• Artículo

Seguridad

Claves para la protección de datos con Cifrado de unidad BitLocker

Byron Hynes

 

Resumen:

  • Cifrado de volumen completo
  • Claves de BitLocker
  • Configuración de BitLocker

El Cifrado de unidad BitLocker de Windows es sin duda una de las características más mencionadas en Windows Vista. Sin embargo, la mayoría de las personas todavía no tuvieron demasiada oportunidad de probar BitLocker para averiguar directamente

qué hace y cómo funciona, especialmente en un equipo con un Módulo de plataforma segura (TPM). En este artículo, le presentaré los principios de BitLocker™ para que pueda evaluar su potencial e incluirlo en su planeamiento de actualización. Empezaré con información previa y conceptual, y analizaré a continuación la habilitación de BitLocker, la recuperación de datos, la administración y cómo BitLocker puede ser útil al final de la vida de un equipo. Para entender mejor la terminología de este artículo, examine la barra lateral "Discos y volúmenes".

Discos y volúmenes

La terminología sobre discos y volúmenes con frecuencia suele ser confusa. Este es un glosario abreviado para su referencia.

Partición Una partición es una sección de un disco duro físico. Se trata de una estructura lógica definida en una tabla de partición almacenada en el disco.

Volumen Un volumen es una estructura lógica en Windows compuesta de una o más particiones y definida por un componente de Windows llamado administrador de volúmenes. Con excepción del administrador de volúmenes y los componentes de inicio, el resto del sistema operativo y las aplicaciones trabajan con volúmenes, no con particiones. En el caso de los sistemas operativos cliente de Windows, incluido Windows Vista, las particiones y los volúmenes normalmente tienen una relación de uno a uno. En servidores, un volumen está compuesto frecuentemente de múltiples particiones, tal como en una configuración típica de RAID.

Partición activa Sólo una partición a la vez puede ser marcada como la partición activa. Se trata de la partición que contiene el sector de inicio usado para iniciar el sistema operativo. La partición activa se denomina a veces partición de sistema o volumen del sistema, pero no confunda estos términos con Volumen del sistema operativo Windows.

Volumen del sistema operativo Windows Este volumen contiene la instalación de Windows, incluidas las carpetas System y System32. Antes del lanzamiento de Windows Vista, se usaba el término partición de inicio (y todavía se usa a menudo). El término volumen del sistema operativo Windows es más claro y evita la confusión interminable entre partición de inicio y partición de sistema. En los viejos tiempos, los instructores algunas veces les decían a sus estudiantes que recordaran que "el inicio se realiza desde la partición de sistema y los archivos de sistema se encuentran en la partición de inicio".

Antes de Windows Vista, el volumen del sistema operativo Windows (también conocido como la partición de inicio) y la partición activa (también conocida como la partición de sistema) eran la misma cosa, porque en la mayoría de los equipos cliente los discos duros se configuraban como una única partición de gran tamaño. En la figura A puede observar las funciones asignadas a cada partición o volumen en la consola de Administración de discos en Windows Vista.

Figura A Funciones de partición

Figura A** Funciones de partición **(Hacer clic en la imagen para ampliarla)

BitLocker en realidad hace dos cosas que son complementarias pero diferentes. En primer lugar, BitLocker ofrece cifrado de volumen completo en el volumen del sistema operativo Windows®. En segundo lugar, en equipos con un TPM compatible, BitLocker ofrece una manera de validar la integridad de los primeros componentes de inicio, antes de permitir que se inicie Windows Vista™.

Para usar toda la funcionalidad de BitLocker, su equipo debe tener un microchip y un BIOS compatible con TPM. Compatible significa una versión 1.2 de TPM y un BIOS compatible con TPM y la raíz estática de la medida de confianza según la definición del Trusted Computing Group (TCG). Sin embargo, los equipos sin TPM y BIOS compatibles aún pueden usar el cifrado de BitLocker.

Cifrado de volumen completo

BitLocker ofrece cifrado de volumen completo para garantizar que todos los datos escritos en el volumen del sistema operativo Windows sean cifrados. Esto es fundamental para proteger la información confidencial almacenada en los equipos de la organización, especialmente en equipos portátiles y móviles.

Los equipos móviles se pierden o son robados todos los días. Con una capacidad informática portátil en aumento y una fuerza de trabajo cada vez más móvil, un único trabajador puede transportar centenares de gigabytes de secretos comerciales de la organización, documentos confidenciales o información de identificación personal de clientes (PII). Cualquier búsqueda en las noticias le informará que se han perdido demasiados datos. (Privacy Rights Clearinghouse afirma que más de 104 millones de registros con información personal se han perdido o divulgado sólo desde 2005).

La mayoría de las organizaciones ya cuentan con exigencias legales y corporativas para proteger distintos tipos de información privada; y aunque aún no tenga exigencias legales, probablemente tiene un interés comercial de peso para hacerlo.

¿Por qué cifrar el volumen completo?

Si es un administrador experimentado de Windows, probablemente ya está familiarizado con las opciones de cifrado basadas en Windows tales como el Sistema de cifrado de archivos (EFS) y quizá el cifrado y protección ofrecidos por Rights Management Services (RMS). La gran diferencia con BitLocker es que, una vez habilitado, es automático, transparente e incluye el volumen completo.

Por ejemplo, con EFS, tiene que indicar específicamente cuáles archivos y carpetas serán protegidos. En Windows Vista, hay algunas nuevas opciones que hacen a EFS más flexible, y EFS y RMS abordan algunos escenarios que BitLocker no cubre. Pero tanto EFS como RMS requieren una configuración considerable por parte del administrador y no están diseñados para proteger todo lo almacenado en el volumen.

Por el contrario, BitLocker cifra todo lo escrito en un volumen protegido por BitLocker, incluidos el sistema operativo mismo, el Registro, los archivos de hibernación y paginación, las aplicaciones y los datos usados por las aplicaciones.

Existen tres elementos no cifrados: el sector de inicio, todos los sectores incorrectos marcados ilegibles y los metadatos de volumen. Los metadatos de volumen consisten en tres copias redundantes de datos usadas para administrar BitLocker, incluidas la información estadística del volumen y las copias protegidas de algunas claves de descifrado. Estos elementos no requieren cifrado porque no son exclusivos, valiosos, ni de identificación personal.

El cifrado de volumen completo protege contra ataques sin conexión; la clase de ataques montados al tratar de omitir el sistema operativo. Por ejemplo, un ataque común sin conexión es robar un equipo, quitar el disco duro, e instalarlo como segunda unidad de disco en otro equipo (y ejecutar una copia diferente de Windows o un sistema operativo diferente) para evitar los permisos NTFS y las contraseñas de usuario. Si se usa esta clase de ataque, no es posible leer un volumen protegido por BitLocker.

Manera en que BitLocker cifra los datos

BitLocker usa el algoritmo Estándar de cifrado avanzado (AES), con claves de 128 bits. Para una mejor protección, se pueden aumentar las claves a 256 bits mediante directivas de grupo o con el proveedor del instrumental de administración de Windows (WMI) de BitLocker.

Cada sector en el volumen se cifra individualmente, con una parte de la clave de cifrado derivada del número de sector mismo. Esto significa que dos sectores que contienen datos descifrados idénticos tendrán como resultado bytes cifrados diferentes escritos en el disco, lo que hace mucho más difícil intentar descubrir las claves mediante creación y cifrado de datos conocidos.

Antes de cifrar los datos mediante AES, BitLocker usa también un algoritmo llamado difusor. Sin entrar en detalles de criptografía, una descripción sencilla del difusor es que garantiza que incluso los cambios mínimos en el texto sin formato tengan como resultado cambios en el sector completo en el texto cifrado. Esto hace también mucho más difícil que el atacante pueda descubrir claves o datos.

Si está interesado en los detalles del algoritmo de cifrado de BitLocker, puede leer el documento de Neil Ferguson al respecto, "AES-CBC + difusor elefante: un algoritmo de cifrado del disco para Windows Vista".

Claves de BitLocker

En cada ocasión que trata con cifrado, necesita conocer sobre claves, y BitLocker no es la excepción. BitLocker usa una arquitectura de claves elegante, pero un poco compleja.

Los sectores en sí mismos se cifran mediante una clave denominada clave de cifrado de volumen completo (FVEK). Sin embargo, los usuarios no pueden usar la FVEK, ni tener acceso a ella. La FVEK se cifra en cambio con una clave denominada clave maestra de volumen (VMK). Este nivel de abstracción ofrece algunos beneficios exclusivos, pero puede hacer el proceso un poco más difícil de entender. La FVEK se mantiene como un secreto muy bien guardado porque, si estuviera en peligro, todos los sectores deberán volverse a cifrar. Dado que esto sería una operación que tarda mucho tiempo, es algo que se quiere evitar. En vez de eso, el sistema funciona con la VMK.

La FVEK (cifrada con la VMK) se almacena en el disco mismo, como parte de los metadatos de volumen. Aunque la FVEK se almacena de forma local, nunca se escribe sin cifrado en el disco.

La VMK también se cifra, o se "protege", pero por medio de uno o más protectores de clave posibles. El protector de clave predeterminado es el TPM. El uso de un TPM se analiza en la siguiente sección sobre comprobación de integridad. También se crea una contraseña de recuperación como protector clave, para emergencias. La recuperación también se analiza más tarde.

Puede combinar el TPM con un PIN numérico o con una clave parcial almacenada en una unidad de disco USB para aumentar la seguridad. Cada uno de estos métodos es una forma de autenticación en dos fases. Si el equipo no tiene un chip y BIOS compatibles con TPM, BitLocker se puede configurar para almacenar completamente un protector de clave en una unidad de disco USB. Esto se denomina clave de inicio.

BitLocker se puede deshabilitar sin descifrar los datos; en este caso, la VMK está protegida sólo por un nuevo protector de clave que se almacena sin cifrar. Tenga en cuenta que esta clave sin cifrado permite que el sistema tenga acceso a la unidad de disco como si no estuviera protegida.

En el inicio, el sistema busca un protector de clave apropiado consultando al TPM, comprobando los puertos USB o, si fuera necesario, preguntando al usuario (lo que se denomina recuperación). Encontrar un protector de clave permite a Windows descifrar la VMK, que descifra la FVEK que, a su vez, descifra los datos almacenados en disco. El proceso se muestra en la figura 1.

Figura 1 Proceso de inicio predeterminado de BitLocker

Figura 1** Proceso de inicio predeterminado de BitLocker **

Comprobación de integridad

Debido a que los componentes del principio del proceso de inicio deben permanecer sin cifrado para que el equipo pueda iniciar, un atacante podría cambiar el código en esos primeros componentes de inicio (piense en un rootkit), y así obtener acceso al equipo, aunque los datos en el disco estén cifrados.

Mediante esta clase de ataque, un intruso quizá podría obtener acceso a información confidencial, como por ejemplo claves de BitLocker o contraseñas de usuario, y aprovechar esa información para evitar otras protecciones de seguridad.

Evitar esta clase de ataque fue uno de los objetivos originales del programa y del equipo que creó BitLocker. En algunos sentidos, el cifrado fue casi un medio para conseguir un fin. El cifrado de volumen completo permite que BitLocker proteja la integridad del sistema e impedir el inicio de Windows si los primeros componentes de inicio han cambiado.

En equipos con un TPM compatible, cada vez que se inicia el equipo, cada uno de los primeros componentes de inicio (tal como el BIOS, el registro de arranque maestro (MBR), el sector de inicio y el código del administrador de arranque) examina el código que se va a ejecutar, calcula un valor hash y almacena el valor en registros específicos del TPM, denominados registros de configuración de la plataforma (PCR). Una vez que un valor está almacenado en un PCR, no puede ser reemplazado ni borrado a menos que el sistema se reinicie. BitLocker usa el TPM y los valores almacenados en los PCR para proteger la VMK.

Un TPM puede crear una clave asociada a valores específicos de PCR. Cuando se crea este tipo de clave, el TPM cifra la clave y sólo ese TPM específico la puede descifrar. No obstante, más allá de eso, el TPM descifra la clave sólo si esos valores actuales de PCR coinciden con los valores especificados al crear la clave. Este proceso se denomina sellado de la clave en el TPM.

De forma predeterminada, BitLocker sella las claves según las medidas de la raíz central de la medida de confianza (CRTM), el BIOS y todas las extensiones de plataforma, código ROM de opción, código de MBR, el sector de arranque de NTFS y el administrador de arranque. Si cualquiera de estos elementos se modifica de manera inesperada, BitLocker bloqueará la unidad de disco e impedirá que se obtenga acceso a ella o que ésta sea descifrada.

De forma predeterminada, BitLocker se configura para buscar y usar un TPM. Puede usar directivas de grupo o una configuración de directiva local para permitir que BitLocker funcione sin un TPM y almacenar las claves en una unidad flash externa USB, pero sin un TPM, BitLocker no puede comprobar la integridad del sistema.

Habilitación de BitLocker por primera vez

BitLocker está disponible en Windows Vista Enterprise y Windows Vista Ultimate. (BitLocker también será un componente opcional incluido con la próxima versión de Windows Server® con nombre en código "Longhorn").

El siguiente análisis supone que el usuario dispone de un equipo compatible con TPM para la prueba. Si desea habilitar BitLocker en un equipo sin un TPM, siga los pasos descritos en la barra lateral "Uso de BitLocker sin un TPM".

Uso de BitLocker sin un TPM

BitLocker se configura de forma predeterminada para usar un TPM, y si no dispone de uno, Windows de fábrica no le permitirá habilitar BitLocker. Sin embargo, el procedimiento siguiente, tomado de la Guía paso a paso del Cifrado de unidad BitLocker de Windows, le permitirá usar BitLocker sin un TPM.

Para realizar estos pasos, debe iniciar sesión como administrador. Incluso sin un TPM, el equipo debe admitir la lectura de una unidad flash USB durante el proceso de inicio. Además, debe tener una unidad flash USB disponible cuando habilite BitLocker y cada vez que reinicia el equipo.

Siga estos pasos para activar el Cifrado de la unidad BitLocker en un equipo sin un TPM compatible:

  1. Haga clic en Inicio, escriba gpedit.msc en el cuadro Iniciar búsqueda y presione INTRO.
  2. Si aparece el cuadro de diálogo Control de cuentas de usuario, compruebe que la acción propuesta es la que solicitó y haga clic en Continuar.
  3. En el árbol de consola del Editor de objetos de directiva de grupo, haga clic en Directiva de equipo local, Plantillas administrativas y Componentes de Windows. A continuación, haga doble clic en Cifrado de unidad BitLocker.
  4. Haga doble clic en el valor de Configuración del Panel de control: habilitar opciones de inicio avanzadas. Aparecerá el cuadro de diálogo Configuración del Panel de control: habilitar opciones de inicio avanzadas.
  5. Seleccione la opción Habilitada, seleccione la casilla de verificación Permitir BitLocker sin un TPM compatible y haga clic en Aceptar. Ha cambiado la configuración de la directiva para poder usar una clave de inicio en vez de un TPM.
  6. Cierre el Editor de objetos de directiva de grupo.
  7. Para forzar la aplicación inmediata de la directiva de grupo, puede hacer clic en Inicio, escribir gpupdate.exe /force en el cuadro Iniciar búsqueda y presionar INTRO. Espere a que finalice el proceso.

Una parte importante de la habilitación de BitLocker es asegurarse de que los volúmenes estén correctamente configurados. BitLocker requiere que la partición activa no esté cifrada para poder leer el sector de inicio, el administrador de arranque y el programa cargador de Windows (estos componentes están protegidos por los pasos de integridad del sistema descritos anteriormente). Debido a que otros componentes de Windows pueden requerir el uso temporal de la partición activa, Microsoft recomienda que la partición activa tenga un tamaño mínimo de 1,5 GB. También es una buena idea configurar los permisos NTFS para que los usuarios no escriban accidentalmente datos en este volumen.

Windows en sí mismo se instalará en un segundo volumen de mayor tamaño, que se puede cifrar. Si instala Windows en un nuevo sistema, puede configurar manualmente los volúmenes si sigue las instrucciones disponibles en la Guía paso a paso del Cifrado de unidad BitLocker de Windows.

Puede usar la Herramienta de preparación de unidad BitLocker para ayudar a configurar el sistema para BitLocker. Esta herramienta elimina el esfuerzo de configurar las unidades de disco y está disponible como una opción adicional de Windows Vista Ultimate o para clientes que implementan Windows Vista Enterprise. Para obtener instrucciones detalladas sobre la Herramienta de preparación de unidad BitLocker, visite support.microsoft.com/kb/930063.

La Herramienta de preparación de unidad BitLocker reduce automáticamente el volumen (si sólo tiene uno), crea la segunda partición, la activa, realiza todos los cambios necesarios de configuración y mueve los archivos de inicio al lugar correcto.

Una vez que los volúmenes están configurados, la habilitación de BitLocker es sencilla. En la sección Seguridad del Panel de control, haga clic en el icono de Cifrado de unidad BitLocker. Después de reconocer la solicitud de consentimiento de UAC, aparecerá una pantalla semejante a la de la figura 2.

Figura 2 Habilitación de BitLocker

Figura 2** Habilitación de BitLocker **(Hacer clic en la imagen para ampliarla)

La secuencia exacta de lo que sucede a continuación variará en función del estado del chip TPM del equipo. Si el chip de TPM no está inicializado, se ejecutará el Asistente para inicializar TPM. Siga los mensajes para inicializar el TPM, que incluirán el reinicio del equipo.

Después de inicializar el TPM, aparecerá la página Guardar la contraseña de recuperación, tal como se muestra en la figura 3. Para poder recuperar los datos en el caso de un error de TPM o de algún otro problema, necesitará una contraseña de recuperación. Esta página le permite guardar una contraseña de recuperación en una unidad flash USB o en un disco local o de red, o bien imprimirla para guardarla en un lugar seguro. Debe elegir al menos una de estas opciones, y puede elegir guardar varias copias. Una vez guardada la contraseña de recuperación, se habilitará el botón Siguiente. Haga clic en él.

Figura 3 Guardado de la contraseña de recuperación

Figura 3** Guardado de la contraseña de recuperación **(Hacer clic en la imagen para ampliarla)

Aparecerá la página para cifrar el volumen de disco seleccionado y tiene la opción de ejecutar o no una comprobación de sistema antes de que se inicie el cifrado. La comprobación de sistema requerirá un reinicio, pero es la mejor manera de asegurarse que el TPM, el BIOS y los puertos USB funcionarán apropiadamente con BitLocker. Después del reinicio, si se detecta cualquier problema, verá un mensaje de error. De lo contrario, se muestra la barra de estado Cifrado en curso.

Y esto es todo. El cifrado se completará en segundo plano y el usuario seguirá usando el equipo. Una vez completado el cifrado inicial, aparecerá un mensaje de información. Para supervisar el estado de finalización en curso del cifrado del volumen de disco, arrastre el cursor sobre el icono Cifrado de unidad BitLocker de la barra de herramientas situada en la parte inferior de la pantalla. Para obtener información más detallada, puede referirse a la Guía paso a paso mencionada anteriormente.

Algunos usuarios se sorprenden al ver que BitLocker no realiza ninguna interrupción obvia ni solicitud al usuario en el momento que se inicia el equipo. Eso se debe a que, en su configuración predeterminada, BitLocker depende del TPM para confirmar la integridad del sistema antes de desbloquear el volumen. Esto es automático y transparente para el usuario.

Puede configurar BitLocker para requerir la entrada de un PIN o la presencia de una clave almacenada en una unidad flash USB durante el inicio. Esto aumenta la seguridad y se recomienda en situaciones donde un aumento de la seguridad pesa más que el inconveniente de escribir el PIN. En mi opinión, se recomienda siempre. (En otras palabras, mi equipo de escritorio requiere un PIN y mi equipo portátil requiere una llave USB).

Recuperación de BitLocker

Cuando se trabaja con cifrado, especialmente en una empresa o entorno comercial, es esencial disponer de una manera para que un usuario autorizado recupere sus datos, incluso si no están disponibles los métodos normales de acceso o las claves. BitLocker lo llama recuperación.

Si algo cambia de manera inesperada en los primeros componentes del inicio, o si pierde una llave de inicio USB o un usuario se olvida su PIN, BitLocker no podrá completar el proceso normal de inicio. BitLocker dejará bloqueado el volumen y Windows no podrá iniciar. En su lugar, el código de BitLocker en el administrador de arranque presentará una pantalla de texto. Si se guardó una contraseña de recuperación en una unidad flash USB (denominada a veces una clave de recuperación), aparece una pantalla semejante a la de la figura 4.

Figura 4 Búsqueda de una clave de recuperación

Figura 4** Búsqueda de una clave de recuperación **(Hacer clic en la imagen para ampliarla)

Para que BitLocker lea una unidad flash USB, ésta debe estar conectada durante el inicio. Entonces, si dispone de una unidad flash USB con una contraseña de recuperación, insértela y presione ESC. Si no dispone de una, presione Intro para ver la pantalla que se muestra en la figura 5. Esta pantalla también aparecerá si nunca se guardó una clave de recuperación en una unidad de disco USB.

Figura 5 Especificación de una contraseña para BitLocker

Figura 5** Especificación de una contraseña para BitLocker **(Hacer clic en la imagen para ampliarla)

BitLocker busca ahora una contraseña numérica de 48 dígitos que pueda desbloquear la unidad de disco. Este número aparece en la página si oportunamente eligió imprimir la contraseña de recuperación, y también está almacenada en un archivo si guardó la contraseña de recuperación en una carpeta.

La manera más sencilla de administrar contraseñas de recuperación en una empresa es hacer que se almacenen automáticamente en Active Directory®. Puede obtener todos los detalles sobre cómo debe hacerlo en go.microsoft.com/fwlink/?LinkId=87067.

En un artículo posterior explicaré con más detalles la capacidad de administración de BitLocker, pero como parte de esta introducción, debe saber que BitLocker se distribuye con un proveedor WMI completo que permite su administración (y la del TPM) a través de cualquier sistema Web-Based Enterprise Management (WBEM) compatible con WMI. Esto significa que pueden generarse secuencias de comandos para BitLocker con cualquier lenguaje que tenga acceso a objetos WMI, tal como VBScript o Windows PowerShell™.

BitLocker también incluye una herramienta de línea de comandos denominada manage-bde.wsf que usa el proveedor WMI para permitirle administrar BitLocker, en equipos locales o remotos. Para obtener más información, inicie un símbolo de sistema con privilegios elevados y escriba manage-bde.wsf /?.

Retiro de servicio seguro

A veces llega el momento en que todos los equipos se deben retirar del servicio. Las empresas generalmente emplean fondos y esfuerzos significativos para asegurarse de que las unidades de disco están completamente saneadas antes de deshacerse de ellas. La mayoría de los procesos que eliminan los datos confidenciales de las unidades de disco requieren tiempo, son costosos o tienen como resultado la destrucción permanente del hardware. BitLocker ofrece otras opciones más rentables.

En vez de preocuparse por eliminar los datos después del hecho, BitLocker ayuda a garantizar en primer lugar que los datos confidenciales no se almacenan en el disco de una manera riesgosa. Dado que todo lo escrito en el disco está cifrado, los datos se pueden representar completamente inaccesibles de manera permanente si se destruyen todas las copias de las claves de cifrado. El disco duro en sí mismo está completamente ileso y se puede volver a usar.

Puede elegir varios métodos para sacar de servicio activo los volúmenes que han sido protegidos por BitLocker. Puede optar por eliminar todas las copias de claves de metadatos de volumen, mientras las mantiene archivadas en un sitio central seguro. Esto puede permitir transportar sistemas de forma segura o sacarlos temporalmente de servicio activo si permanecen desatendidos durante períodos de tiempo prolongados. Esto garantiza que los usuarios autorizados puedan aún tener acceso a los datos, pero que no tenga acceso ningún usuario no autorizado, como por ejemplo, nuevos propietarios del equipo.

También puede optar por eliminar todas las copias de claves de metadatos de volumen y de todos los archivos, tales como Active Directory (quizá al crear nuevas claves sin almacenar). Dado que no existen claves de descifrado, nadie puede recuperar los datos.

En cualquiera de estos casos, la eliminación y destrucción de las claves contenidas en los metadatos de volumen es casi instantánea y un administrador la puede realizar en varios sistemas. Se requiere una mínima inversión de tiempo y esfuerzo, pero tiene como resultado un nivel muy alto de protección permanente. La utilidad de formato en Windows Vista se actualizó para que un comando de formato elimine los metadatos de volumen y sobrescriba esos sectores para eliminar de forma segura cualquier clave de BitLocker.

Algunas consideraciones finales

BitLocker es una herramienta eficaz diseñada para la protección contra amenazas específicas, y hace un excelente trabajo. Sin embargo, sería un error esperar que BitLocker proteja contra todas las amenazas. Es absolutamente crítico que continúe usando defensas y controles apropiados, como por ejemplo contraseñas seguras.

Entienda que BitLocker está dirigido hacia ataques sin conexión. Lo que significa que si Windows está en ejecución, BitLocker ha desbloqueado el volumen. Es decir, BitLocker no ofrece protección a un sistema en ejecución. Tecnologías como EFS y RMS complementan a BitLocker al proteger información mientras se ejecuta el sistema operativo.

Para obtener más información acerca de BitLocker, visite el sitio web de Microsoft, comenzando en technet.microsoft.com/windowsvista/aa905065.aspx. Para obtener más información acerca de las especificaciones de TPM y el TCG, visite la sección Especificaciones de TPM en el sitio web del TCG en go.microsoft.com/fwlink/?LinkId=72757.

Byron Hynes trabaja en el grupo de asistencia al usuario de Windows Server, en Microsoft. Anteriormente, trabajó como consultor e instructor. Puede ponerse en contacto con él en la dirección bhynes@microsoft.com.

© 2008 Microsoft Corporation and CMP Media, LLC. Reservados todos los derechos; queda prohibida la reproducción parcial o total sin previa autorización.