Preguntas más frecuentes (P+F) de BitLocker
En este tema para el profesional de TI se responden preguntas frecuentes relativas a los requisitos para usar, actualizar, implementar y administrar, así como directivas de administración de claves de BitLocker.
BitLocker es una característica de protección de datos que cifra unidades de disco duro en el equipo para proporcionar protección mejorada contra robos o exposición en los equipos y las unidades extraíbles perdidas o robadas y la eliminación de datos es más segura cuando se retiran los equipos protegidos con BitLocker ya que es mucho más difícil recuperar los datos eliminados de una unidad cifrada que de una unidad sin cifrar.
Información general y requisitos
Actualización
Implementación y administración
Administración de claves
BitLocker To Go
Servicios de dominio de Active Directory (AD DS)
Seguridad
Desbloqueo de BitLocker en red
Otras preguntas
Información general y requisitos
¿Cómo funciona BitLocker?
Funcionamiento de BitLocker con unidades de sistema operativo
Puedes usar BitLocker para mitigar el acceso no autorizado de datos en equipos perdidos o robados cifrando todos los archivos de usuario y archivos de sistema en la unidad del sistema operativo, incluidos los archivos de intercambio y los archivos de hibernación, y comprobar la integridad de los componentes de las primeras fases de arranque y datos de configuración de arranque.
Funcionamiento de BitLocker con unidades de datos fijas y extraíbles
Puedes usar BitLocker para cifrar todo el contenido de una unidad de datos. Puedes usar las directivas de grupo para requerir que BitLocker esté habilitado en una unidad antes de que el equipo pueda escribir datos en la unidad. BitLocker puede configurarse con diversos métodos de desbloqueo para unidades de datos; una unidad de datos admite varios métodos de desbloqueo.
¿BitLocker admite la autenticación multifactor?
Sí, BitLocker admite la autenticación multifactor para unidades de sistema operativo. Si habilitas BitLocker en un equipo que tiene un TPM versión 1.2 o posterior, puedes usar otras formas de autenticación con la protección de TPM.
¿Cuáles son los requisitos de hardware y software de BitLocker?
Nota
Los discos dinámicos no son compatibles con BitLocker. Los volúmenes de datos dinámicos no se mostrarán en el Panel de control. Aunque el volumen del sistema operativo siempre se mostrará en el Panel de control, independientemente de que sea un disco dinámico, si es un disco dinámico no puede estar protegido con BitLocker.
¿Por qué se necesitan dos particiones? ¿Por qué la unidad del sistema debe ser tan grande?
Se necesitan dos particiones para ejecutar BitLocker porque la comprobación de integridad del sistema y la autenticación previa al inicio deben producirse en una partición independiente de la unidad del sistema operativo cifrada. Esta configuración te ayuda a proteger el sistema operativo y la información de la unidad cifrada.
¿Qué módulos de plataforma segura (TPM) admite BitLocker?
BitLocker admite TPM versión 1.2 o posterior.
¿Cómo puedo saber si hay un TPM en mi equipo?
Abre la consola de MMC de TPM (tpm.msc) y busca en el encabezado de estado.
¿Puedo usar BitLocker en una unidad del sistema operativo sin un TPM?
Sí, puedes habilitar BitLocker en una unidad del sistema operativo sin un TPM versión 1.2 o posterior si el firmware de BIOS o UEFI tiene la capacidad de leer desde una unidad flash USB en el entorno de arranque. Esto se debe a que BitLocker no desbloquea la unidad protegida hasta que la propia clave maestra de volumen de BitLocker se libera primero, ya sea por el TPM del equipo o por una unidad flash USB que contenga la clave de inicio de BitLocker para ese equipo. Sin embargo, los equipos sin TPM no podrán usar la comprobación de integridad del sistema que BitLocker también puede proporcionar.
Para ayudar a determinar si un equipo puede leer desde un dispositivo USB durante el proceso de arranque, usa la comprobación del sistema de BitLocker como parte del proceso de configuración de BitLocker. Esta comprobación del sistema realiza pruebas para confirmar que el equipo puede leer correctamente desde los dispositivos USB en el momento adecuado y que el equipo cumple con otros requisitos de BitLocker.
¿Cómo puedo obtener soporte de BIOS para el TPM de mi equipo?
Ponte en contacto con el fabricante del equipo para solicitar un firmware de arranque BIOS o UEFI compatible con Trusted Computing Group (TCG) que cumpla los requisitos siguientes:
Es compatible con los estándares de TCG para un equipo cliente.
Tiene un mecanismo de actualización seguro para ayudar a evitar que un firmware de arranque o BIOS malintencionado se instale en el equipo.
¿Qué credenciales son necesarias para usar BitLocker?
Para activar, desactivar o cambiar las configuraciones de BitLocker en el sistema operativo y las unidades de datos fijas, es necesario pertenecer al grupo de administradores local. Los usuarios estándar pueden activar, desactivar o cambiar las configuraciones de BitLocker en unidades de datos extraíbles.
¿Cuál es el orden de arranque recomendado para los equipos que vayan a estar protegidos con BitLocker?
Antes que cualquier otra unidad como unidades de CD/DVD o USB, debes configurar las opciones de inicio del equipo para que la unidad de disco duro esté primera en el orden de arranque. Si el disco duro no es el primero y normalmente arrancas desde un disco duro, podrá detectarse o suponerse un cambio del orden de arranque cuando se encuentren medios extraíbles durante el arranque. Normalmente, el orden de arranque afecta a la medición del sistema que comprueba BitLocker y un cambio en el orden de arranque hará que se te pida la clave de recuperación de BitLocker. Por la misma razón, si tienes un equipo portátil con una estación de acoplamiento, asegúrate de que la unidad de disco duro es el primera en el orden de arranque tanto cuando está acoplada como cuando está desacoplada.
Actualización
¿Puedo actualizar mi equipo Windows 7 o Windows 8 a Windows 10 con BitLocker habilitado?
Sí. Abre el Panel de control de Cifrado de unidad BitLocker, haz clic en Administrar BitLocker y, a continuación, haz clic en Suspender. Al suspender la protección no se descifra la unidad; se deshabilitan los mecanismos de autenticación usados por BitLocker y se usa una clave sin cifrado en la unidad para permitir el acceso. Una vez completada la actualización, abre el Explorador de Windows, haz clic con el botón derecho en la unidad y, a continuación, haz clic en Reanudar protección. De esta forma se vuelven a aplicar los métodos de autenticación de BitLocker y se elimina la clave sin cifrado.
¿Cuál es la diferencia entre la suspensión y el descifrado de BitLocker?
Descifrar elimina completamente la protección de BitLocker y descifra totalmente la unidad.
Suspender mantiene los datos cifrados pero cifra la clave maestra de volumen de BitLocker con una de las claves sin cifrado. La clave sin cifrado es una clave criptográfica almacenada sin cifrar ni proteger en la unidad de disco. Al almacenar esta clave no cifrada, la opción Suspender permite cambios o actualizaciones en el equipo sin el tiempo ni el costo de descifrar y volver a cifrar toda la unidad. Después de que se realicen los cambios y se vuelva a habilitar BitLocker, BitLocker cerrará la clave de cifrado con los nuevos valores de los componentes medidos que se modificaron como parte de la actualización, se cambiará la clave maestra del volumen, se actualizarán los protectores para que coincidan y se borrará la clave sin cifrado.
¿Es necesario descifrar la unidad protegida con BitLocker para descargar e instalar las actualizaciones del sistema?
La siguiente tabla muestra qué acción se debe llevar a cabo antes de realizar una instalación de actualización o una actualización.
| Tipo de actualización | Acción |
|---|---|
Windows Anytime Upgrade |
Descifrar |
Actualizar a Windows 10 |
Suspender |
Actualizaciones de software que no son de Microsoft, como:
|
Suspender |
Actualizaciones de software y del sistema operativo de Windows Update |
Nada |
Nota
Si se ha suspendido BitLocker, se puede reanudar la protección de BitLocker después de haber instalado la actualización. Al reanudar la protección, BitLocker cerrará la clave de cifrado con los nuevos valores de los componentes medidos que se modificaron como parte de la actualización. Si estos tipos de actualizaciones se aplican sin suspender BitLocker, el equipo entrará en modo de recuperación al reiniciarse y se necesitará una clave de recuperación o contraseña para tener acceso al equipo.
Implementación y administración
¿Se puede automatizar la implementación de BitLocker en un entorno empresarial?
Sí, puede automatizar la implementación y la configuración de BitLocker y el TPM mediante scripts de WMI o Windows PowerShell. Cómo elegir implementar los scripts depende del entorno. También se puede usar Manage-bde.exe para configurar BitLocker de forma local o remota. Para obtener más información acerca de cómo escribir scripts que usan los proveedores de WMI de BitLocker, consulta Proveedor de cifrado de unidad BitLocker. Para obtener más información sobre cómo usar los cmdlets de Windows PowerShell con cifrado de unidad BitLocker, consulta Cmdlets de BitLocker en Windows PowerShell.
¿Puede cifrar BitLocker algo más que la unidad del sistema operativo?
Sí.
¿Hay un impacto notable en el rendimiento cuando BitLocker está habilitado en un equipo?
Por lo general, impone una sobrecarga de rendimiento de un solo dígito de porcentaje.
¿Cuánto tardará el cifrado inicial cuando está activado BitLocker?
Aunque el cifrado de BitLocker se produce en segundo plano mientras se sigue trabajando, y el sistema se puede seguir usando, los tiempos de cifrado varían en función del tipo de unidad que se cifra, del tamaño de la unidad y de la velocidad de la misma. Si vas a cifrar unidades muy grandes, puede que desees establecer el cifrado para que se produzca durante las horas en que no se usa la unidad.
También puedes elegir si BitLocker debe o no cifrar toda la unidad o solo el espacio usado en la unidad al activar BitLocker. En una nueva unidad de disco duro, cifrar solo el espacio usado puede resultar considerablemente más rápido que cifrar toda la unidad. Cuando se selecciona esta opción de cifrado, BitLocker cifra automáticamente los datos a medida que se guardan, garantizando que ningún dato se guarde sin cifrar.
¿Qué sucede si el equipo está apagado durante el cifrado o descifrado?
Si el equipo está apagado o entra en modo de hibernación, el proceso de cifrado y descifrado de BitLocker se reanudará donde se detuvo la próxima vez que Windows se inicie. Esto ocurre incluso si repentinamente se interrumpe el suministro de energía.
¿Cifra y descifra BitLocker toda la unidad a la vez al leer y escribir datos?
No, BitLocker no cifra y descifra toda la unidad al leer y escribir datos. Se descifran los sectores cifrados en la unidad protegida con BitLocker solo cuando las operaciones de lectura del sistema lo solicitan. Los bloques que se escriben en la unidad se cifran antes de que el sistema las escriba en el disco físico. Nunca se almacenan datos sin cifrar en una unidad protegida con BitLocker.
¿Cómo puedo evitar que los usuarios de una red almacenen datos en una unidad sin cifrar?
Puedes realizar la configuración de directivas de grupo para que las unidades de datos estén protegidas con BitLocker antes de que un equipo protegido con BitLocker pueda escribir datos en ellas. Para obtener más información, consulta Configuración de las directivas de grupo de BitLocker.
Cuando se habilitan estas configuraciones de directiva, el sistema operativo protegido con BitLocker montará las unidades de datos que no estén protegidas con BitLocker como de solo lectura.
¿Qué cambios del sistema harían que se produjera un error en la comprobación de integridad de la unidad del sistema operativo?
Los siguientes tipos de cambios en el sistema pueden causar un error de comprobación de integridad e impedir que el TPM libere la clave de BitLocker para descifrar la unidad del sistema operativo protegida:
Mover la unidad protegida con BitLocker a un equipo nuevo.
Instalar una nueva placa base con un nuevo TPM.
Desactivar, deshabilitar o borrar el TPM.
Cambiar los valores de configuración de arranque.
Cambiar el BIOS, el firmware de UEFI, el registro de arranque maestro, el sector de arranque, el administrador de arranque, la opción de ROM u otros componentes de las primeras fases de arranque o datos de configuración de arranque.
¿Qué hace que BitLocker se inicie en modo de recuperación al intentar iniciar la unidad del sistema operativo?
Como BitLocker está diseñado para proteger el equipo contra numerosos ataques, hay muchas razones por las que BitLocker se puede iniciar en modo de recuperación. En BitLocker, la recuperación se compone del descifrado de una copia de la clave maestra de volumen con una clave de recuperación almacenada en una unidad flash USB o una clave criptográfica derivada de una contraseña de recuperación. El TPM no participa en los escenarios de recuperación, así que la recuperación sigue siendo posible si el TPM no consigue la validación de los componentes de arranque, o si no funciona bien o se elimina.
¿Puedo intercambiar discos duros en el mismo equipo si BitLocker está habilitado en la unidad del sistema operativo?
Sí, puedes intercambiar varios discos duros del mismo equipo si BitLocker está habilitado, pero solo si los discos duros estaban protegidos con BitLocker en el mismo equipo. Las claves de BitLocker son únicas para el TPM y la unidad del sistema operativo, pero si quieres preparar una copia de seguridad de la unidad de datos o el sistema operativo para su uso en caso de error del disco, deberás asegurarte de que coincidan con el TPM correcto. Puedes configurar diferentes unidades de disco duro para distintos sistemas operativos y, a continuación, habilitar BitLocker en cada uno con diferentes métodos de autenticación (por ejemplo, uno con solo TPM y otro con TPM y PIN) sin conflictos.
¿Se puede obtener acceso a la unidad protegida con BitLocker si se inserta el disco duro en un equipo diferente?
Sí, si la unidad es una unidad de datos, puedes desbloquearla en el elemento Panel de control de Cifrado de unidad BitLocker como lo harías con cualquier otra unidad de datos mediante una contraseña o una tarjeta inteligente. Si la unidad de datos se ha configurado solo para desbloqueo automático, tendrás que desbloquearla usando la clave de recuperación. Un agente de recuperación de datos puede desbloquear el disco duro cifrado (si hay alguno configurado) o puede desbloquearse mediante la clave de recuperación.
¿Por qué no está "Activar BitLocker" disponible al hacer clic con el botón derecho en una unidad?
Algunas unidades no pueden cifrarse con BitLocker. Entre las razones por las que no se puede cifrar una unidad están el tamaño insuficiente del disco, un sistema de archivos incompatible, si la unidad es un disco dinámico, o que una unidad se haya designado como partición del sistema. De manera predeterminada, la unidad del sistema (o la partición del sistema) no aparece en la pantalla. Sin embargo, si no se crea como unidad oculta al instalar el sistema operativo debido a un proceso de instalación personalizada, es probable que dicha unidad se muestre, pero no podrá cifrarse.
¿Qué tipo de configuraciones de disco son compatibles con BitLocker?
Cualquier número de unidades de datos fijas e internas se pueden proteger con BitLocker. En algunas versiones, los dispositivos de almacenamiento de conexión directa basados en ATA y SATA también son compatibles.
Administración de claves
¿Cuál es la diferencia entre una contraseña de propietario TPM, la contraseña de recuperación, la clave de recuperación, la contraseña, el PIN, el PIN mejorado y la clave de inicio?
Hay varias claves que BitLocker puede generar y usar. Algunas claves son necesarios y otras son protectores opcionales que puedes usar según el nivel de seguridad que necesites.
¿Cómo se pueden almacenar la contraseña de recuperación y la clave de recuperación?
La contraseña de recuperación y la clave de recuperación de una unidad del sistema operativo o una unidad de datos fija se pueden guardar en una carpeta, en uno o más dispositivos USB, en tu cuenta Microsoft o se pueden imprimir.
En el caso de las unidades de datos extraíbles, la contraseña de recuperación y la clave de recuperación se pueden guardar en una carpeta, en tu cuenta de Microsoft o se pueden imprimir. De manera predeterminada, no se puede almacenar una clave de recuperación para una unidad extraíble en una unidad extraíble.
Un administrador de dominio puede además configurar las directivas de grupo para generar automáticamente las contraseñas de recuperación y almacenarlas en servicios de dominio de Active Directory (AD DS) para cualquier unidad protegida con BitLocker.
¿Es posible agregar un método de autenticación adicional sin descifrar la unidad si solo tengo habilitado el método de autenticación de TPM?
Puedes usar la herramienta de línea de comandos Manage-bde.exe para reemplazar el modo de autenticación de TPM solamente con el modo de autenticación multifactor. Por ejemplo, si BitLocker solo está habilitado con la autenticación de TPM y quieres agregar la autenticación de PIN, usa los siguientes comandos desde un símbolo del sistema con privilegios elevados, sustituyendo <4-20 digit numeric PIN> con el PIN numérico que desees usar:
manage-bde –protectors –delete %systemdrive% -type tpm
manage-bde –protectors –add %systemdrive% -tpmandpin <4-20 digit numeric PIN>
¿Si se pierde la información de recuperación, serán los datos protegidos por BitLocker irrecuperables?
BitLocker está diseñado para hacer que la unidad cifrada sea irrecuperable sin la autenticación requerida. Cuando está en modo de recuperación, el usuario necesita la contraseña de recuperación o la clave de recuperación para desbloquear la unidad cifrada.
Importante
Almacena la información de recuperación en AD DS, junto con tu cuenta Microsoft u otra ubicación segura.
¿Puede la unidad flash USB que se usa como clave de inicio usarse también para almacenar la clave de recuperación?
Siempre que sea técnicamente posible, no es aconsejable usar una unidad flash USB para almacenar ambas claves. Si la unidad flash USB que contiene la clave de inicio se pierde o la roban, también perderás el acceso a la clave de recuperación. Además, al insertar esta clave el equipo se iniciaría automáticamente desde la clave de recuperación incluso si han cambiado los archivos medidos por TPM, lo que impide la comprobación de integridad del sistema del TPM.
¿Puedo guardar la clave de inicio en varias unidades flash USB?
Sí, puedes guardar la clave de inicio de un equipo en varias unidades flash USB. Al hacer clic con el botón derecho en una unidad protegida con BitLocker y seleccionar Administrar BitLocker aparecerán las opciones para duplicar las claves de recuperación según sea necesario.
¿Puedo guardar varias claves de inicio (diferentes) en la misma unidad flash USB?
Sí, puedes guardar las claves de inicio de BitLocker para equipos diferentes en la misma unidad flash USB.
¿Puedo generar varias claves de inicio (diferentes) para el mismo equipo?
Puedes generar claves de inicio diferentes para el mismo equipo mediante scripting. Sin embargo, para equipos que tengan un TPM, la creación de claves de inicio diferentes impide que BitLocker use la comprobación de integridad del sistema del TPM.
¿Puedo generar varias combinaciones de PIN?
No se pueden generar varias combinaciones de PIN.
¿Qué claves de cifrado se usan en BitLocker? ¿Cómo funcionan juntas?
Los datos sin procesar se cifran con la clave de cifrado de todo el volumen, que luego se cifra con la clave maestra del volumen. A su vez la clave maestra del volumen se cifra mediante uno de los diversos métodos posibles en función de los escenarios de autenticación (es decir, los protectores de clave o TPM) y recuperación.
¿Dónde se almacenan las claves de cifrado?
La clave de cifrado de todo el volumen se cifra con la clave maestra del volumen y se almacena en la unidad cifrada. La clave maestra del volumen se cifra con el protector de clave correspondiente y se almacena en la unidad cifrada. Si se ha suspendido BitLocker, la clave sin cifrado que se usa para cifrar la clave maestra del volumen también se almacena en la unidad cifrada, junto con la clave maestra del volumen cifrado.
Este proceso de almacenamiento garantiza que la clave maestra del volumen nunca se almacene sin cifrar y que esté protegida a menos que deshabilites BitLocker. Las claves también se guardan en dos ubicaciones adicionales de la unidad para su redundancia. El administrador de arranque puede leer y procesar las claves.
¿Por qué es necesario usar las teclas de función para escribir el PIN o la contraseña de recuperación de 48 caracteres?
Las claves F1 a F10 son códigos de digitalización universalmente asignados en el entorno de prearranque de todos los equipos y en todos los idiomas. Las teclas numéricas 0 a 9 no se pueden usar en un entorno de prearranque en todos los teclados.
Al usar un PIN mejorado, los usuarios deben ejecutar la comprobación del sistema opcional durante el proceso de configuración de BitLocker para garantizar que se puede escribir el PIN correctamente en el entorno de prearranque.
¿Cómo ayuda BitLocker a impedir que un atacante descubra el PIN que desbloquea la unidad del sistema operativo?
Es posible que un atacante descubra un número de identificación personal (PIN) realizando un ataque por fuerza bruta. Un ataque por fuerza bruta se produce cuando un atacante usa una herramienta automatizada para probar diferentes combinaciones de PIN hasta descubrir el correcto. Para equipos protegidos con BitLocker, este tipo de ataque, también conocido como ataque de diccionario, requiere que el atacante tenga acceso físico al equipo.
El TPM tiene la capacidad integrada para detectar y reaccionar ante estos tipos de ataques. Como los TPM de diferentes fabricantes pueden admitir distintos PIN y mitigaciones de ataques, ponte en contacto con el fabricante del TPM para determinar la forma en que el TPM del equipo mitiga los ataques por fuerza bruta de PIN.
Después de determinar el fabricante del TPM, ponte en contacto con él para recopilar información específica del proveedor del TPM. La mayoría de los fabricantes usan el recuento de errores de autenticación de PIN para aumentar exponencialmente el tiempo de bloqueo a la interfaz de PIN. Sin embargo, cada fabricante tiene diferentes directivas sobre cuándo y cómo se reduce o restablece el contador de errores.
¿Cómo determino el fabricante de mi TPM?
Puedes determinar el fabricante del TPM en la consola de MMC de TPM (tpm.msc), en el encabezado Información del fabricante del TPM.
¿Cómo puedo evaluar el mecanismo de mitigación de ataques de diccionario de un TPM?
Las siguientes preguntas pueden ayudarte al solicitar a un fabricante de TPM información sobre el diseño de un mecanismo de mitigación de ataques de diccionario:
¿Cuántos intentos de autorización erróneos pueden producirse antes del bloqueo?
¿Cuál es el algoritmo para determinar la duración de un bloqueo basado en el número de intentos erróneos y otros parámetros relevantes?
¿Qué acciones pueden hacer que el recuento de errores y la duración del bloqueo disminuya o se restablezca?
¿Pueden la complejidad y la longitud del PIN administrarse con las directivas de grupo?
Sí y no. Puedes configurar la longitud mínima del número de identificación personal (PIN) mediante la configuración de las directivas de grupo Configurar longitud mínima de PIN para el inicio y permitir el uso de PIN alfanuméricos habilitando la configuración de las directivas de grupo Permitir los PIN mejorados para el inicio. Sin embargo, no se puede requerir complejidad de PIN mediante las directivas de grupo.
Para obtener más información, consulta Configuración de las directivas de grupo de BitLocker.
BitLocker To Go
BitLocker To Go es el cifrado de unidad BitLocker en unidades de datos extraíbles. Esto incluye el cifrado de unidades flash USB, tarjetas SD, unidades de disco duro externas y otras unidades formateadas con sistemas de archivos NTFS, FAT16, FAT32 o exFAT.
Servicios de dominio de Active Directory (AD DS)
¿Qué ocurre si BitLocker está habilitado en un equipo antes de que el equipo se conecte al dominio?
Si BitLocker está habilitado en una unidad antes de que se hayan aplicado las directivas de grupo para ejecutar la copia de seguridad, no se realizará copia de seguridad automática de la información de recuperación en AD DS cuando el equipo se conecte al dominio o cuando se apliquen posteriormente las directivas de grupo. Sin embargo, puedes usar la configuración de las directivas de grupo Elegir cómo se pueden recuperar unidades del sistema operativo protegidas con BitLocker, Elegir cómo se pueden recuperar unidades fijas protegidas con BitLocker y Elegir cómo se pueden recuperar unidades extraíbles protegidas con BitLocker para exigir que el equipo esté conectado a un dominio antes de que se pueda habilitar BitLocker para ayudar a garantizar que se realice una copia de seguridad de la información de recuperación para unidades protegidas con BitLocker de la organización en AD DS.
Para obtener más información, consulta Configuración de las directivas de grupo de BitLocker.
La interfaz de Instrumental de administración de Windows (WMI) de BitLocker permite a los administradores escribir un script para crear una copia de seguridad o sincronizar la información de recuperación existente del cliente en línea; no obstante, BitLocker no administra automáticamente este proceso. La herramienta de línea de comandos manage-bde también puede usarse para realizar manualmente una copia de seguridad de la información en AD DS. Por ejemplo, para realizar la copia de seguridad de toda la información de recuperación de la unidad C: en AD DS, se usaría el siguiente comando desde un símbolo del sistema con privilegios elevados: manage-bde -protectors -adbackup C:.
Importante
Conectar un equipo al dominio debe ser el primer paso para los nuevos equipos de una organización. Después de conectar los equipos a un dominio, el almacenamiento de la clave de recuperación de BitLocker en AD DS es automático (cuando está habilitado en las directivas de grupo).
¿Hay una entrada del registro de eventos grabada en el equipo cliente para indicar el éxito o el error de la copia de seguridad de Active Directory?
Sí, en el equipo cliente se graba una entrada del registro de eventos que indica el éxito o el error de la copia de seguridad de Active Directory. Sin embargo, incluso si una entrada del registro de eventos dice "Correcto", la información podría posteriormente eliminarse de AD DS, o BitLocker podría haberse reconfigurado de tal modo que la información de Active Directory ya no pueda desbloquear la unidad (por ejemplo, al quitar el protector de clave de contraseña de recuperación). Además, también es posible que se haya falsificado la entrada del registro.
Por último, determinar si existe una copia de seguridad legítima en AD DS requiere consultar AD DS con credenciales de administrador de dominio mediante la herramienta de Visor de contraseña de BitLocker.
Si cambio la contraseña de recuperación de BitLocker de mi equipo y almaceno la nueva contraseña en AD DS, ¿sobrescribirá AD DS la contraseña anterior?
No. Por diseño, las entradas de contraseña de recuperación de BitLocker no se eliminan de AD DS; por lo tanto, es posible que veas varias contraseñas para cada unidad. Para identificar la contraseña más reciente, comprueba la fecha en el objeto.
¿Qué sucede si inicialmente se produce un error en la copia de seguridad? ¿Intentará BitLocker de nuevo realizar la copia de seguridad?
Si se produce un error inicial en la copia de seguridad, como cuando no se puede obtener acceso a un controlador de dominio en el momento en que se ejecute el Asistente para la instalación de BitLocker, BitLocker no vuelve a intentar realizar la copia de seguridad de la información de recuperación en AD DS.
Cuando un administrador selecciona la casilla Requerir copia de seguridad de BitLocker en AD DS de la configuración de la directiva Almacenar información de recuperación de BitLocker en los Servicios de dominio de Active Directory (Windows Server 2008 y Windows Vista), o la casilla equivalente No habilitar BitLocker hasta que la información de recuperación se almacene en AD DS para unidades (de sistema operativo | datos fijos | datos extraíbles) en cualquiera de las configuraciones de directiva Elegir cómo se pueden recuperar unidades del sistema operativo protegidas con BitLocker, Elegir cómo se pueden recuperar unidades fijas protegidas con BitLocker, Elegir cómo se pueden recuperar las unidades de datos extraíbles protegidas con BitLocker, esto impide que los usuarios habiliten BitLocker a menos que el equipo esté conectado al dominio y la copia de seguridad de la información de recuperación de BitLocker en AD DS se realice correctamente. Con estos ajustes configurados, si se produce un error en la copia de seguridad, no se podrá habilitar BitLocker, lo que garantiza que los administradores puedan recuperar las unidades protegidas con BitLocker de la organización.
Para obtener más información, consulta Configuración de las directivas de grupo de BitLocker.
Cuando un administrador desactiva estas casillas, permite que una unidad se proteja con BitLocker sin que se haya realizado una copia de seguridad correcta de la información de recuperación en AD DS; sin embargo, BitLocker no volverá automáticamente a intentar la copia de seguridad si se produce un error. En su lugar, los administradores pueden crear un script para la copia de seguridad, como se describió anteriormente en ¿Qué ocurre si BitLocker está habilitado en un equipo antes de que el equipo se conecte al dominio?, para capturar la información una vez restaurada la conectividad.
Seguridad
¿Qué forma de cifrado usa BitLocker? ¿Es configurable?
BitLocker usa el estándar de cifrado avanzado (AES) como su algoritmo de cifrado con longitudes de clave configurables de 128 o 256 bits. La configuración de cifrado predeterminada es AES-128, pero las opciones se pueden configurar mediante las directivas de grupo.
¿Cuál es el procedimiento recomendado para usar BitLocker en una unidad del sistema operativo?
La práctica recomendada para la configuración de BitLocker en una unidad del sistema operativo consiste en implementar BitLocker en un equipo con un TPM versión 1.2 o posterior y una implementación del firmware de BIOS o UEFI compatible con Trusted Computing Group (TCG), además de un PIN. Al exigir, además de la validación de TPM, un PIN que el usuario haya establecido, otro usuario malintencionado que tenga acceso físico al equipo simplemente no podrá iniciar el equipo.
¿Cuáles son las implicaciones del uso de las opciones de administración de energía de suspensión o hibernación?
BitLocker en unidades del sistema operativo en su configuración básica (con un TPM pero sin autenticación avanzada) proporciona seguridad adicional para el modo de hibernación. Sin embargo, BitLocker proporciona mayor seguridad cuando está configurado para usar un modo de autenticación avanzada (TPM + PIN, TPM + USB o TPM + PIN + USB) con el modo de hibernación. Este método es más seguro porque al volver de hibernación se requiere autenticación de BitLocker. Como procedimiento recomendado, te aconsejamos deshabilitar el modo de suspensión y que uses TPM + PIN para el método de autenticación.
¿Cuáles son las ventajas de un TPM?
La mayoría de los sistemas operativos usan un espacio de memoria compartido y dependen del sistema operativo para administrar la memoria física. Un TPM es un componente de hardware que usa su propio firmware interno y circuitos de lógica para procesar instrucciones, protegiendo por tanto frente a las vulnerabilidades de software externo. Atacar el TPM requiere acceso físico al equipo. Además, las herramientas y los conocimientos necesarios para atacar el hardware suelen ser caros, y normalmente no están tan disponibles como los que se usan para atacar software. Dado que cada TPM es exclusivo del equipo que lo contiene, atacar a varios equipos TPM sería difícil y lento.
Nota
La configuración de BitLocker con un factor de autenticación adicional proporciona aún más protección contra ataques de hardware TPM.
Desbloqueo de BitLocker en red
Desbloqueo de BitLocker en red permite una administración más sencilla de escritorios y servidores con BitLocker habilitado que usen el método de protección de TPM + PIN en un entorno de dominio. Cuando se reinicia un equipo que está conectado a una red corporativa con cable, el desbloqueo en red permite que se omita la solicitud de entrada de PIN. Este desbloquea automáticamente los volúmenes del sistema operativo protegidos con BitLocker mediante una clave de confianza proporcionada por el servidor de servicios de implementación de Windows como método de autenticación secundario.
Para usar el desbloqueo en red también debes tener un PIN configurado en el equipo. Cuando el equipo no está conectado a la red deberás proporcionar el PIN para desbloquearlo.
El desbloqueo de BitLocker en red tiene requisitos de software y hardware que deben cumplirse en ambos equipos cliente, los servicios de implementación de Windows y los controladores de dominio antes de su uso.
Desbloqueo en red usa dos protectores, el protector de TPM y el proporcionado por la red o el PIN, mientras que el desbloqueo automático usa un único protector, el que está almacenado en el TPM. Si el equipo está conectado a una red sin el protector de clave, te pedirá que escribas el PIN. Si no está disponible el PIN tendrás que usar la clave de recuperación para desbloquear el equipo, si no se puede conectar a la red.
Para obtener más información, consulta BitLocker: cómo habilitar el desbloqueo en red.
Otras preguntas
¿Puedo ejecutar un depurador de kernel con BitLocker?
Sí. Sin embargo, el depurador debe activarse antes de habilitar BitLocker. Al activar el depurador se garantiza que se calculan las mediciones correctas al cerrar el TPM, lo que permite que el equipo se inicie correctamente. Si necesitas activar o desactivar la depuración al usar BitLocker, asegúrate de suspender BitLocker primero para evitar que el equipo entre en modo de recuperación.
¿Cómo administra BitLocker los volcados de memoria?
BitLocker tiene una pila de controladores de almacenamiento que garantiza que los volcados de memoria se cifren cuando BitLocker está habilitado.
¿Puede admitir BitLocker tarjetas inteligentes para la autenticación de prearranque?
BitLocker no admite tarjetas inteligentes para la autenticación de prearranque. No hay ningún estándar de la industria único para la compatibilidad con tarjetas inteligentes en el software, y la mayoría de los equipos no implementan la compatibilidad de firmware con tarjetas inteligentes, o solo admiten tarjetas inteligentes y lectores específicos. Esta falta de normalización hace que su compatibilidad sea muy difícil.
¿Puedo usar un controlador de TPM que no sea de Microsoft?
Microsoft no admite controladores TPM que no sean de Microsoft y se recomienda encarecidamente no usarlos con BitLocker. Intentar usar un controlador TPM que no sea de Microsoft con BitLocker puede hacer que BitLocker informe de que un TPM no esté presente en el equipo y no permita el uso del TPM con BitLocker.
¿Pueden otras herramientas que administran o modifican el registro de arranque maestro funcionar con BitLocker?
No se recomienda modificar el registro de arranque maestro en los equipos cuyas unidades de sistema operativo están protegidas con BitLocker por diversos motivos de seguridad, confiabilidad y soporte técnico del producto. Los cambios en el registro de arranque maestro (MBR) podrían cambiar el entorno de seguridad e impedir que el equipo se inicie normalmente, así como complicar los esfuerzos para recuperarse de un MBR dañado. Los cambios realizados en el MBR por algo diferente a Windows podrían obligar al equipo a entrar en modo de recuperación o impedir que se inicie al completo.
¿Por qué se produce un error en la comprobación del sistema al cifrar mi unidad del sistema operativo?
La comprobación del sistema está diseñada para garantizar que el firmware de BIOS o UEFI del equipo sea compatible con BitLocker y que el TPM funcione correctamente. La comprobación del sistema puede producir errores por varias razones:
El firmware del BIOS o UEFI del equipo no puede leer unidades flash USB.
El firmware del BIOS o UEFI del equipo, o el menú de arranque, no tienen habilitada la lectura de unidades flash USB.
Hay varias unidades flash USB insertadas en el equipo.
El PIN no se ha escrito correctamente.
El firmware del BIOS o UEFI del equipo solo admite el uso de las teclas de función (F1 - F10) para escribir números en el entorno de prearranque.
Se ha quitado la clave de inicio antes de que el equipo terminara de reiniciar.
El TPM funciona incorrectamente y no abre las claves.
¿Qué puedo hacer si no se puede leer la clave de recuperación de la unidad flash USB?
Algunos equipos no pueden leer unidades flash USB en el entorno de prearranque. En primer lugar, comprueba la configuración de arranque y el firmware de BIOS o UEFI para asegurarte de que está habilitado el uso de las unidades USB. Si no está habilitado, habilita el uso de las unidades USB en el firmware de BIOS o UEFI y la configuración de arranque y, a continuación, intenta volver a leer la clave de recuperación de la unidad flash USB. Si aún no se puede leer, tendrás que montar la unidad de disco duro como unidad de datos en otro equipo, para que un sistema operativo intente leer la clave de recuperación desde la unidad flash USB. Si la unidad flash USB se ha dañado puede que tengas que suministrar una contraseña de recuperación o usar la información de recuperación de la que se hizo copia de seguridad en AD DS. Además, si estás usando la clave de recuperación en el entorno de prearranque, asegúrate de que la unidad esté formateada con el sistema de archivos NTFS, FAT16 o FAT32.
¿Por qué no puedo guardar mi clave de recuperación en mi unidad flash USB?
La opción Guardar en USB no se muestra de manera predeterminada para las unidades extraíbles. Si la opción no está disponible, significa que un administrador del sistema no ha autorizado el uso de claves de recuperación.
¿Por qué no puedo desbloquear automáticamente la unidad?
El desbloqueo automático para unidades de datos fijas requiere que la unidad del sistema operativo también esté protegida con BitLocker. Si usas un equipo que no tiene una unidad del sistema operativo protegida con BitLocker, la unidad no se podrá desbloquear automáticamente. Para las unidades de datos extraíbles, puedes agregar el desbloqueo automático haciendo clic con el botón derecho en el Explorador de Windows y haciendo clic en Administrar BitLocker. Podrás seguir usando la contraseña o las credenciales de tarjeta inteligente que hayas suministrado al activar BitLocker para desbloquear la unidad extraíble en otros equipos.
¿Puedo usar BitLocker en modo seguro?
En modo seguro, dispondrás de una funcionalidad limitada de BitLocker. Las unidades protegidas con BitLocker se pueden desbloquear y descifrar con el elemento del Panel de control de Cifrado de unidad BitLocker. El botón derecho para obtener acceso a las opciones de BitLocker desde el Explorador de Windows no está disponible en el modo seguro.
¿Cómo "bloqueo" una unidad de datos?
Tanto las unidades de datos fijas como extraíbles se pueden bloquear usando la herramienta de línea de comandos Manage-bde y el comando –lock.
Nota
Asegúrate de que todos los datos estén guardados antes de bloquearlos. Una vez bloqueada, no se podrá obtener acceso a la unidad.
La sintaxis de este comando es:
manage-bde <driveletter> -lock
Además de mediante el uso de este comando, las unidades de datos se bloquearán al apagar y reiniciar el sistema operativo. Una unidad de datos extraíble también se bloqueará automáticamente al quitar la unidad del equipo.
¿Puedo usar BitLocker con el servicio de instantáneas de volumen?
Sí. Sin embargo, las instantáneas anteriores a la habilitación de BitLocker se eliminarán automáticamente cuando se habilite BitLocker en unidades cifradas de software. Si usas una unidad cifrada de hardware, las instantáneas de volumen se conservarán.
¿Admite BitLocker discos duros virtuales (VHD)?
BitLocker no es compatible con VHD de arranque, pero es compatible con VHD de volúmenes de datos como, por ejemplo, las que usan los clústeres, si estás ejecutando Windows 10, Windows 8.1, Windows 8, Windows Server 2012 o Windows Server 2012 R2.