Table of contents
TOC
Collapse the table of content
Expand the table of content

BitLocker

Brian Lich|Última actualización: 14/03/2017
|
1 Colaborador

Se aplica a

  • Windows 10

Este tema proporciona una descripción general de alto nivel de BitLocker, incluida una lista de requisitos del sistema, aplicaciones prácticas y características en desuso.

Cifrado de unidad BitLocker es una característica de protección de datos que se integra en el sistema operativo y soluciona las amenazas de robo o exposición de datos de equipos perdidos, sustraídos o retirados inadecuadamente.

BitLocker ofrece la máxima protección cuando se usa con un módulo de plataforma segura (TPM) 1.2 o posterior. El TPM es un componente de hardware instalado en muchos equipos nuevos por los fabricantes de equipos. Funciona con BitLocker para ayudar a proteger los datos de usuario y para garantizar que un equipo no se haya manipulado mientras el sistema estaba sin conexión.

En los equipos que no tienen un TPM versión 1.2 o posterior, todavía puede usar BitLocker para cifrar la unidad del sistema operativo Windows. Sin embargo, esta implementación requerirá que el usuario inserte una clave de inicio USB para iniciar el equipo o reanudarlo del modo de hibernación. A partir de Windows 8, puedes usar una contraseña de volumen del sistema operativo para proteger el volumen del sistema operativo en un equipo sin TPM. Ambas opciones no proporcionan la comprobación de integridad del sistema previa al inicio ofrecida por BitLocker con un TPM.

Además del TPM, BitLocker ofrece la opción de bloquear el proceso de inicio normal hasta que el usuario proporcione un número de identificación personal (PIN) o inserte un dispositivo extraíble, como una unidad flash USB, que contenga una clave de inicio. Estas medidas de seguridad adicionales proporcionan autenticación multifactor y la garantía de que el equipo no se inicia o reanuda desde la hibernación hasta que se ofrezca el PIN o la clave de inicio correctos.

Aplicaciones prácticas

Los datos de un equipo perdido o robado son vulnerables a un acceso no autorizado, mediante la ejecución de una herramienta de ataques de software contra ellos o mediante la transferencia del disco duro del equipo a otro equipo. BitLocker ayuda a mitigar el acceso a datos no autorizados mejorando las protecciones de archivo y de sistema. BitLocker también ayuda a convertir los datos en inaccesibles cuando se retiran o reciclan equipos protegidos con BitLocker.

Hay dos herramientas adicionales en las herramientas de administración remota del servidor, que puedes usar para administrar BitLocker.

  • Visor de contraseñas de recuperación de BitLocker. El Visor de contraseñas de recuperación de BitLocker te permite buscar y ver las contraseñas de recuperación de cifrado de unidad BitLocker a las que se haya hecho una copia de seguridad en los servicios de dominio de Active Directory (AD DS). Puedes usar esta herramienta para ayudar a recuperar datos que están almacenados en una unidad cifrada mediante el uso de BitLocker. La herramienta Visor de contraseñas de recuperación de BitLocker es una extensión del complemento Microsoft Management Console (MMC) de Usuarios y equipos de Active Directory. Con esta herramienta, puedes examinar el cuadro de diálogo Propiedades de un objeto del equipo para ver las contraseñas de recuperación de BitLocker correspondientes. Además, puedes hacer clic con el botón derecho en un contenedor de dominio y, a continuación, buscar una contraseña de recuperación de BitLocker en todos los dominios del bosque de Active Directory. Para ver las contraseñas de recuperación, debes ser un administrador de dominio o debes tener delegados los permisos de administrador de dominio.

  • Herramientas de cifrado de unidad de BitLocker. Las herramientas de cifrado de unidad BitLocker incluyen las herramientas de línea de comandos manage-bde y repair-bde, y los cmdlets de BitLocker para Windows PowerShell. Tanto manage-bde como los cmdlets de BitLocker pueden usarse para realizar cualquier tarea procesable a través del panel de control de BitLocker y son adecuados para implementaciones automatizadas y otros escenarios de scripts. Repair-bde se proporciona para escenarios de recuperación ante desastres en los que una unidad protegida con BitLocker no se puede desbloquear con normalidad o mediante la consola de recuperación.

Funcionalidad nueva y modificada

Para descubrir las novedades de BitLocker para Windows 10, como la compatibilidad con el algoritmo de cifrado XTS-AES, consulta la sección BitLocker de "Novedades de Windows°10, versiones 1507 y 1511".

Requisitos del sistema

BitLocker presenta los siguientes requisitos de hardware:

Para que BitLocker use la comprobación de integridad del sistema proporcionada por un módulo de plataforma segura (TPM), el equipo debe tener TPM 1.2 o posterior. Si el equipo no tiene un TPM, la habilitación de BitLocker requiere que guardes una clave de inicio en un dispositivo extraíble, como una unidad flash USB.

Un equipo con un TPM también debe tener un firmware de BIOS o UEFI compatible con Trusted Computing Group (TCG). El firmware de BIOS o UEFI establece una cadena de confianza para el inicio del sistema preoperativo, y debe incluir compatibilidad con la raíz estática de Trust Measurement especificada por TCG. Un equipo sin un TPM no requiere firmware compatible con TCG.

El firmware de BIOS o UEFI del sistema (para equipos TPM y no TPM) debe admitir la clase de dispositivo de almacenamiento masivo USB, lo que incluye la lectura de pequeños archivos de una unidad flash USB en el entorno de sistema preoperativo.

El disco duro debe particionarse con al menos dos unidades:

  • La unidad del sistema operativo (o la unidad de arranque) contiene el sistema operativo y sus archivos de compatibilidad. Debe estar formateada con el sistema de archivos NTFS.
  • La unidad del sistema contiene los archivos que son necesarios para cargar Windows después de que el firmware haya preparado el hardware del sistema. BitLocker no está habilitado en esta unidad. Para que funcione BitLocker, la unidad del sistema no debe estar cifrada, debe ser diferente de la unidad del sistema operativo y debe estar formateada con el sistema de archivos FAT32 en equipos que usan firmware basado en UEFI o con el sistema de archivos NTFS en equipos que usan firmware BIOS. Recomendamos que la unidad del sistema tenga un tamaño aproximado de 350 MB. Una vez activado BitLocker, debe tener aproximadamente 250 MB de espacio libre.

Cuando se instala en un equipo nuevo, Windows crea automáticamente las particiones que son necesarias para BitLocker.

Cuando se instala el componente opcional de BitLocker en un servidor, también deberás instalar la característica de almacenamiento mejorado, que se usa para admitir unidades cifradas de hardware.

En esta sección

TemaDescripción
Preguntas más frecuentes (P+F) de BitLockerEn este tema para profesionales de TI se responden preguntas frecuentes relativas a los requisitos de uso, actualización, implementación y administración, así como directivas de administración de claves de BitLocker.
Prepara tu organización para BitLocker: planeación y directivasEn este tema para profesionales de TI se explica cómo puedes planear la implementación de BitLocker.
Implementación básica de BitLockerEn este tema para profesionales de TI se explica cómo se pueden usar las características de BitLocker para proteger los datos mediante el cifrado de unidad.
BitLocker: Cómo realizar implementaciones en Windows Server 2012 y versiones posterioresEn este tema para profesionales de TI se explica cómo implementar BitLocker y Windows Server 2012 y versiones posteriores.
BitLocker: Cómo habilitar el desbloqueo en redEn este tema para profesionales de TI se describe cómo funciona el desbloqueo de BitLocker en red y cómo configurarlo.
BitLocker: Usar herramientas de cifrado de unidad BitLocker para administrar BitLockerEn este tema para profesionales de TI se describe cómo usar las herramientas para administrar BitLocker.
BitLocker: Usar el Visor de contraseñas de recuperación de BitLockerEn este tema para profesionales de TI se describe cómo usar el Visor de contraseñas de recuperación de BitLocker.
Configuración de las directivas de grupo de BitLockerEste tema para profesionales de TI describe el funcionamiento, la ubicación y el efecto de cada configuración de directivas de grupo que se usa para administrar BitLocker.
Configuraciones de BCD y BitLockerEn este tema para profesionales de TI se describe la configuración de BCD que usa BitLocker.
Guía de recuperación de BitLockerEn este tema para profesionales de TI se describe cómo recuperar las claves de BitLocker de AD DS.
Proteger BitLocker frente a ataques de prearranqueEsta guía detallada te ayudará a comprender las circunstancias en las que se recomienda el uso de autenticación de prearranque para dispositivos que ejecutan Windows 10, Windows 8.1, Windows 8 o Windows 7; y cuándo se puede omitir de forma segura a través de la configuración de un dispositivo.
Protección de volúmenes compartidos de clúster y redes de área de almacenamiento con BitLockerEn este tema para profesionales de TI se describe cómo proteger archivos CSV y SAN con BitLocker.

Si buscas información sobre cómo usarlo con Windows 10 IoT Core, consulta Habilitar el arranque seguro y cifrado de dispositivo de BitLocker en Windows 10 IoT Core.

© 2017 Microsoft