Exportar (0) Imprimir
Expandir todo
Expandir Minimizar

Escenario 7: especificar cómo desbloquear unidades de datos extraíbles o fijas protegidas por BitLocker (Windows 7)

Actualizado: agosto de 2009

Se aplica a: Windows 7

En este escenario, determinará los métodos de desbloqueo de unidades fijas y extraíbles que se pueden usar mediante la configuración de las opciones apropiadas de la directiva de grupo.

Antes de empezar

Para completar los procedimientos en este escenario:

  • Debe proporcionar credenciales administrativas.

  • Su equipo de prueba debe formar parte de un dominio si desea probar los requisitos de complejidad de contraseñas.

  • Debe disponer de unidades de datos fijas y unidades extraíbles por separado.

  • Debe arrancar desde una unidad con un sistema operativo protegido con BitLocker para usar el método de desbloqueo automático con unidades de datos fijas.

  • Debe haber implementado la arquitectura de infraestructura de clave pública (PKI) para usar con tarjetas inteligentes.

  • Su equipo debe cumplir los requisitos de BitLocker. Para obtener más información, vea "Requisitos del Cifrado de unidad BitLocker" en la Guía paso a paso del Cifrado de unidad BitLocker para Windows 7.

noteNota
Si BitLocker está habilitado en la unidad del sistema operativo, al activarlo para una unidad de datos fija tendrá la opción de permitir que la unidad se desbloquee automáticamente cuando la unidad del sistema operativo esté desbloqueada. El siguiente procedimiento asume que la unidad de datos fija estaba protegida con BitLocker previamente y que el método de desbloqueo automático no estaba seleccionado. Las unidades de datos extraíbles deben contar con un método de desbloqueo por tarjeta inteligente o por contraseña, además del método de desbloqueo automático. El desbloqueo automático no se puede especificar directamente mediante la configuración de directivas.

Para configurar una unidad de datos fija o extraíble protegida con BitLocker para que se desbloquee automáticamente

  1. Haga clic en Inicio, haga clic en Equipo y, a continuación, haga clic con el botón secundario en la unidad de datos fija o extraíble protegida con BitLocker que desea desbloquear automáticamente.

  2. Haga clic en Administrar BitLocker y, a continuación, en Desbloquear automáticamente esta unidad del equipo.

Para especificar el uso de la contraseña para unidades de datos fijas o extraíbles protegidas con BitLocker

  1. Haga clic en Inicio, escriba gpedit.msc en el cuadro Buscar programas y archivos y, a continuación, presione ENTRAR.

  2. Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que muestra es la que desea y, a continuación, haga clic en .

  3. En el árbol de consola que se encuentra en Directiva de equipo local\Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker, haga clic en Unidades de datos fijas.

  4. De forma predeterminada, las contraseñas pueden usarse con BitLocker para proteger las unidades de datos fijas. Las configuraciones predeterminadas no exigen ningún tipo de requisitos de complejidad de contraseña, pero sí requieren que la misma contenga, al menos, 8 caracteres. Para especificar configuraciones diferentes, haga doble clic en Configurar el uso de contraseñas para unidades de datos fijas en el panel de detalles para abrir la configuración de directiva.

  5. Haga clic en Deshabilitado para evitar el uso de contraseñas con unidades de datos fijas, o haga clic en Habilitado y configure las siguientes opciones:

    • Active la casilla Requerir contraseña para unidad de datos fija si desea solicitar que el usuario escriba una contraseña para activar BitLocker en una unidad de datos fija. Si se configuraron otros métodos de desbloqueo para la unidad, cualquiera de ellos puede usarse para desbloquearla.

    • En Configure la complejidad de la contraseña para unidades de datos fijas, puede elegir permitir, solicitar o no permitir la obligatoriedad del uso de la regla de complejidad de contraseñas con las contraseñas para unidades de datos fijas de BitLocker.

      Si elige Requerir complejidad de la contraseña, también deberá haber configurado la opción de directiva La contraseña debe cumplir los requisitos de complejidad ubicada en Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de cuenta\Directiva de contraseñas. Además, el equipo debe estar conectado al dominio cuando configure la contraseña de BitLocker para la unidad (como cuando BitLocker está activado o cuando se modifica una contraseña), para que el controlador de dominio pueda validar que la contraseña especificada para la unidad cumple las reglas de complejidad.

      Si elige Permitir complejidad de la contraseña, BitLocker intentará conectarse al controlador de dominio para validar la contraseña, pero si no puede conectarse, aceptará la contraseña y cifrará la unidad con la contraseña, independientemente de si esta cumple o no las reglas de complejidad definidas por la directiva de contraseñas.

      Si elige No permitir complejidad de la contraseña, BitLocker no intentará validar si la contraseña especificada es compleja.

    • En Longitud mínima de la contraseña para unidades de datos fijas, puede especificar un número entre 8 y 99 que defina lo larga que debe ser la contraseña especificada para la unidad. Las contraseñas siempre deben contener, al menos, 8 caracteres.

  6. Una vez elegidas las opciones, haga clic en Aplicar para aplicar la configuración establecida y, a continuación, cierre el cuadro de diálogo.

  7. En el árbol de consola que se encuentra en Directiva de equipo local\Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker haga clic en Unidades de datos extraíbles.

  8. De forma predeterminada, las contraseñas pueden usarse con BitLocker para proteger las unidades de datos extraíbles. Las configuraciones predeterminadas no exigen ningún tipo de requisitos de complejidad de contraseña, pero sí requieren que la misma contenga, al menos, 8 caracteres. Para especificar configuraciones diferentes, haga doble clic en Configurar el uso de contraseñas para unidades de datos extraíbles en el panel de detalles para abrir la configuración de directiva.

  9. Haga clic en Deshabilitado para evitar el uso de contraseñas con unidades de datos extraíbles, o haga clic en Habilitado y configure las siguientes opciones:

    • Active la casilla Requerir contraseña para unidad de datos extraíble si desea solicitar que el usuario escriba una contraseña para activar BitLocker en una unidad de datos extraíble. Si se configuraron otros métodos de desbloqueo para la unidad, cualquiera de ellos puede usarse para desbloquearla.

    • En Configure la complejidad de la contraseña para unidades de datos extraíbles, puede elegir permitir, solicitar o no permitir la obligatoriedad del uso de la regla de complejidad de contraseñas con las contraseñas para unidades de datos extraíbles de BitLocker.

      Si elige Requerir complejidad de la contraseña, también deberá haber configurado la opción de directiva La contraseña debe cumplir los requisitos de complejidad ubicada en Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de cuenta\Directiva de contraseñas, y el equipo deberá estar conectado al dominio cuando BitLocker esté activado, para que el controlador de dominio pueda validar que la contraseña especificada para la unidad cumple las reglas de complejidad.

      Si elige Permitir complejidad de la contraseña, BitLocker intentará conectarse al controlador de dominio para validar la contraseña, pero si no puede conectarse, aceptará la contraseña y cifrará la unidad con la contraseña, independientemente de si esta cumple o no las reglas de complejidad definidas por la directiva de contraseñas.

      Si elige No permitir complejidad de la contraseña, BitLocker no intentará validar si la contraseña especificada es compleja.

    • En Longitud mínima de la contraseña para unidades de datos fijas, puede especificar un número entre 8 y 99 que defina lo larga que debe ser la contraseña especificada para la unidad. Las contraseñas siempre deben contener, al menos, 8 caracteres.

  10. Una vez elegidas las opciones, haga clic en Aplicar para aplicar la configuración establecida y, a continuación, cierre el cuadro de diálogo.

  11. Cierre el Editor de directivas de grupo local.

  12. Para exigir que la directiva de grupo aplique los cambios inmediatamente, haga clic en Inicio, escriba gpupdate.exe /force en el cuadro Buscar programas y archivos y, a continuación, presione ENTRAR. Espere hasta que se termine el proceso.

Para especificar el uso de la tarjeta inteligente para unidades de datos fijas o extraíbles protegidas con BitLocker

  1. Haga clic en Inicio, escriba gpedit.msc en el cuadro Buscar programas y archivos y, a continuación, presione ENTRAR.

  2. Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que muestra es la que desea y, a continuación, haga clic en .

  3. En el árbol de consola que se encuentra en Directiva de equipo local\Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker, haga clic en Unidades de datos fijas.

  4. De forma predeterminada, las tarjetas inteligentes se pueden usar con BitLocker para proteger las unidades de datos fijas. Para solicitar o impedir el uso de tarjetas inteligentes, haga doble clic en Configurar el uso de tarjetas inteligentes en unidades de datos fijas en el panel de detalles para abrir la configuración de directiva.

  5. Haga clic en Deshabilitado para impedir el uso de tarjetas inteligentes con unidades de datos fijas.

  6. Haga clic en Habilitado y active la casilla Requerir el uso de tarjetas inteligentes en unidades de datos fijas si desea exigir que el usuario inserte una tarjeta inteligente para activar BitLocker.

    Si se configuraron otros métodos de desbloqueo para la unidad, cualquiera de ellos puede usarse para desbloquearla.

  7. Una vez elegidas las opciones, haga clic en Aplicar para aplicar la configuración establecida y, a continuación, cierre el cuadro de diálogo.

  8. En el árbol de consola que se encuentra en Directiva de equipo local\Configuración del equipo\Plantillas administrativas\Componentes de Windows haga clic en Cifrado de unidad BitLocker.

  9. Si tiene varios certificados de tarjetas inteligentes, puede especificar qué certificados se pueden usar con BitLocker. Para ello, haga doble clic en la configuración de directiva Validar cumplimiento de regla de uso de certificado de tarjeta inteligente en el panel de detalles.

    De forma predeterminada, BitLocker usa certificados de tarjetas inteligentes que contienen el atributo de uso mejorado de clave (EKU) equivalente al identificador de objeto BitLocker de 1.3.6.1.4.1.311.67.1.1, pero BitLocker no exige que el atributo EKU esté presente para que se use el certificado con BitLocker. Sin embargo, puede cambiar la configuración de esta directiva a Habilitado y escribir un valor en Identificador de objeto para solicitar que un certificado cuente con un atributo EKU en particular antes de que se use con BitLocker. Si configura esta directiva como Deshabilitado o No configurado, se usará el identificador de objeto predeterminado.

  10. Una vez elegidas las opciones, haga clic en Aplicar para aplicar la configuración establecida y, a continuación, cierre el cuadro de diálogo.

  11. En el árbol de consola que se encuentra en Directiva de equipo local\Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker haga clic en Unidades de datos extraíbles.

  12. De forma predeterminada, las tarjetas inteligentes se pueden usar con BitLocker para proteger las unidades de datos extraíbles. Para solicitar o impedir el uso de tarjetas inteligentes, haga doble clic en Configurar el uso de tarjetas inteligentes en unidades de datos extraíbles en el panel de detalles para abrir la configuración de directiva.

  13. Haga clic en Deshabilitado para impedir el uso de tarjetas inteligentes con unidades de datos extraíbles.

  14. Haga clic en Habilitado y active la casilla Requerir el uso de tarjetas inteligentes en unidades de datos extraíbles si desea exigir que el usuario inserte una tarjeta inteligente para activar BitLocker.

  15. Una vez elegidas las opciones, haga clic en Aplicar para aplicar la configuración establecida y, a continuación, cierre el cuadro de diálogo.

  16. Cierre el Editor de directivas de grupo local.

  17. Para exigir que la directiva de grupo aplique los cambios inmediatamente, haga clic en Inicio, escriba gpupdate.exe /force en el cuadro Buscar programas y archivos y, a continuación, presione ENTRAR. Espere hasta que se termine el proceso.

Al terminar los procedimientos de este escenario, habrá especificado los métodos que se pueden usar para desbloquear las unidades protegidas con BitLocker. Estas directivas son obligatorias en las unidades al activar BitLocker.

¿Te ha resultado útil?
(Caracteres restantes: 1500)
Gracias por sus comentarios

Adiciones de comunidad

AGREGAR
Mostrar:
© 2014 Microsoft