. Haga clic en Inicio, en Panel de control, en Seguridad y, a continuación, en Cifrado de unidad BitLocker

  9. Si aparece el mensaje Control de cuentas de usuario, compruebe que la acción propuesta es la que necesita y, a continuación, haga clic en Continuar. Para obtener más información, consulte Recursos adicionales más adelante en este documento.

  10. En la página Cifrado de unidad BitLocker, haga clic en Activar BitLocker en el volumen del sistema operativo.

  11. En la página Establecer preferencias de inicio de BitLocker, active la opción Requerir llave de inicio USB en cada inicio. Esta es la única opción disponible para configuraciones sin TPM. Se debe insertar esta clave todas las veces que se inicie el equipo.

  12. Inserte la unidad flash USB en el equipo, si aún no lo ha hecho.

  13. En la página Guardar la clave de inicio, elija la ubicación de la unidad flash USB y, a continuación, haga clic en Guardar.

  14. En la página Guardar la contraseña de recuperación, encontrará las siguientes opciones:

    • Guardar contraseña en una unidad USB. Guarda la contraseña en una unidad flash USB.

    • Guardar la contraseña en una carpeta. Guarda la contraseña en una unidad de red u otra ubicación.

    • Imprimir la contraseña. Imprime la contraseña.

    Use una o más de estas opciones para conservar la contraseña de recuperación. Seleccione las opciones que desee y siga los pasos del asistente para establecer la ubicación donde se guarda o imprime la contraseña de recuperación.

    Cuando haya terminado de guardar la contraseña de recuperación, haga clic en Siguiente.

    ImportantImportante
    La contraseña de recuperación es obligatoria en el momento de mover una unidad cifrada a otro equipo o cuando se realizan cambios en la información de arranque del sistema. Esta contraseña es tan importante que se recomienda hacer copias adicionales de la misma almacenadas en lugares protegidos para asegurar el acceso a los datos. Necesitará la contraseña de recuperación para desbloquear los datos cifrados en el volumen si BitLocker pasa a estado bloqueado (consulte Escenario 4: Recuperación de datos protegidos con Cifrado de unidad BitLocker). Esta contraseña de recuperación es única y solo sirve para este cifrado de BitLocker concreto. No se puede usar para recuperar datos cifrados procedentes de otra sesión de cifrado de BitLocker.

    ImportantImportante
    Para una mayor seguridad, guarde las contraseñas de recuperación en un lugar diferente del equipo.

  15. En la página Cifrar el volumen de disco seleccionado, confirme que la casilla Ejecutar la comprobación del sistema de BitLocker está activada y después haga clic en Continuar.

    Confirme que desea reiniciar el equipo haciendo clic en Reiniciar ahora. El equipo se reinicia y BitLocker comprueba que el equipo es compatible con BitLocker y está preparado para cifrar. De no ser así, se muestra un mensaje de error que alerta del problema antes de comenzar el cifrado.

  16. Si está preparado para cifrar, aparece la barra de estado Cifrado en curso. Puede observar cómo progresa el estado de finalización del cifrado del volumen de disco arrastrando el cursor del mouse sobre el icono de Cifrado de unidad BitLocker en la barra de herramientas situada en la parte inferior de la pantalla o haciendo clic en el globo de Cifrado.

    Una vez terminado este procedimiento, se ha cifrado el volumen del sistema operativo y se ha creado una contraseña de recuperación única para este volumen. La próxima vez que encienda el equipo, la unidad flash USB debe estar conectada en un puerto USB del equipo. Si no lo está, no podrá obtener acceso a los datos del volumen cifrado. Para aumentar la seguridad, almacene la clave de inicio fuera del equipo.

    Si no tiene una unidad flash USB con la clave de inicio, necesitará entrar en el modo de recuperación y proporcionar una contraseña de recuperación para poder tener acceso a los datos.

Activación de Cifrado de unidad BitLocker con un TPM más un NIP o con un TPM más una clave de inicio almacenada en una unidad flash USB.

  1. Haga clic en Inicio, escriba gpedit.msc en el cuadro Iniciar búsqueda y a continuación presione ENTRAR.

  2. Si aparece el cuadro de diálogo Control de cuentas de usuario, compruebe que la acción propuesta es la que necesita y, a continuación, haga clic en Continuar. Para obtener más información, consulte Recursos adicionales más adelante en este documento.

  3. En el árbol de consola Editor de objetos de directiva de grupo, haga clic en Directiva de equipo local, en Plantillas administrativas, en Componentes de Windows y, a continuación, haga doble clic en Cifrado de unidad BitLocker.

  4. Haga doble clic en el parámetro Configuración del panel de control: Habilitar opciones de inicio avanzadas. El cuadro de diálogo Configuración del Panel de control: Habilitar opciones de inicio avanzadas se abre.

  5. Seleccione la opción Habilitado. Para configuraciones de TPM con NIP o clave de inicio, no necesita cambiar más configuraciones, pero puede elegir que los usuarios tengan permiso o no para crear una clave de inicio o NIP. Haga clic en Aceptar.

  6. Haga clic en Inicio, escriba gpupdate.exe /force en el cuadro Buscar y, a continuación, presione ENTRAR.Espere a que el proceso finalice.

  7. Haga clic en Inicio, en Panel de control, en Seguridad y, a continuación, en Cifrado de unidad BitLocker

  8. Si aparece el mensaje Control de cuentas de usuario, compruebe que la acción propuesta es la que necesita y, a continuación, haga clic en Continuar. Para obtener más información, consulte Recursos adicionales más adelante en este documento.

  9. En la página Cifrado de unidad BitLocker, haga clic en Activar BitLocker en el volumen del sistema.

  10. En la página Establecer preferencias de inicio de BitLocker , active la opción de inicio que desee. Sólo puede elegir una de estas opciones:

    • Sin seguridad adicional.

    • Requerir un NIP en cada inicio. Aparecerá la página Establecer NIP de inicio. Escriba el NIP, confírmelo y, a continuación, haga clic en Establecer NIP.

    • Requerir llave de inicio USB en cada inicio. Aparecerá la página Guardar la clave de inicio. Inserte la unidad flash USB, elija la ubicación de la unidad y, a continuación, haga clic en Guardar.

    noteNota
    El software de tecnología de asistencia que ejecuta Windows, por ejemplo el software de lectura de pantalla, no puede leer las pantallas de inicio de BitLocker porque se muestran cuando se ejecuta el administrador de arranque. El administrador de arranque es un código que se ejecuta antes de Windows. Están incluidas las pantallas que se muestran cuando se escribe un NIP o una contraseña de recuperación y cualquier mensaje de error de BitLocker.

  11. En la página Guardar la contraseña de recuperación, encontrará las siguientes opciones:

    • Guardar contraseña en una unidad USB. Guarda la contraseña en una unidad flash USB.

    • Guardar la contraseña en una carpeta. Guarda la contraseña en una unidad de red u otra ubicación.

    • Imprimir la contraseña. Imprime la contraseña.

    ImportantImportante
    La contraseña de recuperación es obligatoria en el momento de mover una unidad cifrada a otro equipo o cuando se realizan cambios en la información de arranque del sistema. Esta contraseña es tan importante que se recomienda hacer copias adicionales de la misma almacenadas en lugares protegidos para asegurar el acceso a los datos. Necesitará la contraseña de recuperación para desbloquear los datos cifrados en el volumen si el Cifrado de unidad BitLocker pasa a estado bloqueado (consulte Escenario 4: Recuperación de datos protegidos con Cifrado de unidad BitLocker). Esta contraseña de recuperación es única y sólo sirve para este cifrado de BitLocker concreto. No se puede utilizar para recuperar datos cifrados procedentes de otra sesión de cifrado de BitLocker.

    Elija cualquiera de estas opciones para conservar la contraseña de recuperación. Para una mayor seguridad, guarde las contraseñas de recuperación en un lugar diferente del equipo. Para elegir más de un método de almacenamiento de contraseña de recuperación, siga los pasos del asistente para determinar la ubicación donde guardar o imprimir y, a continuación, haga clic en Siguiente. Puede repetir este paso para elegir más métodos de almacenamiento de contraseña de recuperación.

  12. En la página Cifrar el volumen de disco seleccionado, confirme que la casilla Ejecutar la comprobación del sistema de BitLocker está activada y después haga clic en Continuar.

    Confirme que desea reiniciar el equipo haciendo clic en Reiniciar ahora. El equipo se reinicia y BitLocker comprueba que el equipo es compatible con BitLocker y está preparado para cifrar. De no ser así, se muestra un mensaje de error que alerta del problema antes de comenzar el cifrado.

  13. Si está preparado para cifrar, aparece la barra de estado Cifrado en curso. Puede observar cómo progresa el estado de finalización del cifrado del volumen de disco arrastrando el cursor del mouse sobre el icono de Cifrado de unidad BitLocker en la barra de herramientas situada en la parte inferior de la pantalla o haciendo clic en el globo de Cifrado.

    Una vez terminado este procedimiento, se ha cifrado el volumen del sistema operativo y se ha creado una contraseña de recuperación única para este volumen. La próxima vez que encienda el equipo, la unidad flash USB debe estar conectada en un puerto USB del equipo o bien debe escribir un NIP. Si no lo está, no podrá obtener acceso a los datos del volumen cifrado. Para aumentar la seguridad, almacene la clave de inicio fuera del equipo. Si no tiene la clave de inicio o el NIP necesitará entrar en modo recuperación y proporcionar la contraseña de recuperación para acceder a los datos.

Escenario 4: Recuperación de datos protegidos con Cifrado de unidad BitLocker

El escenario 4 describe el proceso de recuperación de datos después de que BitLocker ha entrado en modo de recuperación. BitLocker bloquea el equipo cuando no se dispone de una clave de cifrado de disco. A continuación se muestra una lista de posibles causas:

  • Se produce un error relacionado con TPM.

  • Se modifica uno de los archivos de arranque inicial.

  • Se desactiva el TPM involuntariamente y el equipo se apaga.

  • Se borra el TPM involuntariamente y el equipo de apaga.

Cuando se bloquea un equipo, el procedimiento de inicio se interrumpe muy pronto, antes de arrancar el sistema operativo. Debe usar la contraseña de recuperación de una unidad flash USB o escribir la contraseña de recuperación utilizando las teclas de función. Las teclas F1 a F9 representan los dígitos de 1 al 9, y F10 representa el 0.

Puesto que la recuperación se produce tan pronto en el proceso de inicio, las propiedades de accesibilidad de Windows no están disponibles. Si necesita propiedades de accesibilidad, debe tener en cuenta que las tendrá en el caso de que se produzca la recuperación.

Este escenario incluye dos pasos:

  • Comprobación de la recuperación de datos

  • Recuperación de datos

Comprobación de la recuperación de datos

  1. Haga clic en Inicio, en Todos los programas, en Accesorios y, después, en Ejecutar.

  2. Escriba tpm.msc en el cuadro Abrir y, a continuación, haga clic en Aceptar. Aparece la Consola de administración de TPM.

  3. Debajo de Acciones, haga clic en Desactivar TPM.

  4. Proporcione la contraseña de propietario de TPM, en caso necesario.

  5. Cuando en el panel Estado del panel de tareas Administración de TMP en el equipo local se lea "El TPM está desactivado y le han dejado sin propietario", cierre dicho panel de tareas.

  6. Cierre todas las ventanas abiertas.

  7. Si la unidad flash USB que contiene la contraseña de recuperación está conectada en el sistema, utilice el icono Quitar hardware de forma segura en el área de notificación para quitarla del sistema.

  8. Haga clic en el botón Inicio y, a continuación, haga clic en el botón Apagar para apagar el equipo.

Cuando se reinicia el equipo se le pedirá la contraseña de recuperación porque ha cambiado la configuración de arranque desde que cifró el volumen.

Recuperación de acceso a los datos con Cifrado de unidad BitLocker

  1. Encienda el equipo.

  2. Si el equipo está bloqueado, aparecerá la Consola de recuperación de Cifrado de unidad BitLocker.

  3. Se le pedirá que inserte la unidad flash USB que contiene la contraseña de recuperación.

    • Si tiene la unidad flash USB con la contraseña de recuperación, insértela y a continuación presione ESC. El equipo se reiniciará automáticamente. No es necesario que escriba la contraseña de recuperación manualmente.

    • Si no tiene la unidad flash USB con la contraseña de recuperación, presione ENTRAR.

      Se le solicitará que escriba la contraseña de recuperación manualmente.

      Si conoce la contraseña de recuperación, escríbala y después presione ENTRAR.

      Si no conoce la contraseña de recuperación, presione ENTRAR dos veces y apague el equipo.

      noteNota
      Si guardó la contraseña de recuperación en un archivo en una carpeta de otro equipo o en un medio extraíble, puede utilizar otro equipo para abrir el archivo que contiene la contraseña. Para localizar el archivo correcto, busque el Id. de contraseña en la consola de recuperación del equipo bloqueado, y tome nota de este número. El archivo que contiene la clave de recuperación utiliza este Identificador de contraseña como nombre de archivo. Abra el archivo y localice la contraseña de recuperación dentro del mismo.

Escenario 5: Desactivación del Cifrado de unidad BitLocker

El escenario 5 describe la forma de desactivar Cifrado de unidad BitLocker y descifrar un volumen. El procedimiento es el mismo para todas las configuraciones de Cifrado de unidad BitLocker, tanto en equipos equipados con TPM como en equipos sin TPM compatible.

Cuando se desactiva BitLocker, puede elegir deshabilitarlo temporalmente o descifrar la unidad. La deshabilitación de BitLocker permite cambios de TPM y actualizaciones del sistema operativo. El descifrado de la unidad supone que el volumen será nuevamente legible y todas las claves se descartarán. Una vez que un volumen es descifrado, debe generar nuevas claves si se repite el proceso de cifrado.

Antes de comenzar

  • Debe haber iniciado sesión como administrador.

  • Se debe cifrar la unidad.

Desactivación del Cifrado de unidad BitLocker

  1. Haga clic en Inicio, en Panel de Control, en Seguridad y, a continuación, haga clic en Cifrado de unidad BitLocker.

  2. Desde la página de Cifrado de unidad BitLocker, busque el volumen para el que desea desactivar BitLocker y haga clic en Desactivar Cifrado de unidad BitLocker.

  3. Desde el cuadro de diálogo ¿Qué nivel de descifrado desea? haga clic en Deshabilitar Cifrado de unidad BitLocker o en Descifrar volumen, según sea necesario.

    Una vez terminado este procedimiento, o bien se ha deshabilitado BitLocker o se ha descifrado el volumen del sistema operativo.

Recursos adicionales

Los siguientes recursos ofrecen información adicional acerca de Cifrado de unidad BitLocker:

Contenido de la comunidad   ¿Qué es Community Content?
Agregar contenido nuevo RSS  Anotaciones
© 2009 Microsoft Corporation. Reservados todos los derechos. Condiciones de Uso  |  Marcas registradas  |  Declaración de privacidad
Page view tracker