Editar

Compartir a través de


Preguntas más frecuentes sobre BitLocker

Para más información sobre BitLocker, revise las preguntas más frecuentes.

Información general y requisitos

¿BitLocker admite la autenticación multifactor?

Sí, BitLocker admite la autenticación multifactor para unidades de sistema operativo. Si BitLocker está habilitado en un equipo que tiene una versión de TPM 1.2 o posterior, se pueden usar formas adicionales de autenticación con la protección de TPM.

¿Por qué se necesitan dos particiones?

Se necesitan dos particiones para ejecutar BitLocker porque la comprobación de integridad del sistema y la autenticación previa al inicio deben producirse en una partición independiente de la unidad del sistema operativo cifrada. Esta configuración te ayuda a proteger el sistema operativo y la información de la unidad cifrada.

¿Cómo puedo saber si un equipo tiene un TPM?

El estado del TPM se puede comprobar en Windows Defenderdetalles del procesador de seguridad deseguridad> de dispositivos de Security Center>.

¿Puedo usar BitLocker en una unidad del sistema operativo sin un TPM?

Sí, BitLocker se puede habilitar en una unidad del sistema operativo sin TPM, si el firmware del BIOS o UEFI tiene la capacidad de leer desde una unidad flash USB en el entorno de arranque. BitLocker no desbloqueará la unidad protegida hasta que el TPM del equipo o una unidad flash USB que contenga la clave de inicio de BitLocker liberen por primera vez la clave maestra de volumen de BitLocker. Sin embargo, los equipos sin TPMs no podrán usar la comprobación de integridad del sistema que BitLocker también puede proporcionar. Para ayudar a determinar si un equipo puede leer desde un dispositivo USB durante el proceso de arranque, usa la comprobación del sistema de BitLocker como parte del proceso de configuración de BitLocker. Esta comprobación del sistema realiza pruebas para confirmar que el equipo puede leer correctamente desde los dispositivos USB en el momento adecuado y que el equipo cumple con otros requisitos de BitLocker.

¿Cómo puedo obtener soporte de BIOS para el TPM de mi equipo?

Ponte en contacto con el fabricante del equipo para solicitar un firmware de arranque BIOS o UEFI compatible con Trusted Computing Group (TCG) que cumpla los requisitos siguientes:

  • Es compatible con los estándares tcg para un equipo cliente
  • Tiene un mecanismo de actualización seguro para ayudar a evitar que se instale un firmware de arranque o BIOS malintencionado en el equipo.

¿Qué derechos de usuario se requieren para usar BitLocker?

Para activar, desactivar o cambiar las configuraciones de BitLocker en el sistema operativo y las unidades de datos fijas, se requiere la pertenencia al grupo de administradores local. Los usuarios estándar pueden activar, desactivar o cambiar las configuraciones de BitLocker en unidades de datos extraíbles.

¿Cuál es el orden de arranque recomendado para los equipos que vayan a estar protegidos con BitLocker?

Las opciones de inicio del equipo deben configurarse para que la unidad de disco duro esté en primer lugar en el orden de arranque, antes que cualquier otra unidad, como unidades de CD/DVD o unidades USB. Si el disco duro no es el primero y el equipo normalmente se inicia desde el disco duro, se puede detectar o asumir un cambio de orden de arranque cuando se encuentra un medio extraíble durante el arranque. El orden de arranque suele afectar a la medición del sistema verificada por BitLocker y un cambio en el orden de arranque provocará un aviso para la clave de recuperación de BitLocker. Por la misma razón, si se usa un portátil con una estación de acoplamiento, asegúrese de que la unidad de disco duro está en primer lugar en el orden de arranque, tanto cuando el portátil está acoplado como desacoplado.

Actualización de BitLocker y Windows

¿Puedo actualizar las versiones de Windows con BitLocker habilitado?

Sí.

¿Cuál es la diferencia entre la suspensión y el descifrado de BitLocker?

Descifrar elimina completamente la protección de BitLocker y descifra totalmente la unidad.

Suspender mantiene los datos cifrados, pero cifra la clave maestra de volumen de BitLocker con una clave sin cifrado. La clave sin cifrado es una clave criptográfica almacenada sin cifrar ni proteger en la unidad de disco. Al almacenar esta clave no cifrada, la opción Suspender permite cambios o actualizaciones en el equipo sin el tiempo ni el costo de descifrar y volver a cifrar toda la unidad. Después de que se realicen los cambios y se vuelva a habilitar BitLocker, BitLocker cerrará la clave de cifrado con los nuevos valores de los componentes medidos que se modificaron como parte de la actualización, se cambiará la clave maestra del volumen, se actualizarán los protectores para que coincidan y se borrará la clave sin cifrado.

¿Tengo que suspender la protección de BitLocker para descargar e instalar actualizaciones y actualizaciones del sistema?

No se necesita ninguna acción del usuario para BitLocker para aplicar actualizaciones de Microsoft, incluidas las actualizaciones de calidad de Windows y las actualizaciones de funciones. Los usuarios deben suspender BitLocker para actualizaciones de software no sean de Microsoft, como:

  • Algunas actualizaciones de firmware de TPM si estas actualizaciones borran el TPM fuera de la API de Windows. No todas las actualizaciones de firmware de TPM borrarán el TPM. Los usuarios no tienen que suspender BitLocker si la actualización de firmware de TPM usa la API de Windows para borrar el TPM porque, en este caso, BitLocker se suspenderá automáticamente. Se recomienda que los usuarios prueben sus actualizaciones de firmware de TPM si no quieren suspender la protección de BitLocker.
  • Actualizaciones de aplicaciones que no son de Microsoft que modifican la configuración de UEFI\BIOS
  • Actualizaciones manuales o no de Microsoft para proteger bases de datos de arranque (solo si BitLocker usa Arranque seguro para la validación de integridad)
  • Novedades al firmware UEFI\BIOS, la instalación de controladores UEFI adicionales o aplicaciones UEFI sin usar el mecanismo de actualización de Windows (solo si BitLocker no usa Arranque seguro para la validación de integridad durante las actualizaciones)
  • BitLocker se puede comprobar si usa Arranque seguro para la validación de integridad con la línea de comandos manage-bde.exe -protectors -get C:. Si se usa El arranque seguro para la validación de integridad, informa de que usa arranque seguro para la validación de la integridad.

Nota

Si BitLocker está suspendido, puede reanudar la protección de BitLocker después de instalar la actualización o actualización. Al reanudar la protección, BitLocker cerrará la clave de cifrado con los nuevos valores de los componentes medidos que se modificaron como parte de la actualización. Si estos tipos de actualizaciones o actualizaciones se aplican sin suspender BitLocker, el equipo entrará en modo de recuperación al reiniciar y necesitará una clave de recuperación o una contraseña para acceder al equipo.

Implementación y administración

¿Se puede automatizar la implementación de BitLocker en un entorno empresarial?

Sí, la implementación y configuración de BitLocker se puede automatizar mediante Windows PowerShell o con el manage-bde.exe comando . Para obtener más información sobre los comandos de administración comunes de BitLocker, consulte la guía de operaciones de BitLocker.

¿Hay un impacto notable en el rendimiento cuando BitLocker está habilitado en un equipo?

Normalmente, hay una pequeña sobrecarga de rendimiento, a menudo en porcentajes de un solo dígito, que es relativa al rendimiento de las operaciones de almacenamiento en las que debe funcionar.

¿Cuánto tardará el cifrado inicial cuando está activado BitLocker?

Aunque el cifrado de BitLocker se produce en segundo plano mientras un usuario sigue trabajando con el sistema que sigue siendo utilizable, los tiempos de cifrado varían en función del tipo de unidad que se cifra, el tamaño de la unidad y la velocidad de la unidad. Si se cifran unidades grandes, es posible que desee programar el cifrado durante las horas en las que no se usa la unidad.

Cuando BitLocker está habilitado, BitLocker también se puede establecer para cifrar toda la unidad o solo el espacio usado en la unidad. En una nueva unidad de disco duro, cifrar solo el espacio usado puede resultar considerablemente más rápido que cifrar toda la unidad. Cuando se selecciona esta opción de cifrado, BitLocker cifra automáticamente los datos a medida que se guardan, garantizando que ningún dato se guarde sin cifrar.

¿Qué sucede si el equipo está apagado durante el cifrado o descifrado?

Si el equipo está apagado o entra en modo de hibernación, el proceso de cifrado y descifrado de BitLocker se reanudará donde se detuvo la próxima vez que Windows se inicie. La reanudación del cifrado o descifrado de BitLocker es verdadera incluso si la energía de repente no está disponible.

¿Cifra y descifra BitLocker toda la unidad a la vez al leer y escribir datos?

No, BitLocker no cifra ni descifra toda la unidad al leer y escribir datos. Los sectores cifrados de la unidad protegida por BitLocker solo se descifran cuando se solicitan a las operaciones de lectura del sistema. Los bloques que se escriben en la unidad se cifran antes de que el sistema las escriba en el disco físico. Nunca se almacenan datos sin cifrar en una unidad protegida con BitLocker.

¿Cómo puedo evitar que los usuarios almacenen datos en una unidad sin cifrar?

La configuración de directiva se puede configurar para requerir que las unidades de datos estén protegidas por BitLocker antes de que un equipo protegido por BitLocker pueda escribir datos en ellas. Para obtener más información, consulta Configuración de directivas de BitLocker. Cuando se habilita esta configuración de directiva, el sistema operativo protegido con BitLocker montará las unidades de datos que no estén protegidas por BitLocker como de solo lectura.

¿Qué es el cifrado de solo espacio en disco usado?

BitLocker permite a los usuarios elegir cifrar solo sus datos. Aunque no es la manera más segura de cifrar una unidad, esta opción puede reducir el tiempo de cifrado en más del 99 %, en función de la cantidad de datos que se deben cifrar. Para obtener más información, consulte Cifrado de solo espacio en disco usado.

¿Qué cambios del sistema provocarían un error en la comprobación de integridad en la unidad del sistema operativo?

Los siguientes tipos de cambios en el sistema pueden causar un error de comprobación de integridad e impedir que el TPM libere la clave de BitLocker para descifrar la unidad del sistema operativo protegida:

  • Mover la unidad protegida por BitLocker a un equipo nuevo
  • Instalación de una nueva placa base con un nuevo TPM
  • Desactivar, deshabilitar o borrar el TPM
  • Cambio de cualquier configuración de arranque
  • Cambio del BIOS, firmware UEFI, registro de arranque maestro, sector de arranque, administrador de arranque, ROM de opción u otros componentes de arranque temprano o datos de configuración de arranque

¿Qué hace que BitLocker se inicie en modo de recuperación al intentar iniciar la unidad del sistema operativo?

Dado que BitLocker está diseñado para proteger los equipos de numerosos ataques, hay numerosas razones por las que BitLocker podría iniciarse en modo de recuperación. Por ejemplo:

  • Cambio del orden de arranque del BIOS para arrancar otra unidad antes de la unidad de disco duro
  • Agregar o quitar hardware, como insertar una nueva tarjeta en el equipo
  • Quitar, insertar o agotar completamente la carga en una batería inteligente en un equipo portátil

En BitLocker, la recuperación se compone del descifrado de una copia de la clave maestra de volumen con una clave de recuperación almacenada en una unidad flash USB o una clave criptográfica derivada de una contraseña de recuperación. El TPM no está implicado en ningún escenario de recuperación, por lo que la recuperación sigue siendo posible si el TPM produce un error en la validación del componente de arranque, no funciona correctamente o se quita.

¿Qué puede impedir que BitLocker se enlace a PCR 7?

Se puede impedir que BitLocker se enlace a PCR 7 si un sistema operativo que no es de Windows arranca antes de Windows, o si el arranque seguro no está disponible para el dispositivo, ya sea porque está deshabilitado o el hardware no lo admite.

¿Puedo intercambiar discos duros en el mismo equipo si BitLocker está habilitado en la unidad del sistema operativo?

Sí, se pueden intercambiar varios discos duros en el mismo equipo si BitLocker está habilitado, pero solo si los discos duros estaban protegidos con BitLocker en el mismo equipo. Las claves de BitLocker son únicas para el TPM y la unidad del sistema operativo. Si es necesario preparar un sistema operativo de copia de seguridad o una unidad de datos en caso de error de disco, asegúrese de que coincidan con el TPM correcto. También se pueden configurar diferentes unidades de disco duro para diferentes sistemas operativos y, a continuación, habilitar BitLocker en cada uno de ellos con diferentes métodos de autenticación (por ejemplo, uno solo con TPM y otro con TPM+PIN) sin conflictos.

¿Se puede obtener acceso a la unidad protegida con BitLocker si se inserta el disco duro en un equipo diferente?

Sí, si la unidad es una unidad de datos, se puede desbloquear desde el elemento de cifrado de unidad bitlocker Panel de control mediante una contraseña o una tarjeta inteligente. Si la unidad de datos se configuró solo para el desbloqueo automático, deberá desbloquearse mediante la clave de recuperación. Un agente de recuperación de datos puede desbloquear el disco duro cifrado (si hay alguno configurado) o puede desbloquearse mediante la clave de recuperación.

¿Por qué no está disponible la opción "Activar BitLocker" cuando hago clic con el botón derecho en una unidad?

Algunas unidades no se pueden cifrar con BitLocker. Los motivos por los que no se puede cifrar una unidad incluyen un tamaño de disco insuficiente, un sistema de archivos incompatible, si la unidad es un disco dinámico o una unidad se designa como partición del sistema. De manera predeterminada, la unidad del sistema (o la partición del sistema) no aparece en la pantalla. Sin embargo, si no se crea como una unidad oculta cuando se instaló el sistema operativo debido a un proceso de instalación personalizado, esa unidad podría mostrarse pero no se puede cifrar.

¿Qué tipo de configuraciones de disco son compatibles con BitLocker?

Cualquier número de unidades de datos fijas e internas se pueden proteger con BitLocker. En algunas versiones, también se admiten dispositivos de almacenamiento conectado directo basados en ATA y SATA.

Administración de claves

¿Cómo puedo autenticar o desbloquear mi unidad de datos extraíble?

Las unidades de datos extraíbles se pueden desbloquear mediante una contraseña o una tarjeta inteligente. También se puede configurar un protector de SID para desbloquear una unidad mediante credenciales de dominio de usuario. Una vez iniciado el cifrado, la unidad también se puede desbloquear automáticamente en un equipo específico para una cuenta de usuario específica. Los administradores del sistema pueden configurar qué opciones están disponibles para los usuarios, incluida la complejidad de la contraseña y los requisitos de longitud mínima. Para desbloquear mediante un protector de SID, use manage-bde.exe:

Manage-bde.exe -protectors -add e: -sid domain\username

¿Cuál es la diferencia entre una contraseña de propietario de TPM, una contraseña de recuperación, una clave de recuperación, un PIN, un PIN mejorado y una clave de inicio?

BitLocker puede generar y usar varias claves. Algunas claves son necesarias y otras son protectores opcionales que puede elegir usar en función del nivel de seguridad que necesite.

Contraseña del propietario de TPM

Antes de habilitar BitLocker en un equipo con una versión 1.2 de TPM, debe inicializar el TPM. El proceso de inicialización genera una contraseña de propietario de TPM, que es una contraseña establecida en el TPM. Debe poder proporcionar la contraseña de propietario del TPM para cambiar el estado del TPM, por ejemplo, al habilitar o deshabilitar el TPM o restablecer el bloqueo de TPM.

Contraseña de recuperación y clave de recuperación

Al configurar BitLocker, debe elegir cómo se puede recuperar el acceso a las unidades protegidas por BitLocker en caso de que no se pueda usar el método de desbloqueo especificado (por ejemplo, si el TPM no puede validar los componentes de arranque, se olvida el número de identificación personal (PIN) o se olvida la contraseña). En estas situaciones, debe poder proporcionar la clave de recuperación o la contraseña de recuperación para desbloquear los datos cifrados en la unidad. Al proporcionar la información de recuperación, puede usar cualquiera de los siguientes formatos:

  • Una contraseña de recuperación que consta de 48 dígitos divididos en ocho grupos. Durante la recuperación, debe escribir esta contraseña en la consola de recuperación de BitLocker mediante las teclas de función del teclado.
  • Un archivo de clave en una unidad flash USB que lee directamente la consola de recuperación de BitLocker. Durante la recuperación, debe insertar este dispositivo USB.

PIN y PIN mejorado

Para un mayor nivel de seguridad con el TPM, puede configurar BitLocker con un número de identificación personal (PIN). El PIN es un valor creado por el usuario que se debe especificar cada vez que el equipo se inicia o reanuda desde la hibernación. El PIN puede constar de entre 4 y 20 dígitos según lo especificado en la configuración configurar la longitud mínima del PIN para la directiva de inicio y se almacena internamente como un hash de 256 bits de los caracteres Unicode especificados. Este valor nunca se muestra al usuario. El PIN se usa para proporcionar otro factor de autenticación junto con la autenticación de TPM.
Para un nivel de seguridad aún mayor con el TPM, puede configurar BitLocker para usar PIN mejorados. Los PIN mejorados son PIN que usan el juego de caracteres de teclado completo además del conjunto numérico para permitir combinaciones de PIN más posibles y tienen entre 4 y 20 caracteres. Para usar PIN mejorados, debe habilitar la configuración de directiva Permitir PIN mejorados para inicio antes de agregar el PIN a la unidad. Al habilitar esta directiva, todos los PIN creados pueden usar caracteres de teclado completos.

Clave de inicio

La configuración de una clave de inicio es otro método para habilitar un mayor nivel de seguridad con el TPM. La clave de inicio es una clave almacenada en una unidad flash USB y la unidad flash USB debe insertarse cada vez que se inicie el equipo. La clave de inicio se usa para proporcionar otro factor de autenticación junto con la autenticación de TPM. Para usar una unidad flash USB como clave de inicio, la unidad flash USB debe tener formato mediante el sistema de archivos NTFS, FAT o FAT32.

Importante

Debe tener una clave de inicio para usar BitLocker en un equipo que no sea tpm.

¿Cómo pueden almacenarse la contraseña de recuperación y la clave de recuperación?

La contraseña de recuperación y la clave de recuperación de una unidad del sistema operativo o una unidad de datos fija se pueden guardar en una carpeta, guardarse en uno o varios dispositivos USB, guardarse en una cuenta microsoft o imprimirse.

En el caso de las unidades de datos extraíbles, la contraseña de recuperación y la clave de recuperación se pueden guardar en una carpeta, guardarse en una cuenta microsoft o imprimirse. De forma predeterminada, una clave de recuperación para una unidad extraíble no se puede almacenar en una unidad extraíble.

Un administrador de dominio también puede configurar las opciones de directiva para generar automáticamente contraseñas de recuperación y almacenarlas en Servicios de dominio de Active Directory (AD DS) o Microsoft Entra ID para cualquier unidad protegida por BitLocker.

¿Es posible agregar un método de autenticación adicional sin descifrar la unidad si solo tengo habilitado el método de autenticación de TPM?

La Manage-bde.exe herramienta de línea de comandos se puede usar para reemplazar el modo de autenticación de solo TPM por un modo de autenticación multifactor. Por ejemplo, si BitLocker está habilitado solo con autenticación tpm y es necesario agregar la autenticación de PIN, use los siguientes comandos desde un símbolo del sistema con privilegios elevados y reemplace el PIN numérico de 4 a 20 dígitos por el PIN numérico deseado:

manage-bde.exe -protectors -delete %systemdrive% -type tpm

manage-bde.exe -protectors -add %systemdrive% -tpmandpin <4-20 digit numeric PIN>

¿Cuándo se debe considerar un método de autentificación adicional?

Un nuevo hardware que cumple los requisitos del programa de compatibilidad de hardware de Windows hace que un PIN sea menos crítico que una mitigación y tener un protector solo de TPM probablemente es suficiente cuando se combina con directivas como el bloqueo del dispositivo. Por ejemplo, Surface Pro y Surface Book no tienen puertos DMA externos para atacar. En el caso de hardware más antiguo, donde puede ser necesario un PIN, se recomienda habilitar PIN mejorados que permitan caracteres no numéricos, como letras y signos de puntuación, y establecer la longitud del PIN en función de la tolerancia al riesgo y las funcionalidades de anti-martillo de hardware disponibles para los TPMs en los equipos.

Si pierdo mi información de recuperación, ¿los datos protegidos por BitLocker serán irrecuperables?

BitLocker está diseñado para hacer que la unidad cifrada sea irrecuperable sin la autenticación requerida. Cuando está en modo de recuperación, el usuario necesita la contraseña de recuperación o la clave de recuperación para desbloquear la unidad cifrada.

Importante

Almacene la información de recuperación en Microsoft Entra ID, AD DS, cuenta Microsoft u otra ubicación segura.

¿Puede la unidad flash USB que se usa como clave de inicio usarse también para almacenar la clave de recuperación?

Aunque el uso de una unidad flash USB como clave de inicio y para el almacenamiento de la clave de recuperación es técnicamente posible, no es un procedimiento recomendado usar una unidad flash USB para almacenar ambas teclas. Si la unidad flash USB que contiene la clave de inicio se pierde o se roba, también se perderá la clave de recuperación. Además, la inserción de esta clave haría que el equipo arrancara automáticamente desde la clave de recuperación incluso si los archivos medidos por TPM han cambiado, lo que evita la comprobación de integridad del sistema del TPM.

¿Puedo guardar la clave de inicio en varias unidades flash USB?

Sí, la clave de inicio del equipo se puede guardar en varias unidades flash USB. Al hacer clic con el botón derecho en una unidad protegida por BitLocker y seleccionar Administrar BitLocker , se proporcionarán las opciones para guardar las claves de recuperación en unidades flash USB adicionales según sea necesario.

¿Puedo guardar varias claves de inicio (diferentes) en la misma unidad flash USB?

Sí, las claves de inicio de BitLocker para diferentes equipos se pueden guardar en la misma unidad flash USB.

¿Puedo generar varias claves de inicio (diferentes) para el mismo equipo?

La generación de claves de inicio diferentes para el mismo equipo se puede realizar mediante scripting. Sin embargo, para equipos que tengan un TPM, la creación de claves de inicio diferentes impide que BitLocker use la comprobación de integridad del sistema del TPM.

¿Puedo generar varias combinaciones de PIN?

No se puede generar varias combinaciones de PIN.

¿Qué claves de cifrado se usan en BitLocker? ¿Cómo funcionan juntas?

Los datos sin procesar se cifran con la clave de cifrado de todo el volumen, que luego se cifra con la clave maestra del volumen. A su vez, la clave maestra de volumen se cifra mediante uno de los varios métodos posibles en función de la autenticación (es decir, los protectores de clave o TPM) y los escenarios de recuperación.

¿Dónde se almacenan las claves de cifrado?

La clave de cifrado de todo el volumen se cifra con la clave maestra del volumen y se almacena en la unidad cifrada. La clave maestra del volumen se cifra con el protector de clave correspondiente y se almacena en la unidad cifrada. Si se ha suspendido BitLocker, la clave sin cifrado que se usa para cifrar la clave maestra del volumen también se almacena en la unidad cifrada, junto con la clave maestra del volumen cifrado.

Este proceso de almacenamiento garantiza que la clave maestra de volumen nunca se almacena sin cifrar y está protegida a menos que BitLocker esté deshabilitado. Las claves también se guardan en dos ubicaciones adicionales de la unidad para su redundancia. El administrador de arranque puede leer y procesar las claves.

¿Por qué es necesario usar las teclas de función para escribir el PIN o la contraseña de recuperación de 48 caracteres?

Las claves F1 a F10 son códigos de digitalización universalmente asignados en el entorno de prearranque de todos los equipos y en todos los idiomas. Las teclas numéricas de 0 a 9 no se pueden usar en el entorno de arranque previo en todos los teclados.

Al usar un PIN mejorado, los usuarios deben ejecutar la comprobación del sistema opcional durante el proceso de configuración de BitLocker para garantizar que se puede escribir el PIN correctamente en el entorno de prearranque.

¿Cómo ayuda BitLocker a impedir que un atacante descubra el PIN que desbloquea la unidad del sistema operativo?

Es posible que un atacante pueda detectar un número de identificación personal (PIN) que realice un ataque por fuerza bruta. Un ataque por fuerza bruta se produce cuando un atacante usa una herramienta automatizada para probar diferentes combinaciones de PIN hasta descubrir el correcto. En el caso de los equipos protegidos con BitLocker, este tipo de ataque, también conocido como ataque de diccionario, requiere que el atacante tenga acceso físico al equipo.

El TPM tiene la capacidad integrada para detectar y reaccionar ante estos tipos de ataques. Dado que los TPM de distintos fabricantes pueden admitir diferentes mitigaciones de ataques y PIN, póngase en contacto con el fabricante del TPM para determinar cómo el TPM del equipo mitiga los ataques por fuerza bruta del PIN. Una vez determinado el fabricante del TPM, póngase en contacto con el fabricante para recopilar la información específica del proveedor del TPM. La mayoría de los fabricantes usan el recuento de errores de autenticación de PIN para aumentar exponencialmente el tiempo de bloqueo a la interfaz de PIN. Sin embargo, cada fabricante tiene diferentes directivas sobre cuándo y cómo se reduce o restablece el contador de errores.

¿Cómo determino el fabricante de mi TPM?

El fabricante de TPM se puede determinar en Windows Defenderdetalles del procesador deseguridad de seguridad> de dispositivos de Security Center>.

¿Cómo puedo evaluar el mecanismo de mitigación de ataques de diccionario de un TPM?

Las siguientes preguntas pueden ser de ayuda al preguntar a un fabricante de TPM sobre el diseño de un mecanismo de mitigación de ataques de diccionario:

  • ¿Cuántos intentos de autorización erróneos pueden producirse antes del bloqueo?
  • ¿Cuál es el algoritmo para determinar la duración de un bloqueo basado en el número de intentos erróneos y otros parámetros relevantes?
  • ¿Qué acciones pueden hacer que el recuento de errores y la duración del bloqueo disminuya o se restablezca?

¿Se pueden administrar la longitud y la complejidad del PIN con la configuración de directiva?

La longitud mínima del número de identificación personal (PIN) se puede configurar mediante el valor Configurar la longitud mínima del PIN para el inicio directiva de grupo y permitir el uso de PIN alfanuméricos habilitando la opción Permitir PIN mejorados para la directiva de inicio. La complejidad del PIN no se puede requerir a través de la configuración de directiva.

Para obtener más información, consulta Configuración de directivas de BitLocker.

¿Cómo se usan el PIN y el TPM para derivar la clave maestra de volumen?

BitLocker aplica un hash al número de identificación personal (PIN) especificado por el usuario mediante SHA-256 y los primeros 160 bits del hash se usan como datos de autorización enviados al TPM para sellar la clave maestra del volumen. La clave maestra de volumen ahora está protegida por el TPM y el PIN. Para anular la seal de la clave maestra de volumen, es necesario que escriba el PIN cada vez que el equipo se reinicie o se reanude de la hibernación.

BitLocker To Go

¿Qué es BitLocker To Go?

BitLocker To Go es el cifrado de unidad BitLocker en unidades de datos extraíbles. Esta característica incluye el cifrado de:

  • Unidades flash USB
  • Tarjetas SD
  • Unidades de disco duro externas
  • Otras unidades con formato mediante el sistema de archivos NTFS, FAT16, FAT32 o exFAT.

La creación de particiones de unidades debe cumplir los requisitos de partición de cifrado de unidad BitLocker.

Al igual que con BitLocker, las unidades cifradas por BitLocker To Go se pueden abrir mediante una contraseña o una tarjeta inteligente en otro equipo. En Panel de control, use cifrado de unidad bitlocker.

BitLocker y Servicios de dominio de Active Directory (AD DS)

¿Qué tipo de información se almacena en AD DS?

Información almacenada Descripción
Contraseña de recuperación de BitLocker La contraseña de recuperación permite desbloquear y acceder a la unidad después de un incidente de recuperación. Los administradores de dominio pueden ver la contraseña de recuperación de BitLocker mediante el Visor de contraseñas de recuperación de BitLocker. Para obtener más información sobre esta herramienta, vea BitLocker: Usar el Visor de contraseñas de recuperación de BitLocker.
Paquete de claves de BitLocker El paquete de claves ayuda a reparar daños en el disco duro que, de lo contrario, impedirían la recuperación estándar. El uso del paquete de claves para la recuperación requiere la herramienta de reparación de BitLocker, Repair-bde.

¿Qué ocurre si BitLocker está habilitado en un equipo antes de que el equipo se una al dominio?

Si BitLocker está habilitado en una unidad antes de aplicar la configuración de directiva para aplicar una copia de seguridad, la información de recuperación no se copiará automáticamente en AD DS cuando el equipo se una al dominio o cuando se aplique posteriormente la configuración de directiva. Sin embargo, la configuración de la directiva Elija cómo se pueden recuperar las unidades del sistema operativo protegidas por BitLocker, Elija cómo se pueden recuperar las unidades fijas protegidas por BitLocker y Elija cómo se pueden recuperar las unidades extraíbles protegidas por BitLocker para requerir que el equipo se conecte a un dominio antes de que BitLocker pueda habilitarse para ayudar a garantizar que la información de recuperación de las unidades protegidas por BitLocker de la organización se realice en AD DS.

Para obtener más información sobre cómo hacer una copia de seguridad de la contraseña de recuperación en AD DS o Microsoft Entra ID, revise la guía de operaciones de BitLocker.

Importante

Unir un equipo al dominio debe ser el primer paso para los nuevos equipos de una organización. Una vez que los equipos se unen a un dominio, el almacenamiento de la clave de recuperación de BitLocker en AD DS es automático (cuando se habilita con la configuración de directiva).

¿Hay una entrada de registro de eventos registrada en el equipo cliente para indicar el éxito o el error de la copia de seguridad de Microsoft Entra ID o Active Directory?

Sí, en el equipo cliente se registra una entrada de registro de eventos que indica el éxito o el error de una copia de seguridad. Sin embargo, incluso si una entrada del registro de eventos dice "Correcto", la información podría posteriormente eliminarse de AD DS, o BitLocker podría haberse reconfigurado de tal modo que la información de Active Directory ya no pueda desbloquear la unidad (por ejemplo, al quitar el protector de clave de contraseña de recuperación). Además, también es posible que se pueda suplantar la entrada de registro.

Por último, determinar si existe una copia de seguridad legítima en AD DS requiere consultar AD DS con credenciales de administrador de dominio mediante la herramienta de Visor de contraseña de BitLocker.

Si cambio la contraseña de recuperación de BitLocker de mi equipo y almaceno la nueva contraseña en AD DS, ¿sobrescribirá AD DS la contraseña anterior?

No. Por diseño, las entradas de contraseña de recuperación de BitLocker no se eliminan de AD DS. Por lo tanto, se pueden ver varias contraseñas para cada unidad. Para identificar la contraseña más reciente, comprueba la fecha en el objeto.

¿Qué sucede si inicialmente se produce un error en la copia de seguridad? ¿BitLocker lo volverá a intentar?

Si se produce un error inicial en la copia de seguridad, como cuando no se puede acceder a un controlador de dominio en el momento en que se ejecuta el Asistente para la instalación de BitLocker, BitLocker no vuelve a intentar realizar una copia de seguridad de la información de recuperación en AD DS.

Cuando un administrador activa la casilla No habilitar BitLocker hasta que la información de recuperación se almacena en AD DS para (sistema operativo | datos fijos | datos extraíbles) en cualquiera de las unidades elegir cómo se pueden recuperar las unidades de sistema operativo protegidas por BitLocker, Elija cómo se pueden recuperar las unidades de datos fijos protegidas por BitLocker y Elija cómo se pueden recuperar las unidades de datos extraíbles protegidas por BitLocker . configuración de directiva, los usuarios no pueden habilitar BitLocker a menos que el equipo esté conectado al dominio y la copia de seguridad de la información de recuperación de BitLocker en AD DS se realice correctamente. Con esta configuración configurada si se produce un error en la copia de seguridad, BitLocker no se puede habilitar, lo que garantiza que los administradores podrán recuperar unidades protegidas por BitLocker en la organización.

Para obtener más información, consulta Configuración de directivas de BitLocker.

Cuando un administrador desactiva estas casillas, el administrador permite que una unidad esté protegida por BitLocker sin tener la información de recuperación copiada correctamente en AD DS; sin embargo, BitLocker no volverá a intentar automáticamente la copia de seguridad si se produce un error. En su lugar, los administradores pueden crear un script de copia de seguridad, como se describió anteriormente en ¿Qué ocurre si BitLocker está habilitado en un equipo antes de que el equipo se una al dominio? para capturar la información después de restaurar la conectividad.

Seguridad

¿Qué forma de cifrado usa BitLocker? ¿Es configurable?

BitLocker usa Advanced Encryption Standard (AES) como algoritmo de cifrado con longitudes de clave configurables de 128 bits o 256 bits. La configuración de cifrado predeterminada es AES-128, pero las opciones se pueden configurar mediante la configuración de directiva.

¿Cuál es el procedimiento recomendado para usar BitLocker en una unidad del sistema operativo?

La práctica recomendada para la configuración de BitLocker en una unidad del sistema operativo es implementar BitLocker en un equipo con una versión 1.2 o posterior de TPM.

¿Cuáles son las implicaciones del uso de las opciones de administración de energía de suspensión o hibernación?

BitLocker en las unidades del sistema operativo en su configuración básica proporciona seguridad adicional para el modo de hibernación. En modo de suspensión, el equipo es vulnerable a ataques directos de acceso a la memoria, ya que los datos no protegidos permanecen en la RAM. Por lo tanto, para mejorar la seguridad, se recomienda deshabilitar el modo de suspensión. La autenticación de inicio se puede configurar mediante una configuración de directiva.

¿Cuáles son las ventajas de un TPM?

La mayoría de los sistemas operativos usan un espacio de memoria compartido y dependen del sistema operativo para administrar la memoria física. Un TPM es un componente de hardware que usa su propio firmware interno y circuitos de lógica para procesar instrucciones, protegiendo por tanto frente a las vulnerabilidades de software externo. Atacar el TPM requiere acceso físico al equipo. Además, las herramientas y aptitudes necesarias para atacar el hardware suelen ser más costosas y, por lo general, no están tan disponibles como las que se usan para atacar el software. Dado que cada TPM es exclusivo del equipo que lo contiene, atacar a varios equipos TPM sería difícil y lento.

Nota

La configuración de BitLocker con un factor adicional de autenticación proporciona aún más protección contra ataques de hardware de TPM.

Desbloqueo de red

¿Qué es el desbloqueo de red de BitLocker?

El desbloqueo de red de BitLocker permite una administración más sencilla para los clientes y servidores habilitados para BitLocker que usan el método de protección tpm+PIN en un entorno de dominio. Cuando se reinicia un equipo que está conectado a una red corporativa con cable, el desbloqueo en red permite que se omita la solicitud de entrada de PIN. Este desbloquea automáticamente los volúmenes del sistema operativo protegidos con BitLocker mediante una clave de confianza proporcionada por el servidor de servicios de implementación de Windows como método de autenticación secundario.

Para usar desbloqueo de red, se debe configurar un PIN para el equipo. Cuando el equipo no esté conectado a la red, deberá proporcionarse un PIN para desbloquearlo.

El desbloqueo de red de BitLocker tiene requisitos de software y hardware para los equipos cliente, los servicios de implementación de Windows y los controladores de dominio que deben cumplirse antes de que se pueda usar.

Network Unlock usa dos protectores: el protector de TPM y el protector proporcionado por la red o por el PIN. El desbloqueo automático usa un único protector: el almacenado en el TPM. Si el equipo está unido a una red sin el protector de clave, se le pedirá que escriba un PIN. Si el PIN no está disponible, la clave de recuperación deberá usarse para desbloquear el equipo si no se puede conectar a la red.

Para obtener más información, consulta BitLocker: cómo habilitar el desbloqueo en red.

Uso de BitLocker con otros programas

¿Puedo usar EFS con BitLocker?

Sí, el sistema de cifrado de archivos (EFS) se puede usar para cifrar archivos en una unidad protegida por BitLocker. BitLocker ayuda a proteger toda la unidad del sistema operativo frente a ataques sin conexión, mientras que EFS puede proporcionar cifrado adicional de nivel de archivo basado en el usuario para la separación de seguridad entre varios usuarios del mismo equipo. EFS también se puede usar en Windows para cifrar archivos en otras unidades que BitLocker no cifra. Los secretos raíz de EFS se almacenan de forma predeterminada en la unidad del sistema operativo; Por lo tanto, si BitLocker está habilitado para la unidad del sistema operativo, los datos cifrados por EFS en otras unidades también están protegidos indirectamente por BitLocker.

¿Puedo ejecutar un depurador de kernel con BitLocker?

Sí. Sin embargo, el depurador debe activarse antes de habilitar BitLocker. Al activar el depurador se garantiza que se calculan las mediciones correctas al cerrar el TPM, lo que permite que el equipo se inicie correctamente. Si es necesario activar o desactivar la depuración al usar BitLocker, asegúrese de suspender BitLocker primero para evitar poner el equipo en modo de recuperación.

¿Cómo administra BitLocker los volcados de memoria?

BitLocker tiene una pila de controladores de almacenamiento que garantiza que los volcados de memoria se cifren cuando BitLocker está habilitado.

¿Puede admitir BitLocker tarjetas inteligentes para la autenticación de prearranque?

BitLocker no admite tarjetas inteligentes para la autenticación previa al arranque. No hay ningún estándar del sector para la compatibilidad con tarjetas inteligentes en el firmware, y la mayoría de los equipos no implementan compatibilidad con firmware para tarjetas inteligentes, o solo admiten tarjetas inteligentes y lectores específicos. Esta falta de estandarización dificulta su apoyo.

¿Puedo usar un controlador de TPM que no sea de Microsoft?

Microsoft no admite controladores TPM que no sean de Microsoft y recomienda encarecidamente no usarlos con BitLocker. Intentar usar un controlador TPM que no sea de Microsoft con BitLocker puede hacer que BitLocker informe de que un TPM no está presente en el equipo y no permite que el TPM se use con BitLocker.

¿Pueden otras herramientas que administran o modifican el registro de arranque maestro funcionar con BitLocker?

No se recomienda modificar el registro de arranque maestro en equipos cuyas unidades de sistema operativo estén protegidas por BitLocker por varias razones de seguridad, confiabilidad y soporte técnico del producto. Los cambios en el registro de arranque maestro (MBR) podrían cambiar el entorno de seguridad e impedir que el equipo se inicie con normalidad y complicar los esfuerzos para recuperarse de un MBR dañado. Los cambios realizados en el MBR por algo diferente a Windows podrían obligar al equipo a entrar en modo de recuperación o impedir que se inicie al completo.

¿Por qué se produce un error en la comprobación del sistema al cifrar la unidad del sistema operativo?

La comprobación del sistema está diseñada para asegurarse de que el firmware del BIOS o UEFI del equipo es compatible con BitLocker y que el TPM funciona correctamente. La comprobación del sistema puede producir errores por varias razones:

  • El firmware del BIOS o UEFI del equipo no puede leer unidades flash USB
  • El BIOS, el firmware uEFI o el menú de arranque del equipo no tienen habilitada la lectura de unidades flash USB.
  • Hay varias unidades flash USB insertadas en el equipo
  • El PIN no se especificó correctamente
  • El firmware de BIOS o UEFI del equipo solo admite el uso de las claves de función (F1-F10) para escribir números en el entorno de arranque previo
  • La clave de inicio se quitó antes de que el equipo terminara de reiniciarse.
  • El TPM no funciona correctamente y no puede anular el sesado de las claves

¿Qué puedo hacer si no se puede leer la clave de recuperación de mi unidad flash USB?

Algunos equipos no pueden leer unidades flash USB en el entorno de arranque previo. En primer lugar, compruebe la configuración de firmware y arranque del BIOS o UEFI para asegurarse de que el uso de unidades USB está habilitado. Si no está habilitado, habilite el uso de unidades USB en la configuración de arranque y firmware de BIOS o UEFI y, a continuación, intente leer la clave de recuperación de la unidad flash USB de nuevo. Si la unidad flash USB todavía no se puede leer, la unidad de disco duro tendrá que montarse como una unidad de datos en otro equipo para que haya un sistema operativo que intente leer la clave de recuperación de la unidad flash USB. Si la unidad flash USB se ha dañado o dañado, es posible que sea necesario proporcionar una contraseña de recuperación o usar la información de recuperación de la que se ha realizado una copia de seguridad en AD DS. Además, si la clave de recuperación se usa en el entorno de arranque previo, asegúrese de que la unidad tenga formato mediante el sistema de archivos NTFS, FAT16 o FAT32.

¿Por qué no puedo guardar mi clave de recuperación en mi unidad flash USB?

La opción Guardar en USB no se muestra de forma predeterminada para las unidades extraíbles. Si la opción no está disponible, significa que un administrador del sistema no ha autorizado el uso de claves de recuperación.

¿Por qué no puedo desbloquear automáticamente la unidad?

El desbloqueo automático de unidades de datos fijas requiere que la unidad del sistema operativo también esté protegida por BitLocker. Si se usa un equipo que no tiene una unidad de sistema operativo protegida por BitLocker, la unidad fija no se puede desbloquear automáticamente. Para las unidades de datos extraíbles, el desbloqueo automático se puede agregar haciendo clic con el botón derecho en la unidad en el Explorador de Windows y seleccionando Administrar BitLocker. Las credenciales de contraseña o tarjeta inteligente que se proporcionaron cuando Se ha activado BitLocker todavía se pueden usar para desbloquear la unidad extraíble en otros equipos.

¿Puedo usar BitLocker en modo seguro?

En modo seguro, dispondrás de una funcionalidad limitada de BitLocker. Las unidades protegidas con BitLocker se pueden desbloquear y descifrar con el elemento del Panel de control de Cifrado de unidad BitLocker . Hacer clic con el botón derecho para acceder a las opciones de BitLocker desde el Explorador de Windows no está disponible en modo seguro.

¿Cómo "bloqueo" una unidad de datos?

Las unidades de datos fijas y extraíbles se pueden bloquear mediante la herramienta de línea de comandos Manage-bde y el comando -lock.

Nota

Asegúrese de que todos los datos se guardan en la unidad antes de bloquearlos. Una vez bloqueada, no se podrá obtener acceso a la unidad.

La sintaxis de este comando es:

manage-bde.exe <driveletter> -lock

Además de mediante el uso de este comando, las unidades de datos se bloquearán al apagar y reiniciar el sistema operativo. Una unidad de datos extraíble también se bloqueará automáticamente al quitar la unidad del equipo.

¿Puedo usar BitLocker con el servicio de instantáneas de volumen?

Sí. Sin embargo, las instantáneas anteriores a la habilitación de BitLocker se eliminarán automáticamente cuando se habilite BitLocker en unidades cifradas de software. Si se usa una unidad cifrada de hardware, se conservan las instantáneas.

¿Admite BitLocker discos duros virtuales (VHD)?

BitLocker debe funcionar como cualquier máquina física específica dentro de sus limitaciones de hardware, siempre y cuando el entorno (físico o virtual) cumpla los requisitos del sistema operativo Windows para ejecutarse.

  • Con TPM: sí, se admite.
  • Sin TPM: sí, se admite (con el protector de contraseña).

BitLocker también se admite en discos duros virtuales de volumen de datos, como los que usan los clústeres.

¿Puedo usar BitLocker con máquinas virtuales (VM)?

Sí, BitLocker se puede usar con máquinas virtuales si el entorno cumple los requisitos de hardware y software de BitLocker.