BitLocker: Usar herramientas de cifrado de unidad BitLocker para administrar BitLocker
En este tema para profesionales de TI se describe cómo usar las herramientas para administrar BitLocker.
Las herramientas de cifrado de unidad BitLocker incluyen las herramientas de línea de comandos manage-bde y repair-bde y los cmdlets de BitLocker para Windows PowerShell.
Tanto manage-bde como los cmdlets de BitLocker pueden usarse para realizar cualquier tarea procesable a través del panel de control de BitLocker y son adecuados para implementaciones automatizadas y otros escenarios de scripts.
Repair-bde es una herramienta de circunstancias especiales que se proporciona para escenarios de recuperación ante desastres en los que la unidad protegida con BitLocker no se puede desbloquear con normalidad o mediante la consola de recuperación.
Manage-bde
Repair-bde
Cmdlets de BitLocker para Windows PowerShell
Manage-bde
Manage-bde es una herramienta de línea de comandos que puede usarse para las operaciones de scripting de BitLocker. Manage-bde ofrece opciones adicionales que no se muestra en el panel de control de BitLocker. Para obtener una lista completa de las opciones de manage-bde, consulta la referencia de línea de comandos Manage-bde.
Manage-bde incluye menos configuraciones predeterminadas y requiere mayor personalización para configurar BitLocker. Por ejemplo, si solo se usa el comando manage-bde -on en un volumen de datos, el volumen se cifrará completamente sin ningún protector de autenticación. Un volumen cifrado de esta manera aún requiere la interacción del usuario para activar la protección de BitLocker, incluso si el comando se ha completado correctamente, porque se debe agregar un método de autenticación al volumen para que esté totalmente protegido. Las siguientes secciones proporcionan ejemplos de escenarios comunes de uso de manage-bde.
Uso de manage-bde con volúmenes del sistema operativo
A continuación se enumeran unos ejemplos de comandos válidos básicos para volúmenes del sistema operativo. En general, si solo se usa el comando manage-bde -on <drive letter>, el volumen del sistema operativo se cifrará con un protector de solo TPM y sin clave de recuperación. Sin embargo, muchos entornos requieren protectores más seguros, como contraseñas o PIN y esperan poder recuperar información con una clave de recuperación. Se recomienda agregar al menos un protector principal y un protector de recuperación a un volumen de sistema operativo.
Una buena práctica al usar manage-bde consiste en determinar el estado del volumen del sistema de destino. Usa el siguiente comando para determinar el estado del volumen:
manage-bde -status
Este comando devuelve los volúmenes del destino, el estado de cifrado actual y el tipo volumen de tipo de cifrado (sistema operativo o datos) para cada volumen.
El siguiente ejemplo muestra la habilitación de BitLocker en un equipo sin un chip TPM. Antes de comenzar el proceso de cifrado, debes crear la clave de inicio necesaria para BitLocker y guardarla en la unidad USB. Cuando BitLocker está habilitado para el volumen del sistema operativo, necesita obtener acceso a la unidad flash USB para obtener la clave de cifrado (en este ejemplo, la letra de unidad E representa la unidad USB). Se te pedirá reiniciar para completar el proceso de cifrado.
manage-bde –protectors -add C: -startupkey E:
manage-bde -on C:
Nota
Una vez finalizado el cifrado, la clave de inicio USB debe insertarse antes de poder iniciar el sistema operativo.
Una alternativa para el protector de clave de inicio en el hardware no TPM es usar una contraseña y un ADaccountorgroup protector para proteger el volumen del sistema operativo. En este escenario, deberá agregar primero los protectores. Esto se realiza con el comando:
manage-bde -protectors -add C: -pw -sid <user or group>
Este comando te exigirá que escribas y luego confirmes el protector de contraseña antes de agregarlos al volumen. Con los protectores habilitados en el volumen, podrás, a continuación, activar BitLocker.
En equipos con un TPM es posible cifrar el volumen del sistema operativo sin ningún protector definido mediante manage-bde. El comando para hacer esto es:
manage-bde -on C:
De esta forma cifrarás la unidad usando el TPM como protector predeterminado. Si no estás seguro de si hay un protector de TPM disponible, para enumerar los protectores disponibles para un volumen, ejecuta el siguiente comando:
manage-bde -protectors -get <volume>
Uso de manage-bde con volúmenes de datos
Los volúmenes de datos usan la misma sintaxis para el cifrado que los volúmenes del sistema operativo, pero no requieren protectores para que se complete la operación. El cifrado de volúmenes de datos puede realizarse mediante el comando base: manage-bde -on <drive letter> o puedes agregar primero protectores adicionales al volumen. Se recomienda agregar al menos un protector principal y un protector de recuperación a un volumen de datos.
Un protector común para un volumen de datos es el protector de contraseña. En el ejemplo siguiente, agregamos un protector de contraseña al volumen y activamos BitLocker.
manage-bde -protectors -add -pw C:
manage-bde -on C:
Repair-bde
Puede que experimentes un problema que dañe un área de un disco duro en el que BitLocker almacena información crítica. Este tipo de problema puede estar causado por un error de disco duro o si Windows se cierra de manera inesperada.
La herramienta de reparación de BitLocker (Repair-bde) puede usarse para obtener acceso a los datos cifrados en un disco duro gravemente dañado si la unidad se ha cifrado con BitLocker. Repair-bde puede reconstruir partes esenciales de la unidad y salvar los datos recuperables siempre que se use una contraseña o clave de recuperación válidas para descifrar los datos. Si se han dañado los datos de metadatos de BitLocker de la unidad, debes poder proporcionar un paquete claves de copia de seguridad además de la contraseña o la clave de recuperación. De este paquete de claves se realiza una copia de seguridad en los servicios de dominio de Active Directory (AD DS) si usas la configuración predeterminada para la copia de seguridad de AD DS. Con este paquete de claves y la contraseña o la clave de recuperación, puedes descifrar partes de una unidad protegida con BitLocker si el disco está dañado. Cada paquete de claves funcionará solamente para una unidad que tenga el identificador de unidad correspondiente. Puedes usar el Visor de contraseñas de recuperación de BitLocker para obtener este paquete de claves de AD DS.
Sugerencia
Si no se realiza una copia de seguridad de la información de recuperación en AD DS o si quieres guardar los paquetes de claves de forma alternativa, puedes usar el comando manage-bde -KeyPackage para generar un paquete de claves para un volumen.
La herramienta de línea de comandos Repair-bde está pensada para su uso cuando el sistema operativo no se inicia o cuando no se puede iniciar la consola de recuperación de BitLocker. Debes usar Repair-bde si se cumplen las siguientes condiciones:
Has cifrado la unidad con el cifrado de unidad BitLocker.
Windows no se inicia o no puedes iniciar la consola de recuperación de BitLocker.
No tienes una copia de los datos que se encuentran en la unidad cifrada.
Nota
Puede que los daños en la unidad no estén relacionados con BitLocker. Por lo tanto, te recomendamos que pruebes otras herramientas para ayudar a diagnosticar y resolver el problema con la unidad antes de usar la herramienta de reparación de BitLocker. El entorno de recuperación de Windows (Windows RE) proporciona opciones adicionales para reparar equipos.
Para Repair-bde existen las siguientes limitaciones:
La herramienta de línea de comandos Repair-bde no puede reparar una unidad que produjo un error durante el proceso de cifrado o descifrado.
La herramienta de línea de comandos Repair-bde da por hecho que si la unidad tiene algún cifrado, entonces la unidad está completamente cifrada.
Para obtener más información sobre el uso de repair-bde, consulta Repair-bde
Cmdlets de BitLocker para Windows PowerShell
Los cmdlets de Windows PowerShell proporcionan una nueva manera de que los administradores los usen al trabajar con BitLocker. Usando las capacidades de scripting de Windows PowerShell, los administradores pueden integrar fácilmente las opciones de BitLocker en scripts existentes. La siguiente lista muestra los cmdlets de BitLocker disponibles.
Nombre |
Parámetros |
Add-BitLockerKeyProtector |
-ADAccountOrGroup -ADAccountOrGroupProtector -Confirm -MountPoint -Password -PasswordProtector -Pin -RecoveryKeyPath -RecoveryKeyProtector -RecoveryPassword -RecoveryPasswordProtector -Service -StartupKeyPath -StartupKeyProtector -TpmAndPinAndStartupKeyProtector -TpmAndPinProtector -TpmAndStartupKeyProtector -TpmProtector -WhatIf |
Backup-BitLockerKeyProtector |
-Confirm -KeyProtectorId -MountPoint -WhatIf |
Disable-BitLocker |
-Confirm -MountPoint -WhatIf |
Disable-BitLockerAutoUnlock |
-Confirm -MountPoint -WhatIf |
Enable-BitLocker |
-AdAccountOrGroup -AdAccountOrGroupProtector -Confirm -EncryptionMethod -HardwareEncryption -Password -PasswordProtector -Pin -RecoveryKeyPath -RecoveryKeyProtector -RecoveryPassword -RecoveryPasswordProtector -Service -SkipHardwareTest -StartupKeyPath -StartupKeyProtector -TpmAndPinAndStartupKeyProtector -TpmAndPinProtector -TpmAndStartupKeyProtector -TpmProtector -UsedSpaceOnly -WhatIf |
Enable-BitLockerAutoUnlock |
-Confirm -MountPoint -WhatIf |
Get-BitLockerVolume |
-MountPoint |
Lock-BitLocker |
-Confirm -ForceDismount -MountPoint -WhatIf |
Remove-BitLockerKeyProtector |
-Confirm -KeyProtectorId -MountPoint -WhatIf |
Resume-BitLocker |
-Confirm -MountPoint -WhatIf |
Suspend-BitLocker |
-Confirm -MountPoint -RebootCount -WhatIf |
Unlock-BitLocker |
-AdAccountOrGroup -Confirm -MountPoint -Password -RecoveryKeyPath -RecoveryPassword -RecoveryPassword -WhatIf |
De modo similar a manage-bde, los cmdlets de Windows PowerShell permiten una configuración más allá de las opciones que se ofrecen en el panel de control. Al igual que con manage-bde, los usuarios deben tener en cuenta las necesidades específicas del volumen que están cifrando antes de ejecutar los cmdlets de Windows PowerShell.
Un buen paso inicial consiste en determinar el estado actual de los volúmenes en el equipo. Puedes hacerlo con el cmdlet Get-BitLockerVolume.
La salida del cmdlet Get-BitLockerVolume proporciona información sobre el tipo de volumen, los protectores, el estado de protección y otros detalles.
Sugerencia
Ocasionalmente, es posible que no se muestren todos los protectores cuando se usa Get-BitLockerVolume debido a la falta de espacio en la pantalla de salida. Si no ves todos los protectores de un volumen, puedes usar el comando de la canalización de Windows PowerShell (|) para dar formato a una lista completa de protectores.
Get-BitLockerVolume C: | fl
Si deseas quitar los protectores existentes antes de aprovisionar BitLocker en el volumen, puedes usar el cmdlet Remove-BitLockerKeyProtector. Para conseguir esto se debe eliminar el GUID asociado con el protector.
Un único script puede canalizar los valores de cada devolución de Get-BitLockerVolume a otras variables tal como se muestra a continuación:
$vol = Get-BitLockerVolume
$keyprotectors = $vol.KeyProtector
Con esto, puedes mostrar la información de la variable $keyprotectors para determinar el GUID para cada protector.
Con esta información, puedes quitar el protector de clave para un volumen específico mediante el comando:
Remove-BitLockerKeyProtector <volume>: -KeyProtectorID "{GUID}"
Nota
El cmdlet de BitLocker requiere que el GUID protector de clave esté entre comillas para ejecutarse. Asegúrate de que el GUID completo, con llaves, se incluye en el comando.
Uso de los cmdlets de Windows PowerShell de Windows con volúmenes de sistema operativo
Usar los cmdlets de Windows PowerShell de BitLocker es similar a trabajar con la herramienta de manage-bde para cifrar volúmenes del sistema operativo. Windows PowerShell ofrece mucha flexibilidad a los usuarios. Por ejemplo, los usuarios pueden agregar el protector deseado como elemento de comando para cifrar el volumen. A continuación se muestran algunos ejemplos de escenarios de usuario comunes y los pasos para llevarlos a cabo en Windows PowerShell de BitLocker.
El siguiente ejemplo muestra cómo habilitar BitLocker en una unidad del sistema operativo usando solo el protector de TPM:
Enable-BitLocker C:
En el siguiente ejemplo se agrega un protector adicional, los protectores StartupKey y se decide omitir la prueba de hardware de BitLocker. En este ejemplo, el cifrado inicia inmediatamente sin necesidad de reiniciar el sistema.
Enable-BitLocker C: -StartupKeyProtector -StartupKeyPath <path> -SkipHardwareTest
Uso de los cmdlets de Windows PowerShell de BitLocker con volúmenes de datos
El cifrado de volumen de datos mediante Windows PowerShell es el mismo para volúmenes del sistema operativo. Debes agregar los protectores deseados antes de cifrar el volumen. El siguiente ejemplo agrega un protector de contraseña al volumen E: usando la variable $pw como contraseña. La variable $pw se guarda como un valor SecureString para almacenar la contraseña definida por el usuario.
$pw = Read-Host -AsSecureString
<user inputs password>
Enable-BitLockerKeyProtector E: -PasswordProtector -Password $pw
Uso de un protector de grupo o cuenta de AD en Windows PowerShell
El protector ADAccountOrGroup, introducido en Windows 8 y Windows Server 2012, es un protector basado en SID de Active Directory. Este protector puede agregarse al sistema operativo y a los volúmenes de datos, aunque no desbloquea volúmenes del sistema operativo en el entorno de prearranque. El protector requiere que el SID del grupo o de la cuenta de dominio se vincule con el protector. BitLocker puede proteger un disco compatible con clústeres agregando un protector basado en SID para el objeto de nombre de clúster (CNO) que permita que el disco conmute por error correctamente y que lo desbloquee cualquier equipo miembro del clúster.
Advertencia
El protector ADAccountOrGroup requiere el uso de un protector adicional para su uso (por ejemplo, la clave de recuperación, el PIN o el TPM) cuando se usa en volúmenes del sistema operativo
Para agregar un protector ADAccountOrGroup a un volumen es necesario el SID del dominio real o el nombre del grupo precedido por el dominio y una barra diagonal inversa. En el ejemplo siguiente, se agrega la cuenta CONTOSO\Administrator como un protector para el volumen de datos G.
Enable-BitLocker G: -AdAccountOrGroupProtector -AdAccountOrGroup CONTOSO\Administrator
Para los usuarios que deseen usar el SID para la cuenta o el grupo, el primer paso consiste en determinar el SID asociado a la cuenta. Para obtener el SID específico de una cuenta de usuario de Windows PowerShell, usa el siguiente comando:
Nota
El uso de este comando requiere la característica RSAT-AD-PowerShell.
get-aduser -filter {samaccountname -eq "administrator"}
Sugerencia
Además del comando anterior de PowerShell, se puede encontrar información sobre el usuario que haya iniciado la sesión localmente y la pertenencia a grupos usando: WHOAMI /ALL. Esto no requiere el uso de características adicionales.
El siguiente ejemplo agrega un protector ADAccountOrGroup al volumen del sistema operativo cifrado previamente con el SID de la cuenta:
Add-BitLockerKeyProtector C: -ADAccountOrGroupProtector -ADAccountOrGroup S-1-5-21-3651336348-8937238915-291003330-500
Nota
Los protectores basados en Active Directory suelen usarse para desbloquear volúmenes habilitados para clúster de conmutación por error.
Más información
Preguntas más frecuentes (P+F) de BitLocker
Prepara tu organización para BitLocker: planificación y directivas