Para ver el artículo en inglés, active la casilla Inglés. También puede ver el texto en inglés en una ventana emergente si pasa el puntero del mouse por el texto.
Traducción
Inglés

Novedades de BitLocker

 

Se aplica a: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8

En este tema para los profesionales de TI y los usuarios avanzados se describe la funcionalidad de Cifrado de unidad BitLocker que es nueva o se ha cambiado en Windows Server 2012 R2, Windows Server 2012, Windows 8.1 y Windows 8.

En este tema:

En Windows Server 2012 R2 y Windows 8.1, BitLocker ofrece compatibilidad mejorada en las áreas siguientes:

BitLocker ofrece compatibilidad con el cifrado de dispositivo en equipos basados en x86 y x64 con un TPM que admite el modo de espera conectado. Anteriormente, este tipo de cifrado solo estaba disponible en dispositivos Windows RT.

El cifrado de dispositivo ayuda a proteger los datos en su equipo de Windows. Ayuda a bloquear los usuarios malintencionados para que no obtengan acceso a los archivos del sistema que necesitan para averiguar su contraseña ni tengan acceso a la unidad de disco si la quitan físicamente del equipo y la instalan en otro. Sigue pudiendo iniciar sesión en Windows y usar los archivos como lo haría normalmente. El cifrado de dispositivo protege la unidad del sistema operativo y las unidades fijas de datos en el sistema mediante un cifrado AES de 128 bits. El cifrado de dispositivo puede usarse con una cuenta Microsoft o una cuenta de dominio. Para admitir el cifrado del dispositivo, el sistema debe admitir el modo de espera conectado y cumplir los requisitos del Kit para la certificación de hardware en Windows (HCK) de TPM y SecureBoot en sistemas ConnectedStandby. Los requisitos previos se muestran en las secciones siguientes:

  • System.Fundamentals.Security.DeviceEncryption: requisitos generales de cifrado de dispositivo.

  • System.Fundamentals: requisitos de los sistemas del modo de espera conectado.

  • System.Fundamentals.Firmware.CS.UEFISecureBoot.ConnectedStandby: requisitos de TPM 2.0 y arranque seguro de los sistemas con modo de espera conectado.

A diferencia de una implementación estándar de BitLocker, el cifrado de dispositivo se habilita automáticamente para que el dispositivo esté siempre protegido. En la lista siguiente se resume la forma en que se puede conseguir:

  • Cuando se completa una instalación limpia de Windows 8.1, el equipo está preparado para el primer uso. Como parte de esta preparación, el cifrado de dispositivo se inicializa en la unidad del sistema operativo y las unidades de datos fijas del equipo con una clave sin cifrado (es decir, el equivalente del estado de suspensión estándar de BitLocker).

  • Si el dispositivo no está unido a dominio, se necesitará una cuenta Microsoft que tenga privilegios administrativos en el dispositivo. Cuando el administrador usa una cuenta Microsoft para iniciar sesión, se quita la clave sin cifrado, se carga una clave de recuperación en la cuenta Microsoft en línea y se crea el protector de TPM. Si un dispositivo requiere la clave de recuperación, se guiará al usuario para que use un dispositivo alternativo y navegue a una dirección URL de acceso a la clave de recuperación para obtener la clave de recuperación con las credenciales de su cuenta Microsoft.

  • Si el usuario inicia sesión con una cuenta de dominio, la clave sin cifrado no se quita hasta que el usuario une el dispositivo a un dominio (en las plataformas x86 y x64) y se realice correctamente una copia de seguridad de la clave de recuperación en los Servicios de dominio de Active Directory. Debe habilitarse la configuración de directivas de grupo Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades del sistema operativo y se debe seleccionar la opción No habilitar BitLocker hasta que la información de recuperación se almacene en AD DS para unidades de sistema operativo. Con esta configuración, la contraseña de recuperación se creará automáticamente cuando el equipo se una al dominio y, después, se realizará una copia de seguridad de la clave de recuperación en AD DS, se creará el protector de TPM y se quitará la clave sin cifrado.

Para más información sobre la clave de recuperación y cómo tener acceso a ella, vea Claves de recuperación: Preguntas más frecuentes.

Activación o desactivación del cifrado del dispositivo

  1. Si realizó una instalación limpia de Windows 8.1, el cifrado de dispositivo está activado de forma predeterminada. Si ha actualizado una instalación anterior de Windows a Windows 8.1, puede activar el cifrado de dispositivo mediante el uso de Información de PC.

  2. Para abrir Información de PC, deslice el dedo desde el borde derecho de la pantalla, pulse Configuración y luego pulse Cambiar configuración de PC. (Si está usando un mouse, apuntar a la esquina superior derecha de la pantalla, mover el puntero del mouse hacia abajo, haga clic en configuración, y, a continuación, haga clic en Cambiar configuración de PC).

  3. Pulse o haga clic en PC y dispositivos y, después, pulse o haga clic en Información de PC. La sección de Cifrado de dispositivos aparece en la parte inferior de la página de Información de PC.

  4. En la sección Cifrado de dispositivos, seleccione Activar.

  5. El cifrado de dispositivo no se puede desactivar en los dispositivos que ejecutan Windows RT. Para otros dispositivos, en la parte de la configuración de Cifrado de dispositivo de Información de PC, puede seleccionar Desactivar si quiere dejar de usar el cifrado de dispositivo por cualquier motivo.

Si no quiere que los dispositivos que se están implementando se protejan automáticamente con el cifrado de dispositivo, puede configurar el archivo de instalación desatendida para imponga la configuración del registro siguiente:

  • Ruta de acceso: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker

  • Valor: PreventDeviceEncryption igual a True (1)

  • Escriba: REG_DWORD

El cifrado del dispositivo está sujeto a la configuración de directivas de grupo de BitLocker; sin embargo, su configuración predeterminada estará en conflicto con algunas configuraciones de directivas de grupo. En la lista siguiente se describe la configuración de directivas que se debe establecer como "no configurada" o, que si está configurada, se debe revisar para asegurarse de que admiten el cifrado del dispositivo.

  • Configuración de Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades del sistema operativo\Requerir autenticación adicional al iniciar.

    • Cualquier opción que requiera un método de autenticación de inicio que no sea TPM.

      Los valores de cifrado predeterminados del dispositivo solo permiten que se configure el protector de clave de TPM cuando el dispositivo está cifrado. En equipos x64 y x86 con Windows es posible agregar un protector adicional después de cifrar el dispositivo desde el Panel de Control de BitLocker mediante el elemento Cambiar cómo se desbloquea la unidad al iniciar.

  • Configuración de Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades del sistema operativo\Elegir cómo se pueden recuperar unidades del sistema operativo protegidas por BitLocker y Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Elegir cómo se pueden recuperar las unidades de datos protegidas con BitLocker:

    • El cifrado de dispositivo solo usa contraseñas de recuperación. Si ha configurado este ajuste de directiva de grupo con la opción No permitir contraseña de recuperación de 48 dígitos, se evitará el cifrado de dispositivo porque su único método de recuperación es la contraseña de recuperación.

    • El cifrado de dispositivo requiere que se realice una copia de seguridad de las contraseñas en una ubicación de almacenamiento en línea. Si configuró este ajuste de directiva de grupo con la opción Guardar información de recuperación de BitLocker en AD DS para unidades de datos extraíbles desactivada, se evitará el cifrado de dispositivo porque requiere que se realice una copia de seguridad de la contraseña de recuperación en AD DS si el dispositivo está unido al dominio.

En Windows Server 2012 R2 y Windows 8.1, protectores de contraseñas de recuperación usan un algoritmo que cumple con FIPS, que permite que BitLocker sea más fácil de administrar en el modo FIPS.

System_CAPS_noteNota

El Estándar federal de procesamiento de información (FIPS) de Estados Unidos define los requisitos de seguridad e interoperabilidad de los sistemas de equipos que usa el gobierno federal de los Estados Unidos. El estándar FIPS 140 define los algoritmos criptográficos aprobados. El estándar FIPS 140 también establece los requisitos sucesivos para la generación y administración de claves.

Para establecer el modo que cumple con FIPS en Windows, consulte Criptografía de sistema: Usar algoritmos que cumplan FIPS para cifrado, firma y operaciones hash.

Entre los cambios en la funcionalidad se incluyen:

  • Los protectores de contraseñas de recuperación que cumplen con FIPS pueden crearse cuando Windows se encuentra en el modo FIPS, que usa el algoritmo certificable de FIPS.

  • Las contraseñas de recuperación creadas en el modo FIPS en Windows 8.1 pueden distinguirse de las que se crearon en otros sistemas.

  • El desbloqueo de recuperación mediante el protector de contraseñas de recuperación basado en el algoritmo certificable de FIPS funciona en todos los casos en los que actualmente se pueden aplicar las contraseñas de recuperación.

  • Cuando las contraseñas de recuperación que cumplen con FIPS desbloquean volúmenes, el volumen se desbloquea para permitir el acceso de lectura y escritura incluso aunque se use en modo FIPS.

  • Los protectores de contraseñas de recuperación que cumplen con FIPS pueden exportarse y almacenarse en AD mientras se usa el modo FIPS.

Antes de Windows Server 2012 R2 y Windows 8.1, cuando se habilitaba el cumplimiento de FIPS en la criptografía del sistema, BitLocker impedía la creación o el uso de contraseñas de recuperación y en su lugar obligaba al usuario a usar claves de recuperación. Ahora, el usuario puede utilizar su contraseña de recuperación de BitLocker para desbloquear el sistema que ejecuta Windows Server 2012 R2 y Windows 8.1. En la lista siguiente se describen las dos aplicaciones:

  • Es posible crear una contraseña de recuperación en modo FIPS

    Para cumplir con los requisitos de FIPS, puede habilitar la configuración de directiva local Criptografía de sistema: Usar algoritmos que cumplan FIPS para cifrado, firma y operaciones hash. Para asegurarse de que BitLocker está activado en los equipos cliente de su organización, puede actualizar las imágenes de implementación de Windows para disponer de esta configuración de la directiva. Además, puede seguir usando AD para realizar copias de seguridad de las contraseñas de recuperación. Puede utilizar estas herramientas de administración para comprobar que las contraseñas de recuperación se crean y almacenan en equipos cliente de BitLocker con el modo FIPS.

  • La contraseña de recuperación puede usarse mientras se encuentre en el modo FIPS.

    Cuando un usuario de la organización debe realizar una recuperación de BitLocker en su equipo con Windows 8.1, puede obtener la contraseña de recuperación a través de los canales establecidos, como el Servicio de asistencia o su administrador de TI, escribirlo en la interfaz de BitLocker y continuar con su trabajo.

    El desbloqueo con la recuperación de contraseñas es totalmente funcional mientras se encuentre en el modo FIPS.

Para más información sobre cómo encajan las contraseñas de recuperación de BitLocker conformes a FIPS en su diseño, vea Prepare your organization for BitLocker: Planning and Policies (Preparar su organización para BitLocker: planeación y directivas).

En Windows Server 2012 y Windows 8, BitLocker ofrece compatibilidad mejorada en los escenarios siguientes:

  • Aprovisionamiento de BitLocker

    Bitlocker se puede usar para implementar unidades en un estado cifrado durante la instalación, antes de llamar al programa de instalación.

  • Cifrado solo del espacio en disco utilizado

    BitLocker ahora ofrece dos métodos de cifrado, cifrado solo del espacio en disco utilizado y cifrado del volumen completo. El cifrado solo del espacio en disco utilizado permite una experiencia de cifrado mucho más rápida al cifrar solo los bloques usados en el volumen de destino.

  • Cambio de contraseña y PIN del usuario estándar

    Permite que un usuario estándar cambie el PIN o la contraseña de BitLocker en volúmenes del sistema operativo y la contraseña de BitLocker en volúmenes de datos, lo que reduce la cantidad de llamadas al departamento de soporte técnico interno.

  • Desbloqueo en red

    Permite que un sistema BitLocker en una red cableada desbloquee automáticamente el volumen del sistema durante el arranque (en redes Windows Server 2012 capaces), lo que reduce el volumen de llamadas internas al soporte técnico debidas a PIN perdidos.

  • Compatibilidad con unidades de disco duro cifradas en Windows

    La compatibilidad de BitLocker con las unidades de discos duros cifrados ofrece a los usuarios un método familiar para administrar el cifrado de las unidades con la ventaja de usar un cifrado basado en hardware.

En Windows Vista y Windows 7, BitLocker se aprovisiona después de la instalación para volúmenes de datos y del sistema a través de la interfaz de línea de comandos manage-bde o la interfaz de usuario del Panel de control. En Windows 8 y Windows 8.1, BitLocker también se puede aprovisionar fácilmente antes de instalar el sistema operativo.

Con esta mejora, los administradores pueden habilitar BitLocker desde el Entorno de preinstalación de Windows (WinPE) antes de implementar el sistema operativo. Se realiza mediante un protector de borrado generado aleatoriamente que se aplica al volumen formateado y el cifrado del volumen antes de ejecutar el proceso de instalación de Windows. Si el cifrado usa la opción de cifrar solo el espacio en disco utilizado que se describe en la siguiente sección, este paso solo lleva unos segundos y se incorpora a procesos de implementación regulares.

Para comprobar el estado de BitLocker de un volumen en particular, los administradores pueden observar el estado de la unidad en el applet del Panel de control de BitLocker o en el Explorador de Windows. Cuando una unidad se aprovisiona previamente para BitLocker, se muestra un estado "Esperando activación" con un icono de exclamación amarillo en el Panel de control de BitLocker. Este estado significa que solo había un protector sin cifrado en uso cuando se cifró el volumen. En este caso, el volumen no se protege y se le debe agregar una clave segura antes de que la unidad se considere totalmente protegida. Puede usar el Panel de control, la herramienta manage-bde o las API de WMI para agregar un protector de clave adecuado y que se actualice el estado del volumen. En la siguiente tabla se muestran los protectores de clave adecuados que se pueden agregar a unidades que se han aprovisionado previamente con protección por BitLocker:

Tipo de unidad

Protector de clave

Sistema operativo

TPM

TPM+PIN

Clave de inicio (para sistemas sin TPM)

Contraseña (para sistemas sin TPM)

Unidad de datos fija

Desbloqueo automático

Contraseña

Tarjeta inteligente

Unidad de datos extraíble

Contraseña

Tarjeta inteligente

En Windows 7, BitLocker requiere que todos los datos y el espacio libre en la unidad estén cifrados. El proceso de cifrado puede tomar mucho tiempo en volúmenes de gran tamaño. En Windows 8 y Windows 8.1, los administradores pueden elegir cifrar todo el volumen o solo el espacio utilizado. Cuando elige la opción de cifrado solo del espacio en disco utilizado, solo se cifrará la parte de la unidad que tenga datos. El espacio libre del disco no se cifrará. El cifrado solo del espacio en disco utilizado permite que el cifrado se complete mucho más rápido en unidades vacías total o parcialmente que las implementaciones anteriores de BitLocker. Al aprovisionar BitLocker durante las implementaciones de Windows, el cifrado solo del espacio en disco utilizado permite que BitLocker cifre una unidad en poco tiempo antes de instalar el sistema operativo. El cifrado completo cifra tanto los datos como el espacio libre en el volumen, de manera similar al funcionamiento de BitLocker en Windows 7 y Windows Vista.

Nueva configuración de directiva de grupo para el tipo de cifrado

Puede usar configuraciones de directiva de grupo para exigir que se habilite el cifrado solo del espacio en disco utilizado o el cifrado completo en una unidad. Las opciones de configuración de la Directiva de grupo para Cifrado de unidad BitLocker se encuentran en la ruta \Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker del Editor de directivas de grupos local

Están disponibles las siguientes directivas de grupo nuevas:

  • Unidades de datos fijas\Aplicar tipo de cifrado de unidad en unidades de datos fijas

  • Unidades del sistema operativo\Aplicar tipo de cifrado de unidad en unidades del sistema operativo

  • Unidades de datos extraíbles\Aplicar tipo de cifrado de unidad en unidades de datos extraíbles

Para cada una de estas directivas, una vez que se habilitan, puede especificar qué tipo de cifrado se debe usar en cada tipo de unidad. Si no se configura la directiva, el usuario podrá elegir el método de cifrado al activar BitLocker.

Se requieren privilegios administrativos para configurar BitLocker para unidades del sistema operativo. En una organización donde hay profesionales de TI encargados de administrar los equipos y los usuarios normalmente no tienen privilegios administrativos, implementar la opción de protección TPM + PIN a una gran cantidad de equipos puede ser un reto. En Windows 8, aún se necesitan privilegios administrativos para configurar BitLocker aunque, de forma predeterminada, los usuarios estándar tiene permiso para cambiar el PIN o la contraseña de BitLocker para el volumen de sistema operativo o la contraseña de BitLocker para los volúmenes de datos fijos. Esto da a los usuarios la capacidad de elegir los PIN y las contraseñas que correspondan a una mnemotecnia personal en lugar de exigir que el usuario recuerde un conjunto de caracteres generado al azar; también permite a los profesionales de TI usar la misma configuración de contraseña o PIN inicial para todas las imágenes de equipos. Asimismo, permite a los usuarios elegir contraseñas y PIN que sean más susceptibles a la averiguación de contraseñas, ataques de diccionario y ataques de ingeniería social, y les ofrece la capacidad de desbloquear cualquier equipo que aún use la asignación de contraseña o PIN original. Se recomienda exigir complejidad de contraseña y de PIN mediante una directiva de grupo, para garantizar que los usuarios tengan suficiente cuidado al establecer contraseñas y PIN.

Los usuarios estándar deben especificar la contraseña o el PIN actual de la unidad para cambiar la contraseña o el PIN de BitLocker. Si un usuario especifica una contraseña o PIN actual incorrectamente, la tolerancia predeterminada para los reintentos está establecida en 5. Una vez que se alcanza el límite de reintentos, un usuario estándar no podrá cambiar la contraseña o el PIN de BitLocker. El contador de reintentos se establece en cero cuando se reinicia el equipo o cuando un administrador restablece el PIN o la contraseña de BitLocker.

Puede deshabilitar la opción de permitir a los usuarios estándar cambiar los PIN y contraseñas usando la opción de la Directiva de grupo No permitir que los usuarios estándar cambien el PIN, situada en la sección \Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades del sistema operativo del Editor de directivas de grupo local.

Windows Server 2012 ha incorporado una nueva opción de protección de BitLocker para volúmenes del sistema operativo denominada Desbloqueo en red. Desbloqueo en red permitirá una administración más simple para servidores y escritorios con BitLocker habilitado en un entorno de dominio al proporcionar el desbloqueo automático de volúmenes del sistema operativo en el reinicio del sistema cuando está conectado a una red corporativa cableada de confianza. Esta característica requiere que el hardware cliente tenga un servidor DHCP implementado en el firmware UEFI.

Los volúmenes del sistema operativo protegidos con protectores TPM+PIN requieren que se especifique un PIN cuando se reinicia un equipo o se reanuda de la hibernación (por ejemplo, cuando está configurado para Wake on LAN). El requisito de especificar un PIN puede dificultar a las empresas la instalación de revisiones de software en servidores y escritorios desatendidos. Desbloqueo en red proporciona un método mediante el cual los equipos que se configuran para usar un protector de clave TPM+PIN puedan iniciar Windows sin intervención del usuario. Desbloqueo en red funciona de manera similar a TPM+clave de inicio. Sin embargo, en lugar de necesitar leer la clave de inicio desde medios USB, la clave de Desbloqueo en red está compuesta de una clave almacenada en el TPM y una clave de red cifrada que se envía al servidor, se descifra y se devuelve al cliente en una sesión segura. La clave de red se almacena en la unidad del sistema junto con una clave de sesión AES 256 y se cifra con la clave pública RSA de 2048 bits del certificado del servidor de desbloqueo. La clave de red se descifra con ayuda de un proveedor en un servidor WDS de Windows Server 2012 y se devuelve cifrada con su correspondiente clave de sesión. En los momentos en que el proveedor de Desbloqueo en red no está disponible, la pantalla de desbloqueo TPM+PIN estándar se presenta para desbloquear la unidad. La configuración del servidor para habilitar Desbloqueo en red también requiere el aprovisionamiento de un par de claves pública y privada RSA de 2048 bits con la forma de un certificado X.509 y que el certificado de la clave pública se distribuya a los clientes. Este certificado debe administrarse e implementarse mediante la Consola de administración de directivas de grupo, directamente en el controlador de dominio de Windows Server 2012. Para obtener más información, consulte BitLocker: Cómo habilitar el desbloqueo de redes.

Proporciona cifrado de volumen completo (FVE) de volúmenes de datos y del sistema operativo Windows con cifrado basado en software. En Windows 8, BitLocker también admite un nuevo tipo de dispositivo de almacenamiento mejorado, la unidad de disco duro cifrada, que cada vez es una opción más común en los servidores y equipos nuevos. Las unidades de disco duro cifradas ofrecen cifrado de volumen completo (FDE), lo que significa que el cifrado se realiza en cada bloque de la unidad física. Las operaciones de cifrado son más eficaces en unidades de disco duro cifradas, porque el proceso de cifrado se descarga al controlador de almacenamiento en la unidad (también conocido como cifrado basado en hardware).

Windows 8 admite unidades de disco duro cifradas de forma nativa en el sistema operativo mediante los mecanismos siguientes:

  • Identificación: Windows 8 podrá identificar que el tipo de dispositivo es una unidad de disco duro cifrada

  • Activación: la administración de discos de Windows 8 activará, creará y asignará volúmenes a intervalos o bandas, según corresponda

  • Configuración: la administración de discos de Windows 8 creará y asignará volúmenes a intervalos o bandas, según corresponda

  • API: Windows 8 admite API para que las aplicaciones administren las unidades de disco duro cifradas independientemente del Cifrado de unidad BitLocker

  • BitLocker: el Panel de control de BitLocker permitirá a los usuarios administrar unidades de disco duro cifradas de la misma manera que las unidades cifradas de volumen completo.

Para más información sobre los requisitos y uso del sistema, consulte Unidad de disco duro cifrada.

Mostrar: