Recuperación de BitLocker: problemas conocidos

En este artículo se describen problemas comunes que pueden impedir que BitLocker se comporte según lo esperado cuando se recupera una unidad, o que pueden provocar que BitLocker inicie la recuperación de forma inesperada. En el artículo también se proporcionan instrucciones para solucionar estos problemas.

Nota:

En este artículo, "contraseña de recuperación" hace referencia a la contraseña de recuperación de 48 dígitos y "clave de recuperación" hace referencia a la clave de recuperación de 32 dígitos. Para obtener más información, vea Protectores de claves de BitLocker.

Windows solicita una contraseña de recuperación de BitLocker no existente

Windows solicita una contraseña de recuperación de BitLocker. Sin embargo, no se configuró una contraseña de recuperación de BitLocker.

Resolución de solicitudes de Windows para una contraseña de recuperación de BitLocker no existente

Las preguntas más frecuentes sobre BitLocker y Servicios de dominio de Active Directory (AD DS) abordan situaciones que pueden producir este síntoma y proporcionan información sobre el procedimiento para resolver el problema:

• ¿Qué ocurre si BitLocker está habilitado en un equipo antes de que el equipo se haya unido al dominio?

• ¿Qué ocurre si se produce un error inicial en la copia de seguridad? ¿BitLocker volverá a intentar la copia de seguridad?

No se ha hecho una copia de seguridad de la contraseña de recuperación de un portátil y el equipo portátil está bloqueado.

Imagine la siguiente situación:

El disco duro de un Windows 11 o Windows 10 portátil debe recuperarse. El disco se cifró mediante el cifrado de controladores de BitLocker. Sin embargo, no se ha hecho una copia de seguridad de la contraseña de recuperación de BitLocker y el usuario habitual del portátil no está disponible para proporcionar la contraseña.

No se ha hecho una copia de seguridad de la resolución de la contraseña de recuperación de un portátil

Puede usar cualquiera de los métodos siguientes para realizar manualmente una copia de seguridad o sincronizar la información de recuperación existente de un cliente en línea:

• Cree un script de Instrumental de administración de Windows (WMI) que realice una copia de seguridad de la información. Para obtener más información, vea Proveedor de cifrado de unidad BitLocker.

• En una ventana del símbolo del sistema con privilegios elevados, use el comando manage-bde.exe para realizar una copia de seguridad de la información.

  Por ejemplo, para realizar una copia de seguridad de toda la información de recuperación de la unidad C: en AD DS, abra una ventana del símbolo del sistema con privilegios elevados y ejecute el siguiente comando:

  cmd manage-bde.exe -protectores -adbackup C:

---

Nota:

BitLocker no administra automáticamente este proceso de copia de seguridad.

Los dispositivos de tableta no admiten el uso manage-bde.exe -forcerecovery para probar el modo de recuperación

Imagine la siguiente situación:

La recuperación de BitLocker debe probarse en una tableta o dispositivo de pizarra mediante la ejecución del siguiente comando:

cmd manage-bde.exe -forcerecovery

---

Sin embargo, después de escribir la contraseña de recuperación, el dispositivo no se puede iniciar.

La causa de que los dispositivos tabletas no admitan el uso manage-bde.exe -forcerecovery para probar el modo de recuperación

Importante

Los dispositivos de tableta no admiten el manage-bde.exe -forcerecovery comando .

Este problema se produce porque el Administrador de arranque de Windows no puede procesar la entrada táctil durante la fase previa al arranque del inicio. Si el Administrador de arranque detecta que el dispositivo es una tableta, redirige el proceso de inicio al entorno de recuperación de Windows (WinRE), que puede procesar la entrada táctil.

Si WindowsRE detecta el protector de TPM en el disco duro, realiza un reseal de PCR. Sin embargo, el manage-bde.exe -forcerecovery comando elimina los protectores de TPM en el disco duro. Por lo tanto, WinRE no puede volver a colocar los PCR. Este error desencadena un ciclo de recuperación infinito de BitLocker e impide que Windows se inicie.

Este comportamiento es por diseño para todas las versiones de Windows.

La solución alternativa para los dispositivos de tableta no admite el uso manage-bde.exe -forcerecovery para probar el modo de recuperación

Para resolver el bucle de reinicio, siga estos pasos:

1. En la pantalla Recuperación de BitLocker, seleccione Omitir esta unidad.

2. Seleccione Solucionar problemas>del símbolo del sistema de opciones>avanzadas.

3. En la ventana símbolo del sistema, ejecute los comandos siguientes:

   manage-bde.exe -unlock C: -rp <48-digit BitLocker recovery password>
   manage-bde.exe -protectors -disable C:
   

4. Ciérrela.

5. Apague el dispositivo.

6. Inicie el dispositivo. Windows debe iniciarse como de costumbre.

Después de instalar actualizaciones de firmware de UEFI o TPM en Surface, BitLocker solicita la contraseña de recuperación.

Imagine la siguiente situación:

Un dispositivo Surface tiene activado el cifrado de unidad BitLocker. Se actualiza el firmware del TPM de Surface o se instala una actualización que cambia la firma del firmware del sistema. Por ejemplo, se instala la actualización del TPM de Surface (IFX).

Experimentas uno o varios de los siguientes síntomas en el dispositivo Surface:

• En el inicio, el dispositivo Surface solicita una contraseña de recuperación de BitLocker. Se especifica la contraseña de recuperación correcta, pero Windows no se inicia.

• El inicio avanza directamente a la configuración de interfaz de firmware extensible (UEFI) del dispositivo Surface.

• El dispositivo Surface parece estar en un bucle de reinicio infinito.

Causa de después de instalar actualizaciones de firmware de UEFI o TPM en Surface, BitLocker solicita la contraseña de recuperación

Este problema se produce si el TPM del dispositivo Surface está configurado para usar valores de Registro de configuración de plataforma (PCR) distintos de los valores predeterminados de PCR 7 y PCR 11. Por ejemplo, las siguientes opciones pueden configurar el TPM de esta manera:

• El arranque seguro está desactivado.
• Los valores de PCR se han definido explícitamente, como por directiva de grupo.

Los dispositivos que admiten el modo de espera conectado (también conocido como InstantGO o Always On, equipos con conexión siempre conectada), incluidos los dispositivos Surface, deben usar PCR 7 del TPM. En su configuración predeterminada en estos sistemas, BitLocker se enlaza a PCR 7 y PCR 11 si PCR 7 y Arranque seguro están configurados correctamente. Para obtener más información, vea Configuración de directiva de grupo de BitLocker: Acerca del registro de configuración de la plataforma (PCR).

Resolución para después de instalar actualizaciones de firmware de UEFI o TPM en Surface, BitLocker solicita la contraseña de recuperación

Para comprobar los valores de PCR que están en uso en un dispositivo, abra una ventana del símbolo del sistema con privilegios elevados y ejecute el siguiente comando:

manage-bde.exe -protectors -get <OSDriveLetter>:

En este comando, <OSDriveLetter> representa la letra de unidad de la unidad del sistema operativo.

Para resolver este problema y reparar el dispositivo, siga estos pasos:

Paso 1: Deshabilitar los protectores de TPM en la unidad de arranque

Si se ha instalado una actualización de TPM o UEFI y el dispositivo Surface no se puede iniciar, incluso si se ha especificado la contraseña de recuperación correcta de BitLocker, la capacidad de inicio se puede restaurar mediante la contraseña de recuperación de BitLocker y una imagen de recuperación de Surface para quitar los protectores de TPM de la unidad de arranque.

Para usar la contraseña de recuperación de BitLocker y una imagen de recuperación de Surface para quitar los protectores de TPM de la unidad de arranque, siga estos pasos:

1. Obtenga la contraseña de recuperación de BitLocker de la cuenta de Microsoft.com del usuario de Surface. Si BitLocker se administra mediante un método diferente, como administración y supervisión de Microsoft BitLocker (MBAM), Configuration Manager administración de BitLocker o Intune, póngase en contacto con el administrador para obtener ayuda.

2. Usa otro equipo para descargar la imagen de recuperación de Surface de Surface Recovery Image Download. Use la imagen descargada para crear una unidad de recuperación USB.

3. Inserte la unidad de imagen de recuperación de Surface USB en el dispositivo Surface e inicie el dispositivo.

4. Cuando se le solicite, seleccione los siguientes elementos:

   1. Idioma del sistema operativo.

   2. Diseño del teclado.

5. Seleccione Solucionar problemas>del símbolo del sistema de opciones>avanzadas.

6. En la ventana símbolo del sistema, ejecute los comandos siguientes:

   manage-bde.exe -unlock -recoverypassword <Password> <DriveLetter>:  
   manage-bde.exe -protectors -disable <DriveLetter>:  
   
   

   donde:

   • <La contraseña> es la contraseña de recuperación de BitLocker que se obtuvo en el paso 1.
   • <DriveLetter> es la letra de unidad que se asigna a la unidad del sistema operativo.

   Nota:

   Para obtener más información sobre cómo usar este comando, consulte manage-bde unlock.

7. Reinicie el equipo.

8. Cuando se le solicite, escriba la contraseña de recuperación de BitLocker que se obtuvo en el paso 1.

Nota:

Una vez deshabilitados los protectores de TPM, el cifrado de unidad de BitLocker ya no protege el dispositivo. Para volver a habilitar el cifrado de unidad de BitLocker, seleccione Inicio, escriba Administrar BitLocker y, a continuación, presione Entrar. Siga los pasos para cifrar la unidad.

Paso 2: Usar Surface BMR para recuperar datos y restablecer el dispositivo Surface

Para recuperar datos del dispositivo Surface si Windows no se inicia, siga los pasos del 1 al 5 de la sección Paso 1: Deshabilitar los protectores de TPM en la unidad de arranque para acceder a una ventana del símbolo del sistema. Una vez abierta una ventana del símbolo del sistema, siga estos pasos:

1. En el símbolo del sistema, ejecute el comando siguiente:

   manage-bde.exe -unlock -recoverypassword <Password> <DriveLetter>:  
   

   En este comando, <Contraseña> es la contraseña de recuperación de BitLocker que se obtuvo en el paso 1 de la sección Paso 1: Deshabilitar los protectores de TPM en la unidad de arranque y <DriveLetter> es la letra de unidad que se asigna a la unidad del sistema operativo.

2. Una vez desbloqueada la unidad, use el copy comando o xcopy.exe para copiar los datos del usuario en otra unidad.

   Nota:

   Para obtener más información sobre estos comandos, consulte el artículo Comandos de Windows .

3. Para restablecer el dispositivo mediante una imagen de recuperación de Surface, siga las instrucciones del artículo Creación y uso de una unidad de recuperación USB para Surface.

Paso 3: Restauración de los valores de PCR predeterminados

Para evitar que este problema se repita, se recomienda restaurar la configuración predeterminada de Arranque seguro y los valores de PCR.

Para habilitar el arranque seguro en un dispositivo Surface, siga estos pasos:

1. Suspenda BitLocker abriendo una ventana de Windows PowerShell con privilegios elevados y ejecutando el siguiente cmdlet de PowerShell:

   Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0  
   

   En este comando, <DriveLetter> es la letra que se asigna a la unidad.

2. Reinicie el dispositivo y, a continuación, edite la configuración de UEFI para establecer la opción Arranque seguro en Solo Microsoft.

3. Reinicie el dispositivo e inicie sesión en Windows.

4. Abra una ventana de PowerShell con privilegios elevados y ejecute el siguiente cmdlet de PowerShell:

   Resume-BitLocker -MountPoint "<DriveLetter>:"
   

Para restablecer la configuración de PCR en el TPM, siga estos pasos:

1. Deshabilite cualquier directiva de grupo Objetos que configuren los valores de PCR o quite el dispositivo de los grupos que aplican dichas directivas.

   Para obtener más información, vea Configuración de directiva de grupo de BitLocker.

2. Suspenda BitLocker abriendo una ventana de Windows PowerShell con privilegios elevados y ejecutando el siguiente cmdlet de PowerShell:

   Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0  
   

   En este comando, <DriveLetter> es la letra que se asigna a la unidad.

3. Ejecute el siguiente cmdlet de PowerShell:

   Resume-BitLocker -MountPoint "<DriveLetter>:"
   

Paso 4: Suspender BitLocker durante las actualizaciones de firmware de TPM o UEFI

Para evitar este escenario al instalar actualizaciones en el firmware del sistema o el firmware de TPM, suspenda temporalmente BitLocker antes de aplicar dichas actualizaciones.

Importante

Las actualizaciones de firmware de TPM y UEFI pueden requerir varios reinicios mientras se instalan. Para mantener BitLocker suspendido durante este proceso, se debe usar el cmdlet de PowerShell Suspend-BitLocker y el parámetro Reboot Count debe establecerse en cualquiera de los siguientes valores:

• 2 o superior: este valor establece el número de veces que se reiniciará el dispositivo antes de que se reanude el cifrado de dispositivos BitLocker. Por ejemplo, establecer el valor en 2 hará que BitLocker se reanude después de que el dispositivo se reinicie dos veces.

• 0: Este valor suspende el cifrado de unidad bitlocker indefinidamente. Para reanudar BitLocker, el cmdlet de PowerShell Resume-BitLocker u otro mecanismo debe usarse para reanudar la protección de BitLocker.

Para suspender BitLocker durante la instalación de actualizaciones de firmware de TPM o UEFI:

1. Abra una ventana de Windows PowerShell con privilegios elevados y ejecute el siguiente cmdlet de PowerShell:

   Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0
   

   En este cmdlet de PowerShell, <DriveLetter> es la letra que se asigna a la unidad.

2. Instale el controlador de dispositivo Surface y las actualizaciones de firmware.

3. Después de instalar las actualizaciones de firmware, reinicie el equipo, abra una ventana de PowerShell con privilegios elevados y, a continuación, ejecute el siguiente cmdlet de PowerShell:

   Resume-BitLocker -MountPoint "<DriveLetter>:"
   

Credential Guard/Device Guard en TPM 1.2: en cada reinicio, BitLocker solicita la contraseña de recuperación y devuelve el error 0xC0210000

Imagine la siguiente situación:

Un dispositivo usa TPM 1.2 y ejecuta Windows 10, versión 1809. El dispositivo también usa características de seguridad basadas en virtualización , como Device Guard y Credential Guard. Cada vez que se inicia el dispositivo, el dispositivo entra en modo de recuperación de BitLocker y se muestra un mensaje de error similar al siguiente:

Recuperación

El equipo o dispositivo debe repararse. No se pudo acceder a un archivo necesario porque la clave de BitLocker no se cargó correctamente.

Código de error 0xc0210000

Tendrá que usar herramientas de recuperación. Si no tiene ningún medio de instalación (como un disco o un dispositivo USB), póngase en contacto con el administrador del equipo o con el fabricante de pc/dispositivo.

Causa de Credential Guard/Device Guard en TPM 1.2: en cada reinicio, BitLocker solicita la contraseña de recuperación y devuelve el error 0xC0210000

TPM 1.2 no admite el inicio seguro. Para obtener más información, consulte Protección del sistema Secure Launch and SMM protection: Requirements Met by Protección del sistema Enabled Machines

Para obtener más información sobre esta tecnología, consulte Windows Defender Protección del sistema: Cómo una raíz de confianza basada en hardware ayuda a proteger Windows

Resolución de Credential Guard/Device Guard en TPM 1.2: en cada reinicio, BitLocker solicita la contraseña de recuperación y devuelve el error 0xC0210000

Para resolver este problema, use una de las dos soluciones siguientes:

• Quite cualquier dispositivo que use TPM 1.2 de cualquier grupo que esté sujeto a GPO que exijan el inicio seguro.
• Edite el GPO Activar seguridad basada en virtualización para establecer La configuración de inicio seguro en Deshabilitado.