BitLocker
Este tema proporciona una descripción general de alto nivel de BitLocker, incluida una lista de requisitos del sistema, aplicaciones prácticas y características en desuso.
Cifrado de unidad BitLocker es una característica de protección de datos que se integra en el sistema operativo y soluciona las amenazas de robo o exposición de datos de equipos perdidos, sustraídos o retirados inadecuadamente.
BitLocker ofrece la máxima protección cuando se usa con un módulo de plataforma segura (TPM) 1.2 o posterior. El TPM es un componente de hardware instalado en muchos equipos nuevos por los fabricantes de equipos. Funciona con BitLocker para ayudar a proteger los datos de usuario y para garantizar que un equipo no se haya manipulado mientras el sistema estaba sin conexión.
En los equipos que no tienen un TPM versión 1.2 o posterior, todavía puede usar BitLocker para cifrar la unidad del sistema operativo Windows. Sin embargo, esta implementación requerirá que el usuario inserte una clave de inicio USB para iniciar el equipo o reanudarlo del modo de hibernación. A partir de Windows 8, puedes usar una contraseña de volumen del sistema operativo para proteger el volumen del sistema operativo en un equipo sin TPM. Ambas opciones no proporcionan la comprobación de integridad del sistema previa al inicio ofrecida por BitLocker con un TPM.
Además del TPM, BitLocker ofrece la opción de bloquear el proceso de inicio normal hasta que el usuario proporcione un número de identificación personal (PIN) o inserte un dispositivo extraíble, como una unidad flash USB, que contenga una clave de inicio. Estas medidas de seguridad adicionales proporcionan autenticación multifactor y la garantía de que el equipo no se inicia o reanuda desde la hibernación hasta que se ofrezca el PIN o la clave de inicio correctos.
Aplicaciones prácticas
Los datos de un equipo perdido o robado son vulnerables a un acceso no autorizado, mediante la ejecución de una herramienta de ataques de software contra ellos o mediante la transferencia del disco duro del equipo a otro equipo. BitLocker ayuda a mitigar el acceso a datos no autorizados mejorando las protecciones de archivo y de sistema. BitLocker también ayuda a convertir los datos en inaccesibles cuando se retiran o reciclan equipos protegidos con BitLocker.
Hay dos herramientas adicionales en las herramientas de administración remota del servidor, que puedes usar para administrar BitLocker.
Visor de contraseñas de recuperación de BitLocker. El Visor de contraseñas de recuperación de BitLocker te permite buscar y ver las contraseñas de recuperación de cifrado de unidad BitLocker a las que se haya hecho una copia de seguridad en los servicios de dominio de Active Directory (AD DS). Puedes usar esta herramienta para ayudar a recuperar datos que están almacenados en una unidad cifrada mediante el uso de BitLocker. La herramienta Visor de contraseñas de recuperación de BitLocker es una extensión del complemento Microsoft Management Console (MMC) de Usuarios y equipos de Active Directory.
Con esta herramienta, puedes examinar el cuadro de diálogo Propiedades de un objeto del equipo para ver las contraseñas de recuperación de BitLocker correspondientes. Además, puedes hacer clic con el botón derecho en un contenedor de dominio y, a continuación, buscar una contraseña de recuperación de BitLocker en todos los dominios del bosque de Active Directory. Para ver las contraseñas de recuperación, debes ser un administrador de dominio o debes tener delegados los permisos de administrador de dominio.
Herramientas de cifrado de unidad BitLocker. Las herramientas de cifrado de unidad BitLocker incluyen las herramientas de línea de comandos manage-bde y repair-bde, y los cmdlets de BitLocker para Windows PowerShell. Tanto manage-bde como los cmdlets de BitLocker pueden usarse para realizar cualquier tarea procesable a través del panel de control de BitLocker y son adecuados para implementaciones automatizadas y otros escenarios de scripts. Repair-bde se proporciona para escenarios de recuperación ante desastres en los que una unidad protegida con BitLocker no se puede desbloquear con normalidad o mediante la consola de recuperación.
Funcionalidades nuevas y modificadas
Para ver las novedades de BitLocker para Windows 10, consulta Novedades en BitLocker
Requisitos del sistema
BitLocker tiene los siguientes requisitos de hardware:
Para que BitLocker use la comprobación de integridad del sistema proporcionada por un módulo de plataforma segura (TPM), el equipo debe tener TPM 1.2 o posterior. Si el equipo no tiene un TPM, la habilitación de BitLocker requiere que guardes una clave de inicio en un dispositivo extraíble, como una unidad flash USB.
Un equipo con un TPM también debe tener un firmware de BIOS o UEFI compatible con Trusted Computing Group (TCG). El firmware de BIOS o UEFI establece una cadena de confianza para el inicio del sistema preoperativo, y debe incluir compatibilidad con la raíz estática de Trust Measurement especificada por TCG. Un equipo sin un TPM no requiere firmware compatible con TCG.
El firmware de BIOS o UEFI del sistema (para equipos TPM y no TPM) debe admitir la clase de dispositivo de almacenamiento masivo USB, lo que incluye la lectura de pequeños archivos de una unidad flash USB en el entorno de sistema preoperativo.
El disco duro debe particionarse con al menos dos unidades:
La unidad del sistema operativo (o la unidad de arranque) contiene el sistema operativo y sus archivos de compatibilidad. Debe estar formateada con el sistema de archivos NTFS.
La unidad del sistema contiene los archivos que son necesarios para cargar Windows después de que el firmware haya preparado el hardware del sistema. BitLocker no está habilitado en esta unidad. Para que funcione BitLocker, la unidad del sistema no debe estar cifrada, debe ser diferente de la unidad del sistema operativo y debe estar formateada con el sistema de archivos FAT32 en equipos que usan firmware basado en UEFI o con el sistema de archivos NTFS en equipos que usan firmware BIOS. Recomendamos que la unidad del sistema tenga un tamaño aproximado de 350 MB. Una vez activado BitLocker, debe tener aproximadamente 250 MB de espacio libre.
Cuando se instala en un equipo nuevo, Windows crea automáticamente las particiones que son necesarias para BitLocker.
Cuando se instala el componente opcional de BitLocker en un servidor también deberás instalar la característica de almacenamiento mejorado, que se usa para admitir unidades cifradas de hardware.
En esta sección
| Tema | Descripción |
|---|---|
En este tema para el profesional de TI se responden preguntas frecuentes relativas a los requisitos para usar, actualizar, implementar y administrar, así como directivas de administración de claves de BitLocker. |
|
Prepara tu organización para BitLocker: planificación y directivas |
En este tema para los profesionales de TI se explica cómo puedes planear la implementación de BitLocker. |
En este tema para profesionales de TI se explica cómo se pueden usar las características de BitLocker para proteger los datos mediante el cifrado de unidad. |
|
BitLocker: Cómo implementar en Windows Server 2012 y versiones posteriores |
Este tema para el profesional de TI explica cómo implementar BitLocker y Windows Server 2012 y versiones posteriores. |
Este tema para el profesional de TI describe cómo funciona el desbloqueo de BitLocker en red y cómo configurarlo. |
|
BitLocker: Usar herramientas de Cifrado de unidad BitLocker para administrar BitLocker |
En este tema para profesionales de TI se describe cómo usar las herramientas para administrar BitLocker. |
BitLocker: Usar el Visor de contraseñas de recuperación de BitLocker |
En este tema para los profesionales de TI se describe cómo usar el Visor de contraseñas de recuperación de BitLocker. |
Este tema para profesionales de TI describe el funcionamiento, la ubicación y el efecto de cada configuración de directivas de grupo que se usa para administrar el cifrado de unidad BitLocker. |
|
En este tema para profesionales de TI se describe la configuración de BCD que usa BitLocker. |
|
En este tema para profesionales de TI se describe cómo recuperar las claves de BitLocker de AD DS. |
|
Esta guía detallada te ayudará a comprender las circunstancias en las que se recomienda el uso de autenticación de prearranque para dispositivos que ejecutan Windows 10, Windows 8.1, Windows 8 o Windows 7; y cuando se puede omitir de forma segura a través de la configuración de un dispositivo. |
|
Protección de volúmenes compartidos de clúster y redes de área de almacenamiento con BitLocker |
Este tema para profesionales de TI describe cómo proteger CSV y SAN con BitLocker. |