[Artículo] CUIDADO CON BITLOCKER si instalas en limpio Windows 11 24H2!!!!

Question

[Artículo] CUIDADO CON BITLOCKER si instalas en limpio Windows 11 24H2!!!!

Enric Cortés 38,520 Moderador voluntario

Artículo de la Comunidad de Soporte (Vistas: 2.369)

Nivel técnico: Intermedio

Aplica: Windows 11 24H2

Una de las novedades que introduce Microsoft en la nueva versión 24H2 de Windows 11 es la habilitación del cifrado BitLocker de forma automática y predeterminada en instalaciones limpias de esta versión, tanto en discos SSD como en discos HDD, así como en equipos nuevos con Windows 11 24H2 preinstalado de fábrica, tanto en la edición Pro como en la Home.

Hasta ahora las versiones anteriores, tanto de Windows 10 como de Windows 11, venían con la opción del cifrado BitLocker deshabilitado, y era el administrador quien decidía si habilitarlo o no, con excepción de equipos nuevos de algunos fabricantes que sí habilitan BitLocker de forma predeterminada.

BitLocker deja de ser una característica exclusiva de Windows 11 Pro y también vendrá activado en dispositivos con Windows 11 Home. Además, se han reducido los requisitos necesarios para su funcionamiento, sin necesidad de que Hardware Security Test Interface (HSTI) o Modern Standby estén habilitados. Se cifrarán las unidades internas después de que el usuario complete la experiencia de configuración rápida (OOBE) en dispositivos que cumplan los requisitos de hardware y se inicie sesión con una cuenta de Microsoft. Los dispositivos que usan una cuenta local no tendrán esta función habilitada por defecto, pero se puede habilitar manualmente.

Algunos de los problemas que esta novedad puede traer a los usuarios:

- el cifrado BitLocker se habilitará sin previo aviso por parte de Microsoft, por lo que si el administrador no sabe que sus discos están cifrados, y no dispone de la clave de recuperación, se puede encontrar con un buen problema si se activa el bloqueo del cifrado BitLocker. Existen varios motivos por los que un equipo puede entrar en modo de recuperación solicitando una clave de BitLocker. Por ejemplo, puede deberse a «que tu organización tenga una directiva de seguridad de contraseñas que bloquee el acceso después de un número determinado de intentos de conexión sin éxito para iniciar sesión», o bien, tu equipo detectó un error de funcionamiento del hardware, un cambio inesperado en la configuración, una actualización del firmware de la BIOS u otro evento de seguridad. Por todo esto, el equipo se bloquea y solicita «una clave de recuperación» única para ese equipo.

Introducción a BitLocker,

Cifrado de unidad BitLocker en Windows 11 para OEM

- El cifrado BitLocker ofrece una capa adicional de seguridad, pero puede tener un impacto significativo en el rendimiento de tu sistema, especialmente en dispositivos con hardware más antiguo o menos potente.

Windows 11 24H2 instalado en limpio junto a otros sistemas operativos

En estas capturas de pantalla puedes ver que el cifrado del disco se ha activado automáticamente después de la instalación en la unidad de arranque (C) y también en la unidad Almacén (E), pero no en otras unidades.

captura-1

La unidad C queda encriptada, pero a la espera de activación. ¿Qué significa eso? "En espera de activación" significa que la unidad está Encriptada por BitLocker, pero está a la espera de liberar una clave de recuperación de algún tipo. El volumen está efectivamente encriptado pero BitLocker está "suspendido". Esto significa que la clave de cifrado de volumen completo (FVEK) utilizada para codificar los datos se guarda en el disco en texto sin formato donde cualquier persona puede acceder a ellos. Para proteger esos datos se requiere una clave privada que proteja realmente los datos de la unidad. Simplemente haciendo clic en "Activar BitLocker" se completa la activación y se genera una clave privada de recuperación.

Si accedes a Configuración > Sistema > Almacenamiento > Configuración avanzada de almacenamiento > Discos y volúmenes, verás que se ha confirmado la activación del cifrado BitLocker:

Captura de pantalla 2024-10-13 113557 captura-4

¿Pero qué ocurre si no activas Bitlocker para generar la clave de recuperación? La unidad C sigue encriptada. ¿Y si se produce alguno de los motivos, que ya indiqué anteriormente, por los que la unidad se pueda bloquear y solicite una clave de recuperación? Esto puede suponer un gran problema para los usuarios. Puedes verificar el estado de encriptación abriendo una consola de comandos (CMD) como administrador y ejecutando este comando:

manage-bde -on C:

captura-5

Cómo deshabilitar el cifrado de BitLocker en Windows 11 24H2

A) Antes de la instalación de Windows 11

En principio hay dos formas para evitar el cifrado de las unidades del equipo antes de instalar Windows 11:

a) si utilizas la herramienta Rufus, en el momento de crear la imagen ISO te muestra esta ventana, en la que debes marcar la casilla Deshabilitar el cifrado automático de dispositivos BitLocker:

captura-7

b) durante el proceso de instalación de Windows 11, cuando comience la experiencia de configuración rápida (OOBE), justo en la pantalla donde debes configurar el país, pulsa las teclas Shift + F10 para iniciar la consola CMD en pantalla. Escribe regedit para iniciar el editor del registro. Localiza la siguiente clave:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker

En el panel derecho crea un nuevo valor DWORD (32 bits) con el nombre PreventDeviceEncryption y establece su valor en 1 (uno) para desactivar el cifrado automático de dispositivos BitLocker. Cierra el editor del registro y la consola CMD, y continúa con la experiencia de configuración rápida hasta finalizar la instalación.

Nota: esta modificación del registro durante la fase OOBE es posible que no funcione en algunas instalaciones.

B) Después de la instalación de Windows 11

Una vez instalado Windows 11 24H2 si te aparecen unidades encriptadas, abre una consola de comandos (CMD) como administrador y ejecuta este comando:

manage-bde c: -off

captura-6