Implementación básica de BitLocker
En este tema para profesionales de TI se explica cómo se pueden usar las características de BitLocker para proteger los datos mediante el cifrado de unidad.
Las secciones siguientes proporcionan información que te ayudará a crear tu plan de implementación básico para implementar BitLocker en la organización:
Uso de BitLocker para cifrar volúmenes
Compatibilidad de nivel inferior
Uso de manage-bde para cifrar volúmenes con BitLocker
Uso de PowerShell para cifrar volúmenes con BitLocker
Uso de BitLocker para cifrar volúmenes
BitLocker ofrece cifrado de volumen completo (FVE) para volúmenes del sistema operativo, así como volúmenes de datos fijos y extraíbles. Para admitir los volúmenes del sistema operativo totalmente cifrados, BitLocker usa un volumen del sistema sin cifrar para los archivos necesarios para arrancar, descifrar y cargar el sistema operativo. Este volumen se crea automáticamente durante una instalación nueva de sistemas operativos cliente y servidor.
En caso de que la unidad estuviese preparada como un único espacio contiguo, BitLocker requiere un nuevo volumen para contener los archivos de arranque. BdeHdCfg.exe puede crear estos volúmenes.
Nota
Para obtener más información sobre cómo usar esta herramienta, consulta Bdehdcfg en la referencia de línea de comandos.
El cifrado BitLocker puede realizarse mediante los siguientes métodos:
Panel de control de BitLocker
Explorador de Windows
Interfaz de línea de comando manage-bde
Cmdlets de Windows PowerShell de BitLocker
Cifrado de volúmenes mediante el panel de control de BitLocker
Muchos usuarios usarán BitLocker mediante el cifrado de volúmenes con el panel de control de BitLocker. El nombre del panel de control de BitLocker es Cifrado de unidad BitLocker. El panel de control de BitLocker admite el sistema operativo de cifrado, los volúmenes de datos fijos y extraíbles. El panel de control de BitLocker organizará las unidades disponibles en la categoría adecuada en función de cómo se notifica el propio dispositivo notifica a Windows. Solo los volúmenes formateados con letras de unidad asignadas aparecerán correctamente en el applet del panel de control de BitLocker.
Para iniciar el cifrado de un volumen, selecciona Activar BitLocker para que la unidad adecuada inicialice el Asistente para Cifrado de unidad BitLocker. Las opciones del Asistente para Cifrado de unidad BitLocker varían en función del tipo de volumen (volumen del sistema operativo o volumen de datos).
Volumen de sistema operativo
Después de iniciarse, el Asistente para Cifrado de unidad BitLocker comprueba que el equipo cumple los requisitos del sistema de BitLocker para cifrar un volumen del sistema operativo. De manera predeterminada, los requisitos del sistema son:
| Requisito | Descripción |
|---|---|
Configuración de hardware |
El equipo debe cumplir los requisitos mínimos para las versiones compatibles de Windows. |
Sistema operativo |
BitLocker es una característica opcional que puede instalar el Administrador de servidores en Windows Server 2012 y versiones posteriores. |
TPM de hardware |
TPM versión 1.2 o 2.0 BitLocker no necesita un TPM; sin embargo, solo un equipo con un TPM puede proporcionar la seguridad adicional de la autenticación multifactor y la comprobación de integridad del sistema previo al inicio. |
Configuración de BIOS |
|
Sistema de archivos |
Para equipos que arrancan de forma nativa con firmware UEFI, al menos una partición FAT32 para la unidad del sistema y una partición NTFS para la unidad del sistema operativo. Para equipos con firmware de BIOS heredado, al menos dos particiones de disco NTFS, uno para la unidad del sistema y otro para la unidad del sistema operativo. Para cualquier firmware, la partición de unidad del sistema debe tener al menos 350 megabytes (MB) y establecerse como la partición activa. |
Requisitos previos de la unidad de cifrado de hardware (opcionales) |
Para usar una unidad cifrada de hardware como unidad de arranque, la unidad debe estar en estado sin inicializar y en el estado inactivo de seguridad. Además, el sistema siempre debe arrancar con la versión 2.3.1 de la UEFI nativa o superior y el CSM (si existe) estar deshabilitado. |
Al pasar la configuración inicial, los usuarios deben especificar una contraseña para el volumen. Si el volumen no pasa la configuración inicial de BitLocker, el usuario se presenta con un cuadro de diálogo de error que describe las acciones que se deben realizar.
Una vez que se haya creado una contraseña segura para el volumen, se generará una clave de recuperación. El Asistente para Cifrado de unidad BitLocker pedirá una ubicación para guardar esta clave. Una clave de recuperación de BitLocker es una clave especial que se puede crear cuando se activa el cifrado de unidad BitLocker por primera vez en cada unidad cifrada. Puedes usar la clave de recuperación para obtener acceso a tu equipo si la unidad en la que está instalada Windows (unidad del sistema operativo) está cifrada mediante el cifrado de unidad BitLocker y este detecta un problema que impide desbloquear la unidad cuando arranca el equipo. Una clave de recuperación también puede usarse para obtener acceso a los archivos y las carpetas de una unidad de datos extraíble (como un disco duro externo o una unidad flash USB) cifrados con BitLocker To Go, si por algún motivo olvidas la contraseña o el equipo no puede acceder a la unidad.
Debes almacenar la clave de recuperación imprimiéndola, guardándola en medios extraíbles o como un archivo en una carpeta de red o en OneDrive o en otra unidad del equipo que no se vaya a cifrar. No se puede guardar la clave de recuperación en el directorio raíz de una unidad no extraíble y no se pueden almacenar en el volumen cifrado. No se puede guardar la clave de recuperación de una unidad de datos extraíble (como una unidad flash USB) en un medio extraíble. Lo ideal sería almacenar la clave de recuperación independientemente del equipo. Después de crear una clave de recuperación, puedes usar el panel de control de BitLocker para realizar copias adicionales.
Cuando se ha almacenado correctamente la clave de recuperación, el Asistente para Cifrado de unidad BitLocker le pedirá al usuario que elija cómo cifrar la unidad. Existen dos opciones:
Cifrar solo el espacio en disco utilizado: solo cifra el espacio en disco que contiene datos
Cifrar la unidad entera: cifra todo el volumen, incluido el espacio libre
Para las unidades con pocos o ningún dato se recomienda usar la opción de cifrado de solo el espacio en disco y que las unidades con datos o un sistema operativo usen la opción cifrar toda la unidad.
Nota
Los archivos eliminados aparecen como espacio libre para el sistema de archivos, que no está cifrado solo por el espacio en disco utilizado. Hasta que se hayan borrado o sobrescrito, los archivos eliminados contienen información que se podría recuperar con las herramientas comunes de análisis de datos.
Al seleccionar un tipo de cifrado y elegir Siguiente, el usuario tendrá la opción de ejecutar una comprobación de sistema de BitLocker (seleccionado de forma predeterminada) que asegurará que BitLocker pueda acceder correctamente a las claves de recuperación y de cifrado antes de que comience el cifrado de volumen. Se recomienda ejecutar esta comprobación del sistema antes de iniciar el proceso de cifrado. Si no se ejecuta la comprobación del sistema y se encuentra un problema cuando el sistema operativo intenta iniciar, el usuario deberá proporcionar la clave de recuperación para iniciar Windows.
Tras completar la comprobación del sistema (si está seleccionada), el Asistente para Cifrado de unidad BitLocker reiniciará el equipo para iniciar el cifrado. Al reiniciar, los usuarios tienen que escribir la contraseña elegida para arrancar en el volumen del sistema operativo. Los usuarios pueden verificar el estado de cifrado comprobando el área de notificación del sistema o en el panel de control de BitLocker.
Hasta que se complete el cifrado, las únicas opciones disponibles para administrar BitLocker implican manipular la contraseña que protege el volumen del sistema operativo, realizar copias de seguridad de la clave de recuperación y desactivar BitLocker.
Volumen de datos
El cifrado de volúmenes de datos mediante la interfaz del panel de control de BitLocker funciona de forma similar al cifrado de los volúmenes del sistema operativo. Los usuarios seleccionan Activar BitLocker dentro del panel de control para iniciar el Asistente para Cifrado de unidad BitLocker.
A diferencia de los volúmenes del sistema operativo, no es necesario que los volúmenes de datos pasen las pruebas de configuración para que el Asistente continúe. Tras iniciar al asistente, aparecerá una opción de métodos de autenticación para desbloquear la unidad. Las opciones disponibles son contraseña y tarjeta inteligente y desbloquear automáticamente esta unidad en este equipo. Deshabilitada de forma predeterminada, la última opción desbloquea el volumen de datos sin entrada del usuario cuando se desbloquea el volumen del sistema operativo.
Después de seleccionar el método de autenticación y elegir Siguiente, el asistente presenta opciones de almacenamiento de la clave de recuperación. Estas opciones son las mismas que para los volúmenes de sistemas operativos.
Con la clave de recuperación guardada, al seleccionar Siguiente en el Asistente se mostrarán las opciones disponibles para el cifrado. Estas opciones son las misma que para los volúmenes del sistema operativo; solo el espacio en disco utilizado y cifrado de unidad completa. Si el volumen que se está cifrando es nuevo o está vacío, se recomienda seleccionar el cifrado solo de espacio utilizado.
Una vez elegido un método de cifrado, una pantalla de confirmación final muestra el proceso de cifrado antes de empezar. Al seleccionar Iniciar cifrado empezará el cifrado.
El estado de cifrado se muestra en el área de notificación, o en el panel de control de BitLocker.
Opción de OneDrive
Existe una nueva opción para almacenar la clave de recuperación de BitLocker con OneDrive. Esta opción requiere que los equipos no sean miembros de un dominio y que el usuario este usando una cuenta de Microsoft. Las cuentas locales no ofrecen la opción de usar OneDrive. Usar la opción de OneDrive es el método de almacenamiento de claves de recuperación recomendado y predeterminado para los equipos que no estén unidos a un dominio.
Los usuarios pueden comprobar que la clave de recuperación se guardó correctamente comprobando OneDrive para la carpeta de BitLocker que se crea automáticamente durante el proceso de guardado. La carpeta contendrá dos archivos, un readme.txt y la clave de recuperación. Los usuarios que almacenen más de una contraseña de recuperación en su OneDrive, pueden identificar la clave de recuperación requerida examinando el nombre de archivo. El identificador de la clave de recuperación se anexa al final del nombre del archivo.
Uso de BitLocker en el Explorador de Windows
El Explorador de Windows permite a los usuarios iniciar el Asistente para Cifrado de unidad BitLocker haciendo clic con el botón derecho en un volumen y seleccionando Activar BitLocker. Esta opción está disponible en los equipos cliente de manera predeterminada. En los servidores, primero debes instalar las funciones BitLocker y Experiencia de escritorio para que esta opción esté disponible. Después de seleccionar Activar BitLocker, el asistente funciona exactamente igual que cuando se inicia usando el panel de control de BitLocker.
Compatibilidad de nivel inferior
La siguiente tabla muestra la matriz de compatibilidad para los sistemas que han sido habilitados para BitLocker y, a continuación, presentados a una versión diferente de Windows.
Tabla 1: Compatibilidad cruzada para volúmenes cifrados en Windows 10, Windows 8.1, Windows 8 y Windows 7
Tipo de cifrado |
Windows 10 y Windows 8.1 |
Windows 8 |
Windows 7 |
Totalmente cifrados en Windows 8 |
Presenta como totalmente cifrados |
No disponible |
Presentados como totalmente cifrados |
Solo espacio en disco utilizado cifrado en Windows 8 |
Presenta como cifrado en escritura |
No disponible |
Presentados como totalmente cifrados |
Volumen completamente cifrado de Windows 7 |
Presenta como totalmente cifrados |
Presentados como totalmente cifrados |
No disponible |
Volumen parcialmente cifrado de Windows 7 |
Windows 10 y Windows 8.1 completarán el cifrado independientemente de la directiva |
Windows 8 completará el cifrado independientemente de la directiva |
No disponible |
Cifrado de volúmenes mediante la interfaz de línea de comando manage-bde
Manage-bde es una utilidad de línea de comandos que puede usarse para las operaciones de scripting de BitLocker. Manage-bde ofrece opciones adicionales que no se muestra en el panel de control de BitLocker. Para obtener la lista completa de opciones, consulta Manage-bde.
Manage-bde ofrece una gran variedad de opciones más amplias para configurar BitLocker. Esto significa que el uso de la sintaxis de comando puede requerir atención y posiblemente una personalización posterior por parte del usuario. Por ejemplo, si solo se usa el comando manage-bde -on en un volumen de datos, el volumen se cifrará completamente sin ningún protector de autenticación. Un volumen cifrado de esta manera aún requiere la interacción del usuario para activar la protección de BitLocker, incluso si el comando se ha completado correctamente, porque se debe agregar un método de autenticación al volumen para que esté totalmente protegido.
Los usuarios de la línea de comandos deben determinar la sintaxis apropiada para cada situación. La siguiente sección abarca el cifrado general de volúmenes del sistemas operativos y volúmenes de datos.
Volumen de sistema operativo
A continuación se enumeran unos ejemplos de comandos válidos básicos para volúmenes del sistema operativo. En general, si solo se usa el comando manage-bde -on <drive letter>, el volumen del sistema operativo se cifrará con un protector de solo TPM y sin clave de recuperación. Sin embargo, muchos entornos requieren protectores más seguros, como contraseñas o PIN y esperan poder recuperar información con una clave de recuperación.
Determinar el estado del volumen
Una buena práctica al usar manage-bde consiste en determinar el estado del volumen del sistema de destino. Usa el siguiente comando para determinar el estado del volumen:
manage-bde -status
Este comando devuelve los volúmenes del destino, el estado de cifrado actual y el tipo volumen de tipo de cifrado (sistema operativo o datos) para cada volumen. Con esta información, los usuarios pueden determinar el mejor método de cifrado para su entorno.
Habilitación de BitLocker sin un TPM
Por ejemplo, supongamos que quieres habilitar BitLocker en un equipo sin un chip TPM. Para habilitar correctamente BitLocker en el volumen del sistema operativo, debes usar una unidad flash USB como clave de inicio para arrancar (en este ejemplo, la letra de unidad E). Primero debes crear la clave de inicio necesaria para BitLocker usando la opción de protectores y guardarla en la unidad USB en E: y, a continuación, iniciar el proceso de cifrado. Tendrás que reiniciar el equipo cuando se te pida para completar el proceso de cifrado.
manage-bde –protectors -add C: -startupkey E:
manage-bde -on C:
Habilitación de BitLocker solo con un TPM
Es posible cifrar el volumen del sistema operativo sin ningún protector definido mediante manage-bde. El comando para hacer esto es:
manage-bde -on C:
Esto va a cifrar la unidad usando el TPM como protector. Si un usuario no está seguro del protector para un volumen, pueden usar la opción -protectors en manage-bde para mostrar esta información con el comando:
manage-bde -protectors -get <volume>
Aprovisionamiento de BitLocker con dos protectores
Otro ejemplo es un usuario en hardware no TPM que desee agregar un protector basado en SID y una contraseña para el volumen del sistema operativo. En este caso, el usuario agrega primero los protectores. Esto se realiza con el comando:
manage-bde -protectors -add C: -pw -sid <user or group>
Este comando requerirá que el usuario escriba y luego confirme el protector de contraseña antes de agregarlos al volumen. Con los protectores habilitados en el volumen, el usuario solo necesita activar BitLocker.
Volumen de datos
Los volúmenes de datos usan la misma sintaxis para el cifrado que los volúmenes del sistema operativo, pero no requieren protectores para que se complete la operación. El cifrado de volúmenes de datos puede realizarse mediante el comando base: manage-bde -on <drive letter> o los usuarios pueden elegir agregar protectores al volumen. Se recomienda agregar al menos un protector principal y un protector de recuperación a un volumen de datos.
Habilitación de BitLocker con una contraseña
Un protector común para un volumen de datos es el protector de contraseña. En el ejemplo siguiente, agregamos un protector de contraseña al volumen y activamos BitLocker.
manage-bde -protectors -add -pw C:
manage-bde -on C:
Uso de manage-bde para cifrar volúmenes con BitLocker
Cifrado de volúmenes mediante los cmdlets de Windows PowerShell de BitLocker
Los cmdlets de PowerShell de Windows proporcionan un modo alternativo de trabajar con BitLocker. Usando las capacidades de scripting de Windows PowerShell, los administradores pueden integrar fácilmente las opciones de BitLocker en scripts existentes. La siguiente lista muestra los cmdlets de BitLocker disponibles.
Nombre |
Parámetros |
Add-BitLockerKeyProtector |
-ADAccountOrGroup -ADAccountOrGroupProtector -Confirm -MountPoint -Password -PasswordProtector -Pin -RecoveryKeyPath -RecoveryKeyProtector -RecoveryPassword -RecoveryPasswordProtector -Service -StartupKeyPath -StartupKeyProtector -TpmAndPinAndStartupKeyProtector -TpmAndPinProtector -TpmAndStartupKeyProtector -TpmProtector -WhatIf |
Backup-BitLockerKeyProtector |
-Confirm -KeyProtectorId -MountPoint -WhatIf |
Disable-BitLocker |
-Confirm -MountPoint -WhatIf |
Disable-BitLockerAutoUnlock |
-Confirm -MountPoint -WhatIf |
Enable-BitLocker |
-AdAccountOrGroup -AdAccountOrGroupProtector -Confirm -EncryptionMethod -HardwareEncryption -Password -PasswordProtector -Pin -RecoveryKeyPath -RecoveryKeyProtector -RecoveryPassword -RecoveryPasswordProtector -Service -SkipHardwareTest -StartupKeyPath -StartupKeyProtector -TpmAndPinAndStartupKeyProtector -TpmAndPinProtector -TpmAndStartupKeyProtector -TpmProtector -UsedSpaceOnly -WhatIf |
Enable-BitLockerAutoUnlock |
-Confirm -MountPoint -WhatIf |
Get-BitLockerVolume |
-MountPoint |
Lock-BitLocker |
-Confirm -ForceDismount -MountPoint -WhatIf |
Remove-BitLockerKeyProtector |
-Confirm -KeyProtectorId -MountPoint -WhatIf |
Resume-BitLocker |
-Confirm -MountPoint -WhatIf |
Suspend-BitLocker |
-Confirm -MountPoint -RebootCount -WhatIf |
Unlock-BitLocker |
-AdAccountOrGroup -Confirm -MountPoint -Password -RecoveryKeyPath -RecoveryPassword -RecoveryPassword -WhatIf |
De modo similar a manage-bde, los cmdlets de Windows PowerShell permiten una configuración más allá de las opciones que se ofrecen en el panel de control. Al igual que con manage-bde, los usuarios deben tener en cuenta las necesidades específicas del volumen que están cifrando antes de ejecutar los cmdlets de Windows PowerShell.
Un buen paso inicial consiste en determinar el estado actual de los volúmenes en el equipo. Puedes hacer esto con el cmdlet de volumen Get-BitLocker. El resultado de este cmdlet muestra información sobre el tipo de volumen, los protectores, el estado de protección y otra información útil.
Ocasionalmente, es posible que no se muestren todos los protectores cuando se usa Get-BitLockerVolume debido a la falta de espacio en la pantalla de salida. Si no ves todos los protectores de un volumen, puedes usar el comando de la canalización de Windows PowerShell (|) para dar formato a una lista de protectores.
Nota
En caso de que haya más de cuatro protectores para un volumen, el comando de canalización podría quedarse sin espacio de visualización. Volúmenes con más de cuatro protectores, usa el método descrito en la siguiente sección para generar una lista de todos los protectores con identificador de protector.
Get-BitLockerVolume C: | fl
Si deseas quitar los protectores existentes antes de aprovisionar BitLocker en el volumen, puedes usar el cmdlet Remove-BitLockerKeyProtector. Para conseguir esto se debe eliminar el GUID asociado con el protector.
Un único script puede canalizar los valores de cada devolución de Get-BitLockerVolume a otras variables tal como se muestra a continuación:
$vol = Get-BitLockerVolume
$keyprotectors = $vol.KeyProtector
Con esto, podemos mostrar la información de la variable $keyprotectors para determinar el GUID para cada protector.
Con esta información, podemos quitar el protector de clave para un volumen específico mediante el comando:
Remove-BitLockerKeyProtector <volume>: -KeyProtectorID "{GUID}"
Nota
El cmdlet de BitLocker requiere que el GUID protector de clave esté entre comillas para ejecutarse. Asegúrate de que el GUID completo, con llaves, se incluye en el comando.
Volumen de sistema operativo
Usar los cmdlets de Windows PowerShell de BitLocker es similar a trabajar con la herramienta de manage-bde para cifrar volúmenes del sistema operativo. Windows PowerShell ofrece mucha flexibilidad a los usuarios. Por ejemplo, los usuarios pueden agregar el protector deseado como elemento de comando para cifrar el volumen. A continuación se muestran ejemplos de escenarios de usuario y los pasos para llevarlos a cabo mediante los cmdlets de BitLocker para Windows PowerShell.
Para habilitar BitLocker solo con el protector de TPM. Esto puede realizarse mediante el comando:
Enable-BitLocker C:
El siguiente ejemplo agrega un protector adicional, los protectores StartupKey y decide omitir la prueba de hardware de BitLocker. En este ejemplo, el cifrado inicia inmediatamente sin necesidad de reiniciar el sistema.
Enable-BitLocker C: -StartupKeyProtector -StartupKeyPath <path> -SkipHardwareTest
Volumen de datos
El cifrado de volumen de datos mediante Windows PowerShell es el mismo para volúmenes del sistema operativo. Debes agregar los protectores deseados antes de cifrar el volumen. El siguiente ejemplo agrega un protector de contraseña al volumen E: usando la variable $pw como contraseña. La variable $pw se guarda como un valor SecureString para almacenar la contraseña definida por el usuario. Por último, comienza el cifrado.
$pw = Read-Host -AsSecureString
<user inputs password>
Enable-BitLockerKeyProtector E: -PasswordProtector -Password $pw
Usar un protector basado en SID en Windows PowerShell
El protector ADAccountOrGroup es un protector basado en SID de Active Directory. Este protector puede agregarse al sistema operativo y a los volúmenes de datos, aunque no desbloquea volúmenes del sistema operativo en el entorno de prearranque. El protector requiere que el SID del grupo o de la cuenta de dominio se vincule con el protector. BitLocker puede proteger un disco compatible con clústeres agregando un protector basado en SID para el objeto de nombre de clúster (CNO) de nombre clúster (CNO) que permita que el disco conmute por error correctamente y que se desbloquee para cualquier equipo miembro del clúster.
Advertencia
El protector basado en SID requiere el uso de un protector adicional (como TPM, PIN, clave de recuperación, etc.) cuando se usa en volúmenes del sistema operativo.
Para agregar un protector ADAccountOrGroup a un volumen es necesario el SID del dominio real o el nombre del grupo precedido por el dominio y una barra diagonal inversa. En el ejemplo siguiente, se agrega la cuenta CONTOSO\Administrator como un protector para el volumen de datos G.
Enable-BitLocker G: -AdAccountOrGroupProtector -AdAccountOrGroup CONTOSO\Administrator
Para los usuarios que deseen usar el SID para la cuenta o el grupo, el primer paso consiste en determinar el SID asociado a la cuenta. Para obtener el SID específico de una cuenta de usuario de Windows PowerShell, usa el siguiente comando:
get-aduser -filter {samaccountname -eq "administrator"}
Nota
El uso de este comando requiere la característica RSAT-AD-PowerShell.
Sugerencia
Además del comando anterior de Windows PowerShell, se puede encontrar información sobre el usuario que haya iniciado la sesión localmente y la pertenencia a grupos usando: WHOAMI /ALL. Esto no requiere el uso de características adicionales.
En el siguiente ejemplo, el usuario desee agregar un protector de dominio basado en SID al volumen del sistema operativo cifrado anteriormente. El usuario conoce el SID del grupo o cuenta de usuario que desean agregar y usa el siguiente comando:
Add-BitLockerKeyProtector C: -ADAccountOrGroupProtector -ADAccountOrGroup "<SID>"
Nota
Los protectores basados en Active Directory suelen usarse para desbloquear volúmenes habilitados para clúster de conmutación por error.
Uso de PowerShell para cifrar volúmenes con BitLocker
Comprobación del estado de BitLocker
Para comprobar el estado de BitLocker de un volumen en particular, los administradores pueden consultar el estado de la unidad en el panel de control de BitLocker, el Explorador de Windows, la herramienta de línea de comandos de manage-bde o en los cmdlets de Windows PowerShell. Cada opción ofrece distintos niveles de detalle y facilidad de uso. En la siguiente sección veremos cada uno de los métodos disponibles.
comprobación del estado de BitLocker con el panel de control
La comprobación del estado de BitLocker con el panel de control es el método más común usado por la mayoría de los usuarios. Una vez abierto, se mostrará el estado de cada volumen junto a la letra de la unidad y la descripción del volumen. Los valores devueltos del estado disponible con el panel de control incluyen
Estado |
Descripción |
Activado |
BitLocker está habilitado para el volumen |
Desactivado |
BitLocker no está habilitado para el volumen |
Suspendido |
BitLocker se suspende y no está protegiendo activamente el volumen |
Esperando la activación |
BitLocker está habilitado con una clave protectora sin cifrado y requiere más acciones para estar completamente protegido. |
Si una unidad está aprovisionada previamente con BitLocker, se muestra un estado de "Esperando la activación" con un icono de signo de exclamación amarillo en el volumen E. Este estado significa que solo se usó un protector sin cifrado al cifrar el volumen. En este caso, el volumen no está en un estado protegido y debe tener una clave segura agregada al volumen antes de que la unidad esté totalmente protegida. Los administradores pueden usar el panel de control, la herramienta manage-bde o las API de WMI para agregar un protector de clave apropiado. Una vez completado, el panel de control se actualizará para reflejar el nuevo estado.
Con el panel de control, los administradores pueden elegir Activar BitLocker para iniciar el Asistente para Cifrado de unidad BitLocker y agregar un protector, como el PIN para un volumen del sistema operativo (o contraseña si no existe ningún TPM), o una contraseña o un protector de tarjeta inteligente para un volumen de datos.
Aparece la ventana de seguridad de la unidad antes de cambiar el estado del volumen. Al seleccionar Activar BitLocker completará el proceso de cifrado.
Una vez completada la activación del protector de BitLocker, se muestra el aviso de finalización.
Comprobación del estado de BitLocker con manage-bde
Los administradores que prefieren una interfaz de línea de comandos pueden usar manage-bde para comprobar el estado del volumen. Manage-bde puede devolver más información sobre el volumen que las herramientas de la interfaz de usuario gráfico en el panel de control. Por ejemplo, manage-bde puede mostrar la versión de BitLocker en uso, el tipo de cifrado y los protectores con un volumen.
Para comprobar el estado de un volumen que use manage-bde, usa el siguiente comando:
manage-bde -status <volume>
Nota
Si no hay ninguna letra de volumen asociada con el comando -status, todos los volúmenes mostrarán su estado.
Comprobación del estado de BitLocker con Windows PowerShell
Los comandos de Windows PowerShell ofrecen otra forma de consultar el estado de BitLocker para volúmenes. Al igual que manage-bde, Windows PowerShell incluye la ventaja de poder comprobar el estado de un volumen en un equipo remoto.
Al usar el cmdlet Get-BitLockerVolume, todos los volúmenes del sistema mostrarán el estado actual de BitLocker. Para obtener información más detallada sobre un volumen específico, usa el siguiente comando:
Get-BitLockerVolume <volume> -Verbose | fl
Este comando mostrará información sobre el método de cifrado, el tipo de volumen, los protectores de clave, etc..
Aprovisionamiento de BitLocker durante la implementación del sistema operativo
Los administradores pueden habilitar BitLocker antes de la implementación del sistema operativo desde el Entorno de preinstalación de Windows. Esto se hace con un protector de clave sin cifrado generado aleatoriamente aplicado al volumen con formato y cifrando el volumen antes de ejecutar el proceso de instalación de Windows. Si el cifrado usa la opción Solo espacio en disco utilizado que se describe más adelante en este documento, este paso solo tarda unos segundos y se incorpora a los procesos normales de implementación.
Descifrado de volúmenes de BitLocker
El descifrado de volúmenes quita BitLocker y cualquier protector asociado de los volúmenes. El descifrado debe producirse cuando protección ya no es necesaria. El descifrado de BitLocker no debe ocurrir como un paso de solución de problemas. BitLocker se puede quitar de un volumen mediante el applet del panel de control de BitLocker, manage-bde o cmdlets de Windows PowerShell. Más adelante analizaremos cada método.
Descifrado de volúmenes mediante el applet del panel de control de BitLocker
El descifrado de BitLocker mediante el panel de control se realiza con la ayuda de un Asistente. Se puede llamar al panel de control desde el Explorador de Windows o abriéndolo directamente. Después de abrir el panel de control de BitLocker, los usuarios seleccionan la opción Desactivar BitLocker para iniciar el proceso.
Una vez seleccionado, el usuario decide continuar haciendo clic en el cuadro de diálogo de confirmación. Con la opción Desactivar BitLocker confirmada, comenzará el proceso de descifrado de la unidad y notificará el estado al panel de control.
El panel de control no informa del progreso de descifrado pero lo muestra el área de notificación de la barra de tareas. Al seleccionar el icono del área de notificación se abrirá un diálogo modal con progreso.
Una vez completado el descifrado, la unidad actualiza su estado en el panel de control y está disponible para el cifrado.
Descifrado de volúmenes mediante la interfaz de línea de comando manage-bde
El descifrado de volúmenes con manage-bde es muy sencillo. El descifrado con manage-bde ofrece la ventaja de que no requiere la confirmación del usuario para iniciar el proceso. Manage-bde usa el comando -off para iniciar el proceso de descifrado. Este es un comando de ejemplo para el descifrado:
manage-bde -off C:
Este comando deshabilita los protectores mientras descifra el volumen y quita todos los protectores cuando se completa el descifrado. Si un usuario desea comprobar el estado del descifrado, puede usar el siguiente comando:
manage-bde -status C:
Descifrado de volúmenes mediante los cmdlets de Windows PowerShell de BitLocker
El descifrado con los cmdlets de Windows PowerShell es sencillo, similar a manage-bde. La ventaja adicional que ofrece Windows PowerShell es la capacidad de descifrar varias unidades de una sola vez. En el siguiente ejemplo, el usuario tiene tres volúmenes cifrados, que desean descifrar.
Mediante el comando Disable-BitLocker, pueden quitar todos los protectores y cifrados al mismo tiempo sin necesidad de comandos adicionales. Este es un ejemplo de este comando:
DisableBitLocker
Si un usuario no desea escribir cada punto de montaje individualmente, usar el parámetro -MountPoint en una matriz puede secuenciar el mismo comando en una línea sin necesidad de entradas de usuario adicionales. Este es un comando de ejemplo:
Disable-BitLocker -MountPoint E:,F:,G:
Consulta también
Prepara tu organización para BitLocker: planificación y directivas
Guía de recuperación de BitLocker