Guía de recuperación de BitLocker

En este tema para profesionales de TI se describe cómo recuperar las claves de BitLocker de AD DS.

Las organizaciones pueden usar la información de recuperación de BitLocker guardada en los servicios de dominio de Active Directory (AD DS) para obtener acceso a los datos protegidos con BitLocker. Se recomienda crear un modelo de recuperación de BitLocker mientras se planea la implementación de BitLocker.

Este artículo supone que sabes cómo configurar AD DS para que realice una copia automática de la información de recuperación de BitLocker y qué tipos de información de recuperación se guardan en AD DS.

En este artículo no se explica cómo configurar AD DS para almacenar la información de recuperación de BitLocker.

Ese artículo contiene los siguientes temas:

• ¿Qué es la recuperación de BitLocker?

• Pruebas de recuperación

• Cómo planear el proceso de recuperación

• Uso de la información de recuperación adicional

• Restablecimiento de contraseñas de recuperación

• Recuperación del paquete de claves de BitLocker

¿Qué es la recuperación de BitLocker?

La recuperación de BitLocker es el proceso por el cual puedes restaurar el acceso a una unidad protegida con BitLocker en caso de no poder desbloquear la unidad normalmente. En un escenario de recuperación tienes las siguientes opciones para restaurar el acceso a la unidad:

• El usuario puede proporcionar la contraseña de recuperación. Si la organización permite a los usuarios imprimir o guardar las contraseñas de recuperación, el usuario puede escribir la contraseña de recuperación de 48 dígitos que imprime o almacena en una unidad USB o con la cuenta Microsoft en línea. (Solo se permite guardar una contraseña de recuperación con la cuenta Microsoft en línea cuando se usa BitLocker en un equipo que no sea miembro de un dominio).

• Un agente de recuperación de datos puede usar sus credenciales para desbloquear la unidad. Si la unidad es una unidad de sistema operativo, se debe montar la unidad como una unidad de datos en otro equipo para que el agente de recuperación de datos la desbloquee.

• Un administrador de dominio puede obtener la contraseña de recuperación de AD DS y usarla para desbloquear la unidad. Es recomendable almacenar las contraseñas de recuperación en AD DS para proporcionar una forma a los profesionales de TI de poder obtener las contraseñas de recuperación para unidades de su organización, si fuera necesario. Este método requiere que se haya habilitado este método de recuperación en la configuración de directivas de grupo de BitLocker Elegir la forma en que pueden recuperarse las unidades de sistema operativo protegidas con BitLocker ubicada en Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades de sistema operativo en el Editor de directivas de grupo local. Para obtener más información, consulta Configuraciones de las directivas de grupo de BitLocker.

¿Qué causa la recuperación de BitLocker?

La siguiente lista proporciona algunos ejemplos de eventos específicos que harán que BitLocker entre en modo de recuperación al intentar iniciar la unidad del sistema operativo:

• En equipos que usan BitLocker o cifrado de dispositivo, cuando se detecta un ataque, el dispositivo se reiniciará y entrará en modo de recuperación de BitLocker inmediatamente. Para aprovechar esta funcionalidad, los administradores pueden establecer la configuración de las directivas de grupo de Inicio de sesión interactivo: umbral de bloqueo de cuenta del equipo que se encuentra en \Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options en el Editor de directivas de grupo local o usar la directiva MaxFailedPasswordAttempts de Exchange ActiveSync (también se puede configurar mediante Windows Intune) para limitar el número de intentos de contraseña incorrectos antes de que el dispositivo entre en el bloqueo de dispositivo.

• Cambiar el orden de arranque para iniciar otra unidad antes de la unidad de disco duro.

• Tener la unidad de CD o DVD antes de la unidad de disco duro en el orden de arranque de BIOS y, a continuación, insertar o quitar un CD o DVD.

• No conseguir arrancar desde una unidad de red antes del arranque desde la unidad de disco duro.

• Acoplar o desacoplar un equipo portátil. En algunos casos (según el fabricante del equipo y el BIOS), la condición de acoplamiento del equipo portátil es parte de la medición del sistema y debe ser coherente para validar el estado del sistema y el desbloqueo de BitLocker. Esto significa que si un equipo portátil está conectado a su estación de acoplamiento al activarse BitLocker, es posible que luego también sea necesario estar conectado a la estación de acoplamiento cuando esté desbloqueada. Por el contrario, si un equipo portátil no está conectado a la estación de acoplamiento cuando BitLocker está activado, es posible que sea necesario desconectarse de la estación de acoplamiento cuando esté desbloqueada.

• Cambios en la tabla de partición de NTFS del disco, lo que incluye la creación, la eliminación o el cambio de tamaño de una partición primaria.

• Escribir el número de identificación personal (PIN) de forma incorrecta demasiadas veces, de modo que se active la lógica de protección contra ataques de repetición del TPM. La lógica de protección contra ataques de repetición son métodos de software o hardware que aumentan la dificultad y el costo de un ataque de fuerza bruta en un PIN no aceptando las entradas de PIN hasta después de transcurrido un determinado período de tiempo.

• Desactivar la compatibilidad para leer el dispositivo USB en el entorno de prearranque del firmware BIOS o UEFI si estás usando las claves basadas en USB en lugar de un TPM.

• Desactivar, deshabilitar o borrar el TPM.

• Actualizar componentes críticos de las primeras fases de inicio, como una actualización de firmware BIOS o UEFI, lo que hace que cambien las medidas de arranque relacionadas.

• Olvidar el PIN cuando se ha habilitado la autenticación de PIN.

• Actualizar el firmware de ROM de opción.

• Actualizar el firmware del TPM.

• Agregar o quitar hardware; por ejemplo, insertar una tarjeta nueva en el equipo, incluidas algunas tarjetas inalámbricas PCMIA.

• Quitar, insertar o agotar completamente la carga de una batería inteligente en un equipo portátil.

• Cambios en el registro de arranque maestro del disco.

• Cambios en el Administrador de arranque del disco.

• Ocultar el TPM del sistema operativo. Algunas opciones de configuración de BIOS o UEFI pueden usarse para impedir la enumeración del TPM al sistema operativo. Cuando se implementa, esta opción puede ocultar el TPM del sistema operativo. Cuando se oculta el TPM, se deshabilitan el inicio seguro de BIOS y UEFI, y el TPM no responde a comandos de ningún software.

• Usar un teclado diferente que no escriba correctamente el código PIN o cuyo mapa de teclado no coincida con el mapa de teclado supuesto el entorno de prearranque. Esto puede impedir la entrada de PIN mejorados.

• Modificar los registros de configuración de plataforma (PCR) usados por el perfil de validación del TPM. Por ejemplo, la inclusión de PCR[1] haría que BitLocker midiera la mayoría de los cambios en la configuración de BIOS, lo que haría que entrase en modo de recuperación incluso si cambiase la configuración de BIOS crítica no de arranque.

  Nota  

  Algunos equipos tienen configuraciones del BIOS que omiten medidas para determinados PCR como PCR[2]. Cambiar esta configuración en el BIOS provocaría que BitLocker entrase en modo de recuperación porque la medición del PCR sería diferente.

   

• Mover la unidad protegida con BitLocker a un equipo nuevo.

• Actualizar la placa base a una nueva con un nuevo TPM.

• Perder la unidad flash USB que contiene la clave de inicio cuando se ha habilitado la autenticación de clave de inicio.

• Un error en la prueba automática del TPM.

• Tener un componente de BIOS, del firmware de UEFI o del ROM de opción que no sea compatible con los estándares de Trusted Computing Group relevantes para un equipo cliente. Por ejemplo, una implementación no compatible puede grabar datos volátiles (como el tiempo) en las mediciones de TPM, causando mediciones diferentes en cada inicio y haciendo que BitLocker se inicie en modo de recuperación.

• Cambiar la autorización del uso de la clave raíz del almacenamiento del TPM a un valor distinto de cero.

  Nota  

  El proceso de inicialización del TPM de BitLocker establece el valor de autorización de uso en cero, por lo que otro usuario o proceso debe explícitamente haber cambiado este valor.

   

• Deshabilitar la comprobación de la integridad de código o habilitar la prueba de inicio de sesión en el administrador de arranque de Windows (Bootmgr).

• Presionar la tecla F8 o F10 durante el proceso de arranque.

• Agregar o quitar tarjetas (por ejemplo, tarjetas de vídeo o de red) o actualizar el firmware en tarjetas complementarias.

• Usar una tecla de acceso rápido del BIOS durante el proceso de arranque para cambiar el orden de arranque a un valor distinto de la unidad de disco duro.

Nota  

Antes de iniciar la recuperación, te recomendamos determinar qué ha causado la recuperación. Esto puede ayudar a evitar que el problema vuelva a ocurrir en el futuro. Por ejemplo, si determinas que un atacante ha modificado el equipo obteniendo acceso físico, puedes crear nuevas directivas de seguridad para el seguimiento de quién tiene presencia física. Después de que la contraseña de recuperación se haya usado para recuperar el acceso al equipo, BitLocker cerrará la clave de cifrado con los valores actuales de los componentes medidos.

 

Para escenarios planeados, como un hardware conocido o actualizaciones de firmware, puedes impedir el inicio de la recuperación suspendiendo temporalmente la protección de BitLocker. Como suspender BitLocker deja la unidad completamente cifrada, el administrador puede reanudar rápidamente la protección de BitLocker una vez completada la tarea planeada. Usar la suspensión y reanudación también cierra la clave de cifrado de nuevo sin necesidad de escribir la clave de recuperación.

Nota  

Si se suspende, BitLocker reanudará automáticamente la protección al reiniciar el equipo, a menos que se especifique un recuento de reinicio mediante la herramienta de línea de comandos manage-bde.

Si el mantenimiento de software requiere reiniciar el equipo y usas la autenticación de dos factores, puedes habilitar el desbloqueo en red de BitLocker para proporcionar el factor de autenticación secundario cuando los equipos no tengan un usuario local que proporcione el método de autenticación adicional.

 

La recuperación se ha descrito en el contexto de un comportamiento imprevisto o no deseado, pero también puedes provocar la recuperación en un escenario de producción previsto, con el fin de administrar el control de acceso. Por ejemplo, al implementar de nuevo equipos de escritorio o portátiles en otros departamentos o empleados de la empresa, puedes forzar a que BitLocker entre en recuperación antes de que al equipo se le asigne un usuario nuevo.

Pruebas de recuperación

Antes de crear un proceso de recuperación de BitLocker exhaustivo, te recomendamos que pruebes cómo funciona el proceso de recuperación tanto para los usuarios finales (personas que llaman a tu servicio de asistencia para obtener la contraseña de recuperación) como para los administradores (personas que ayudarán al usuario final a obtener la contraseña de recuperación). El comando –forcerecovery de manage-bde es una manera sencilla de recorrer el proceso de recuperación antes de que los usuarios se encuentren con una situación de recuperación.

Forzar una recuperación del equipo local

1. Haz clic en el botón Inicio, escribe cmd en el cuadro Iniciar búsqueda, haz clic con el botón derecho en cmd.exe y, a continuación, haz clic en Ejecutar como administrador.

2. En un símbolo del sistema, escribe el siguiente comando y, a continuación, presiona INTRO:

   manage-bde -forcerecovery <Volume>

Forzar la recuperación de un equipo remoto

1. En la pantalla Inicio, escribe cmd.exe y, a continuación, haz clic en Ejecutar como administrador.

2. En un símbolo del sistema, escribe el siguiente comando y, a continuación, presiona INTRO:

   manage-bde. -ComputerName <ComputerName>-forcerecovery <Volume>

Nota  

<ComputerName> representa el nombre del equipo remoto. <Volume> representa el volumen del equipo remoto que está protegido con BitLocker.

 

Cómo planear el proceso de recuperación

Al planear el proceso de recuperación de BitLocker, consulta primero los procedimientos recomendados actuales de la organización para recuperar información confidencial. Por ejemplo: ¿cómo administra tu empresa las contraseñas de Windows perdidas? ¿Cómo realiza tu organización el restablecimiento del PIN de tarjeta inteligente? Puedes usar estos procedimientos recomendados y los recursos relacionados (personas y herramientas) para ayudar a formular un modelo de recuperación de BitLocker.

Las organizaciones que dependen del cifrado de unidad BitLocker y BitLocker To Go para proteger datos en un gran número de equipos y unidades extraíbles que ejecutan los sistemas operativos Windows 10, Windows 8 o Windows 7 y Windows To Go deben plantearse el uso de la herramienta Microsoft BitLocker Administration and Monitoring (MBAM) versión 2.0, que se incluye en Microsoft Desktop Optimization Pack (MDOP) para Microsoft Software Assurance. MBAM hace más fáciles de implementar y administrar las implementaciones de BitLocker y permite a los administradores proporcionar y supervisar cifrado para unidades fijas y de sistema operativo. MBAM pregunta al usuario antes de cifrar las unidades fijas. MBAM también administra las claves de recuperación para las unidades fijas y extraíbles, facilitando la administración de la recuperación. MBAM puede usarse como parte de una implementación de Microsoft System Center o como una solución independiente. Para obtener más información, consulta Administración y supervisión de Microsoft BitLocker.

Después de que se haya iniciado una recuperación de BitLocker, los usuarios pueden usar una contraseña de recuperación para desbloquear el acceso a los datos cifrados. Debes tener en cuenta los métodos de recuperación automática y de recuperación de contraseña de tu organización.

Al determinar el proceso de recuperación, debes:

• Estar familiarizado con la forma de recuperar la contraseña de recuperación. Consulta:

  • Recuperación automática

  • Recuperación de la contraseña de recuperación

• Determinar una serie de pasos posteriores a la recuperación, como analizar las causas de la recuperación y restablecer la contraseña de recuperación. Consulta:

  • Análisis posterior a la recuperación

Recuperación automática

En algunos casos, los usuarios podrían tener la contraseña de recuperación en una copia impresa o una unidad flash USB y poder realizar la recuperación automática. Te recomendamos que la organización cree una directiva de recuperación automática. Si la recuperación automática incluye el uso de una clave de recuperación o contraseña almacenadas en una unidad flash USB, debe advertirse a los usuarios que no almacenen la unidad flash USB en el mismo lugar que el equipo, especialmente durante los viajes; por ejemplo, si el equipo y los elementos de recuperación están en la misma maleta sería muy fácil para un usuario no autorizado obtener acceso al equipo. Otra directiva a tener en cuenta es que los usuarios se pongan en contacto con el servicio de asistencia antes o después de realizar la recuperación automática para que se pueda identificar la causa raíz.

Recuperación de la contraseña de recuperación

Si el usuario no tiene una contraseña de recuperación en una copia impresa o en una unidad flash USB, el usuario tendrá que recuperar la contraseña de recuperación de una fuente en línea. Si el equipo es miembro de un dominio se podrá hacer una copia de seguridad de la contraseña de recuperación en AD DS. Sin embargo, esto no ocurre de manera predeterminada; debes haber configurado la opción de directivas de grupo apropiada antes de haber habilitado BitLocker en el equipo. La configuración de las directivas de grupo de BitLocker se encuentra en el Editor de directivas de grupo local o la Consola de administración de directivas de grupo (GPMC) de Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker. Las siguientes configuraciones de directiva definen los métodos de recuperación que pueden usarse para restaurar el acceso a una unidad protegida con BitLocker si se produce un error o no puede usarse un método de autenticación.

• Elegir la forma en que pueden recuperarse las unidades de sistema operativo protegidas con BitLocker

• Elegir cómo se pueden recuperar unidades fijas protegidas con BitLocker

• Elegir cómo se pueden recuperar unidades extraíbles protegidas con BitLocker

En cada una de estas directivas, selecciona Guardar información de recuperación de BitLocker en Active Directory Domain Services y, a continuación, elige qué información de recuperación de BitLocker almacenar en los servicios de dominio de Active Directory (AD DS). Selecciona la casilla No habilitar BitLocker hasta que la información de recuperación se almacene en AD DS si quieres impedir que los usuarios habiliten BitLocker a menos que el equipo esté conectado al dominio y se realice correctamente la copia de seguridad de la información de recuperación de BitLocker para la unidad en AD DS.

Nota  

Si los equipos forman parte de un grupo de trabajo, se recomienda a los usuarios guardar la contraseña de recuperación de BitLocker con su cuenta Microsoft en línea. Se recomienda tener una copia de la contraseña de recuperación de BitLocker en línea para ayudar a garantizar que no se pierda el acceso a los datos en caso de que sea necesaria la recuperación.

 

El Visor de contraseñas de recuperación de BitLocker para la herramienta Usuarios y equipos de Active Directory permite a los administradores de dominio ver las contraseñas de recuperación de BitLocker para objetos de equipo específicos de Active Directory.

Puedes usar la siguiente lista como plantilla para crear tu propio proceso de recuperación para la obtención de contraseñas de recuperación. Este proceso de muestra usa el Visor de contraseñas de recuperación de BitLocker para la herramienta Usuarios y equipos de Active Directory.

• Registrar el nombre del equipo del usuario

• Comprobar la identidad del usuario

• Buscar la contraseña de recuperación en AD DS

• Recopilar información para determinar por qué se ha producido la recuperación

• Dar al usuario la contraseña de recuperación

Registrar el nombre del equipo del usuario

Puedes usar el nombre del equipo del usuario para localizar la contraseña de recuperación en AD DS. Si el usuario no conoce el nombre del equipo, pide al usuario que lea la primera palabra de la Etiqueta de unidad en la interfaz de usuario Entrada de contraseña de cifrado de unidad BitLocker. Este es el nombre del equipo en el momento en que se habilitó BitLocker y probablemente el nombre actual del equipo.

Comprobar la identidad del usuario

Debes comprobar que la persona que solicita la contraseña de recuperación es realmente el usuario autorizado de ese equipo. También puede que desees comprobar que el equipo con el nombre que proporcionó el usuario pertenece al usuario.

Buscar la contraseña de recuperación en AD DS

Busca el objeto de equipo con el mismo nombre en AD DS. Dado que los nombres de objeto de equipo se enumeran en el catálogo global de AD DS, debes ser capaz de encontrar el objeto incluso si tienes un bosque de varios dominios.

Varias contraseñas de recuperación

Si se han almacenado varias contraseñas de recuperación en un objeto de equipo en AD DS, el nombre del objeto de información de recuperación de BitLocker incluirá la fecha en que se creó la contraseña.

Si en algún momento no estás seguro de qué contraseña proporcionar, o si crees que puedes proporcionar la contraseña incorrecta, pide al usuario que lea el Id. de contraseña de ocho caracteres que se muestra en la consola de recuperación.

Dado que el Id. de contraseña es un valor único que está asociado con cada contraseña de recuperación almacenada en AD DS, la ejecución de una consulta con este Id. encontrará la contraseña correcta para desbloquear el volumen cifrado.

Recopilar información para determinar por qué se ha producido la recuperación

Antes de dar al usuario la contraseña de recuperación, debes reunir toda la información que pueda ayudarte a determinar por qué ha sido necesita la recuperación, con el fin de analizar la causa raíz durante el análisis posterior a la recuperación. Para obtener más información sobre el análisis posterior a la recuperación, consulta Análisis posterior a la recuperación.

Dar al usuario la contraseña de recuperación

Puesto que la contraseña de recuperación tiene 48 dígitos de longitud, puede que el usuario necesite registrar la contraseña escribiéndola o apuntándola en un equipo diferente. Si estás usando MBAM, se volverá a generar la contraseña de recuperación una vez recuperada de la base de datos MBAM para evitar los riesgos de seguridad asociados con una contraseña no controlada.

Nota  

Dado que la contraseña de recuperación de 48 dígitos es extensa y contiene una combinación de dígitos, el usuario podría oír o escribir mal la contraseña. La consola de recuperación de tiempo de arranque usa números de suma de comprobación integrados para detectar errores de entrada de cada bloque de 6 dígitos de la contraseña de recuperación de 48 dígitos, y ofrece al usuario la oportunidad de corregir estos errores.

 

Análisis posterior a la recuperación

Cuando un volumen se desbloquea con una contraseña de recuperación, se escribe un evento en el registro de eventos y las mediciones de validación de la plataforma se restablecen en el TPM para que coincidan con la configuración actual. Desbloquear el volumen significa que la clave de cifrado se ha liberado y está lista para el cifrado sobre la marcha cuando los datos se escriben en el volumen y el descifrado sobre la marcha cuando se leen los datos del volumen. Después de desbloquear el volumen, BitLocker se comporta del mismo modo, independientemente de cómo se haya otorgado el acceso.

Si observas que un equipo tiene repetidos desbloqueos de la contraseña de recuperación, puede que desees que un administrador realice un análisis posterior a la recuperación para determinar la causa raíz de la recuperación y actualizar la validación de la plataforma de BitLocker para que el usuario ya no necesite escribir una contraseña de recuperación cada vez que inicia el equipo. Consulta:

• Determinar la causa raíz de la recuperación

• Actualizar la protección de BitLocker

Determinar la causa raíz de la recuperación

Si un usuario ha necesitado recuperar la unidad, es importante determinar la causa raíz que inició la recuperación tan pronto como sea posible. Analizar el estado del equipo debidamente y detectar alteraciones puede revelar amenazas que tengan implicaciones más amplias para la seguridad de la empresa.

Mientras un administrador investiga de forma remota la causa de la recuperación en algunos casos, el usuario final podría llevar el equipo que contiene la unidad recuperada in situ para analizar aún más la causa raíz.

Revisa y responde a las siguientes preguntas para la organización:

1. ¿Qué modo de protección de BitLocker está en vigor (TPM, TPM + PIN, TPM + clave de inicio, solo la clave de inicio)? ¿Qué perfil de PCR está en uso en el equipo?

2. ¿El usuario simplemente ha olvidado el PIN o ha perdido la clave de inicio? Si un token se ha perdido, ¿dónde puede estar?

3. Si el modo TPM estaba en vigor, ¿ha sido un cambio de archivo de arranque el causante de la recuperación?

4. Si un cambio de archivo de arranque ha sido el causante de la recuperación, ¿se debe a una acción voluntaria del usuario (por ejemplo, la actualización del BIOS) o a software malintencionado?

5. ¿Cuándo fue la última vez que el usuario pudo iniciar el equipo correctamente, y qué podría haber ocurrido en el equipo desde entonces?

6. ¿Es posible que el usuario haya detectado software malintencionado o dejado el equipo desatendido desde el último inicio correcto?

Para ayudarte a responder a estas preguntas, usa la herramienta de línea de comandos de BitLocker para ver el modo de protección y la configuración actual (por ejemplo, manage-bde -status). Examina el registro de eventos para buscar eventos que indiquen por qué se ha iniciado la recuperación (por ejemplo, si se ha producido un cambio del archivo de arranque). Ambas funcionalidades pueden llevarse a cabo de forma remota.

Resolver la causa raíz

Después de haber identificado qué ha causado la recuperación, puedes restablecer la protección de BitLocker y evitar la recuperación en cada inicio.

Los detalles de este restablecimiento pueden variar en función de la causa raíz de la recuperación. Si no puedes determinar la causa raíz, o si software malintencionado o un rootkit pueden haber infectado el equipo, el servicio de asistencia debería aplicar directivas antivirus recomendadas para reaccionar de la forma adecuada.

Nota  

Puedes realizar un restablecimiento del perfil de validación de BitLocker suspendiendo y reanudando BitLocker.

 

• PIN desconocido

• Clave de inicio perdida

• Cambios en los archivos de arranque

PIN desconocido

Si un usuario ha olvidado el PIN, debes restablecer el PIN mientras estás conectado al equipo para impedir que BitLocker inicie la recuperación cada vez que se reinicie el equipo.

Para impedir la recuperación continuada debido a un PIN desconocido

1. Desbloquea el equipo con la contraseña de recuperación.

2. Restablece el PIN:

   2. Haz clic con el botón derecho en la unidad y luego haz clic en Cambiar PIN.

   3. En el cuadro de diálogo Cifrado de unidad BitLocker, haz clic en Restablecer un PIN olvidado. Si no has iniciado sesión con una cuenta de administrador, deberás proporcionar las credenciales administrativas en este momento.

   4. En el cuadro de diálogo de restablecimiento de PIN, proporciona y confirma el nuevo PIN que usar y, a continuación, haz clic en Finalizar.

3. Usarás el nuevo PIN la próxima vez que desbloquees la unidad.

Clave de inicio perdida

Si has perdido la unidad flash USB que contiene la clave de inicio, deberás desbloquear la unidad con la clave de recuperación y, a continuación, crear una nueva clave de inicio.

Para impedir la recuperación continuada debido a una clave de inicio perdida

1. Inicia sesión como administrador en el equipo que tiene la clave de inicio perdida.

2. Abre Administrar BitLocker.

3. Haz clic en Duplicar clave de inicio, inserta la unidad USB limpia en la que vas a escribir la clave y, a continuación, haz clic en Guardar.

Cambios en los archivos de arranque

Este error puede ocurrir si has actualizado el firmware. Como procedimiento recomendado debes suspender BitLocker antes de realizar cambios en el firmware y, a continuación, reanudar la protección tras completar la actualización. Esto impide que el equipo entre en modo de recuperación. No obstante, si se han realizado cambios cuando la protección de BitLocker estaba activada, simplemente puedes iniciar sesión en el equipo con la contraseña de recuperación y se actualizará el perfil de validación de la plataforma para que no se produzca la recuperación la próxima vez.

Windows RE y BitLocker

Entorno de recuperación de Windows (RE) puede usarse para recuperar el acceso a una unidad protegida con BitLocker o mediante el cifrado de dispositivo. Si un equipo no puede arrancar después de dos errores, se iniciará automáticamente la reparación de inicio. Cuando la reparación de inicio se inicia automáticamente debido a errores de arranque, solo ejecutará reparaciones de archivo de controlador y sistema operativo, siempre que los registros de arranque o cualquier volcado de memoria disponible apunten a un archivo dañado específico. En Windows 8.1 y posterior, los dispositivos incluyen firmware para admitir las mediciones de TPM específicas para PCR[7], el TPM puede validar que Windows RE es un entorno operativo de confianza y desbloquear cualquier unidad protegida con BitLocker si no se ha modificado Windows RE. Si se ha modificado el entorno de Windows RE, por ejemplo se ha deshabilitado el TPM, las unidades permanecerán bloqueadas hasta que se proporcione la clave de recuperación de BitLocker. Si la reparación de inicio no se puede ejecutar automáticamente desde el equipo y en su lugar Windows RE se inicia manualmente desde un disco de reparación, debe proporcionarse la clave de recuperación de BitLocker para desbloquear las unidades de disco protegidas con BitLocker.

Uso de la información de recuperación adicional

Además de la contraseña de recuperación de BitLocker de 48 dígitos, otros tipos de información de recuperación se almacenan en Active Directory. Esta sección describe cómo se puede usar esta información adicional.

Paquete de claves de BitLocker

Si los métodos de recuperación descritos anteriormente en este documento no desbloquean el volumen, puedes usar la herramienta de reparación de BitLocker para descifrar el volumen en el nivel de bloque. La herramienta usa el paquete de claves de BitLocker para ayudar a recuperar los datos cifrados de las unidades gravemente dañadas. A continuación, puedes usar estos datos de recuperación para salvar datos cifrados, incluso después de que la contraseña de recuperación correcta no haya conseguido desbloquear el volumen dañado. Te recomendamos que sigas guardando la contraseña de recuperación. No se puede usar un paquete de claves sin la contraseña de recuperación correspondiente.

Nota  

Debes usar la herramienta de reparación de BitLocker repair-bde para usar el paquete de claves de BitLocker.

 

De manera predeterminada, no se guardará el paquete de claves de BitLocker. Para guardar el paquete junto con la contraseña de recuperación de AD DS, debes seleccionar la opción Realizar copia de seguridad de contraseñas de recuperación y paquetes de claves en la configuración de directivas de grupo que controla el método de recuperación. También puedes exportar el paquete de claves desde un volumen de trabajo. Para obtener más información sobre cómo exportar los paquetes de claves, consulta Recuperación del paquete de claves de BitLocker.

Restablecimiento de contraseñas de recuperación

Después de que se haya proporcionado y usado, debes invalidar la contraseña de recuperación. También debes hacerlo cuando quieras invalidar una contraseña de recuperación existente por cualquier motivo.

Puedes restablecer la contraseña de recuperación de dos maneras:

• Usar manage-bde Puedes usar manage-bde para quitar la contraseña de recuperación anterior y agregar una nueva contraseña de recuperación. El procedimiento identifica el comando y la sintaxis de este método.

• Ejecutar un script Puedes ejecutar un script para restablecer la contraseña sin descifrar el volumen. El script de muestra en el procedimiento muestra esta funcionalidad. El script de muestra crea una nueva contraseña de recuperación e invalida las demás contraseñas.

Para restablecer una contraseña de recuperación con manage-dbe

1. Quita la contraseña de recuperación anterior

   Manage-bde –protectors –delete C: –type RecoveryPassword
   

2. Agrega la nueva contraseña de recuperación

   Manage-bde –protectors –add C: -RecoveryPassword
   

3. Obtén el Id. de la nueva contraseña de recuperación. En la pantalla, copia el Id. de la contraseña de recuperación.

   Manage-bde –protectors –get C: -Type RecoveryPassword
   

4. Realiza copia de seguridad de la nueva contraseña de recuperación en AD DS

   Manage-bde –protectors –adbackup C: -id {EXAMPLE6-5507-4924-AA9E-AFB2EB003692}
   

   Advertencia  

   Debes incluir las llaves en la cadena de Id.

    

Para ejecutar el script de contraseña de recuperación de ejemplo

1. Guarda el siguiente script de muestra en un archivo VBScript. Por ejemplo: ResetPassword.vbs.

2. En el símbolo del sistema, escribe un comando similar al siguiente:

   cscript ResetPassword.vbs

Importante  

Este script de muestra está configurado para funcionar solamente para el volumen C. Debes personalizar el script para que coincida con el volumen en el que quieras probar el restablecimiento de contraseña.

 

Nota  

Para administrar un equipo remoto, puedes especificar el nombre del equipo remoto en lugar del nombre del equipo local.

 

Puedes usar el siguiente script de muestra para crear un archivo VBScript para restablecer las contraseñas de recuperación.

' Target drive letter
strDriveLetter = "c:"

' Target computer name
' Use "." to connect to the local computer
strComputerName = "." 


' --------------------------------------------------------------------------------
' Connect to the BitLocker WMI provider class
' --------------------------------------------------------------------------------

strConnectionStr = "winmgmts:" _
                 & "{impersonationLevel=impersonate,authenticationLevel=pktPrivacy}!\\" _
                 & strComputerName _
                 & "\root\cimv2\Security\MicrosoftVolumeEncryption"
                 
                 
On Error Resume Next 'handle permission errors

Set objWMIService = GetObject(strConnectionStr)


If Err.Number <> 0 Then
     WScript.Echo "Failed to connect to the BitLocker interface (Error 0x" & Hex(Err.Number) & ")."
     Wscript.Echo "Ensure that you are running with administrative privileges."
     WScript.Quit -1
End If

On Error GoTo 0

strQuery = "Select * from Win32_EncryptableVolume where DriveLetter='" & strDriveLetter & "'"
Set colTargetVolumes = objWMIService.ExecQuery(strQuery)


If colTargetVolumes.Count = 0 Then
    WScript.Echo "FAILURE: Unable to find BitLocker-capable drive " &  strDriveLetter & " on computer " & strComputerName & "."
    WScript.Quit -1
End If


' there should only be one volume found
For Each objFoundVolume in colTargetVolumes
    set objVolume = objFoundVolume
Next


' objVolume is now our found BitLocker-capable disk volume


' --------------------------------------------------------------------------------
' Perform BitLocker WMI provider functionality
' --------------------------------------------------------------------------------


' Add a new recovery password, keeping the ID around so it doesn't get deleted later
' ----------------------------------------------------------------------------------

nRC = objVolume.ProtectKeyWithNumericalPassword("Recovery Password Refreshed By Script", , sNewKeyProtectorID)

If nRC <> 0 Then
WScript.Echo "FAILURE: ProtectKeyWithNumericalPassword failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If

' Removes the other, "stale", recovery passwords 
' ----------------------------------------------------------------------------------

nKeyProtectorTypeIn = 3 ' type associated with "Numerical Password" protector

nRC = objVolume.GetKeyProtectors(nKeyProtectorTypeIn, aKeyProtectorIDs)

If nRC <> 0 Then
WScript.Echo "FAILURE: GetKeyProtectors failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If

' Delete those key protectors other than the one we just added. 

For Each sKeyProtectorID In aKeyProtectorIDs

If sKeyProtectorID <> sNewKeyProtectorID Then
nRC = objVolume.DeleteKeyProtector(sKeyProtectorID)

If nRC <> 0 Then
WScript.Echo "FAILURE: DeleteKeyProtector on ID " & sKeyProtectorID & " failed with return code 0x" & Hex(nRC)
WScript.Quit -1
Else
' no output
'WScript.Echo "SUCCESS: Key protector with ID " & sKeyProtectorID & " deleted"
End If
End If

Next

WScript.Echo "A new recovery password has been added. Old passwords have been removed."

' - some advanced output (hidden)
'WScript.Echo ""
'WScript.Echo "Type ""manage-bde -protectors -get " & strDriveLetter & " -type recoverypassword"" to view existing passwords."

Recuperación del paquete de claves de BitLocker

Puedes usar dos métodos para recuperar el paquete de claves, tal como se describe en Uso de la información de recuperación adicional:

• Exportar un paquete de claves guardado previamente de AD DS. Debes tener acceso de lectura a las contraseñas de recuperación de BitLocker que están almacenadas en AD DS.

• Exportar un nuevo paquete de claves desde un volumen protegido con BitLocker desbloqueado. Debes tener acceso de administrador local al volumen de trabajo, antes de que se haya producido algún daño.

El siguiente script de muestra exporta todos los paquetes de claves guardados previamente desde AD DS.

Para ejecutar el script de recuperación del paquete de claves de ejemplo

1. Guarda el siguiente script de muestra en un archivo VBScript. Por ejemplo: GetBitLockerKeyPackageADDS.vbs.

2. En el símbolo del sistema, escribe un comando similar al siguiente:

   cscript GetBitLockerKeyPackageADDS.vbs -?

Puedes usar el siguiente script de muestra para crear un archivo VBScript para recuperar el paquete de claves de BitLocker de AD DS.

' --------------------------------------------------------------------------------
' Usage
' --------------------------------------------------------------------------------

Sub ShowUsage
   Wscript.Echo "USAGE: GetBitLockerKeyPackageAD [Path To Saved Key Package] [Optional Computer Name]"
   Wscript.Echo "If no computer name is specified, the local computer is assumed."
   Wscript.Echo 
   Wscript.Echo "Example: GetBitLockerKeyPackageAD E:\bitlocker-ad-key-package mycomputer"
   WScript.Quit
End Sub

' --------------------------------------------------------------------------------
' Parse Arguments
' --------------------------------------------------------------------------------

Set args = WScript.Arguments

Select Case args.Count
  Case 1
    If args(0) = "/?" Or args(0) = "-?" Then
    ShowUsage
    Else 
      strFilePath = args(0)
      ' Get the name of the local computer      
      Set objNetwork = CreateObject("WScript.Network")
      strComputerName = objNetwork.ComputerName      
    End If    
      
  Case 2
    If args(0) = "/?" Or args(0) = "-?" Then
      ShowUsage
    Else 
      strFilePath = args(0)
      strComputerName = args(1)
    End If
  Case Else
    ShowUsage

End Select



' --------------------------------------------------------------------------------
' Get path to Active Directory computer object associated with the computer name
' --------------------------------------------------------------------------------

Function GetStrPathToComputer(strComputerName) 

    ' Uses the global catalog to find the computer in the forest
    ' Search also includes deleted computers in the tombstone

    Set objRootLDAP = GetObject("LDAP://rootDSE")
    namingContext = objRootLDAP.Get("defaultNamingContext") ' e.g. string dc=fabrikam,dc=com    

    strBase = "<GC://" & namingContext & ">"
 
    Set objConnection = CreateObject("ADODB.Connection") 
    Set objCommand = CreateObject("ADODB.Command") 
    objConnection.Provider = "ADsDSOOBject" 
    objConnection.Open "Active Directory Provider" 
    Set objCommand.ActiveConnection = objConnection 

    strFilter = "(&(objectCategory=Computer)(cn=" &  strComputerName & "))"
    strQuery = strBase & ";" & strFilter  & ";distinguishedName;subtree" 

    objCommand.CommandText = strQuery 
    objCommand.Properties("Page Size") = 100 
    objCommand.Properties("Timeout") = 100
    objCommand.Properties("Cache Results") = False 

    ' Enumerate all objects found. 

    Set objRecordSet = objCommand.Execute 
    If objRecordSet.EOF Then
      WScript.echo "The computer name '" &  strComputerName & "' cannot be found."
      WScript.Quit 1
    End If

    ' Found object matching name

    Do Until objRecordSet.EOF 
      dnFound = objRecordSet.Fields("distinguishedName")
      GetStrPathToComputer = "LDAP://" & dnFound
      objRecordSet.MoveNext 
    Loop 


    ' Clean up. 
    Set objConnection = Nothing 
    Set objCommand = Nothing 
    Set objRecordSet = Nothing 

End Function


' --------------------------------------------------------------------------------
' Securely access the Active Directory computer object using Kerberos
' --------------------------------------------------------------------------------


Set objDSO = GetObject("LDAP:")
strPathToComputer = GetStrPathToComputer(strComputerName)

WScript.Echo "Accessing object: " + strPathToComputer

Const ADS_SECURE_AUTHENTICATION = 1
Const ADS_USE_SEALING = 64 '0x40
Const ADS_USE_SIGNING = 128 '0x80


' --------------------------------------------------------------------------------
' Get all BitLocker recovery information from the Active Directory computer object
' --------------------------------------------------------------------------------

' Get all the recovery information child objects of the computer object

Set objFveInfos = objDSO.OpenDSObject(strPathToComputer, vbNullString, vbNullString, _
                                   ADS_SECURE_AUTHENTICATION + ADS_USE_SEALING + ADS_USE_SIGNING)

objFveInfos.Filter = Array("msFVE-RecoveryInformation")

' Iterate through each recovery information object and saves any existing key packages

nCount = 1
strFilePathCurrent = strFilePath & nCount

For Each objFveInfo in objFveInfos

   strName = objFveInfo.Get("name")

   strRecoveryPassword = objFveInfo.Get("msFVE-RecoveryPassword")
   strKeyPackage = objFveInfo.Get("msFVE-KeyPackage")

   WScript.echo 
   WScript.echo "Recovery Object Name: " + strName 
   WScript.echo "Recovery Password: " + strRecoveryPassword

   ' Validate file path
   Set fso = CreateObject("Scripting.FileSystemObject")

   If (fso.FileExists(strFilePathCurrent)) Then
 WScript.Echo "The file " & strFilePathCurrent & " already exists. Please use a different path."
WScript.Quit -1
   End If

   ' Save binary data to the file
   SaveBinaryDataText strFilePathCurrent, strKeyPackage
   
   WScript.echo "Related key package successfully saved to " + strFilePathCurrent


   ' Update next file path using base name
   nCount = nCount + 1
   strFilePathCurrent = strFilePath & nCount

Next


'----------------------------------------------------------------------------------------
' Utility functions to save binary data 
'----------------------------------------------------------------------------------------

Function SaveBinaryDataText(FileName, ByteArray)
  'Create FileSystemObject object
  Dim FS: Set FS = CreateObject("Scripting.FileSystemObject")
  
  'Create text stream object
  Dim TextStream
  Set TextStream = FS.CreateTextFile(FileName)
  
  'Convert binary data To text And write them To the file
  TextStream.Write BinaryToString(ByteArray)
End Function

Function BinaryToString(Binary)
  Dim I, S
  For I = 1 To LenB(Binary)
    S = S & Chr(AscB(MidB(Binary, I, 1)))
  Next
  BinaryToString = S
End Function

WScript.Quit

The following sample script exports a new key package from an unlocked, encrypted volume.

To run this script, start by saving the code into a VBS file (for example, GetBitLockerKeyPackage.vbs). Then, open an administrator command prompt and use “cscript” to run the saved file (for example, type "cscript GetBitLockerKeyPackage.vbs  -?").



' --------------------------------------------------------------------------------
' Usage
' --------------------------------------------------------------------------------

Sub ShowUsage
   Wscript.Echo "USAGE: GetBitLockerKeyPackage [VolumeLetter/DriveLetter:] [Path To Saved Key Package]"
   Wscript.Echo 
   Wscript.Echo "Example: GetBitLockerKeyPackage C: E:\bitlocker-backup-key-package"
   WScript.Quit
End Sub

' --------------------------------------------------------------------------------
' Parse Arguments
' --------------------------------------------------------------------------------

Set args = WScript.Arguments

Select Case args.Count
  Case 2
    If args(0) = "/?" Or args(0) = "-?" Then
      ShowUsage
    Else 
      strDriveLetter = args(0)
      strFilePath = args(1)
    End If
  Case Else
    ShowUsage

End Select

' --------------------------------------------------------------------------------
' Other Inputs
' --------------------------------------------------------------------------------

' Target computer name
' Use "." to connect to the local computer
strComputerName = "." 

' Default key protector ID to use. Specify "" to let the script choose.

strDefaultKeyProtectorID = ""

' strDefaultKeyProtectorID = "{001298E0-870E-4BA0-A2FF-FC74758D5720}"  ' sample 


' --------------------------------------------------------------------------------
' Connect to the BitLocker WMI provider class
' --------------------------------------------------------------------------------

strConnectionStr = "winmgmts:" _
                 & "{impersonationLevel=impersonate,authenticationLevel=pktPrivacy}!\\" _
                 & strComputerName _
                 & "\root\cimv2\Security\MicrosoftVolumeEncryption"
                 
                 
On Error Resume Next 'handle permission errors

Set objWMIService = GetObject(strConnectionStr)


If Err.Number <> 0 Then
     WScript.Echo "Failed to connect to the BitLocker interface (Error 0x" & Hex(Err.Number) & ")."
     Wscript.Echo "Ensure that you are running with administrative privileges."
     WScript.Quit -1
End If

On Error GoTo 0

strQuery = "Select * from Win32_EncryptableVolume where DriveLetter='" & strDriveLetter & "'"
Set colTargetVolumes = objWMIService.ExecQuery(strQuery)


If colTargetVolumes.Count = 0 Then
    WScript.Echo "FAILURE: Unable to find BitLocker-capable drive " &  strDriveLetter & " on computer " & strComputerName & "."
    WScript.Quit -1
End If


' there should only be one volume found
For Each objFoundVolume in colTargetVolumes
    set objVolume = objFoundVolume
Next


' objVolume is now our found BitLocker-capable disk volume


' --------------------------------------------------------------------------------
' Perform BitLocker WMI provider functionality
' --------------------------------------------------------------------------------


' Collect all possible valid key protector ID's that can be used to get the package
' ----------------------------------------------------------------------------------

nNumericalKeyProtectorType = 3 ' type associated with "Numerical Password" protector

nRC = objVolume.GetKeyProtectors(nNumericalKeyProtectorType, aNumericalKeyProtectorIDs)
If nRC <> 0 Then
WScript.Echo "FAILURE: GetKeyProtectors failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If

nExternalKeyProtectorType = 2 ' type associated with "External Key" protector

nRC = objVolume.GetKeyProtectors(nExternalKeyProtectorType, aExternalKeyProtectorIDs)
If nRC <> 0 Then
WScript.Echo "FAILURE: GetKeyProtectors failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If


' Get first key protector of the type "Numerical Password" or "External Key", if any
' ----------------------------------------------------------------------------------

if strDefaultKeyProtectorID = "" Then

' Save first numerical password, if exists
If UBound(aNumericalKeyProtectorIDs) <> -1 Then
strDefaultKeyProtectorID = aNumericalKeyProtectorIDs(0)
End If

' No numerical passwords exist, save the first external key
If strDefaultKeyProtectorID = "" and UBound(aExternalKeyProtectorIDs) <> -1 Then
strDefaultKeyProtectorID = aExternalKeyProtectorIDs(0)
End If 

' Fail case: no recovery key protectors exist. 
If strDefaultKeyProtectorID = "" Then
WScript.Echo "FAILURE: Cannot create backup key package because no recovery passwords or recovery keys exist. Check that BitLocker protection is on for this drive."
WScript.Echo "For help adding recovery passwords or recovery keys, type ""manage-bde -protectors -add -?""."
WScript.Quit -1
End If

End If

' Get some information about the chosen key protector ID
' ----------------------------------------------------------------------------------

' is the type valid?

nRC = objVolume.GetKeyProtectorType(strDefaultKeyProtectorID, nDefaultKeyProtectorType)

If Hex(nRC) = "80070057" Then
WScript.Echo "The key protector ID " & strDefaultKeyProtectorID & " is not valid."
WScript.Echo "This ID value may have been provided by the script writer."
ElseIf nRC <> 0 Then
WScript.Echo "FAILURE: GetKeyProtectorType failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If

' what's a string that can be used to describe it?

strDefaultKeyProtectorType = ""

Select Case nDefaultKeyProtectorType 

  Case nNumericalKeyProtectorType
      strDefaultKeyProtectorType = "recovery password"

  Case nExternalKeyProtectorType
      strDefaultKeyProtectorType = "recovery key"

  Case Else
      WScript.Echo "The key protector ID " & strDefaultKeyProtectorID & " does not refer to a valid recovery password or recovery key."
      WScript.Echo "This ID value may have been provided by the script writer."

End Select


' Save the backup key package using the chosen key protector ID
' ----------------------------------------------------------------------------------

nRC = objVolume.GetKeyPackage(strDefaultKeyProtectorID, oKeyPackage)
If nRC <> 0 Then
WScript.Echo "FAILURE: GetKeyPackage failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If

' Validate file path
Set fso = CreateObject("Scripting.FileSystemObject")
If (fso.FileExists(strFilePath)) Then
WScript.Echo "The file " & strFilePath & " already exists. Please use a different path."
WScript.Quit -1
End If

Dim oKeyPackageByte, bKeyPackage
For Each oKeyPackageByte in oKeyPackage
  'WScript.echo "key package byte: " & oKeyPackageByte
  bKeyPackage = bKeyPackage & ChrB(oKeyPackageByte)
Next

' Save binary data to the file
SaveBinaryDataText strFilePath, bKeyPackage

' Display helpful information
' ----------------------------------------------------------------------------------

WScript.Echo "The backup key package has been saved to " & strFilePath & "."

WScript.Echo "IMPORTANT: To use this key package, the " & strDefaultKeyProtectorType & " must also be saved."

' Display the recovery password or a note about saving the recovery key file

If nDefaultKeyProtectorType = nNumericalKeyProtectorType Then

nRC = objVolume.GetKeyProtectorNumericalPassword(strDefaultKeyProtectorID, sNumericalPassword)
If nRC <> 0 Then
WScript.Echo "FAILURE: GetKeyProtectorNumericalPassword failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If
WScript.Echo "Save this recovery password: " & sNumericalPassword

ElseIf nDefaultKeyProtectorType = nExternalKeyProtectorType Then
WScript.Echo "The saved key file is named " & strDefaultKeyProtectorID & ".BEK"
WScript.Echo "For help re-saving this external key file, type ""manage-bde -protectors -get -?"""
End If


'----------------------------------------------------------------------------------------
' Utility functions to save binary data 
'----------------------------------------------------------------------------------------

Function SaveBinaryDataText(FileName, ByteArray)
  'Create FileSystemObject object
  Dim FS: Set FS = CreateObject("Scripting.FileSystemObject")
  
  'Create text stream object
  Dim TextStream
  Set TextStream = FS.CreateTextFile(FileName)
  
  'Convert binary data To text And write them To the file
  TextStream.Write BinaryToString(ByteArray)
End Function

Function BinaryToString(Binary)
  Dim I, S
  For I = 1 To LenB(Binary)
    S = S & Chr(AscB(MidB(Binary, I, 1)))
  Next
  BinaryToString = S
End Function

Consulta también

• Introducción a BitLocker