Para ver el artículo en inglés, active la casilla Inglés. También puede ver el texto en inglés en una ventana emergente si pasa el puntero del mouse por el texto.
Traducción
Inglés

Información general sobre BitLocker

 

Se aplica a: Windows Server 2012, Windows 8

En este tema se proporciona información general de alto nivel sobre BitLocker, incluida una lista de características nuevas y modificadas, requisitos del sistema, aplicaciones prácticas y características en desuso. Se proporcionan vínculos a contenido adicional que le ayudarán a obtener más información acerca de cómo trabajar con BitLocker.

Quizá lo que busca es…

El cifrado de unidad BitLocker es una característica de protección de datos del sistema operativo, disponible por primera vez en Windows Vista. Las versiones posteriores de sistemas operativos han continuado mejorando la seguridad que ofrece BitLocker para permitir que el sistema operativo proteja con BitLocker más unidades y dispositivos. La integración de BitLocker con el sistema operativo permite hacer frente a amenazas como, por ejemplo, el robo de datos o la exposición en caso de pérdida, el robo o la retirada inapropiada de equipos. Manage-bde es la herramienta de línea de comandos que también se puede usar para realizar tareas en el equipo relacionado con BitLocker. Cuando se instala el componente opcional de BitLocker en un servidor también deberá instalar la característica de almacenamiento mejorado, que se usa para admitir unidades cifradas de hardware. En los servidores, también hay otra característica de BitLocker que se puede instalar, Desbloqueo de BitLocker en red. Los equipos que disponen de Windows RT, Windows RT 8.1 o Windows 8.1 se pueden proteger mediante Cifrado de dispositivo, que es una versión personalizada de BitLocker.

BitLocker aumenta el nivel de protección si se usa con la versión 1.2 o posterior del Módulo de plataforma segura (TPM). El TPM es un componente de hardware que los fabricantes instalan en muchos equipos nuevos. Funciona con BitLocker para ayudar a proteger los datos del usuario y garantizar que un equipo no haya sido alterado mientras el sistema estaba sin conexión.

En equipos que no tienen la versión 1.2 o posterior del TPM, puede usar BitLocker para cifrar la unidad del sistema operativo Windows. Sin embargo, esta implementación requerirá que el usuario inserte una clave de inicio USB para iniciar el equipo o reanudar de la hibernación. En Windows 8, el uso de una contraseña de volumen del sistema operativo es otra opción para proteger el volumen del sistema operativo en un equipo sin TPM. Ninguna de estas opciones proporciona la comprobación de integridad del sistema de prearranque que ofrece BitLocker con un TPM.

Además del TPM, BitLocker ofrece la posibilidad de bloquear el proceso de inicio normal hasta que el usuario proporcione un número de identificación personal (PIN) o inserte un dispositivo extraíble, como una unidad flash USB, que contenga una clave de inicio. Estas medidas de seguridad adicionales proporcionan una autenticación multifactor y la garantía de que el equipo no se iniciará ni reanudará desde la hibernación hasta que se suministre el PIN correcto o la clave de inicio.

Los datos de un equipo que se ha perdido o ha sido robado pueden ser objeto de accesos no autorizados mediante la ejecución de una herramienta de ataque de software en el equipo o mediante la transferencia del disco duro a otro equipo. BitLocker ayuda a mitigar el acceso no autorizado a datos porque mejora la protección del sistema y los archivos. Asimismo, BitLocker ayuda a hacer inaccesibles los datos cuando los equipos protegidos por esta característica se retiran o reciclan.

Éstas son dos herramientas adicionales de las Herramientas de administración remota del servidor que puede usar para administrar BitLocker.

  • Visor de contraseñas de recuperación de BitLocker. El Visor de contraseñas de recuperación de BitLocker le permite ubicar y ver las contraseñas de recuperación de Cifrado de unidad BitLocker de las cuales se hizo una copia de seguridad en Servicios de dominio de Active Directory (AD DS). Esta herramienta sirve para recuperar datos que están almacenados en una unidad que se ha cifrado mediante BitLocker. La herramienta Visor de contraseñas de recuperación de BitLocker es una extensión del complemento Microsoft Management Console (MMC) de usuarios y equipos de Active Directory.

    Al utilizar esta herramienta, puede examinar el cuadro de diálogo Propiedades del objeto de un equipo para ver las contraseñas de recuperación de BitLocker correspondientes. Además, puede hacer clic con el botón secundario en un contenedor de dominio y luego buscar una contraseña de recuperación de BitLocker en todos los dominios del bosque de Active Directory. Para ver contraseñas de recuperación, debe ser un administrador de dominio o haber recibido los permisos de un administrador de dominio.

  • Herramientas de cifrado de unidad BitLocker. Las Herramientas de cifrado de unidad BitLocker incluyen las herramientas de línea de comandos manage-bde y repair-bde y los cmdlets de BitLocker para Windows PowerShell. Tanto manage-bde como los cmdlets de BitLocker se pueden usar para llevar a cabo cualquier tarea que se pueda cumplir a través del panel de control de BitLocker y se pueden usar correctamente en implementaciones automatizadas y otros escenarios de scripting. Repair-bde se proporciona para escenarios de recuperación ante desastres en los cuales la unidad protegida por BitLocker no se puede desbloquear normalmente o al utilizar la consola de recuperación.

En la siguiente tabla se identifican las funciones nuevas y modificadas en BitLocker en Windows 8 y Windows Server 2012. Consulte Novedades de BitLocker.

Característica/funcionalidad

Windows 7

Windows 8 y Windows Server 2012

Restablecer el PIN o la contraseña de BitLocker

Se requieren privilegios de administrador para restablecer el PIN de BitLocker en una unidad del sistema operativo y la contraseña en una unidad de datos extraíble o fija.

Los usuarios estándar pueden restablecer el PIN y la contraseña de BitLocker en unidades del sistema operativo, unidades de datos fijas y unidades de datos extraíbles.

Cifrado del disco

Cuando BitLocker está habilitado, se cifra todo el disco.

Puede elegir cifrar todo el disco o solo el espacio utilizado del disco cuando BitLocker está habilitado. A medida que se consuma espacio en disco, se cifrará el disco.

Compatibilidad con unidades de hardware cifradas

BitLocker no lo admite de manera nativa.

BitLocker puede admitir unidades de disco duro con el logotipo de Windows que vienen previamente cifradas de fábrica.

Desbloquear mediante el uso de una clave basada en red para proporcionar autenticación de factor doble

No está disponible. Se requiere presencia física en el equipo para tener autenticación de factor doble.

Un nuevo tipo de protector de clave permite que se use una clave de red para desbloquear y omitir la solicitud de entrada de PIN en situaciones en las que los equipos se reinician en redes con cable confiables. Esto permite el mantenimiento remoto en equipos que están protegidos con un PIN durante las horas no laborables y ofrece una autenticación de factor doble sin que requiera la presencia física en el equipo y, al mismo tiempo, garantiza que se requiera la autenticación del usuario cuando el equipo no está conectado a la red física.

Protección de clústeres

No está disponible.

Windows Server 2012 incluye compatibilidad con BitLocker para volúmenes compartidos de clúster de Windows y clústeres de conmutación por error de Windows que se ejecutan en el dominio establecido por un controlador de dominio de Windows Server 2012 que ha habilitado el servicio del Centro de distribución de claves de Kerberos.

Vinculación de un protector de clave de BitLocker a una cuenta de Active Directory

No está disponible.

Permite vincular un protector de clave de BitLocker a una cuenta de usuario, grupo o equipo en Active Directory. Ese protector de clave se puede usar para desbloquear volúmenes de datos protegidos por BitLocker cuando un usuario inicia sesión con las credenciales correctas o inicia sesión en un equipo con las credenciales correctas.

 

La opción Difusor ya no está disponible para agregarla al algoritmo de cifrado Estándar de cifrado avanzado (AES).

La configuración de la directiva de grupo "Configurar perfil de validación de TPM" está en desuso en Windows 8 y Windows Server 2012. Se ha reemplazado por directivas específicas del sistema para equipos basados en UEFI y BIOS.

La opción –tpm ya no es compatible con manage-bde.

BitLocker cuenta con los siguientes requisitos de hardware:

Para que BitLocker pueda usar la comprobación de integridad del sistema que ofrece un Módulo de plataforma segura (TPM), el equipo debe tener la versión 1.2 o 2.0 de TPM. Si el equipo no tiene ningún TPM, para habilitar BitLocker es necesario que guarde una clave de inicio en un dispositivo extraíble, como una unidad flash USB.

Un equipo con un TPM también debe tener un firmware UEFI o BIOS compatible con TCG (Trusted Computing Group). El firmware UEFI o BIOS establece una cadena de confianza para el inicio anterior al sistema operativo y debe incluir compatibilidad con la raíz estática de Trust Measurement especificada por el TCG. Un equipo sin un TPM no necesita un firmware compatible con TCG.

El firmware UEFI o BIOS del sistema (para equipos con y sin TPM) debe admitir la clase de dispositivo de almacenamiento USB, incluida la lectura de archivos pequeños en una unidad flash USB en el entorno anterior al sistema operativo. Para obtener más información acerca de USB, consulte la sección de almacenamiento USB solo en masa y las especificaciones de comando UFI de almacenamiento en el sitio web de USB.

El disco duro debe estar particionado con al menos dos unidades:

  • La unidad del sistema operativo (o unidad de arranque) contiene el sistema operativo y sus archivos de soporte. Se le debe dar formato con el sistema de archivos NTFS.

  • La unidad del sistema contiene los archivos necesarios para cargar Windows después de que el firmware haya preparado el hardware del sistema. BitLocker no está habilitado en esta unidad. Para que BitLocker funcione, la unidad del sistema no debe estar cifrada, debe ser distinta de la unidad del sistema operativo, y se le debe dar formato con el sistema de archivos FAT32 en los equipos que usan firmware basado en UEFI o con el sistema de archivos NTFS en los equipos que usan el firmware BIOS. Se recomienda que la unidad del sistema tenga un tamaño de aproximadamente 350 MB. Después de que se active BitLocker, debe tener aproximadamente 250 MB de espacio libre.

Cuando esté instalado en un equipo nuevo, Windows creará automáticamente las particiones necesarias para BitLocker.

Mostrar: