Configuraciones de directivas de grupo de BitLocker
Este tema para profesionales de TI describe el funcionamiento, la ubicación y el efecto de cada configuración de directivas de grupo que se usa para administrar el cifrado de unidad BitLocker.
Para controlar las tareas de cifrado de unidad que el usuario puede realizar en el Panel de control de Windows o modificar otras opciones de configuración, puedes usar plantillas administrativas de directivas de grupo o la configuración de directiva de equipo local. Cómo realizar esta configuración de directiva depende de cómo se implemente BitLocker y del nivel de interacción del usuario que se permita.
Nota
Un conjunto diferente de configuraciones de directivas de grupo admite el uso del módulo de plataforma segura (TPM). Para obtener más información sobre estas configuraciones, consulta Configuración de directivas de grupo del módulo de plataforma segura.
A la configuración de directivas de grupo de BitLocker se puede obtener acceso con el Editor de directivas de grupo local y la Consola de administración de directivas de grupo (GPMC) de Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker.
La mayoría de las configuraciones de directivas de grupo de BitLocker se aplican cuando BitLocker se activa inicialmente para una unidad. Si un equipo no es compatible con la configuración de directivas de grupo existente, BitLocker no podrá activarse ni modificarse hasta que el equipo esté en un estado compatible. Cuando una unidad no cumple con la configuración de directivas de grupo (por ejemplo, si una configuración de directivas de grupo se ha cambiado después de la implementación inicial de BitLocker en la organización y, a continuación, se ha aplicado la configuración a unidades cifradas previamente), no podrá hacerse ningún cambio en la configuración de BitLocker de dicha unidad salvo un cambio para que la unidad esté en conformidad.
Si son necesarios varios cambios para que la unidad esté en conformidad, deberás suspender la protección de BitLocker, realizar los cambios necesarios y, a continuación, reanudar la protección. Esta situación podría producirse, por ejemplo, si una unidad extraíble se ha configurado inicialmente para desbloquearse con una contraseña y, a continuación, se cambia la configuración de directivas de grupo para no autorizar contraseñas y requerir tarjetas inteligentes. En esta situación, debes suspender la protección de BitLocker mediante la herramienta de línea de comandos Manage-bde, eliminar el método de desbloqueo mediante contraseña y agregar el método de tarjeta inteligente. Una vez completada esta acción, BitLocker será compatible con la configuración de directivas de grupo y se podrá reanudar la protección de BitLocker en la unidad.
Configuraciones de directivas de grupo de BitLocker
Las siguientes secciones proporcionan una lista completa de configuraciones de directivas de grupo de BitLocker organizadas por uso. Las configuraciones de directivas de grupo de BitLocker incluyen la configuración de tipos de unidad específicos (unidades de sistema operativo, unidades de datos fijas y unidades de datos extraíbles) y configuraciones que se aplican a todas las unidades.
Las siguientes configuraciones de directiva pueden usarse para determinar la forma de desbloquear una unidad protegida con BitLocker.
Permitir el desbloqueo en red al inicio
Requerir autenticación adicional al inicio
Permitir PIN mejorados para el inicio
Configurar la longitud mínima del PIN para el inicio
Impedir que los usuarios estándar cambien el PIN o la contraseña
Configurar el uso de contraseñas para unidades de sistema operativo
Requerir autenticación adicional al inicio (Windows Server 2008 y Windows Vista)
Configurar el uso de tarjetas inteligentes en unidades de datos fijas
Configurar el uso de contraseñas en unidades de datos fijas
Configurar el uso de tarjetas inteligentes en unidades de datos extraíbles
Configurar el uso de contraseñas en unidades de datos extraíbles
Validar el cumplimiento de reglas de uso de certificados de tarjetas inteligentes
Habilitar el uso de autenticación BitLocker que requiera entrada de teclado de prearranque en pizarras
Las siguientes configuraciones de directiva se usan para controlar la forma en que los usuarios pueden obtener acceso a las unidades y la forma en que pueden usar BitLocker en sus equipos.
Denegar el acceso de escritura a las unidades fijas no protegidas con BitLocker
Denegar el acceso de escritura a las unidades extraíbles no protegidas con BitLocker
Controlar el uso de BitLocker en unidades extraíbles
Las siguientes configuraciones de directiva determinan los métodos de cifrado y los tipos de cifrado que se usan con BitLocker.
Elegir el método de cifrado y la longitud del cifrado de la unidad
Configurar el uso de cifrado basado en hardware para unidades de datos fijas
Configurar el uso de cifrado basado en hardware para unidades de sistema operativo
Configurar el uso de cifrado basado en hardware para unidades de datos extraíbles
Aplicar el tipo de cifrado de unidad en unidades de datos fijas
Aplicar el tipo de cifrado de unidad en unidades de sistema operativo
Aplicar el tipo de cifrado de unidad en unidades de datos extraíbles
Las siguientes configuraciones de directiva definen los métodos de recuperación que pueden usarse para restaurar el acceso a una unidad protegida con BitLocker si se produce un error o no puede usarse un método de autenticación.
Elegir la forma en que pueden recuperarse las unidades de sistema operativo protegidas con BitLocker
Elegir la forma en que los usuarios pueden recuperar las unidades protegidas con BitLocker (Windows Server 2008 y Windows Vista)
Almacenar información de recuperación de BitLocker en servicios de dominio de Active Directory (Windows Server 2008 y Windows Vista)
Elegir la carpeta predeterminada para la contraseña de recuperación
Elegir cómo se pueden recuperar unidades fijas protegidas con BitLocker
Elegir cómo se pueden recuperar unidades extraíbles protegidas con BitLocker
Configurar el mensaje de recuperación de prearranque y la dirección URL
Las siguientes directivas se usan para admitir escenarios de implementación personalizada en la organización.
Permitir el arranque seguro para la validación de integridad
Proporcionar identificadores únicos para la organización
Impedir que la memoria se sobrescriba al reinicio
Configurar el perfil de validación de plataforma del TPM para configuraciones de firmware basado en BIOS
Configurar el perfil de validación de plataforma del TPM (Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2)
Configurar el perfil de validación de plataforma del TPM para configuraciones de firmware UEFI nativo
Restablecer los datos de validación de plataforma tras la recuperación de BitLocker
Usar el perfil de validación de datos de configuración de arranque mejorado
Permitir el acceso a unidades de datos fijas protegidas con BitLocker desde versiones anteriores de Windows
Permitir el acceso a unidades de datos extraíbles protegidas con BitLocker desde versiones anteriores de Windows
Permitir el desbloqueo en red al inicio
Esta directiva controla una parte del comportamiento de la característica Desbloqueo en red en BitLocker. Esta directiva es necesaria para habilitar el desbloqueo en red de BitLocker en una red ya que permite que los clientes que ejecutan BitLocker creen el protector de clave de red necesario durante el cifrado. Esta directiva se usa además de la directiva de seguridad del certificado de desbloqueo en red de cifrado de unidad BitLocker (ubicada en la carpeta Directivas de clave pública de la directiva de equipo Local) para permitir que los sistemas que están conectados a una red de confianza usen correctamente la característica de desbloqueo en red.
Descripción de la directiva |
Con esta configuración de directiva, puedes controlar si un equipo protegido con BitLocker que está conectado a una red de área local de confianza y unido a un dominio puede crear y usar los protectores de clave de red en equipos con el TPM habilitado para desbloquear automáticamente la unidad del sistema operativo al iniciarse el equipo. |
Introducida |
Windows Server 2012 y Windows 8 |
Tipo de unidad |
Unidades de sistema operativo |
Ruta de la directiva |
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades de sistema operativo |
Conflictos |
Ninguno |
Cuando están habilitadas |
Los clientes configurados con un certificado de desbloqueo en red de BitLocker pueden crear y usar protectores de clave de red. |
Cuando están deshabilitadas o no están configuradas |
Los clientes no pueden crear y usar los protectores de clave de red |
Referencia
Para usar un protector de clave de red para desbloquear el equipo, el equipo y el servidor que alojan el desbloqueo en red de cifrado de unidad BitLocker deben contar con un certificado de desbloqueo en red. El certificado de desbloqueo en red se usa para crear un protector de clave de red y proteger el intercambio de información con el servidor para desbloquear el equipo. Puedes usar la configuración de directivas de grupo Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de clave pública\Certificado de desbloqueo en red de cifrado de unidad BitLocker del controlador de dominio para distribuir este certificado en los equipos de la organización. Este método de desbloqueo usa el TPM del equipo, así que los equipos que no tienen un TPM no pueden crear protectores de clave de red para desbloquearse automáticamente mediante el desbloqueo en red.
Nota
Para mayor seguridad y confiabilidad, los equipos también deben tener un PIN de inicio del TPM que se pueda usar cuando el equipo esté desconectado de la red con cable o no se pueda conectar al controlador de dominio al inicio.
Para obtener más información acerca del desbloqueo en red, consulta BitLocker: cómo habilitar el desbloqueo en red.
Requerir autenticación adicional al inicio
Esta configuración de directiva se usa para controlar qué opciones de desbloqueo están disponibles para unidades de sistema operativo.
Descripción de la directiva |
Con esta configuración de directiva, puedes configurar si BitLocker requiere autenticación adicional cada vez que se inicie el equipo y si se va a usar BitLocker con un módulo de plataforma segura (TPM). Esta configuración de directiva se aplica al activar BitLocker. |
Introducida |
Windows Server 2008 R2 y Windows 7 |
Tipo de unidad |
Unidades de sistema operativo |
Ruta de la directiva |
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades de sistema operativo |
Conflictos |
Si se requiere un método de autenticación, no se podrán permitir los otros métodos. No debe permitirse el uso de BitLocker con una clave de inicio del TPM o con una clave de inicio del TPM y un PIN si está habilitada la configuración de directiva Denegar el acceso de escritura a las unidades extraíbles no protegidas con BitLocker. |
Cuando están habilitadas |
Los usuarios pueden configurar opciones de inicio avanzadas en el Asistente para la instalación de BitLocker. |
Cuando están deshabilitadas o no están configuradas |
Los usuarios solo pueden configurar opciones básicas en equipos con un TPM. Solo una de las opciones de autenticación adicionales podrá requerirse al inicio; de lo contrario, se produce un error de directiva. |
Referencia
Si desea usar BitLocker en un equipo sin un TPM, selecciona la casilla Permitir BitLocker sin un TPM compatible. En este modo, se requiere una unidad USB para el inicio. La información de la clave que se usa para cifrar la unidad se almacena en la unidad USB, que crea una clave USB. Cuando se inserta la clave USB, se autentica el acceso a la unidad y la unidad es accesible. Si la clave USB se pierde o no está disponible, debes usar una de las opciones de recuperación de BitLocker para obtener acceso a la unidad.
En un equipo con un TPM compatible, pueden usarse cuatro tipos de métodos de autenticación en el inicio para ofrecer una protección adicional para los datos cifrados. Al iniciarse el equipo, este puede usar:
solo el TPM para la autenticación
la inserción de una unidad flash USB que contenga la clave de inicio
la entrada de un número de identificación personal (PIN) de 4 a 20 dígitos
una combinación del PIN y la unidad flash USB
Hay cuatro opciones para dispositivos o equipos con TPM habilitado:
Configurar el inicio del TPM
Permitir el TPM
Requerir el TPM
No permitir el TPM
Configurar el PIN de inicio del TPM
Permitir el PIN de inicio con el TPM
Requerir el PIN de inicio con el TPM
No permitir el PIN de inicio con el TPM
Configurar la clave de inicio del TPM
Permitir la clave de inicio con el TPM
Requerir la clave de inicio con el TPM
No permitir la clave de inicio con el TPM
Configurar la clave de inicio del TPM y el PIN
Permitir la clave de inicio del TPM con el PIN
Requerir la clave de inicio y el PIN con el TPM
No permitir la clave de inicio del TPM con el PIN
Permitir PIN mejorados para el inicio
Esta configuración de directiva permite el uso de PIN mejorados al usar un método de desbloqueo que incluya un PIN.
Descripción de la directiva |
Con esta configuración de directiva, puedes configurar si se usan PIN de inicio mejorados con BitLocker. |
Introducida |
Windows Server 2008 R2 y Windows 7 |
Tipo de unidad |
Unidades de sistema operativo |
Ruta de la directiva |
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades de sistema operativo |
Conflictos |
Ninguno |
Cuando están habilitadas |
Todos los nuevos PIN de inicio de BitLocker que se establezcan serán PIN mejorados. No se verán afectadas las unidades existentes que estén protegidas mediante PIN de inicio estándar. |
Cuando están deshabilitadas o no están configuradas |
No se usarán PIN mejorados. |
Referencia
Los PIN de inicio mejorados permiten el uso de caracteres (incluidas mayúsculas y minúsculas, símbolos, números y espacios). Esta configuración de directiva se aplica al activar BitLocker.
Importante
No todos los equipos admiten los caracteres de PIN mejorados en el entorno de prearranque. Se recomienda encarecidamente que los usuarios realicen una comprobación del sistema durante la instalación de BitLocker para comprobar que pueden usarse caracteres de PIN mejorados.
Configurar la longitud mínima del PIN para el inicio
Esta configuración de directiva se usa para establecer una longitud mínima de PIN al usar un método de desbloqueo que incluya un PIN.
Descripción de la directiva |
Con esta configuración de directiva, puedes configurar una longitud mínima para un PIN de inicio del TPM. Esta configuración de directiva se aplica al activar BitLocker. El PIN de inicio debe tener una longitud mínima de 4 dígitos y puede tener una longitud máxima de 20 dígitos. |
Introducida |
Windows Server 2008 R2 y Windows 7 |
Tipo de unidad |
Unidades de sistema operativo |
Ruta de la directiva |
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades de sistema operativo |
Conflictos |
Ninguno |
Cuando están habilitadas |
Puedes requerir que los usuarios escriban un número mínimo de dígitos al configurar sus PIN de inicio. |
Cuando están deshabilitadas o no están configuradas |
Los usuarios pueden configurar un PIN de inicio de cualquier longitud entre 4 y 20 dígitos. |
Referencia
Esta configuración de directiva se aplica al activar BitLocker. El PIN de inicio debe tener una longitud mínima de 4 dígitos y puede tener una longitud máxima de 20 dígitos.
Impedir que los usuarios estándar cambien el PIN o la contraseña
Esta configuración de directiva te permite configurar si los usuarios estándar pueden cambiar el PIN o la contraseña que se usa para proteger la unidad del sistema operativo.
Descripción de la directiva |
Con esta configuración de directiva, puedes configurar si los usuarios estándar pueden cambiar el PIN o la contraseña que se usa para proteger la unidad del sistema operativo. |
Introducida |
Windows Server 2012 y Windows 8 |
Tipo de unidad |
Unidades de sistema operativo |
Ruta de la directiva |
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades de sistema operativo |
Conflictos |
Ninguno |
Cuando están habilitadas |
Los usuarios estándar no pueden cambiar los PIN o las contraseñas de BitLocker. |
Cuando están deshabilitadas o no están configuradas |
Los usuarios estándar pueden cambiar los PIN o las contraseñas de BitLocker. |
Referencia
Para cambiar el PIN o la contraseña, el usuario debe poder proporcionar el PIN o la contraseña actuales. Esta configuración de directiva se aplica al activar BitLocker.
Configurar el uso de contraseñas para unidades de sistema operativo
Esta directiva controla cómo los sistemas que no sean TPM usan el protector de contraseña. Usada en combinación con la directiva La contraseña debe cumplir los requisitos de complejidad, esta directiva permite a los administradores requerir la longitud de contraseña y la complejidad para usar el protector de contraseña. De manera predeterminada, las contraseñas deben tener ocho caracteres de longitud. Las opciones de configuración de complejidad determinarán el grado de importancia de la conectividad de dominio para el cliente. Para una seguridad de la contraseña más eficaz, los administradores deben elegir Requerir complejidad de la contraseña porque requiere conectividad de dominio y que la contraseña de BitLocker cumpla con los mismos requisitos de complejidad de contraseña que las contraseñas de inicio de sesión de dominio.
Descripción de la directiva |
Con esta configuración de directiva, puedes especificar las restricciones de contraseñas que se usan para desbloquear unidades de sistema operativo protegidas con BitLocker. |
Introducida |
Windows Server 2012 y Windows 8 |
Tipo de unidad |
Unidades de sistema operativo |
Ruta de la directiva |
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades de sistema operativo |
Conflictos |
No se pueden usar contraseñas si está habilitado el cumplimiento de FIPS. NotaLa configuración de la directiva Criptografía de sistema: usar algoritmos que cumplan FIPS para cifrado, firma y operaciones hash, que se encuentra en Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad especifica si está habilitado el cumplimiento de FIPS. |
Cuando están habilitadas |
Los usuarios pueden configurar una contraseña que cumpla los requisitos que definas. Para cumplir con los requisitos de complejidad de la contraseña, selecciona Requerir complejidad. |
Cuando están deshabilitadas o no están configuradas |
La restricción de longitud predeterminada de 8 caracteres se aplicará a las contraseñas de unidad del sistema operativo y no se producirá ninguna comprobación de complejidad. |
Referencia
Si se permiten protectores que no sean TPM en unidades de sistema operativo, puedes proporcionar una contraseña, aplicar los requisitos de complejidad de la contraseña y configurar una longitud mínima para la contraseña. Para que la configuración de requisitos de complejidad sea eficaz, también debes habilitar la configuración de directivas de grupo Las contraseñas deben cumplir los requisitos de complejidad, que se encuentra en Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de cuenta\Directiva de contraseña\.
Nota
Estas opciones se aplican al activar BitLocker, no al desbloquear un volumen. BitLocker permite desbloquear una unidad con cualquiera de los protectores que están disponibles en la unidad.
Cuando se establece en Requerir complejidad, es necesaria una conexión a un controlador de dominio cuando BitLocker está habilitado para validar la complejidad de la contraseña. Cuando se establece en Permitir complejidad, se intenta establecer una conexión a un controlador de dominio para validar que la complejidad se ajusta a las reglas establecidas por la directiva. Si no se encuentra ningún controlador de dominio, la contraseña se aceptará independientemente de la complejidad real de la contraseña, y la unidad se cifrará usando esa contraseña como protector. Cuando se establece en No permitir complejidad, no habrá ninguna validación de complejidad de la contraseña.
Las contraseñas deben tener al menos 8 caracteres. Para configurar una longitud mínima superior para la contraseña, escribe el número de caracteres deseado en la casilla Longitud mínima de contraseña.
Cuando se habilita esta configuración de directiva, puedes establecer la opción Configurar la complejidad de la contraseña para las unidades de sistema operativo para:
Permitir la complejidad de la contraseña
No permitir la complejidad de la contraseña
Requerir la complejidad de la contraseña
Requerir autenticación adicional al inicio (Windows Server 2008 y Windows Vista)
Esta configuración de directiva se usa para controlar qué opciones de desbloqueo están disponibles en equipos que ejecutan Windows Server 2008 o Windows Vista.
Descripción de la directiva |
Con esta configuración de directiva, puedes controlar si el Asistente para la instalación de BitLocker en equipos que ejecutan Windows Vista o Windows Server 2008 puede configurar un método de autenticación adicional que sea necesario cada vez que se inicie el equipo. |
Introducida |
Windows Server 2008 y Windows Vista |
Tipo de unidad |
Unidades de sistema operativo (Windows Server 2008 y Windows Vista) |
Ruta de la directiva |
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades de sistema operativo |
Conflictos |
Si eliges requerir un método de autenticación adicional, no podrá permitirse ningún otro método de autenticación. |
Cuando están habilitadas |
El Asistente para configuración de BitLocker muestra la página que permite al usuario configurar las opciones de inicio avanzadas para BitLocker. Puedes configurar más opciones de configuración para los equipos con o sin un TPM. |
Cuando están deshabilitadas o no están configuradas |
El Asistente para configuración de BitLocker muestra los pasos básicos que permiten a los usuarios habilitar BitLocker en equipos con un TPM. En este asistente básico, no se puede configurar ninguna clave de inicio o PIN de inicio adicionales. |
Referencia
En un equipo con un TPM compatible, pueden usarse dos métodos de autenticación en el inicio para ofrecer una protección adicional para los datos cifrados. Cuando se inicia el equipo, este puede solicitar a los usuarios que inserten una unidad USB que contenga una clave de inicio. También puede solicitar a los usuarios que escriban un PIN de inicio de 4 a 20 dígitos.
Se necesita una unidad USB que contenga una clave de inicio en equipos sin un TPM compatible. Sin un TPM, los datos cifrados mediante BitLocker solo estarán protegidos por el material de clave que se encuentre en esta unidad USB.
Hay dos opciones para dispositivos o equipos con TPM habilitado:
Configurar el PIN de inicio del TPM
Permitir el PIN de inicio con el TPM
Requerir el PIN de inicio con el TPM
No permitir el PIN de inicio con el TPM
Configurar la clave de inicio del TPM
Permitir la clave de inicio con el TPM
Requerir la clave de inicio con el TPM
No permitir la clave de inicio con el TPM
Estas opciones son mutuamente exclusivas. Si requieres la clave de inicio, no debes permitir el PIN de inicio. Si requieres el PIN de inicio, no debes permitir la clave de inicio. De lo contrario, se producirá un error de directiva.
Para ocultar la página avanzada en un equipo o dispositivo con TPM habilitado, establece estas opciones en No permitir para la clave de inicio y el PIN de inicio.
Configurar el uso de tarjetas inteligentes en unidades de datos fijas
Esta configuración de directiva se usa para requerir, permitir o denegar el uso de tarjetas inteligentes con unidades de datos fijas.
Descripción de la directiva |
Con esta configuración de directiva, puedes especificar si se pueden usar tarjetas inteligentes para autenticar el acceso de usuario a las unidades de datos fijas protegidas con BitLocker en un equipo. |
Introducida |
Windows Server 2008 R2 y Windows 7 |
Tipo de unidad |
Unidades de datos fijas |
Ruta de la directiva |
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades de datos fijas |
Conflictos |
Para usar tarjetas inteligentes con BitLocker, puede que también tengas que modificar el valor del identificador de objeto en la configuración de directiva Configuración del equipo\Plantillas administrativas\Cifrado de unidad BitLocker\Validar el cumplimiento de reglas de uso de certificados de tarjetas inteligentes para que coincida con el identificador de objeto de los certificados de tarjeta inteligente. |
Cuando están habilitadas |
Las tarjetas inteligentes se pueden usar para autenticar el acceso de usuario a la unidad. Puedes requerir la autenticación con tarjeta inteligente seleccionando la casilla Requerir el uso de tarjetas inteligentes en unidades de datos fijas. |
Cuando está deshabilitada |
Los usuarios no pueden usar tarjetas inteligentes para autenticar su acceso a unidades de datos fijas protegidas con BitLocker. |
Cuando no está configurada |
Las tarjetas inteligentes pueden usarse para autenticar el acceso de usuario a una unidad protegida con BitLocker. |
Referencia
Nota
Estas configuraciones se aplican al activar BitLocker, no al desbloquear una unidad. BitLocker permite desbloquear una unidad con cualquiera de los protectores que están disponibles en la unidad.
Configurar el uso de contraseñas en unidades de datos fijas
Esta configuración de directiva se usa para requerir, permitir o denegar el uso de contraseñas con unidades de datos fijas.
Descripción de la directiva |
Con esta configuración de directiva, puedes especificar si se requiere una contraseña para desbloquear unidades de datos fijas protegidas con BitLocker. |
Introducida |
Windows Server 2008 R2 y Windows 7 |
Tipo de unidad |
Unidades de datos fijas |
Ruta de la directiva |
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades de datos fijas |
Conflictos |
Para usar la complejidad de contraseña, también debe habilitarse la configuración de la directiva Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de cuenta\Directiva de contraseña\Las contraseñas deben cumplir los requisitos de complejidad. |
Cuando están habilitadas |
Los usuarios pueden configurar una contraseña que cumpla los requisitos que definas. Para requerir el uso de una contraseña, selecciona Requerir contraseña para unidad de datos fija. Para cumplir con los requisitos de complejidad de la contraseña, selecciona Requerir complejidad. |
Cuando está deshabilitada |
El usuario no puede usar una contraseña. |
Cuando no está configurada |
Las contraseñas son compatibles con la configuración predeterminada, que no incluye los requisitos de complejidad de contraseña y requiere solo 8 caracteres. |
Referencia
Cuando se establece en Requerir complejidad, es necesaria una conexión a un controlador de dominio para validar la complejidad de la contraseña cuando BitLocker está habilitado.
Cuando se establece en Permitir complejidad, se intenta establecer una conexión a un controlador de dominio para validar que la complejidad se ajusta a las reglas establecidas por la directiva. No obstante, si no se encuentra ningún controlador de dominio, la contraseña se aceptará independientemente de la complejidad real de la contraseña, y la unidad se cifrará usando esa contraseña como protector.
Cuando se establece en No permitir complejidad, no se realizará ninguna validación de complejidad de la contraseña.
Las contraseñas deben tener al menos 8 caracteres. Para configurar una longitud mínima superior para la contraseña, escribe el número de caracteres deseado en la casilla Longitud mínima de contraseña.
Nota
Estas configuraciones se aplican al activar BitLocker, no al desbloquear una unidad. BitLocker permite desbloquear una unidad con cualquiera de los protectores que están disponibles en la unidad.
Para que la configuración de requisitos de complejidad sea eficaz, también debe habilitarse la configuración de directivas de grupo Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de cuenta\Directiva de contraseña\La contraseña debe cumplir los requisitos de complejidad.
Esta configuración de directiva se realiza de forma individual en cada equipo. Esto significa que se aplica a cuentas de usuario locales y a cuentas de usuario de dominio. Dado que el filtro de contraseña que se usa para validar la complejidad de la contraseña se encuentra en los controladores de dominio, las cuentas de usuario locales no podrán obtener acceso al filtro de contraseña porque no se autentican para el acceso de dominio. Cuando se habilita esta configuración de directiva, si inicias sesión con una cuenta de usuario local e intentas cifrar una unidad o cambiar una contraseña en una unidad protegida con BitLocker, aparecerá un mensaje de error "Acceso denegado". En esta situación, el protector de clave de contraseña no se puede agregar a la unidad.
Habilitar esta configuración de directiva requiere que se establezca la conectividad a un dominio antes de agregar un protector de clave de contraseña a una unidad protegida con BitLocker. Los usuarios que trabajan de forma remota y tienen períodos de tiempo en los que no se pueden conectar al dominio deben tener en cuenta este requisito para que puedan programar una hora en la que se conecten al dominio para activar BitLocker o cambiar una contraseña en una unidad de datos protegida con BitLocker.
Importante
No se pueden usar contraseñas si está habilitado el cumplimiento de FIPS. La configuración de la directiva Criptografía de sistema: usar algoritmos que cumplan FIPS para cifrado, firma y operaciones hash en Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad especifica si está habilitado el cumplimiento de FIPS.
Configurar el uso de tarjetas inteligentes en unidades de datos extraíbles
Esta configuración de directiva se usa para requerir, permitir o denegar el uso de tarjetas inteligentes con unidades de datos extraíbles.
Descripción de la directiva |
Con esta configuración de directiva, puedes especificar si se pueden usar tarjetas inteligentes para autenticar el acceso de usuario a las unidades de datos extraíbles protegidas con BitLocker en un equipo. |
Introducida |
Windows Server 2008 R2 y Windows 7 |
Tipo de unidad |
Unidades de datos extraíbles |
Ruta de la directiva |
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades de datos extraíbles |
Conflictos |
Para usar tarjetas inteligentes con BitLocker, puede que también tengas que modificar el valor del identificador de objeto en la configuración de directiva Configuración del equipo\Plantillas administrativas\Cifrado de unidad BitLocker\Validar el cumplimiento de reglas de uso de certificados de tarjetas inteligentes para que coincida con el identificador de objeto de los certificados de tarjeta inteligente. |
Cuando están habilitadas |
Las tarjetas inteligentes se pueden usar para autenticar el acceso de usuario a la unidad. Puedes requerir la autenticación con tarjeta inteligente seleccionando la casilla Requerir el uso de tarjetas inteligentes en unidades de datos extraíbles. |
Cuando están deshabilitadas o no están configuradas |
Los usuarios no pueden usar tarjetas inteligentes para autenticar su acceso a las unidades de datos extraíble protegidas con BitLocker. |
Cuando no está configurada |
Las tarjetas inteligentes están disponibles para autenticar el acceso de usuario a una unidad de datos extraíble protegida con BitLocker. |
Referencia
Nota
Estas configuraciones se aplican al activar BitLocker, no al desbloquear una unidad. BitLocker permite desbloquear una unidad con cualquiera de los protectores que están disponibles en la unidad.
Configurar el uso de contraseñas en unidades de datos extraíbles
Esta configuración de directiva se usa para requerir, permitir o denegar el uso de contraseñas con unidades de datos extraíbles.
Descripción de la directiva |
Con esta configuración de directiva, puedes especificar si se requiere una contraseña para desbloquear unidades de datos extraíbles protegidas con BitLocker. |
Introducida |
Windows Server 2008 R2 y Windows 7 |
Tipo de unidad |
Unidades de datos extraíbles |
Ruta de la directiva |
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades de datos extraíbles |
Conflictos |
Para usar la complejidad de contraseña, también debe habilitarse la configuración de directiva La contraseña debe cumplir los requisitos de complejidad, que se encuentra en Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de cuenta\Directiva de contraseña. |
Cuando están habilitadas |
Los usuarios pueden configurar una contraseña que cumpla los requisitos que definas. Para requerir el uso de una contraseña, selecciona Requerir contraseña para unidad de datos extraíble. Para cumplir con los requisitos de complejidad de la contraseña, selecciona Requerir complejidad. |
Cuando está deshabilitada |
El usuario no puede usar una contraseña. |
Cuando no está configurada |
Las contraseñas son compatibles con la configuración predeterminada, que no incluye los requisitos de complejidad de contraseña y requiere solo 8 caracteres. |
Referencia
Si elige permitir el uso de una contraseña, puede requerir una contraseña que usar, aplicar los requisitos de complejidad y configurar una longitud mínima. Para que la configuración de requisitos de complejidad sea eficaz, también debes habilitar la configuración de directivas de grupo La contraseña debe cumplir los requisitos de complejidad, que se encuentra en Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de cuenta\Directiva de contraseña.
Nota
Estas configuraciones se aplican al activar BitLocker, no al desbloquear una unidad. BitLocker permite desbloquear una unidad con cualquiera de los protectores que están disponibles en la unidad.
Las contraseñas deben tener al menos 8 caracteres. Para configurar una longitud mínima superior para la contraseña, escribe el número de caracteres deseado en la casilla Longitud mínima de contraseña.
Cuando se establece en Requerir complejidad, es necesaria una conexión a un controlador de dominio cuando BitLocker está habilitado para validar la complejidad de la contraseña.
Cuando se establece en Permitir complejidad, se intentará establecer una conexión a un controlador de dominio para validar que la complejidad se ajusta a las reglas establecidas por la directiva. No obstante, si no se encuentra ningún controlador de dominio, la contraseña seguirá aceptándose con independencia de la complejidad real de la contraseña, y la unidad se cifrará usando esa contraseña como protector.
Cuando se establece en No permitir complejidad, no se realizará ninguna validación de complejidad de la contraseña.
Nota
No se pueden usar contraseñas si está habilitado el cumplimiento de FIPS. La configuración de la directiva Criptografía de sistema: usar algoritmos que cumplan FIPS para cifrado, firma y operaciones hash en Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad especifica si está habilitado el cumplimiento de FIPS.
Para obtener información sobre esta configuración, consulta Criptografía de sistema: usar algoritmos que cumplan FIPS para cifrado, firma y operaciones hash.
Validar el cumplimiento de reglas de uso de certificados de tarjetas inteligentes
Esta configuración de directiva se usa para determinar qué certificado usar con BitLocker.
Descripción de la directiva |
Con esta configuración de directiva, puedes asociar un identificador de objeto de un certificado de tarjeta inteligente a una unidad protegida con BitLocker. |
Introducida |
Windows Server 2008 R2 y Windows 7 |
Tipo de unidad |
Unidades de datos fijas y extraíbles |
Ruta de la directiva |
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker |
Conflictos |
Ninguno |
Cuando están habilitadas |
El identificador de objeto que se especifica en el ajuste Identificador de objeto debe coincidir con el identificador de objeto del certificado de tarjeta inteligente. |
Cuando están deshabilitadas o no están configuradas |
Se usa el identificador de objeto predeterminado. |
Referencia
Esta configuración de directiva se aplica al activar BitLocker.
El identificador de objeto se especifica en el uso mejorado de claves (EKU) de un certificado. BitLocker puede identificar los certificados que pueden usarse para autenticar un certificado de usuario en una unidad protegida con BitLocker haciendo coincidir el identificador de objeto del certificado con el identificador de objeto definido por esta configuración de directiva.
El identificador de objeto predeterminado es 1.3.6.1.4.1.311.67.1.1.
Nota
BitLocker no requiere que un certificado tenga un atributo EKU; sin embargo, si hay uno configurado para el certificado, deberá establecerse en un identificador de objeto que coincida con el identificador de objeto configurado para BitLocker.
Habilitar el uso de autenticación BitLocker que requiera entrada de teclado de prearranque en pizarras
Esta configuración de directiva permite a los usuarios habilitar las opciones de autenticación que requieren la entrada del usuario desde el entorno de prearranque incluso si la plataforma indica una falta de capacidad de entrada de prearranque.
Descripción de la directiva |
Con esta configuración de directiva, puedes permitir a los usuarios habilitar las opciones de autenticación que requieren la entrada del usuario desde el entorno de prearranque incluso si la plataforma indica una falta de capacidad de entrada de prearranque. |
Introducida |
Windows Server 2012 y Windows 8 |
Tipo de unidad |
Unidad de sistema operativo |
Ruta de la directiva |
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidad de sistema operativo |
Conflictos |
Ninguno |
Cuando están habilitadas |
Dispositivos deben tener un método alternativo de entrada previo al arranque (como un teclado USB conectado). |
Cuando están deshabilitadas o no están configuradas |
El entorno de recuperación de Windows debe estar habilitado en tabletas para admitir escribir la contraseña de recuperación de BitLocker. |
Referencia
El teclado Windows touch (como el que usan las tabletas) no está disponible en el entorno de prearranque en el que BitLocker requiere información adicional, como un PIN o una contraseña.
Se recomienda que los administradores habiliten esta directiva solo para dispositivos que se compruebe que tienen un método alternativo de entrada de prearranque, como la conexión de un teclado USB.
Cuando no está habilitado el entorno de recuperación de Windows y esta directiva no está habilitada, no se podrá activar BitLocker en un dispositivo que usa el teclado Windows touch.
Si no habilitas esta configuración de directiva, podrían no estar disponibles las siguientes opciones de la directiva Requerir autenticación adicional al iniciar:
Configurar PIN de inicio del TPM: obligatorio y permitido
Configurar la clave de inicio y el PIN del TPM: obligatorio y permitido
Configurar el uso de contraseñas para unidades de sistema operativo
Denegar el acceso de escritura a las unidades fijas no protegidas con BitLocker
Esta configuración de directiva se usa para exigir el cifrado de unidades fijas antes de conceder acceso de escritura.
Descripción de la directiva |
Con esta configuración de directiva, puedes establecer si es necesaria la protección de BitLocker para que se puedan escribir las unidades de datos fijas en un equipo. |
Introducida |
Windows Server 2008 R2 y Windows 7 |
Tipo de unidad |
Unidades de datos fijas |
Ruta de la directiva |
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades de datos fijas |
Conflictos |
Consulta la sección Referencia para obtener una descripción de los conflictos. |
Cuando están habilitadas |
Todas las unidades de datos fijas que no están protegidas con BitLocker están montadas como de solo lectura. Si la unidad está protegida con BitLocker, se monta con acceso de lectura y escritura. |
Cuando están deshabilitadas o no están configuradas |
Todas las unidades de datos fijas del equipo están montadas con acceso de lectura y escritura. |
Referencia
Esta configuración de directiva se aplica al activar BitLocker.
Las consideraciones de conflicto son:
Cuando esta configuración de directiva está habilitada, los usuarios reciben mensajes de error "Acceso denegado" al intentar guardar los datos en unidades de datos fijas sin cifrar. Consulta la sección Referencia para ver conflictos adicionales.
Si BdeHdCfg.exe se ejecuta en un equipo cuando está habilitada esta configuración de directiva, podría encontrar los siguientes problemas:
Si has intentado reducir la unidad y crear la unidad del sistema, el tamaño de la unidad se reducirá correctamente y se creará una partición sin procesar. Sin embargo, la partición sin procesar no tendrá formato. Se muestra el siguiente mensaje de error: "No se puede formatear la nueva unidad activa. Es posible que deba preparar la unidad manualmente para BitLocker".
Si intentas usar espacio sin asignar para crear la unidad del sistema, se creará una partición sin procesar. Sin embargo, no se formateará la partición sin procesar. Se muestra el siguiente mensaje de error: "No se puede formatear la nueva unidad activa. Es posible que deba preparar la unidad manualmente para BitLocker".
Si intentas combinar una unidad existente con la unidad del sistema, la herramienta no podrá copiar el archivo de inicio necesario en la unidad de destino para crear la unidad del sistema. Se muestra el siguiente mensaje de error: "El programa de instalación de BitLocker no pudo copiar los archivos de arranque. Es posible que deba preparar la unidad manualmente para BitLocker".
Si se aplica esta configuración de directiva, se no podrá volver a particionar una unidad de disco duro porque la unidad está protegida. Si vas a actualizar equipos de la organización a partir de una versión anterior de Windows y los equipos se han configurado con una sola partición, debes crear la partición del sistema BitLocker necesaria antes de aplicar esta configuración de directiva a los equipos.
Denegar el acceso de escritura a las unidades extraíbles no protegidas con BitLocker
Esta configuración de directiva se usa para exigir que las unidades extraíbles se cifren antes de conceder el acceso de escritura, y para controlar si se pueden abrir unidades extraíbles protegidas con BitLocker configuradas en otra organización con acceso de escritura.
Descripción de la directiva |
Con esta configuración de directiva, puedes configurar si es necesaria la protección de BitLocker para poder escribir datos en una unidad de datos extraíble. |
Introducida |
Windows Server 2008 R2 y Windows 7 |
Tipo de unidad |
Unidades de datos extraíbles |
Ruta de la directiva |
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades de datos extraíbles |
Conflictos |
Consulta la sección Referencia para obtener una descripción de los conflictos. |
Cuando están habilitadas |
Todas las unidades de datos extraíbles que no están protegidas con BitLocker están montadas como de solo lectura. Si la unidad está protegida con BitLocker, se monta con acceso de lectura y escritura. |
Cuando están deshabilitadas o no están configuradas |
Todas las unidades de datos extraíbles del equipo están montadas con acceso de lectura y escritura. |
Referencia
Si se selecciona la opción No permitir el acceso de escritura a dispositivos configurados en otra organización, solo se le dará acceso de escritura a las unidades cuyos campos de identificación coincidan con los campos de identificación del equipo. Cuando se tenga acceso a una unidad de datos extraíble, se comprobará si tiene un campo de identificación válido y campos de identificación permitidos. Estos campos están definidos por la configuración de directiva Proporcionar los identificadores únicos de su organización.
Nota
Puedes invalidar esta configuración de directiva con la configuración de directiva en Configuración de usuario\Plantillas administrativas\Sistema\Acceso a almacenamiento extraíble. Si está habilitada la directiva Discos extraíbles: denegar acceso de escritura, se omitirá esta configuración de directiva.
Las consideraciones de conflicto son:
No debe permitirse el uso de BitLocker con el TPM más una clave de inicio o con el TPM más un PIN y una clave de inicio si está habilitada la configuración de directiva Denegar el acceso de escritura a unidades extraíbles no protegidas por BitLocker.
No debe permitirse el uso de claves de recuperación si está habilitada la configuración de directiva Denegar el acceso de escritura a unidades extraíbles no protegidas por BitLocker.
Debes habilitar la configuración de directiva Proporcionar los identificadores únicos de su organización si deseas denegar el acceso de escritura a las unidades que se han configurado en otra organización.
Controlar el uso de BitLocker en unidades extraíbles
Esta configuración de directiva se usa para impedir que los usuarios activen o desactiven BitLocker en unidades de datos extraíbles.
Descripción de la directiva |
Con esta configuración de directiva, puedes controlar el uso de BitLocker en unidades de datos extraíbles. |
Introducida |
Windows Server 2008 R2 y Windows 7 |
Tipo de unidad |
Unidades de datos extraíbles |
Ruta de la directiva |
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades de datos extraíbles |
Conflictos |
Ninguno |
Cuando están habilitadas |
Puedes seleccionar valores de propiedades que controlen cómo los usuarios pueden configurar BitLocker. |
Cuando está deshabilitada |
Los usuarios no pueden usar BitLocker en unidades de datos extraíbles. |
Cuando no está configurada |
Los usuarios pueden usar BitLocker en unidades de datos extraíbles. |
Referencia
Esta configuración de directiva se aplica al activar BitLocker.
Para obtener información acerca de la suspensión de la protección de BitLocker, consulta implementación básica de BitLocker.
Las opciones para elegir los valores de propiedades que controlan cómo los usuarios pueden configurar BitLocker son:
Permitir que los usuarios apliquen la protección de BitLocker en unidades de datos extraíbles Permite al usuario ejecutar el Asistente para la instalación de BitLocker en una unidad de datos extraíble.
Permitir que los usuarios suspendan y descifren la protección de BitLocker en unidades de datos extraíbles Permite al usuario quitar BitLocker de la unidad o suspender el cifrado al realizar el mantenimiento.
Elegir el método de cifrado y la longitud del cifrado de la unidad
Esta configuración de directiva se usa para controlar el método de cifrado y la intensidad de cifrado.
Descripción de la directiva |
Con esta configuración de directiva, puedes controlar el método y la intensidad de cifrado de las unidades. |
Introducida |
Windows Server 2012 y Windows 8 |
Tipo de unidad |
Todas las unidades |
Ruta de la directiva |
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker |
Conflictos |
Ninguno |
Cuando están habilitadas |
Puedes elegir un algoritmo de cifrado y la intensidad de cifrado de clave que BitLocker use para cifrar unidades. |
Cuando están deshabilitadas o no están configuradas |
BitLocker usa el método de cifrado predeterminado AES de 128 bits o el método de cifrado que se especifica mediante el script de configuración. |
Referencia
De forma predeterminada, BitLocker usa cifrado AES de 128 bits. Las opciones disponibles son AES-128 y AES-256. Los valores de esta directiva determinan la intensidad que BitLocker usa para el cifrado. Puede que las empresas deseen controlar el nivel de cifrado para aumentar la seguridad (AES-256 es más seguro que AES-128).
Cambiar el método de cifrado no tiene ningún efecto si la unidad ya está cifrada o si el cifrado está en curso. En estos casos, se omite esta configuración de directiva.
Advertencia
Esta directiva no se aplica a las unidades cifradas. Las unidades cifradas usan su propio algoritmo, que establece la unidad durante la partición.
Cuando se deshabilita esta configuración de directiva, BitLocker usa AES con la misma intensidad de bits (128 bits o de 256 bits), según se especifique en la configuración de directiva Elegir método de cifrado e intensidad de cifrado de unidad (Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2). Si no se establece ninguna directiva, BitLocker usa el método de cifrado predeterminado, AES-128, o el método de cifrado especificado en el script de configuración.
Configurar el uso de cifrado basado en hardware para unidades de datos fijas
Esta directiva controla cómo BitLocker reacciona a los sistemas que están equipados con unidades cifradas cuando se usan como volúmenes de datos fijos. Mediante el cifrado de hardware se puede mejorar el rendimiento de las operaciones de unidad que implican lectura o escritura frecuente de datos en la unidad.
Descripción de la directiva |
Con esta configuración de directiva, puedes administrar el uso de BitLocker de cifrado basado en hardware en unidades de datos fijas y especificar qué algoritmos de cifrado puede usar BitLocker con el cifrado basado en hardware. |
Introducida |
Windows Server 2012 y Windows 8 |
Tipo de unidad |
Unidades de datos fijas |
Ruta de la directiva |
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades de datos fijas |
Conflictos |
Ninguno |
Cuando están habilitadas |
Puedes especificar opciones adicionales que controlen si se usa el cifrado basado en software de BitLocker en lugar del cifrado basado en hardware en equipos que no admiten el cifrado basado en hardware. También puedes especificar si quieres restringir los algoritmos de cifrado y los conjuntos de cifrados que se usan con el cifrado basado en hardware. |
Cuando está deshabilitada |
BitLocker no puede usar el cifrado basado en hardware con unidades de datos fijas y el cifrado basado en software de BitLocker se usa de manera predeterminada al cifrar la unidad. |
Cuando no está configurada |
BitLocker usa el cifrado basado en hardware con el algoritmo de cifrado que se establece para la unidad. Si el cifrado basado en hardware no está disponible, se usa el cifrado basado en software de BitLocker. |
Referencia
Nota
La configuración de directiva Elegir método de cifrado e intensidad de cifrado de unidad no se aplica al cifrado basado en hardware.
El algoritmo de cifrado que usa el cifrado basado en hardware se establece al realizar la partición de la unidad. De forma predeterminada, BitLocker usa el algoritmo configurado en la unidad para cifrar la unidad. La opción Limitar los algoritmos de cifrado y conjuntos de cifrado permitidos para cifrado basado en hardware de este valor te permite limitar los algoritmos de cifrado que BitLocker puede usar con el cifrado de hardware. Si el algoritmo que se establece para la unidad no está disponible, BitLocker deshabilitará el uso del cifrado basado en hardware. Los algoritmos de cifrado se especifican mediante identificadores de objeto (OID), por ejemplo:
Estándar de cifrado avanzado (AES) 128 en OID de modo CBC (encadenamiento de bloques cifrados): 2.16.840.1.101.3.4.1.2
AES 256 en OID de modo CBC: 2.16.840.1.101.3.4.1.42
Configurar el uso de cifrado basado en hardware para unidades de sistema operativo
Esta directiva controla cómo BitLocker reacciona cuando se usan unidades cifradas como unidades de sistema operativo. Mediante el cifrado de hardware se puede mejorar el rendimiento de las operaciones de unidad que implican lectura o escritura frecuente de datos en la unidad.
Descripción de la directiva |
Con esta configuración de directiva, puedes administrar el uso de BitLocker del cifrado basado en hardware en unidades de sistema operativo y especificar qué algoritmos de cifrado puede usar BitLocker con el cifrado basado en hardware. |
Introducida |
Windows Server 2012 y Windows 8 |
Tipo de unidad |
Unidades de sistema operativo |
Ruta de la directiva |
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades de sistema operativo |
Conflictos |
Ninguno |
Cuando están habilitadas |
Puedes especificar opciones adicionales que controlen si se usa el cifrado basado en software de BitLocker en lugar del cifrado basado en hardware en equipos que no admiten el cifrado basado en hardware. También puedes especificar si quieres restringir los algoritmos de cifrado y los conjuntos de cifrados que se usan con el cifrado basado en hardware. |
Cuando está deshabilitada |
BitLocker no puede usar el cifrado basado en hardware con unidades de sistema operativo y el cifrado basado en software de BitLocker se usa de manera predeterminada al cifrar la unidad. |
Cuando no está configurada |
BitLocker usa el cifrado basado en hardware con el algoritmo de cifrado que se establece para la unidad. Si el cifrado basado en hardware no está disponible, se usa el cifrado basado en software de BitLocker. |
Referencia
Si el cifrado basado en hardware no está disponible, se usa el cifrado basado en software de BitLocker.
Nota
La configuración de directiva Elegir método de cifrado e intensidad de cifrado de unidad no se aplica al cifrado basado en hardware.
El algoritmo de cifrado que usa el cifrado basado en hardware se establece al realizar la partición de la unidad. De forma predeterminada, BitLocker usa el algoritmo configurado en la unidad para cifrar la unidad. La opción Limitar los algoritmos de cifrado y conjuntos de cifrado permitidos para cifrado basado en hardware de este valor te permite limitar los algoritmos de cifrado que BitLocker puede usar con el cifrado de hardware. Si el algoritmo que se establece para la unidad no está disponible, BitLocker deshabilitará el uso del cifrado basado en hardware. Los algoritmos de cifrado se especifican mediante identificadores de objeto (OID), por ejemplo:
Estándar de cifrado avanzado (AES) 128 en OID de modo CBC (encadenamiento de bloques cifrados): 2.16.840.1.101.3.4.1.2
AES 256 en OID de modo CBC: 2.16.840.1.101.3.4.1.42
Configurar el uso de cifrado basado en hardware para unidades de datos extraíbles
Esta directiva controla cómo BitLocker reacciona frente a las unidades cifradas cuando se usan como unidades de datos extraíbles. Mediante el cifrado de hardware se puede mejorar el rendimiento de las operaciones de unidad que implican lectura o escritura frecuente de datos en la unidad.
Descripción de la directiva |
Con esta configuración de directiva, puedes administrar el uso de BitLocker de cifrado basado en hardware en unidades de datos extraíbles y especificar qué algoritmos de cifrado puede usar BitLocker con el cifrado basado en hardware. |
Introducida |
Windows Server 2012 y Windows 8 |
Tipo de unidad |
Unidad de datos extraíble |
Ruta de la directiva |
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades de datos extraíbles |
Conflictos |
Ninguno |
Cuando están habilitadas |
Puedes especificar opciones adicionales que controlen si se usa el cifrado basado en software de BitLocker en lugar del cifrado basado en hardware en equipos que no admiten el cifrado basado en hardware. También puedes especificar si quieres restringir los algoritmos de cifrado y los conjuntos de cifrados que se usan con el cifrado basado en hardware. |
Cuando está deshabilitada |
BitLocker no puede usar el cifrado basado en hardware con unidades de datos extraíbles y el cifrado basado en software de BitLocker se usa de manera predeterminada al cifrar la unidad. |
Cuando no está configurada |
BitLocker usa el cifrado basado en hardware con el algoritmo de cifrado que se establece para la unidad. Si el cifrado basado en hardware no está disponible, se usa el cifrado basado en software de BitLocker. |
Referencia
Si el cifrado basado en hardware no está disponible, se usa el cifrado basado en software de BitLocker.
Nota
La configuración de directiva Elegir método de cifrado e intensidad de cifrado de unidad no se aplica al cifrado basado en hardware.
El algoritmo de cifrado que usa el cifrado basado en hardware se establece al realizar la partición de la unidad. De forma predeterminada, BitLocker usa el algoritmo configurado en la unidad para cifrar la unidad. La opción Limitar los algoritmos de cifrado y conjuntos de cifrado permitidos para cifrado basado en hardware de este valor te permite limitar los algoritmos de cifrado que BitLocker puede usar con el cifrado de hardware. Si el algoritmo que se establece para la unidad no está disponible, BitLocker deshabilitará el uso del cifrado basado en hardware. Los algoritmos de cifrado se especifican mediante identificadores de objeto (OID), por ejemplo:
Estándar de cifrado avanzado (AES) 128 en OID de modo CBC (encadenamiento de bloques cifrados): 2.16.840.1.101.3.4.1.2
AES 256 en OID de modo CBC: 2.16.840.1.101.3.4.1.42
Aplicar el tipo de cifrado de unidad en unidades de datos fijas
Esta directiva controla si unidades de datos fijas usan cifrado de solo espacio usado o cifrado completo. La configuración de esta directiva también hace que el Asistente para la configuración de BitLocker omita la página de opciones de cifrado, así que no se mostrará al usuario ninguna selección de cifrado.
Descripción de la directiva |
Con esta configuración de directiva, puedes configurar el tipo de cifrado que usa BitLocker. |
Introducida |
Windows Server 2012 y Windows 8 |
Tipo de unidad |
Unidad de datos fija |
Ruta de la directiva |
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades de datos fijas |
Conflictos |
Ninguno |
Cuando están habilitadas |
Esta directiva define el tipo de cifrado que BitLocker usa para cifrar unidades y la opción de tipo de cifrado no está presente en el Asistente para la configuración de BitLocker. |
Cuando están deshabilitadas o no están configuradas |
El Asistente para la configuración de BitLocker pide al usuario que seleccione el tipo de cifrado antes de activar BitLocker. |
Referencia
Esta configuración de directiva se aplica al activar BitLocker. Cambiar el tipo de cifrado no tiene ningún efecto si la unidad ya está cifrada o si el cifrado está en curso. Elegir el cifrado completo para requerir que toda la unidad se cifre al activar BitLocker. Elige el cifrado solo de espacio usado para requerir que solo la parte de la unidad que se usa para almacenar datos se cifre al activar BitLocker.
Nota
Esta directiva se omite cuando se reduce o expande un volumen y el controlador de BitLocker usa el método de cifrado actual. Por ejemplo, cuando se expande una unidad que está usando el cifrado de solo espacio usado, el nuevo espacio libre no se borra como sí se haría con una unidad que use el cifrado completo. El usuario podría borrar el espacio libre de una unidad de solo espacio usado mediante el siguiente comando: manage-bde -w. Si el volumen se reduce, no se realizará ninguna acción con el espacio libre.
Para obtener más información acerca de la herramienta para administrar BitLocker, consulta Manage-bde.
Aplicar el tipo de cifrado de unidad en unidades de sistema operativo
Esta directiva controla si las unidades de sistema operativo usan cifrado completo o cifrado de solo espacio usado. La configuración de esta directiva también hace que el Asistente para la configuración de BitLocker omita la página de opciones de cifrado, así que no se mostrará al usuario ninguna selección de cifrado.
Descripción de la directiva |
Con esta configuración de directiva, puedes configurar el tipo de cifrado que usa BitLocker. |
Introducida |
Windows Server 2012 y Windows 8 |
Tipo de unidad |
Unidad de sistema operativo |
Ruta de la directiva |
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades de sistema operativo |
Conflictos |
Ninguno |
Cuando están habilitadas |
Esta directiva define el tipo de cifrado que BitLocker usa para cifrar unidades, y la opción de tipo de cifrado no está presente en el Asistente para la configuración de BitLocker. |
Cuando están deshabilitadas o no están configuradas |
El Asistente para la configuración de BitLocker pide al usuario que seleccione el tipo de cifrado antes de activar BitLocker. |
Referencia
Esta configuración de directiva se aplica al activar BitLocker. Cambiar el tipo de cifrado no tiene ningún efecto si la unidad ya está cifrada o si el cifrado está en curso. Elegir el cifrado completo para requerir que toda la unidad se cifre al activar BitLocker. Elige el cifrado solo de espacio usado para requerir que solo la parte de la unidad que se usa para almacenar datos se cifre al activar BitLocker.
Nota
Esta directiva se omite cuando se reduce o expande un volumen, y el controlador de BitLocker usa el método de cifrado actual. Por ejemplo, cuando se expande una unidad que está usando el cifrado de solo espacio usado, el nuevo espacio libre no se borra como sí se haría con una unidad que use el cifrado completo. El usuario podría borrar el espacio libre de una unidad de solo espacio usado mediante el siguiente comando: manage-bde -w. Si el volumen se reduce, no se realizará ninguna acción con el espacio libre.
Para obtener más información acerca de la herramienta para administrar BitLocker, consulta Manage-bde.
Aplicar el tipo de cifrado de unidad en unidades de datos extraíbles
Esta directiva controla si unidades de datos fijas usan cifrado de solo espacio usado o cifrado completo. La configuración de esta directiva también hace que el Asistente para la configuración de BitLocker omita la página de opciones de cifrado, así que no se mostrará al usuario ninguna selección de cifrado.
Descripción de la directiva |
Con esta configuración de directiva, puedes configurar el tipo de cifrado que usa BitLocker. |
Introducida |
Windows Server 2012 y Windows 8 |
Tipo de unidad |
Unidad de datos extraíble |
Ruta de la directiva |
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades de datos extraíbles |
Conflictos |
Ninguno |
Cuando están habilitadas |
Esta directiva define el tipo de cifrado que BitLocker usa para cifrar unidades, y la opción de tipo de cifrado no está presente en el Asistente para la configuración de BitLocker. |
Cuando están deshabilitadas o no están configuradas |
El Asistente para la configuración de BitLocker pide al usuario que seleccione el tipo de cifrado antes de activar BitLocker. |
Referencia
Esta configuración de directiva se aplica al activar BitLocker. Cambiar el tipo de cifrado no tiene ningún efecto si la unidad ya está cifrada o si el cifrado está en curso. Elegir el cifrado completo para requerir que toda la unidad se cifre al activar BitLocker. Elige el cifrado solo de espacio usado para requerir que solo la parte de la unidad que se usa para almacenar datos se cifre al activar BitLocker.
Nota
Esta directiva se omite cuando se reduce o expande un volumen, y el controlador de BitLocker usa el método de cifrado actual. Por ejemplo, cuando se expande una unidad que está usando el cifrado de solo espacio usado, el nuevo espacio libre no se borra como sí se haría con una unidad que use el cifrado completo. El usuario podría borrar el espacio libre de una unidad de solo espacio usado mediante el siguiente comando: manage-bde -w. Si el volumen se reduce, no se realizará ninguna acción con el espacio libre.
Para obtener más información acerca de la herramienta para administrar BitLocker, consulta Manage-bde.
Elegir la forma en que pueden recuperarse las unidades de sistema operativo protegidas con BitLocker
Esta configuración de directiva se usa para configurar los métodos de recuperación para unidades de sistema operativo.
Descripción de la directiva |
Con esta configuración de directiva, puedes controlar cómo se recuperan las unidades de sistema operativo protegidas con BitLocker si falta la información de la clave de inicio necesaria. |
Introducida |
Windows Server 2008 R2 y Windows 7 |
Tipo de unidad |
Unidades de sistema operativo |
Ruta de la directiva |
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades de sistema operativo |
Conflictos |
No debes permitir el uso de claves de recuperación si está habilitada la configuración de directiva Denegar el acceso de escritura a unidades extraíbles no protegidas por BitLocker. Cuando se usan agentes de recuperación de datos, debes habilitar la configuración de directiva Proporcionar identificadores únicos para la organización. |
Cuando están habilitadas |
Puedes controlar los métodos que están disponibles para que los usuarios recuperen datos de las unidades de sistema operativo protegidas con BitLocker. |
Cuando están deshabilitadas o no están configuradas |
Para la recuperación de BitLocker, se admiten las opciones de recuperación predeterminadas. De forma predeterminada, se permite un agente de recuperación de datos, el usuario puede especificar las opciones de recuperación (incluidas la contraseña de recuperación y la clave de recuperación) y no se realiza copia de seguridad de la información de recuperación en AD DS. |
Referencia
Esta configuración de directiva se aplica al activar BitLocker.
La casilla Permitir agente de recuperación de datos se usa para especificar si se puede usar un agente de recuperación de datos con unidades de sistema operativo protegidas con BitLocker. Antes de que se pueda usar un agente de recuperación de datos, debe agregarse desde Directivas de clave pública, que se encuentra en la consola de administración de directivas de grupo (GPMC) o en el Editor de directivas de grupo local.
Para obtener más información sobre cómo agregar agentes de recuperación de datos, consulta Implementación básica de BitLocker.
En Configurar almacenamiento de usuario de la información de recuperación de BitLocker, seleccione si los usuarios se permiten, son obligatorios o no se permiten para generar una contraseña de recuperación de 48 dígitos.
Seleccione Omitir opciones de recuperación en el Asistente para la configuración de BitLocker para impedir que los usuarios especifiquen opciones de recuperación al habilitar BitLocker en una unidad. Esto significa que no podrás especificar qué opción de recuperación usar al habilitar BitLocker. Por el contrario, la configuración de directiva determinará las opciones de recuperación de la unidad.
En Guardar información de recuperación de BitLocker en los servicios de dominio de Active Directory, elige qué información de recuperación de BitLocker almacenar en los servicios de dominio de Active Directory (AD DS) para las unidades de sistema operativo. Si seleccionas Almacenar paquetes de contraseñas y claves de recuperación, los paquetes de contraseñas y claves de recuperación de BitLocker se almacenarán en AD DS. Almacenar el paquete de claves admite la recuperación de datos desde una unidad que físicamente esté dañada. Si seleccionas Almacenar solo contraseña de recuperación, solo la contraseña de recuperación se almacenará en AD DS.
Selecciona la casilla No habilitar BitLocker hasta que la información de recuperación se almacene en AD DS para unidades de sistema operativo si quieres impedir que los usuarios habiliten BitLocker a menos que el equipo esté conectado al dominio y se realice correctamente la copia de seguridad de la información de recuperación de BitLocker en AD DS.
Nota
Si está seleccionada la casilla No habilitar BitLocker hasta que la información de recuperación se almacene en AD DS para unidades de sistema operativo, se generará automáticamente una contraseña de recuperación.
Elegir la forma en que los usuarios pueden recuperar las unidades protegidas con BitLocker (Windows Server 2008 y Windows Vista)
Esta configuración de directiva se usa para configurar los métodos de recuperación de unidades protegidas con BitLocker en equipos que ejecutan Windows Server 2008 o Windows Vista.
Descripción de la directiva |
Con esta configuración de directiva, puedes controlar si el Asistente para la configuración de BitLocker puede mostrar y especificar las opciones de recuperación de BitLocker. |
Introducida |
Windows Server 2008 y Windows Vista |
Tipo de unidad |
Unidades de sistema operativo y unidades de datos fijas en equipos que ejecutan Windows Server 2008 y Windows Vista |
Ruta de la directiva |
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker |
Conflictos |
Esta configuración de directiva proporciona un método administrativo para recuperar datos que BitLocker cifra para evitar la pérdida de datos debida a la falta de información de la clave. Si eliges la opción No permitir para ambas opciones de recuperación del usuario, debes habilitar la configuración de directiva Almacenar información de recuperación de BitLocker en servicios de dominio de Active Directory (Windows Server 2008 y Windows Vista) para evitar un error de directiva. |
Cuando están habilitadas |
Puedes configurar las opciones que el asistente para la configuración de BitLocker muestra a los usuarios para recuperar datos cifrados con BitLocker. |
Cuando están deshabilitadas o no están configuradas |
El Asistente para la configuración de BitLocker presenta a los usuarios maneras para almacenar opciones de recuperación. |
Referencia
Esta directiva solo es aplicable a equipos que ejecutan Windows Server 2008 o Windows Vista. Esta configuración de directiva se aplica al activar BitLocker.
Dos opciones de recuperación pueden usarse para desbloquear los datos cifrados mediante BitLocker en ausencia de información de la clave de inicio necesaria. Los usuarios pueden escribir una contraseña de recuperación de 48 dígitos numéricos o pueden insertar una unidad USB que contiene una clave de recuperación de 256 bits.
Guardar la contraseña de recuperación en una unidad USB almacena la contraseña de recuperación de 48 dígitos como archivo de texto y la clave de recuperación de 256 bits como archivo oculto. Guardarla en una carpeta almacena la contraseña de recuperación de 48 dígitos como archivo de texto. Imprimirla envía la contraseña de recuperación de 48 dígitos a la impresora predeterminada. Por ejemplo, no permitir la contraseña de recuperación de 48 dígitos impide a los usuarios imprimir o guardar la información de recuperación en una carpeta.
Importante
Si se realiza la inicialización del TPM durante la instalación de BitLocker, la información del propietario del TPM se guarda o se imprime con la información de recuperación de BitLocker.
La contraseña de recuperación de 48 dígitos no está disponible en el modo de cumplimiento de FIPS.
Importante
Para evitar la pérdida de datos, debes tener una manera de recuperar las claves de cifrado de BitLocker. Si no permites ambas opciones de recuperación, deberás habilitar la copia de seguridad de la información de recuperación de BitLocker en AD DS. De lo contrario, se produce un error de directiva.
Almacenar información de recuperación de BitLocker en servicios de dominio de Active Directory (Windows Server 2008 y Windows Vista)
Esta configuración de directiva se usa para configurar el almacenamiento de información de recuperación de BitLocker en AD DS. De esta forma se proporciona un método administrativo para recuperar datos cifrados por BitLocker para evitar la pérdida de datos debida a la falta de información de la clave.
Descripción de la directiva |
Con esta configuración de directiva, puedes administrar la copia de seguridad de AD DS de la información de recuperación de cifrado de unidad BitLocker. |
Introducida |
Windows Server 2008 y Windows Vista |
Tipo de unidad |
Unidades de sistema operativo y unidades de datos fijas en equipos que ejecutan Windows Server 2008 y Windows Vista. |
Ruta de la directiva |
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker |
Conflictos |
Ninguno |
Cuando están habilitadas |
Al activar BitLocker para un equipo, se realiza copia de seguridad, de forma automática y silenciosa, de la información de recuperación de BitLocker en AD DS. |
Cuando están deshabilitadas o no están configuradas |
La información de recuperación de BitLocker no se copia en AD DS. |
Referencia
Esta directiva solo es aplicable a equipos que ejecutan Windows Server 2008 o Windows Vista.
Esta configuración de directiva se aplica al activar BitLocker.
La información de recuperación de BitLocker incluye los datos de identificador único y contraseña de recuperación. También puedes incluir un paquete que contenga una clave de cifrado para una unidad protegida con BitLocker. Este paquete de claves está protegido por una o más contraseñas de recuperación, y puede ayudar a realizar una recuperación especializada cuando el disco esté dañado o alterado.
Si seleccionas Requerir copia de seguridad de BitLocker en AD DS, BitLocker no se podrá activar a menos que el equipo esté conectado al dominio y se realice correctamente la copia de seguridad de la información de recuperación de BitLocker en AD DS. Esta opción está seleccionada de manera predeterminada para ayudar a garantizar que la recuperación de BitLocker sea posible.
Una contraseña de recuperación es un número de 48 dígitos que desbloquea el acceso a una unidad protegida con BitLocker. Un paquete de claves contiene la clave de cifrado de BitLocker de una unidad, que está protegida por una o varias contraseñas de recuperación. Los paquetes de claves pueden ayudar a realizar una recuperación especializada cuando el disco esté dañado o alterado.
Si no está seleccionada la opción Requerir copia de seguridad de BitLocker en AD DS, se intentará realizar la copia de seguridad de AD DS, pero los errores de red u otros errores de copia de seguridad no impedirán la instalación de BitLocker. El proceso de copia de seguridad no se vuelve a intentar automáticamente, y la contraseña de recuperación podría no almacenarse en AD DS durante la instalación de BitLocker.
La inicialización del TPM podría ser necesaria durante la instalación de BitLocker. Habilita la configuración de directiva Activar copia de seguridad del TPM en los Servicios de dominio de Active Directory en Configuración del equipo\Plantillas administrativas\Sistema\Servicios del Módulo de plataforma segura para asegurarte de que también se copia la información del TPM.
Para obtener más información acerca de esta configuración, consulta Configuración de directivas de grupo del TPM.
Si estás usando controladores de dominio que ejecutan Windows Server 2003 con Service Pack 1, deberás primero configurar las extensiones de esquema adecuado y obtener acceso a la configuración de control del dominio antes de que se realice correctamente una copia de seguridad en AD DS. Para obtener más información, consulta Hacer una copia de seguridad de la información de recuperación del TPM en AD DS.
Elegir la carpeta predeterminada para la contraseña de recuperación
Esta configuración de directiva se usa para configurar la carpeta predeterminada para las contraseñas de recuperación.
Descripción de la directiva |
Con esta configuración de directiva, puedes especificar la ruta de acceso predeterminada que se muestra cuando el Asistente para la configuración de BitLocker solicita al usuario que especifique la ubicación de una carpeta en la que guardar la contraseña de recuperación. |
Introducida |
Windows Vista |
Tipo de unidad |
Todas las unidades |
Ruta de la directiva |
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker |
Conflictos |
Ninguno |
Cuando están habilitadas |
Puedes especificar la ruta de acceso que se usará como ubicación de carpeta predeterminada cuando el usuario elija la opción para guardar la contraseña de recuperación en una carpeta. Puedes especificar una ruta de acceso completa o incluir variables de entorno del equipo de destino en la ruta de acceso. Si la ruta de acceso no es válida, el Asistente para la configuración de BitLocker mostrará la vista de la carpeta de nivel superior del equipo. |
Cuando están deshabilitadas o no están configuradas |
El Asistente para la configuración de BitLocker muestra la vista de la carpeta de nivel superior del equipo cuando el usuario elige la opción de guardar la contraseña de recuperación en una carpeta. |
Referencia
Esta configuración de directiva se aplica al activar BitLocker.
Nota
Esta configuración de directiva no impide que el usuario guarde la contraseña de recuperación en otra carpeta.
Elegir cómo se pueden recuperar unidades fijas protegidas con BitLocker
Esta configuración de directiva se usa para configurar los métodos de recuperación para unidades de datos fijas.
Descripción de la directiva |
Con esta configuración de directiva, puedes controlar cómo se recuperan las unidades de datos fijas protegidas con BitLocker en ausencia de las credenciales necesarias. |
Introducida |
Windows Server 2008 R2 y Windows 7 |
Tipo de unidad |
Unidades de datos fijas |
Ruta de la directiva |
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades de datos fijas |
Conflictos |
No debes permitir el uso de claves de recuperación si está habilitada la configuración de directiva Denegar el acceso de escritura a unidades extraíbles no protegidas por BitLocker. Cuando se usan agentes de recuperación de datos, debes habilitar y configurar la configuración de directiva Proporcionar identificadores únicos para la organización. |
Cuando están habilitadas |
Puedes controlar los métodos que están disponibles para que los usuarios recuperen datos de las unidades de datos fijas protegidas con BitLocker. |
Cuando están deshabilitadas o no están configuradas |
Para la recuperación de BitLocker, se admiten las opciones de recuperación predeterminadas. De forma predeterminada, se permite un agente de recuperación de datos, el usuario puede especificar las opciones de recuperación (incluidas la contraseña de recuperación y la clave de recuperación) y no se realiza copia de seguridad de la información de recuperación en AD DS. |
Referencia
Esta configuración de directiva se aplica al activar BitLocker.
La casilla Permitir agente de recuperación de datos se usa para especificar si se puede usar un agente de recuperación de datos con unidades de datos fijas protegidas con BitLocker. Antes de que se pueda usar un agente de recuperación de datos, debe agregarse desde Directivas de clave pública, que se encuentra en la consola de administración de directivas de grupo (GPMC) o en el Editor de directivas de grupo local.
En Configurar almacenamiento de usuario de la información de recuperación de BitLocker, selecciona si se permite, se exige o no se permite a los usuarios generar una contraseña de recuperación de 48 dígitos o una clave de recuperación de 256 bits.
Seleccione Omitir opciones de recuperación en el Asistente para la configuración de BitLocker para impedir que los usuarios especifiquen opciones de recuperación al habilitar BitLocker en una unidad. Esto significa que no podrás especificar qué opción de recuperación usar al habilitar BitLocker. Por el contrario, la configuración de directiva determinará las opciones de recuperación de la unidad.
En Guardar información de recuperación de BitLocker para activar los Servicios de dominio de Active Directory, elige qué información de recuperación de BitLocker almacenar en AD DS para las unidades de datos fijas. Si seleccionas Realizar copia de seguridad de contraseñas de recuperación y paquetes de claves, los paquetes de contraseñas y claves de recuperación de BitLocker se almacenarán en AD DS. Almacenar el paquete de claves admite la recuperación de datos desde una unidad que físicamente esté dañada. Para recuperar estos datos, puedes usar la herramienta de línea de comandos Repair-bde. Si seleccionas Realizar copia de seguridad solo de contraseñas de recuperación, solo la contraseña de recuperación se almacenará en AD DS.
Para obtener más información acerca de la herramienta de reparación de BitLocker, consulta Repair-bde.
Selecciona la casilla No habilitar BitLocker hasta que la información de recuperación se almacene en AD DS para unidades de datos fijas si quieres impedir que los usuarios habiliten BitLocker a menos que el equipo esté conectado al dominio y se realice correctamente la copia de seguridad de la información de recuperación de BitLocker en AD DS.
Nota
Si está seleccionada la casilla No habilitar BitLocker hasta que la información de recuperación se almacene en AD DS para unidades de datos fijas, se generará automáticamente una contraseña de recuperación.
Elegir cómo se pueden recuperar unidades extraíbles protegidas con BitLocker
Esta configuración de directiva se usa para configurar los métodos de recuperación para unidades de datos extraíbles.
Descripción de la directiva |
Con esta configuración de directiva, puedes controlar cómo se recuperan las unidades de datos extraíbles protegidas con BitLocker en ausencia de las credenciales necesarias. |
Introducida |
Windows Server 2008 R2 y Windows 7 |
Tipo de unidad |
Unidades de datos extraíbles |
Ruta de la directiva |
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades de datos extraíbles |
Conflictos |
No debes permitir el uso de claves de recuperación si está habilitada la configuración de directiva Denegar el acceso de escritura a unidades extraíbles no protegidas por BitLocker. Cuando se usan agentes de recuperación de datos, debes habilitar y configurar la configuración de directiva Proporcionar identificadores únicos para la organización. |
Cuando están habilitadas |
Puedes controlar los métodos que están disponibles para que los usuarios recuperen datos de las unidades de datos extraíbles protegidas con BitLocker. |
Cuando están deshabilitadas o no están configuradas |
Para la recuperación de BitLocker, se admiten las opciones de recuperación predeterminadas. De forma predeterminada, se permite un agente de recuperación de datos, el usuario puede especificar las opciones de recuperación (incluidas la contraseña de recuperación y la clave de recuperación) y no se realiza copia de seguridad de la información de recuperación en AD DS. |
Referencia
Esta configuración de directiva se aplica al activar BitLocker.
La casilla Permitir agente de recuperación de datos se usa para especificar si se puede usar un agente de recuperación de datos con unidades de datos extraíbles protegidas con BitLocker. Antes de que se pueda usar un agente de recuperación de datos, debe agregarse desde Directivas de clave pública, a la que se obtiene acceso mediante la GPMC o el Editor de directivas de grupo local.
En Configurar almacenamiento de usuario de la información de recuperación de BitLocker, seleccione si los usuarios se permiten, son obligatorios o no se permiten para generar una contraseña de recuperación de 48 dígitos.
Seleccione Omitir opciones de recuperación en el Asistente para la configuración de BitLocker para impedir que los usuarios especifiquen opciones de recuperación al habilitar BitLocker en una unidad. Esto significa que no podrás especificar qué opción de recuperación usar al habilitar BitLocker. Por el contrario, la configuración de directiva determinará las opciones de recuperación de la unidad.
En Guardar información de recuperación de BitLocker para activar los Servicios de dominio de Active Directory, elige qué información de recuperación de BitLocker almacenar en AD DS para las unidades de datos extraíbles. Si seleccionas Realizar copia de seguridad de contraseñas de recuperación y paquetes de claves, los paquetes de contraseñas y claves de recuperación de BitLocker se almacenarán en AD DS. Si seleccionas Realizar copia de seguridad solo de contraseñas de recuperación, solo la contraseña de recuperación se almacenará en AD DS.
Selecciona la casilla No habilitar BitLocker hasta que la información de recuperación se almacene en AD DS para unidades de datos extraíbles si quieres impedir que los usuarios habiliten BitLocker a menos que el equipo esté conectado al dominio y se realice correctamente la copia de seguridad de la información de recuperación de BitLocker en AD DS.
Nota
Si está seleccionada la casilla No habilitar BitLocker hasta que la información de recuperación se almacene en AD DS para unidades de datos fijas, se generará automáticamente una contraseña de recuperación.
Configurar el mensaje de recuperación de prearranque y la dirección URL
Esta configuración de directiva se usa para configurar todo el mensaje de recuperación y para reemplazar la dirección URL que se muestra en la pantalla de recuperación de prearranque cuando se bloquea la unidad del sistema operativo.
Descripción de la directiva |
Con esta configuración de directiva, puedes configurar la pantalla de recuperación de BitLocker para que muestre un mensaje personalizado y la dirección URL. |
Introducida |
Windows 10 |
Tipo de unidad |
Unidades de sistema operativo |
Ruta de la directiva |
Configuración del equipo \ Plantillas administrativas \ Componentes de Windows \ Cifrado de unidad BitLocker \ Unidades de sistema operativo \ Configurar dirección URL y mensaje de recuperación de prearranque |
Conflictos |
Ninguno |
Cuando están habilitadas |
El mensaje personalizado y la dirección URL se muestran en la pantalla de recuperación de prearranque. Si anteriormente habilitaste un mensaje de recuperación personalizado y la dirección URL y deseas volver al mensaje y la dirección URL predeterminados, debes mantener habilitada la configuración de directiva y seleccionar la opción Usar la dirección URL y el mensaje de recuperación predeterminados. |
Cuando están deshabilitadas o no están configuradas |
Si la configuración no se ha habilitado previamente aparecerá la pantalla de recuperación de prearranque predeterminada para la recuperación de BitLocker. Si la configuración se habilitó anterior y posteriormente se ha deshabilitado, el último mensaje en los datos de configuración de arranque (BCD) aparecerá si era este el mensaje de recuperación predeterminado o el mensaje personalizado. |
Referencia
Habilitar la configuración de directiva Configurar el mensaje de recuperación de prearranque y la dirección URL te permite personalizar el mensaje y la dirección URL de la pantalla de recuperación predeterminados y ayudar a los clientes a recuperar su clave.
Una vez hayas habilitado la configuración, tendrás tres opciones:
Si seleccionas la opción Usar la dirección URL y el mensaje de recuperación predeterminados, el mensaje y la dirección URL de recuperación predeterminados de BitLocker aparecerán en la pantalla de recuperación de prearranque.
Si seleccionas la opción Usar un mensaje de recuperación personalizado, escribe el mensaje personalizado en el cuadro de texto Opción de mensaje de recuperación personalizado. El mensaje que escribas en el cuadro de texto Opción de mensaje de recuperación personalizado aparecerá en la pantalla de recuperación de prearranque. Si hay una dirección URL de recuperación, inclúyela en el mensaje.
Si seleccionas la opción Usar una dirección URL de recuperación personalizada, escribe la dirección URL de mensaje personalizado en el cuadro de texto Opción de dirección URL de recuperación personalizada. La dirección URL que escribas en el cuadro de texto Opción de dirección URL de recuperación personalizada reemplaza la dirección URL predeterminada del mensaje de recuperación predeterminado, que se mostrará en la pantalla de recuperación de prearranque.
Importante
No todos los idiomas y caracteres son compatibles con el entorno de prearranque. Se recomienda encarecidamente que compruebes que la apariencia de los caracteres que se usan para el mensaje personalizado y la dirección URL de la pantalla de recuperación de prearranque sea correcta.
Importante
Dado que puedes modificar los comandos de BCDEdit manualmente antes de que hayas establecido la configuración de directivas de grupo, no podrás devolver la configuración de directiva para la configuración predeterminada seleccionando la opción No configurada después de haber configurado esta opción de directiva. Para volver a la pantalla de recuperación de prearranque predeterminada, deja la configuración de directiva habilitada y selecciona las opciones Usar mensaje predeterminado del cuadro de lista desplegable Elegir una opción para el mensaje de recuperación de prearranque.
Permitir el arranque seguro para la validación de integridad
Esta directiva controla cómo se administran los volúmenes de sistema con BitLocker habilitado en conjunto con la característica de arranque seguro. Al habilitar esta característica obligas a la validación de arranque seguro durante el proceso de arranque y se comprueba la configuración de datos de configuración de arranque (BCD) según la directiva de arranque seguro.
Descripción de la directiva |
Con esta configuración de directiva, puedes configurar si se permitirá el arranque seguro como proveedor de integridad de la plataforma para unidades de sistema operativo de BitLocker. |
Introducida |
Windows Server 2012 y Windows 8 |
Tipo de unidad |
Todas las unidades |
Ruta de la directiva |
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades de sistema operativo |
Conflictos |
Si la configuración de directivas de grupo Configurar el perfil de validación de plataforma del TPM para configuraciones de firmware UEFI nativo está habilitada y se omite PCR 7, BitLocker no podrá usar el arranque seguro para la validación de la integridad de BCD o de la plataforma. Para obtener más información acerca de PCR 7, consulta Registro de configuración de la plataforma (PCR) en este tema. |
Cuando están habilitadas o no están configuradas |
BitLocker usa el arranque seguro para la integridad de la plataforma si la plataforma es capaz de validar la integridad basada en el arranque seguro. |
Cuando está deshabilitada |
BitLocker usa la validación de la integridad de plataforma heredada, incluso en sistemas que pueden validar la integridad basada en el arranque seguro. |
Referencia
El arranque seguro garantiza que el entorno de prearranque del equipo cargue solamente el firmware firmado digitalmente por los editores de software autorizados. El arranque seguro también proporciona más flexibilidad para administrar las configuraciones que la integridad de BitLocker comprueba antes de Windows Server 2012 y Windows 8.
Cuando esta directiva está habilitada y el hardware es capaz de usar el arranque seguro para escenarios de BitLocker, se omite la configuración de directivas de grupo Usar el perfil de validación de datos de configuración de arranque mejorado y el arranque seguro comprueba la configuración de BCD según la configuración de directiva de arranque seguro, que se configura aparte de BitLocker.
Advertencia
Si habilitas esta directiva, se podría producir la recuperación de BitLocker al actualizar el firmware específico del fabricante. Si deshabilitas esta directiva, suspende BitLocker antes de aplicar las actualizaciones de firmware.
Proporcionar identificadores únicos para la organización
Esta configuración de directiva se usa para establecer un identificador que se aplique a todas las unidades cifradas de la organización.
Descripción de la directiva |
Con esta configuración de directiva, puedes asociar los identificadores únicos de la organización a una nueva unidad que esté habilitada con BitLocker. |
Introducida |
Windows Server 2008 R2 y Windows 7 |
Tipo de unidad |
Todas las unidades |
Ruta de la directiva |
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker |
Conflictos |
Los campos de identificación son necesarios para administrar los agentes de recuperación de datos basados en certificados de las unidades protegidas con BitLocker. BitLocker administra y actualiza los agentes de recuperación de datos basados en certificados solo cuando el campo de identificación está presente en una unidad y es idéntico al valor que está configurado en el equipo. |
Cuando están habilitadas |
Puedes configurar el campo de identificación de la unidad protegida con BitLocker y cualquier campo de identificación permitido que se use en la organización. |
Cuando están deshabilitadas o no están configuradas |
El campo de identificación no es necesario. |
Referencia
Estos identificadores se almacenan como el campo de identificación y el campo de identificación permitido. El campo de identificación te permite asociar un identificador único organizativo a unidades protegidas con BitLocker. Este identificador se agrega automáticamente a nuevas unidades protegidas con BitLocker, y puede actualizarse en unidades protegidas con BitLocker existentes mediante el uso de la herramienta de línea de comandos Manage-bde.
Se requiere un campo de identificación para administrar los agentes de recuperación de datos basados en certificados en unidades protegidas con BitLocker y las posibles actualizaciones del lector de BitLocker To Go. BitLocker administra y actualiza los agentes de recuperación de datos solo cuando el campo de identificación de la unidad coincide con el valor que está configurado en el campo de identificación. De manera similar, BitLocker actualiza el lector de BitLocker To Go solo cuando el campo de identificación de la unidad coincide con el valor que está configurado para el campo de identificación.
Para obtener más información acerca de la herramienta para administrar BitLocker, consulta Manage-bde.
El campo de identificación permitido se usa en combinación con la configuración de directiva Denegar el acceso de escritura a las unidades extraíbles no protegidas con BitLocker para ayudar a controlar el uso de unidades extraíbles en la organización. Es una lista de campos de identificación separados por comas de su organización o las organizaciones externas.
Puedes configurar los campos de identificación de unidades existentes mediante la herramienta de línea de comandos Manage-bde.
Cuando se monta una unidad protegida con BitLocker en otro equipo con BitLocker habilitado, el campo de identificación y el campo de identificación permitido se usan para determinar si la unidad es de una organización externa.
Varios valores separados por comas pueden escribirse en los campos de identificación y de identificación permitido. El campo de identificación puede ser cualquier valor de hasta 260 caracteres.
Impedir que la memoria se sobrescriba al reinicio
Esta configuración de directiva se usa para controlar si la memoria del equipo se sobrescribirá la próxima vez que se reinicie el equipo.
Descripción de la directiva |
Con esta configuración de directiva, puedes controlar el rendimiento de reinicio del equipo en caso de riesgo de revelación de secretos de BitLocker. |
Introducida |
Windows Vista |
Tipo de unidad |
Todas las unidades |
Ruta de la directiva |
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker |
Conflictos |
Ninguno |
Cuando están habilitadas |
El equipo no sobrescribirá la memoria al reiniciarse. Impedir la sobrescritura de memoria puede mejorar el rendimiento de reinicio, pero aumenta el riesgo de revelar secretos de BitLocker. |
Cuando están deshabilitadas o no están configuradas |
Los secretos de BitLocker se quitan de la memoria al reiniciar el equipo. |
Referencia
Esta configuración de directiva se aplica al activar BitLocker. Los secretos de BitLocker incluyen material de clave que se usa para cifrar datos. Esta configuración de directiva se aplica únicamente cuando la protección de BitLocker está habilitada.
Configurar el perfil de validación de plataforma del TPM para configuraciones de firmware basado en BIOS
Esta configuración de directiva determina qué valores mide el TPM cuando valida los componentes de arranque iniciales antes de desbloquear una unidad del sistema operativo en un equipo con una configuración de BIOS o firmware UEFI con el módulo de compatibilidad (CSM) habilitado.
Descripción de la directiva |
Con esta configuración de directiva, puedes configurar cómo protege el hardware de seguridad del TPM del equipo la clave de cifrado BitLocker. |
Introducida |
Windows Server 2012 y Windows 8 |
Tipo de unidad |
Unidades de sistema operativo |
Ruta de la directiva |
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades de sistema operativo |
Conflictos |
Ninguno |
Cuando están habilitadas |
Puedes configurar los componentes de arranque que valida el TPM antes de desbloquear el acceso a la unidad de sistema operativo cifrada con BitLocker. Si cambia cualquiera de estos componentes mientras la protección de BitLocker está habilitada, el TPM no liberará la clave de cifrado para desbloquear la unidad. En su lugar, el equipo muestra la consola de recuperación de BitLocker y exige que se proporcione la contraseña de recuperación o la clave de recuperación para desbloquear la unidad. |
Cuando están deshabilitadas o no están configuradas |
El TPM usa el perfil de validación de plataforma predeterminado o el perfil de validación de plataforma especificado mediante el script de configuración. |
Referencia
Esta configuración de directiva no se aplica si el equipo no tiene un TPM compatible, o si ya se ha activado BitLocker con protección de TPM.
Importante
Esta configuración de directivas de grupo solo se aplica a equipos con configuraciones del BIOS o a los equipos con firmware UEFI con este módulo habilitado. Los equipos que usan una configuración de firmware UEFI nativa almacenan diferentes valores en los registros de configuración de plataforma (PCR). Usa la configuración de directivas de grupo Configurar el perfil de validación de plataforma del TPM para configuraciones de firmware UEFI nativo para configurar el perfil PCR del TPM para equipos que usan firmware UEFI nativo.
Un perfil de validación de plataforma consta de un conjunto de índices PCR que van de 0 a 23. El perfil de validación de plataforma predeterminado protege la clave de cifrado frente a cambios en lo siguiente:
CRTM (Core Root of Trust of Measurement), BIOS y extensiones de la plataforma (PRC 0)
Código ROM de opción (PCR 2)
Código de registro de arranque maestro (MBR) (PCR 4)
Sector de arranque de NTFS (PCR 8)
Bloque de arranque de NTFS (PCR 9)
Administración de arranque (PCR 10)
Control de acceso de BitLocker (PCR 11)
Nota
El cambio a partir de la validación de plataforma predeterminada afecta a la seguridad y facilidad de uso del equipo. La sensibilidad de BitLocker a las modificaciones de plataforma (malintencionadas o autorizadas) aumenta o disminuye en función de la inclusión o exclusión (respectivamente) de los PCR.
La siguiente lista identifica todos los PCR disponibles:
PCR 0: Core Root of Trust for Measurement, BIOS y extensiones de la plataforma
PCR 1: Configuración y datos de la plataforma y placa base.
PCR 2: Código ROM de opción
PCR 3: Configuración y datos de ROM de opción
PCR 4: Código de registro de arranque maestro (MBR)
PCR 5: Tabla de particiones de registro de arranque maestro (MBR)
PCR 6: Eventos de activación y transición de estado
PCR 7: Específico del fabricante del equipo
PCR 8: Sector de arranque de NTFS
PRC 9: Bloque de arranque de NTFS
PCR 10: Administración de arranque
PCR 11: Control de acceso de BitLocker
PCR 12-23: Reservado para uso futuro
Configurar el perfil de validación de plataforma del TPM (Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2)
Esta configuración de directiva determina qué valores mide el TPM cuando valida los componentes de arranque iniciales antes de desbloquear una unidad en un equipo que ejecuta Windows Vista, Windows Server 2008 o Windows 7.
Descripción de la directiva |
Con esta configuración de directiva, puedes configurar cómo protege el hardware de seguridad del TPM del equipo la clave de cifrado BitLocker. |
Introducida |
Windows Server 2008 y Windows Vista |
Tipo de unidad |
Unidades de sistema operativo |
Ruta de la directiva |
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades de sistema operativo |
Conflictos |
Ninguno |
Cuando están habilitadas |
Puedes configurar los componentes de arranque que valida el TPM antes de desbloquear el acceso a la unidad de sistema operativo cifrada con BitLocker. Si cambia cualquiera de estos componentes mientras la protección de BitLocker está habilitada, el TPM no liberará la clave de cifrado para desbloquear la unidad. En su lugar, el equipo muestra la consola de recuperación de BitLocker y exige que se proporcione la contraseña de recuperación o la clave de recuperación para desbloquear la unidad. |
Cuando están deshabilitadas o no están configuradas |
El TPM usa el perfil de validación de plataforma predeterminado o el perfil de validación de plataforma especificado mediante el script de configuración. |
Referencia
Esta configuración de directiva no se aplica si el equipo no tiene un TPM compatible, o si ya se ha activado BitLocker con protección de TPM.
Un perfil de validación de plataforma consta de un conjunto de índices PCR que van de 0 a 23. El perfil de validación de plataforma predeterminado protege la clave de cifrado frente a cambios en lo siguiente:
CRTM (Core Root of Trust of Measurement), BIOS y extensiones de la plataforma (PRC 0)
Código ROM de opción (PCR 2)
Código de registro de arranque maestro (MBR) (PCR 4)
Sector de arranque de NTFS (PCR 8)
Bloque de arranque de NTFS (PCR 9)
Administración de arranque (PCR 10)
Control de acceso de BitLocker (PCR 11)
Nota
Las configuraciones predeterminadas de PCR de perfil de validación del TPM para equipos que usan una EFI (Extensible Firmware Interface) son solo los PCR 0, 2, 4 y 11.
La siguiente lista identifica todos los PCR disponibles:
PCR 0: Core Root-of-trust for Measurement, arranque EFI y servicios en tiempo de ejecución, controladores EFI incrustados en ROM del sistema, tablas ACPI estáticas, código SMM incrustado y código de BIOS
PCR 1: Configuración y datos de la plataforma y placa base. Tablas de entrega y variables de EFI que afectan a la configuración del sistema
PCR 2: Código ROM de opción
PCR 3: Configuración y datos de ROM de opción
PCR 4: Código de registro de arranque maestro (MBR) o el código de otros dispositivos de arranque
PCR 5: Tabla de particiones de registro de arranque maestro (MBR). Algunas variables EFI y la tabla de GPT
PCR 6: Eventos de activación y transición de estado
PCR 7: Específico del fabricante del equipo
PCR 8: Sector de arranque de NTFS
PRC 9: Bloque de arranque de NTFS
PCR 10: Administración de arranque
PCR 11: Control de acceso de BitLocker
PCR 12-23: Reservado para uso futuro
Advertencia
El cambio a partir de la validación de plataforma predeterminada afecta a la seguridad y facilidad de uso del equipo. La sensibilidad de BitLocker a las modificaciones de plataforma (malintencionadas o autorizadas) aumenta o disminuye en función de la inclusión o exclusión (respectivamente) de los PCR.
Configurar el perfil de validación de plataforma del TPM para configuraciones de firmware UEFI nativo
Esta configuración de directiva determina qué valores mide el TPM cuando valida los componentes de arranque de fases iniciales antes de desbloquear una unidad de sistema operativo en un equipo con configuraciones de firmware UEFI nativo.
Descripción de la directiva |
Con esta configuración de directiva, puedes configurar cómo protege el hardware de seguridad del módulo de plataforma segura (TPM) del equipo la clave de cifrado BitLocker. |
Introducida |
Windows Server 2012 y Windows 8 |
Tipo de unidad |
Unidades de sistema operativo |
Ruta de la directiva |
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades de sistema operativo |
Conflictos |
Al configurar esta directiva con PCR 7 omitido, se reemplaza la configuración de directiva Permitir el arranque seguro para la validación de integridad y se impide que BitLocker use el arranque seguro para la plataforma o la validación de la integridad de los datos de configuración de arranque (BCD). Si los entornos usan TPM y arranque seguro para comprobaciones de integridad de la plataforma, esta directiva no debe configurarse. Para obtener más información acerca de PCR 7, consulta Registro de configuración de la plataforma (PCR) en este tema. |
Cuando están habilitadas |
Antes de activar BitLocker, puedes configurar los componentes de arranque que el TPM valida antes de que desbloquee el acceso a la unidad de sistema operativo cifrada con BitLocker. Si cambia cualquiera de estos componentes mientras la protección de BitLocker está habilitada, el TPM no liberará la clave de cifrado para desbloquear la unidad. En su lugar, el equipo muestra la consola de recuperación de BitLocker y exige que se proporcione la contraseña de recuperación o la clave de recuperación para desbloquear la unidad. |
Cuando están deshabilitadas o no están configuradas |
BitLocker usa el perfil de validación de plataforma predeterminado o el perfil de validación de plataforma especificado mediante el script de configuración. |
Referencia
Esta configuración de directiva no se aplica si el equipo no tiene un TPM compatible, o si ya se ha activado BitLocker con protección de TPM.
Importante
Esta configuración de directivas de grupo solo se aplica a equipos con una configuración de firmware UEFI nativo. Los equipos con firmware BIOS o UEFI con un módulo de compatibilidad (CSM) habilitado almacenan diferentes valores en los registros de configuración de plataforma (PCR). Usa la configuración de directivas de grupo Configurar el perfil de validación de plataforma del TPM para configuraciones de firmware basado en BIOS para configurar el perfil PCR del TPM para equipos con configuraciones de BIOS o para equipos con firmware UEFI con un CSM habilitado.
Un perfil de validación de plataforma consta de un conjunto de índices del registro de configuración de la plataforma (PCR) comprendidos entre 0 y 23. El perfil de validación de plataforma predeterminado protege la clave de cifrado frente a cambios en el código ejecutable del firmware del sistema principal (PCR 0), el código ejecutable extendido o acoplable (PCR 2), el administrador de arranque (PCR 4) y el control de acceso de BitLocker (PCR 11).
La siguiente lista identifica todos los PCR disponibles:
PCR 0: Código ejecutable de firmware del sistema principal
PCR 1: datos de firmware del sistema principal
PCR 2: código ejecutable extendido o acoplable
PCR 3: datos de firmware extendido o acoplable
PCR 4: Administración de arranque
PCR 5: Tabla de partición o GPT
PCR 6: Reanudar a partir de eventos de estado de energía S4 y S5
PCR 7: Estado de arranque seguro
Para obtener más información acerca de este PCR, consulta Registro de configuración de la plataforma (PCR) en este tema.
PCR 8: se inicializa en 0 con ninguna extensión (reservado para uso futuro)
PCR 9: se inicializa en 0 con ninguna extensión (reservado para uso futuro)
PCR 10: se inicializa en 0 con ninguna extensión (reservado para uso futuro)
PCR 11: Control de acceso de BitLocker
PCR 12: eventos de datos y eventos muy volátiles
PCR 13: detalles del módulo de arranque
PCR 14: autoridades de arranque
PCR 15-23: Reservado para uso futuro
Advertencia
El cambio a partir de la validación de plataforma predeterminada afecta a la seguridad y facilidad de uso del equipo. La sensibilidad de BitLocker a las modificaciones de plataforma (malintencionadas o autorizadas) aumenta o disminuye en función de la inclusión o exclusión (respectivamente) de los PCR.
Restablecer los datos de validación de plataforma tras la recuperación de BitLocker
Esta configuración de directiva determina si desea que los datos de validación de plataforma se actualicen al iniciar Windows después de una recuperación de BitLocker. Un perfil de datos de validación de plataforma consta de los valores de un conjunto de índices del registro de configuración de la plataforma (PCR) comprendidos entre 0 y 23.
Descripción de la directiva |
Con esta configuración de directiva, puedes controlar si se actualizan los datos de validación de plataforma cuando Windows se inicia después de una recuperación de BitLocker. |
Introducida |
Windows Server 2012 y Windows 8 |
Tipo de unidad |
Unidades de sistema operativo |
Ruta de la directiva |
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades de sistema operativo |
Conflictos |
Ninguno |
Cuando están habilitadas |
Los datos de validación de plataforma se actualizan cuando se inicia Windows después de una recuperación de BitLocker. |
Cuando está deshabilitada |
Los datos de validación de plataforma no se actualizan cuando se inicia Windows después de una recuperación de BitLocker. |
Cuando no está configurada |
Los datos de validación de plataforma se actualizan cuando se inicia Windows después de una recuperación de BitLocker. |
Referencia
Para obtener más información sobre el proceso de recuperación, consulta la Guía de recuperación de BitLocker.
Usar el perfil de validación de datos de configuración de arranque mejorado
Esta configuración de directiva determina la configuración específica de datos de configuración de arranque (BCD) que comprobar durante la validación de la plataforma. La validación de plataforma usa los datos del perfil de validación de plataforma, que consta de un conjunto de índices de registro de configuración de la plataforma (PCR) comprendidos entre 0 y 23.
Descripción de la directiva |
Con esta configuración de directiva, puedes especificar los datos de configuración de arranque (BCD) que comprobar durante la validación de la plataforma. |
Introducida |
Windows Server 2012 y Windows 8 |
Tipo de unidad |
Unidades de sistema operativo |
Ruta de la directiva |
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades de sistema operativo |
Conflictos |
Cuando BitLocker está usando el arranque seguro de la plataforma y la validación de integridad de los datos de configuración de arranque, se omite la configuración del grupo de directiva Usar el perfil de validación de datos de configuración de arranque mejorado (según se define en la configuración de directivas de grupo Permitir el arranque seguro para la validación de integridad). |
Cuando están habilitadas |
Puedes agregar la configuración de BCD adicional, excluir la configuración de BCD que especifiques o combinar listas de inclusión y exclusión para crear un perfil personalizado de validación de BCD, que te proporcione la capacidad de comprobar esta configuración de BCD. |
Cuando está deshabilitada |
El equipo vuelve a la validación de perfil de BCD similar al perfil de BCD predeterminado que usa Windows 7. |
Cuando no está configurada |
El equipo comprueba la configuración de BCD predeterminada en Windows. |
Referencia
Nota
Siempre se valida la configuración que controla la depuración de arranque (0x16000010), que no tiene ningún efecto si se incluye en la lista de inclusión o de exclusión.
Permitir el acceso a unidades de datos fijas protegidas con BitLocker desde versiones anteriores de Windows
Esta configuración de directiva se usa para controlar si se permite el acceso a las unidades usando el lector de BitLocker To Go, y si la aplicación está instalada en la unidad.
Descripción de la directiva |
Con esta configuración de directiva, puedes configurar si las unidades de datos fijas a que se da formato con el sistema de archivos FAT pueden ser desbloqueadas y verse en equipos que ejecuten Windows Vista, Windows XP con Service Pack 3 (SP3) o Windows XP con Service Pack 2 (SP2). |
Introducida |
Windows Server 2008 R2 y Windows 7 |
Tipo de unidad |
Unidades de datos fijas |
Ruta de la directiva |
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades de datos fijas |
Conflictos |
Ninguno |
Cuando están habilitadas y Cuando no están configuradas |
Puedes desbloquear las unidades de datos fijas a las que se da formato con el sistema de archivos FAT en equipos que ejecutan Windows Server 2008, Windows Vista, Windows XP con Service Pack 3 o Windows XP con Service Pack 2, y se puede ver su contenido. Estos sistemas operativos tienen acceso de solo lectura a unidades protegidas con BitLocker. |
Cuando está deshabilitada |
No se pueden desbloquear las unidades de datos fijas a las que se da formato con el sistema de archivos FAT y protegidas con BitLocker en equipos que ejecutan Windows Vista, Windows XP con Service Pack 3 o Windows XP con Service Pack 2. No se instala el lector de BitLocker To Go (bitlockertogo.exe). |
Referencia
Nota
Esta configuración de directiva no se aplica a las unidades formateadas con el sistema de archivos NTFS.
Cuando se habilita esta configuración de directiva, selecciona la casilla No instalar el Lector de BitLocker To Go en unidades fijas con formato de sistema de archivos FAT para evitar que los usuarios ejecuten el lector de BitLocker To Go desde sus unidades fijas. Si el lector de BitLocker To Go (bitlockertogo.exe) se encuentra en una unidad que no tiene un campo de identificación especificado, o si la unidad tiene el mismo campo de identificación que se especificó en la configuración de directiva Proporcionar los identificadores únicos de su organización, se pedirá al usuario que actualice BitLocker y el lector de BitLocker To Go se eliminará de la unidad. En esta situación, para que la unidad fija se desbloquee en equipos que ejecutan Windows Vista, Windows XP con Service Pack 3 o Windows XP con Service Pack 2, el lector de BitLocker To Go debe estar instalado en el equipo. Si esta casilla no está seleccionada, el lector de BitLocker To Go se instalará en la unidad fija para permitir a los usuarios desbloquear la unidad en equipos que ejecutan Windows Vista, Windows XP con Service Pack 3 o Windows XP con SP2.
Permitir el acceso a unidades de datos extraíbles protegidas con BitLocker desde versiones anteriores de Windows
Esta configuración de directiva controla el acceso a las unidades de datos extraíbles que usan el lector de BitLocker To Go y si el lector de BitLocker To Go se puede instalar en la unidad.
Descripción de la directiva |
Con esta configuración de directiva, puedes configurar si se pueden desbloquear y ver las unidades de datos extraíbles que se formatean con el sistema de archivos FAT en equipos que ejecutan Windows Vista, Windows XP con Service Pack 3 o Windows XP con SP2. |
Introducida |
Windows Server 2008 R2 y Windows 7 |
Tipo de unidad |
Unidades de datos extraíbles |
Ruta de la directiva |
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades de datos extraíbles |
Conflictos |
Ninguno |
Cuando están habilitadas y Cuando no están configuradas |
Puedes desbloquear las unidades de datos extraíbles a las que se da formato con el sistema de archivos FAT en equipos que ejecutan Windows Vista, Windows XP con Service Pack 3 o Windows XP con Service Pack 2, y se puede ver su contenido. Estos sistemas operativos tienen acceso de solo lectura a unidades protegidas con BitLocker. |
Cuando está deshabilitada |
No se pueden desbloquear las unidades de datos extraíbles a las que se da formato con el sistema de archivos FAT que protegidas con BitLocker en equipos que ejecutan Windows Vista, Windows XP con Service Pack 3 o Windows XP con Service Pack 2. No se instala el lector de BitLocker To Go (bitlockertogo.exe). |
Referencia
Nota
Esta configuración de directiva no se aplica a las unidades formateadas con el sistema de archivos NTFS.
Cuando se habilita esta configuración de directiva, selecciona la casilla No instalar el Lector de BitLocker To Go en unidades extraíbles con formato de sistema de archivos FAT para evitar que los usuarios ejecuten el lector de BitLocker To Go desde sus unidades extraíbles. Si el lector de BitLocker To Go (bitlockertogo.exe) se encuentra en una unidad que no tiene un campo de identificación especificado, o si la unidad tiene el mismo campo de identificación que se especificó en la configuración de directiva Proporcionar los identificadores únicos de su organización, se pedirá al usuario que actualice BitLocker y el lector de BitLocker To Go se eliminará de la unidad. En esta situación, para que la unidad extraíble se desbloquee en equipos que ejecutan Windows Vista, Windows XP con Service Pack 3 o Windows XP con Service Pack 2, el lector de BitLocker To Go debe estar instalado en el equipo. Si esta casilla no está seleccionada, el lector de BitLocker To Go se instalará en la unidad extraíble para permitir a los usuarios desbloquear la unidad en equipos con Windows Vista, Windows XP con SP3 o Windows XP con SP2 que no tengan el lector de BitLocker To Go instalado.
Configuración de FIPS
Puedes configurar la configuración de FIPS (Estándar federal de procesamiento de información) para el cumplimiento de FIPS. Como efecto del cumplimiento de FIPS, los usuarios no podrán crear ni guardar una contraseña de BitLocker para la recuperación o como protector de clave. Se permite el uso de una clave de recuperación.
Descripción de la directiva |
Notas |
Introducida |
Windows Server 2003 con SP1 |
Tipo de unidad |
Todo el sistema |
Ruta de la directiva |
Directivas locales\Opciones de seguridad\Criptografía de sistema: usar algoritmos que cumplan FIPS para cifrado, firma y operaciones hash |
Conflictos |
Algunas aplicaciones, como Terminal Services, no son compatibles con FIPS 140 en todos los sistemas operativos. |
Cuando están habilitadas |
Los usuarios no podrán guardar una contraseña de recuperación en cualquier ubicación. Esto incluye carpetas de AD DS y de red. Además, no podrás usar WMI o el asistente de configuración de cifrado de unidad BitLocker para crear una contraseña de recuperación. |
Cuando están deshabilitadas o no están configuradas |
No se genera ninguna clave de cifrado de BitLocker |
Referencia
Esta directiva debe estar habilitada antes de generar cualquier clave de cifrado para BitLocker. Ten en cuenta que cuando se habilita esta directiva, BitLocker impide la creación o el uso de contraseñas de recuperación; por lo tanto, deberán usarse en su lugar las claves de recuperación.
Puedes guardar la clave de recuperación opcional en una unidad USB. Dado que no se pueden guardar las contraseñas de recuperación en AD DS cuando FIPS está habilitado, se producirá un error si las directivas de grupo requieren la copia de seguridad de AD DS.
Puedes editar la configuración de FIPS mediante el Editor de directivas de seguridad (Secpol.msc) o modificar el registro de Windows. Debes ser un administrador para realizar estos procedimientos.
Para obtener más información sobre la configuración de esta directiva, consulta Criptografía de sistema: usar algoritmos que cumplan FIPS para cifrado, firma y operaciones hash.
Configuración de directivas de grupo de administración de energía: modo de espera e hibernación
La configuración de energía predeterminada de equipos de un equipo hará que el equipo entre en modo de espera con frecuencia para ahorrar energía cuando está inactivo y ayudar a prolongar la duración de la batería del sistema. Cuando un equipo pasa al modo de espera, los programas y documentos abiertos se conservan en la memoria. Cuando un equipo se reanuda del modo de espera, no será necesario que los usuarios vuelvan a autenticarse con un PIN o clave de inicio USB para obtener acceso a los datos cifrados. Esto podría provocar condiciones que pongan en peligro la seguridad de los datos.
Sin embargo, cuando un equipo hiberna se bloquea la unidad y cuando se reanuda tras la hibernación la unidad se desbloquea, lo que significa que los usuarios deben proporcionar un PIN o una clave de inicio, si se usa la autenticación multifactor con BitLocker. Por lo tanto, las organizaciones que usan BitLocker podrían usar la hibernación en lugar del modo de espera para mejorar la seguridad. Esta configuración no tiene consecuencias sobre el modo de solo TPM, porque proporciona una experiencia de usuario transparente al inicio y al reanudar desde los estados de hibernación.
Puedes usar la deshabilitación de la siguiente configuración de directivas de grupo, que se encuentra en Configuración del equipo\Plantillas administrativas\Sistema\Administración de energía para deshabilitar todos los modos de espera disponibles:
Permitir modos de espera (S1-S3) cuando se está en espera (con corriente alterna)
Permitir modos de espera (S1-S3) cuando se está en espera (batería)
Acerca del registro de configuración de la plataforma (PCR)
Un perfil de validación de plataforma consta de un conjunto de índices PCR que van de 0 a 23. El ámbito de los valores puede ser específico a la versión del sistema operativo.
El cambio a partir de la validación de plataforma predeterminada afecta a la seguridad y facilidad de uso del equipo. La sensibilidad de BitLocker a las modificaciones de plataforma (malintencionadas o autorizadas) aumenta o disminuye en función de la inclusión o exclusión (respectivamente) de los PCR.
Acerca de PCR 7
PCR 7 mide el estado de arranque seguro. Con PCR 7, BitLocker puede aprovechar el arranque seguro para la validación de integridad. El arranque seguro garantiza que el entorno de prearranque del equipo cargue solamente el firmware firmado digitalmente por los editores de software autorizados. Las mediciones de PCR 7 indican si el arranque seguro está activado y qué claves son seguras en la plataforma. Si el arranque seguro está activado y el firmware mide PCR 7 correctamente en la especificación UEFI, BitLocker puede enlazar con esta información en lugar de los PCR 0, 2 y 4, que tienen las mediciones del firmware exacto y las imágenes de Bootmgr cargadas. Esto reduce la probabilidad de que BitLocker se inicie en modo de recuperación como resultado de las actualizaciones de firmware e imagen, y te ofrece mayor flexibilidad para administrar la configuración de prearranque.
Las medidas de PCR 7 deben seguir las instrucciones que se describen en Apéndice A Protocolo EFI de entorno de ejecución de confianza.
Las medidas de PCR 7 son un requisito de logotipo obligatorio para sistemas que admitan InstantGo (también conocido Siempre conectado, Equipos siempre conectados), como Microsoft Surface RT. En estos sistemas, si se configuran correctamente el TPM con medición de PCR 7 y arranque seguro, BitLocker enlazará con PCR 7 y PCR 11 de manera predeterminada.
Consulta también
Configuración de directivas de grupo del TPM
Preguntas más frecuentes (P+F) de BitLocker
Prepara tu organización para BitLocker: planificación y directivas