Cifrado de unidad BitLocker en Windows 10 para OEM

  • Artículo

El cifrado de unidad BitLocker proporciona datos sin conexión y protección del sistema operativo garantizando que la unidad no se manipule mientras el sistema operativo está sin conexión. El cifrado de unidad BitLocker usa un TPM, ya sea discreto o firmware, que admite la medida raíz estática de confianza, tal y como se define en el grupo de computación de confianza.

Requisitos de hardware de cifrado de unidad BitLocker

El cifrado de unidad BitLocker usa una partición del sistema independiente de la partición de Windows. La partición del sistema de BitLocker debe cumplir los siguientes requisitos.

  • La partición del sistema de BitLocker se configura como la partición activa.
  • La partición del sistema de BitLocker no se debe cifrar.
  • La partición del sistema bitLocker debe tener al menos 250 MB de espacio libre, por encima y más allá de cualquier espacio usado por los archivos necesarios. Esta partición adicional del sistema se puede usar para hospedar el Entorno de recuperación de Windows (RE) y las herramientas oem (proporcionadas por el OEM), siempre y cuando la partición siga cumpliendo el requisito de espacio libre de 250 MB.

Para obtener más información, consulte Particiones de sistema y utilidad, y Unidades de disco duro y particiones.

Cifrado automático de dispositivos BitLocker

El cifrado automático de dispositivos BitLocker usa la tecnología de cifrado de unidad BitLocker para cifrar automáticamente las unidades internas después de que el usuario complete la experiencia rápida (OOBE) en hardware moderno en espera o compatible con HSTI moderno.

Nota:

El cifrado automático de dispositivos de BitLocker se inicia durante la experiencia integrada (OOBE). Sin embargo, la protección solo está habilitada (armada) después de que los usuarios inicien sesión con una cuenta Microsoft o una cuenta de Azure Active Directory . Hasta ese momento, se suspende la protección y no se protegen los datos. El cifrado automático de dispositivos BitLocker no está habilitado con cuentas locales, en cuyo caso BitLocker se puede habilitar manualmente mediante el Panel de control de BitLocker.

Requisitos de hardware de cifrado automático de dispositivos de BitLocker

El cifrado automático de dispositivos bitLocker está habilitado cuando:

  • El dispositivo contiene un TPM (módulo de plataforma segura), TPM 1.2 o TPM 2.0.
  • El arranque seguro de UEFI está habilitado. Consulte Arranque seguro para obtener más información.
  • El arranque seguro de la plataforma está habilitado
  • La protección de acceso directo a memoria (DMA) está habilitada

Las siguientes pruebas deben superarse antes de Windows 10 habilitarán el cifrado automático de dispositivos BitLocker. Si desea crear hardware que admita esta funcionalidad, debe comprobar que el dispositivo supera estas pruebas.

  1. TPM: el dispositivo debe incluir un TPM con compatibilidad con PCR 7. Consulte System.Fundamentals.TPM20.TPM20.

    • Si la presencia de tarjetas expandibles da lugar a la carga de controladores UEFI OROM que el BIOS de UEFI carga durante el arranque, BitLocker NO usará el enlace PCR7.
    • Si está ejecutando un dispositivo que no se enlaza a PCR7 y Bitlocker está habilitado, no hay inconvenientes de seguridad porque BitLocker sigue siendo seguro cuando se usa el perfil de RCP de UEFI normal (0,2,4,11).
    • Cualquier hash de CA adicional (incluso windows Prod CA) antes de la ca de arranque final de Windows Prod impedirá que BitLocker elija usar PCR7. No importa si el hash o los hash adicionales proceden de la CA de UEFI (también conocido como . Ca de terceros de Microsoft) u otra CA.

  2. Arranque seguro: el arranque seguro de UEFI está habilitado. Consulte System.Fundamentals.Firmware.UEFISecureBoot.

  3. Requisitos de espera modernos o validación de HSTI . Este requisito se cumple mediante uno de los siguientes requisitos:

    • Se implementan los requisitos de espera modernos. Estos incluyen requisitos para el arranque seguro uefi y la protección contra DMA no autorizado.
    • A partir de Windows 10, versión 1703, este requisito se puede cumplir mediante la prueba de HSTI:
      1. HSTI debe notificar las pruebas automáticas de arranque seguro de plataforma (o pruebas automáticas adicionales configuradas en el registro) según lo implementado y superado.
      2. Excluyendo Thunderbolt, HSTI no debe informar de los autobuses DMA no permitidos.
      3. Si Thunderbolt está presente, HSTI debe informar de que Thunderbolt está configurado de forma segura (el nivel de seguridad debe ser SL1 – "Autorización de usuario" o superior).

  4. Debes tener 250 MB de espacio libre encima de todo lo que necesitas para arrancar (y recuperar Windows, si colocas WinRE en la partición del sistema). Para obtener más información, consulte Particiones del sistema y de la utilidad.

Cuando se cumplen los requisitos enumerados anteriormente, la información del sistema indica que el sistema admite el cifrado automático de dispositivos BitLocker. Esta funcionalidad está disponible en Windows 10, versión 1703 o posterior. Aquí se muestra cómo comprobar la información del sistema.

  1. Haga clic en Inicio y escriba Información del sistema.
  2. Haga clic con el botón derecho en la aplicación Información del sistema y haga clic en Abrir como administrador. Permitir que la aplicación realice cambios en el dispositivo haciendo clic en . Algunos dispositivos pueden requerir permisos elevados para ver la configuración de cifrado.
  3. En Resumen del sistema, consulte Compatibilidad con cifrado de dispositivos. El valor indicará si el dispositivo está cifrado, o si no es así, motivos por los que está deshabilitado.

Aplicación de actualizaciones de firmware a dispositivos

Además de ejecutar pruebas HLK, los OEM deben probar las actualizaciones de firmware con BitLocker activado. Para evitar que los dispositivos inicien la recuperación innecesariamente, siga estas instrucciones para aplicar las actualizaciones de firmware:

  1. Suspender BitLocker (necesario para dispositivos enlazados a PCR[07] solo si la actualización del firmware cambia la directiva de arranque seguro)
  2. Aplicar la actualización
  3. Reinicie el dispositivo.
  4. Reanudar BitLocker

La actualización de firmware debe requerir que el dispositivo suspenda Bitlocker solo durante un breve tiempo y el dispositivo debe reiniciarse lo antes posible. BitLocker se puede suspender mediante programación justo antes de apagarse mediante el método DisableKeyProtectors en Instrumental de administración de Windows (WMI).

Se han detectado dispositivos o buses compatibles con DMA no permitidos.

Este estado de información del sistema en compatibilidad con cifrado de dispositivos significa que Windows detectó al menos un posible bus o dispositivo compatible con DMA externo que pueda exponer una amenaza DMA.

Para resolver este problema, póngase en contacto con los IHV para determinar si este dispositivo no tiene puertos DMA externos. Si los IHD confirman que el bus o el dispositivo solo tienen DMA interno, el OEM puede agregarlo a la lista de permitidos.

Para agregar un bus o dispositivo a la lista de permitidos, debe agregar un valor a una clave del Registro. Para ello, primero debe tomar la propiedad de la clave del Registro AllowedBuses . Siga estos pasos:

  1. Vaya a la clave del Registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DmaSecurity\AllowedBuses .

  2. Haga clic con el botón derecho en la clave del Registro y seleccione Permisos....

  3. Haga clic en Avanzadas, haga clic en el vínculo Cambiar en el campo Propietario , escriba el nombre de la cuenta de usuario, haga clic en Comprobar nombres y, a continuación, haga clic en Aceptar tres veces para cerrar todos los cuadros de diálogo de permisos.

  4. Haga clic con el botón derecho en la clave del Registro y seleccione Permisos... de nuevo.

  5. Haga clic en el botón Agregar... , agregue su cuenta de usuario, haga clic en Comprobar nombresy, a continuación, haga clic en Aceptar y, a continuación, active la casilla en Permitir el control total. A continuación, haga clic en Aceptar.

A continuación, en la clave AllowedBuses , agregue pares nombre-valor de cadena (REG_SZ) para cada bus compatible con DMA marcado que se determine que es seguro:

  • Clave: descripción del nombre / descriptivo del dispositivo
  • Valor: PCI\VEN_ID&DEV_ID.

Asegúrese de que los identificadores coinciden con la salida de la prueba de HLK. Por ejemplo, si tiene un dispositivo seguro con el nombre descriptivo "Contoso PCI Express Root Port", id. de proveedor 1022 e Id. de dispositivo 157C, creará una entrada del Registro denominada Contoso PCI Express Root Port como REG_SZ tipo de datos en: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DmaSecurity\AllowedBuses

Donde el valor = "PCI\VEN_1022&DEV_157C"

Deshabilitación del cifrado automático de dispositivos de BitLocker

Los OEM pueden optar por deshabilitar el cifrado de dispositivos y, en su lugar, implementar su propia tecnología de cifrado en un dispositivo. Para deshabilitar el cifrado automático de dispositivos BitLocker, puede usar un archivo desatendido y establecer PreventDeviceEncryption en True.

Como alternativa, puede actualizar la clave del Registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker :

Valor: PreventDeviceEncryption es igual a True (1).

Solución de problemas de pruebas HLK de BitLocker

La evaluación de prioridades es mucho más sencilla cuando conoce los siguientes fragmentos de información sobre el dispositivo sometido a prueba:

  1. Especificación de TPM (por ejemplo, 1.2, 2.0)
  2. Perfil de PCR de BitLocker (por ejemplo, 7, 11 o 0, 2, 4, 11)
  3. Si la máquina no es AOAC o AOAC (por ejemplo, los dispositivos Surface son máquinas AOAC)

Esta información se recomienda, pero no es necesario para realizar la evaluación de prioridades.

Los problemas de HLK de BitLocker suelen estar relacionados con uno de los siguientes: malinterpretar los resultados de las pruebas o problemas de enlace de PCR7.

Interpretación incorrecta de los resultados de las pruebas

Una prueba HLK consta de varios pasos de prueba. Es posible que se produzca un error en algunos pasos de prueba sin afectar al éxito o error de la prueba general. Consulte aquí para obtener más información sobre cómo interpretar la página de resultados. Si se han producido errores en algunos pasos de prueba, pero la prueba general se supera (como se indica con una comprobación verde junto al nombre de la prueba), deténgase aquí. La prueba se ejecutó correctamente y no se necesita más acción por su parte.

Pasos de evaluación de prioridades:

  1. Confirme que está ejecutando la prueba correcta en la máquina. Haga clic con el botón derecho en cualquier paso de los registros > del recopilador de infraestructura de prueba >> con errores en RUNTIMEBLOCK.xml para el elemento IsAOAC. Si IsAOAC=true y está ejecutando una prueba que no es de AOAC, omita el error y no ejecute esta prueba en la máquina. Si es necesario, póngase en contacto con el equipo de Soporte técnico de Microsoft para obtener una errata para pasar la lista de reproducción.

    Captura de pantalla de la prueba con errores. El elemento Es una O A C está seleccionado.

  2. Determine si se aplica un filtro a la prueba. HLK puede sugerir automáticamente un filtro para una prueba asignada incorrectamente. Un filtro aparece como una marca de verificación verde dentro de un círculo junto a un paso de prueba. (Tenga en cuenta que algunos filtros pueden mostrar que los pasos de prueba posteriores han fallado o se han cancelado). Examine la información extendida sobre el filtro expandiendo el paso de prueba con el icono especial. Si el filtro indica que se omita el error de prueba, deténgase aquí.

Captura de pantalla de filtros

Problemas de PCR7

Un problema común de BitLocker que es específico de las dos pruebas DE PCR7 es un error al enlazarse a PCR7.

Pasos de evaluación de prioridades:

  1. Busque el mensaje de error en los registros de HLK. Expanda el paso de prueba con errores y examine el registro de Te.wtl. (También puede acceder a este registro haciendo clic con el botón derecho en un paso > de prueba Registros > de tareas Te.wtl) Siga los pasos de evaluación de prioridades si ve este error:

    Captura de pantalla del mensaje de error en los registros de H L K.

  2. Ejecute msinfo32 como administrador y compruebe Estado de arranque seguro/CONFIGURACIÓN DE PCR7. La prueba debe ejecutarse con arranque seguro activado. Si no se admite el enlace de PCR7, ejecute en su lugar la prueba de HLK de PCR heredada adecuada. Si el enlace de PCR7 no es posible, siga los pasos de evaluación de prioridades.

  3. Examine los registros de errores. Haga clic con el botón derecho en la tarea > de prueba Archivos adicionales. Por lo general, el problema de enlace de PCR7 es un resultado de mediciones incorrectas en PCR7.

    1. Registros de eventos. El registro de administración de Microsoft-BitLocker contiene información valiosa sobre por qué no se puede usar PCR7. La prueba de HLK de BitLocker solo se debe ejecutar en un equipo con BitLocker instalado. Los registros de eventos se comprobarán en la máquina que los genera.
    2. Registros de arranque medidos. También se pueden encontrar en C:\Windows\Logs\MeasuredBoot.

  4. Analice el registro de arranque medido mediante TBSLogGenerator.exe o equivalente. En el controlador HLK, TBSLogGenerator.exe se encuentra en el directorio de pruebas HLK donde ha instalado HLK, por ejemplo C:\Archivos de programa (x86)\Windows Kits\10\Hardware Lab Kit\Tests\amd64\nttest\BASETEST\ngscb\TBSLogGenerator.exe".

    1. TBSLogGenerator.exe -lf <ruta de acceso al registro>> de arranque medido OutputLog.txt
    2. En OutputLog.txt, busque "PCR[07]" y examine las medidas, enumeradas en orden. La primera medida debe tener un aspecto similar al siguiente:

Captura de pantalla de la lista de medidas en el punto de registro de salida t x t.

BitLocker espera cierta raíz estática de medidas de confianza raíz estática de medidas de confianza en PCR7, y cualquier variación en estas mediciones a menudo prohíbe el enlace a PCR7. Los valores siguientes deben medirse (en orden y sin mediciones extrañas entre ellos) en PCR7:

  • Contenido de la variable SecureBoot
  • El contenido de la variable PK
  • El contenido de la variable KEK
  • El contenido de la variable EFI_IMAGE_SECURITY_DATABASE (DB)
  • Contenido de la variable EFI_IMAGE_SECURITY_DATABASE1 (DBX)
  • (opcional pero común EV_SEPARATOR)
  • Entradas de la EFI_IMAGE_SECURITY_DATABASE que se usan para validar controladores EFI o aplicaciones de arranque EFI en la ruta de acceso de arranque. BitLocker solo espera una entrada aquí.

Problemas comunes con el registro de arranque medido:

  • Modo de depuración de UEFI en
  • Faltan variables PK o KEK: la medida de PK/KEK no tiene datos (por ejemplo, 4 bytes de 0)
  • Firmante de la ENTIDAD de certificación de UEFI que no es de confianza

Algunos problemas de arranque medidos, como la ejecución con el modo de depuración de UEFI activado, pueden ser solucionados por el evaluador. Otros problemas pueden requerir una errata, en cuyo caso debe ponerse en contacto con el equipo de Soporte técnico de Microsoft para obtener instrucciones.