Implementación básica de BitLocker
Se aplica a:
- Windows 10
- Windows 11
- Windows Server 2016 y superior
En este artículo para profesionales de TI se explica cómo se pueden usar las características de BitLocker para proteger los datos a través del cifrado de unidad.
Uso de BitLocker para cifrar volúmenes
BitLocker proporciona cifrado de volumen completo (FVE) para volúmenes de sistema operativo y unidades de datos fijas y extraíbles. Para admitir unidades de sistema operativo totalmente cifradas, BitLocker usa una partición de sistema sin cifrar para los archivos necesarios para arrancar, descifrar y cargar el sistema operativo. Este volumen se crea automáticamente durante una nueva instalación de sistemas operativos cliente y servidor.
Si la unidad se preparó como un único espacio contiguo, BitLocker requiere un nuevo volumen para contener los archivos de arranque. BdeHdCfg.exe puede crear estos volúmenes.
Nota
Para obtener más información sobre el uso de esta herramienta, consulte Bdehdcfg en la referencia de Command-Line.
El cifrado de BitLocker se puede habilitar y administrar mediante los métodos siguientes:
- Panel de control de BitLocker
- Explorador de Windows
manage-bde.exeinterfaz de línea de comandos- Cmdlets de Windows PowerShell de BitLocker
Cifrado de volúmenes mediante el panel de control de BitLocker
Cifrar volúmenes con el panel de control de BitLocker (seleccione Inicio, escriba Bitlocker, seleccione Administrar BitLocker) es cuántos usuarios usarán BitLocker. El nombre del panel de control de BitLocker es Cifrado de unidad BitLocker. El panel de control de BitLocker admite el cifrado del sistema operativo, los datos fijos y los volúmenes de datos extraíbles. El panel de control de BitLocker organizará las unidades disponibles en la categoría adecuada en función de cómo se informe el dispositivo a Windows. Solo los volúmenes con formato con letras de unidad asignadas aparecerán correctamente en el applet del panel de control de BitLocker.
Para iniciar el cifrado de un volumen, seleccione Activar BitLocker para la unidad adecuada para inicializar el Asistente para cifrado de unidades de BitLocker. Las opciones del Asistente para cifrado de unidad BitLocker varían según el tipo de volumen (volumen del sistema operativo o volumen de datos).
Volumen del sistema operativo
Para el volumen del sistema operativo, el Asistente para cifrado de unidad BitLocker presenta varias pantallas que solicitan opciones mientras realiza varias acciones:
Cuando se inicia por primera vez el Asistente para cifrado de unidades de BitLocker , comprueba que el equipo cumple los requisitos del sistema de BitLocker para cifrar un volumen de sistema operativo. De forma predeterminada, los requisitos del sistema son:
Requisitos Descripción Configuración de hardware El equipo debe cumplir los requisitos mínimos para las versiones compatibles de Windows. Sistema operativo BitLocker es una característica opcional que Administrador del servidor puede instalar en Windows Server 2012 y versiones posteriores. Hardware TPM TPM versión 1.2 o 2.0.
No se requiere un TPM para BitLocker; sin embargo, solo un equipo con TPM puede proporcionar la seguridad adicional de la comprobación de la integridad del sistema previa al inicio y la autenticación multifactor.Configuración de firmware/BIOS de UEFI - Firmware UEFI o BIOS compatible con un grupo de computación de confianza (TCG).
- El orden de arranque debe establecerse para iniciarse primero desde el disco duro y no desde las unidades USB o CD.
- El firmware debe ser capaz de leer desde una unidad flash USB durante el inicio.
Sistema de archivos Una partición FAT32 para la unidad del sistema y una partición NTFS para la unidad del sistema operativo. Este requisito es aplicable a los equipos que arrancan de forma nativa con firmware UEFI.
En el caso de los equipos con firmware de BIOS heredado, al menos dos particiones de disco NTFS, una para la unidad del sistema y otra para la unidad del sistema operativo.
Para cualquiera de los firmwares, la partición de unidad del sistema debe tener al menos 350 megabytes (MB) y establecerse como partición activa.Requisitos previos de la unidad cifrada de hardware (opcional) Para usar una unidad cifrada por hardware como unidad de arranque, la unidad debe estar en estado no inicializado y en estado inactivo de seguridad. Además, el sistema siempre debe arrancar con la versión 2.3.1 o posterior de UEFI nativa y el CSM (si existe) deshabilitado. Si el volumen no pasa la configuración inicial de BitLocker, se muestra al usuario un cuadro de diálogo de error que describe las acciones adecuadas que se deben realizar.
Al pasar la configuración inicial, es posible que se pida a los usuarios que escriban una contraseña para el volumen, por ejemplo, si un TPM no está disponible. Si hay un TPM disponible, se omitirá la pantalla de contraseña.
Después de las pantallas de configuración y contraseña iniciales, se generará una clave de recuperación. El Asistente para cifrado de unidad BitLocker solicitará una ubicación para guardar la clave de recuperación. Una clave de recuperación de BitLocker es una clave especial que se crea cuando el cifrado de unidad BitLocker está activado por primera vez en cada unidad cifrada. La clave de recuperación se puede usar para obtener acceso al equipo si:
- La unidad en la que está instalado Windows (la unidad del sistema operativo) se cifra mediante el cifrado de unidad BitLocker.
- BitLocker detecta una condición que impide que se desbloquee la unidad cuando se inicia el equipo
También se puede usar una clave de recuperación para obtener acceso a los archivos y carpetas de una unidad de datos extraíble (como un disco duro externo o una unidad flash USB) que se cifra mediante BitLocker To Go, si por alguna razón la contraseña se olvida o el equipo no puede acceder a la unidad.
La clave de recuperación se puede almacenar mediante los métodos siguientes:
- Guardar en la cuenta de Azure AD (si procede)
- Guardar en una unidad flash USB
- Guardar en un archivo : el archivo debe guardarse en una ubicación que no esté en el propio equipo, como una carpeta de red o OneDrive.
- Imprimir la clave de recuperación
La clave de recuperación no se puede almacenar en las siguientes ubicaciones:
- La unidad que se va a cifrar
- Directorio raíz de una unidad no extraíble o fija
- Un volumen cifrado
Sugerencia
Idealmente, la clave de recuperación de un equipo debe almacenarse independientemente del propio equipo.
Nota
Una vez creada una clave de recuperación, se puede usar el panel de control de BitLocker para realizar copias adicionales de la clave de recuperación.
A continuación, el Asistente para cifrado de unidad BitLocker le pedirá la cantidad de la unidad que se va a cifrar. El Asistente para cifrado de unidad BitLocker tendrá dos opciones que determinan la cantidad de la unidad cifrada:
- Cifrar solo el espacio en disco usado : cifra solo el espacio en disco que contiene los datos.
- Cifrar unidad completa : cifra todo el volumen, incluido el espacio libre. También se conoce como cifrado de disco completo.
Cada uno de los métodos se recomienda en los siguientes escenarios:
Cifre solo el espacio en disco usado:
- La unidad nunca ha tenido datos
- Unidades con formato o borradas que en el pasado nunca han tenido datos confidenciales que nunca se cifraron
Cifrar toda la unidad (cifrado de disco completo):
- Unidades que actualmente tienen datos
- Unidades que actualmente tienen un sistema operativo
- Unidades con formato o borradas que en el pasado tenían datos confidenciales que nunca se cifraron
Importante
Los archivos eliminados aparecen como espacio libre en el sistema de archivos, que no se cifra solo mediante el espacio en disco usado. Hasta que se borren o sobrescriban, los archivos eliminados contienen información que se podría recuperar con herramientas forenses de datos comunes.
A continuación, el Asistente para cifrado de unidad BitLocker solicitará un modo de cifrado:
- Nuevo modo de cifrado
- Modo compatible
Normalmente, se debe elegir el nuevo modo de cifrado , pero si la unidad se moverá potencialmente a otro equipo con un sistema operativo Windows anterior, seleccione Modo compatible.
Después de seleccionar un modo de cifrado, el Asistente para cifrado de unidad BitLocker ofrecerá la opción de ejecutar una comprobación del sistema de BitLocker mediante la opción Ejecutar comprobación del sistema de BitLocker. Esta comprobación del sistema garantizará que BitLocker pueda acceder correctamente a las claves de recuperación y cifrado antes de que comience el cifrado del volumen. se recomienda ejecutar esta comprobación del sistema antes de iniciar el proceso de cifrado. Si la comprobación del sistema no se ejecuta y se encuentra un problema cuando el sistema operativo intenta iniciarse, el usuario deberá proporcionar la clave de recuperación para iniciar Windows.
Después de completar la comprobación del sistema (si está seleccionada), el Asistente para cifrado de unidad BitLocker iniciará el cifrado. Se puede iniciar un reinicio para iniciar el cifrado. Si se inició un reinicio, si no hubo TPM y se especificó una contraseña, deberá especificarse la contraseña para arrancar en el volumen del sistema operativo.
Los usuarios pueden comprobar el estado del cifrado comprobando el área de notificación del sistema o el panel de control de BitLocker.
Hasta que se complete el cifrado, las únicas opciones disponibles para administrar BitLocker implican la manipulación de la contraseña que protege el volumen del sistema operativo, la copia de seguridad de la clave de recuperación y la desactivación de BitLocker.
Volumen de datos
El cifrado de volúmenes de datos mediante el panel de control de BitLocker funciona de forma similar al cifrado de los volúmenes del sistema operativo. Los usuarios seleccionan Activar BitLocker en el panel de control de BitLocker para comenzar el Asistente para cifrado de unidad BitLocker.
Al iniciar el Asistente para cifrado de unidades de BitLocker, a diferencia de los volúmenes del sistema operativo, no es necesario que los volúmenes de datos pasen ninguna prueba de configuración para que el Asistente para cifrado de unidades de BitLocker continúe.
Aparece una selección de métodos de autenticación para desbloquear la unidad. Las opciones disponibles son:
- Uso de una contraseña para desbloquear la unidad
- Uso de mi tarjeta inteligente para desbloquear la unidad
- Desbloquear automáticamente esta unidad en este equipo : deshabilitada de forma predeterminada, pero si está habilitada, esta opción desbloqueará el volumen de datos sin la entrada del usuario cuando se desbloquee el volumen del sistema operativo.
El Asistente para cifrado de unidad BitLocker presenta opciones para el almacenamiento de la clave de recuperación. Estas opciones son las mismas que para los volúmenes del sistema operativo:
- Guardar en la cuenta de Azure AD (si procede)
- Guardar en una unidad flash USB
- Guardar en un archivo : el archivo debe guardarse en una ubicación que no esté en el propio equipo, como una carpeta de red o OneDrive.
- Imprimir la clave de recuperación
Después de guardar la clave de recuperación, el Asistente para cifrado de unidad BitLocker mostrará las opciones disponibles para el cifrado. Estas opciones son las mismas que para los volúmenes del sistema operativo:
- Cifrar solo el espacio en disco usado : cifra solo el espacio en disco que contiene los datos.
- Cifrar unidad completa : cifra todo el volumen, incluido el espacio libre. También se conoce como cifrado de disco completo.
A continuación, el Asistente para cifrado de unidad BitLocker solicitará un modo de cifrado:
- Nuevo modo de cifrado
- Modo compatible
Normalmente, se debe elegir el nuevo modo de cifrado , pero si la unidad se moverá potencialmente a otro equipo con un sistema operativo Windows anterior, seleccione Modo compatible.
El Asistente para cifrado de unidad BitLocker mostrará una pantalla de confirmación final antes de que comience el proceso de cifrado. Al seleccionar Iniciar cifrado , comienza el cifrado.
El estado de cifrado se muestra en el área de notificación o en el panel de control de BitLocker.
Opción de OneDrive
Hay una opción para almacenar la clave de recuperación de BitLocker mediante OneDrive. Esta opción requiere que los equipos no sean miembros de un dominio y que el usuario use una cuenta de Microsoft. Las cuentas locales no ofrecen la opción de usar OneDrive. El uso de la opción OneDrive es el método de almacenamiento de clave de recuperación recomendado predeterminado para los equipos que no están unidos a un dominio.
Los usuarios pueden comprobar si la clave de recuperación se guardó correctamente comprobando OneDrive para la carpeta BitLocker. La carpeta BitLocker en OneDrive se crea automáticamente durante el proceso de guardado. La carpeta contendrá dos archivos, a readme.txt y la clave de recuperación. Para los usuarios que almacenan más de una contraseña de recuperación en su OneDrive, pueden identificar la clave de recuperación necesaria examinando el nombre de archivo. El identificador de clave de recuperación se anexa al final del nombre de archivo.
Uso de BitLocker en el Explorador de Windows
El Explorador de Windows permite a los usuarios iniciar el Asistente para cifrado de unidad BitLocker haciendo clic con el botón derecho en un volumen y seleccionando Activar BitLocker. Esta opción está disponible en los equipos cliente de forma predeterminada. En los servidores, la característica BitLocker y la característica de Desktop-Experience deben instalarse primero para que esta opción esté disponible. Después de seleccionar Activar BitLocker, el asistente funciona exactamente igual que cuando se inicia mediante el panel de control de BitLocker.
Compatibilidad de nivel inferior
En la tabla siguiente se muestra la matriz de compatibilidad de los sistemas que han sido habilitados para BitLocker y, a continuación, se presentan a una versión diferente de Windows.
Tabla 1: Compatibilidad cruzada para volúmenes cifrados de Windows 11, Windows 10, Windows 8.1, Windows 8 y Windows 7
| Tipo de cifrado | Windows 11, Windows 10 y Windows 8.1 | Windows 8 | Windows 7 |
|---|---|---|---|
| Totalmente cifrado en Windows 8 | Se presenta como totalmente cifrado | N/D | Se presenta como totalmente cifrado |
| Espacio en disco usado Solo se cifra en Windows 8 | Se presenta como cifrado en escritura | N/D | Se presenta como totalmente cifrado |
| Volumen totalmente cifrado de Windows 7 | Se presenta como totalmente cifrado | Se presenta como totalmente cifrado | N/D |
| Volumen parcialmente cifrado de Windows 7 | Windows 11, Windows 10 y Windows 8.1 completarán el cifrado independientemente de la directiva | Windows 8 completará el cifrado independientemente de la directiva | N/D |
Cifrado de volúmenes mediante la interfaz de línea manage-bde.exe de comandos
Manage-bde.exe es una utilidad de línea de comandos que se puede usar para scripting de operaciones de BitLocker. Manage-bde.exe ofrece opciones adicionales que no se muestran en el panel de control de BitLocker. Para obtener una lista completa de las opciones, consulte Manage-bde.
Manage-bde.exe ofrece una gran variedad de opciones más amplias para configurar BitLocker. El uso de la sintaxis de comandos puede requerir cuidado. Por ejemplo, el uso de solo el manage-bde.exe -on comando en un volumen de datos cifrará completamente el volumen sin ningún protector de autenticación. Un volumen cifrado de esta manera todavía requiere la interacción del usuario para activar la protección de BitLocker, aunque el comando se haya completado correctamente. Para que el volumen esté totalmente protegido, también es necesario agregar un método de autenticación al volumen, además de ejecutar el manage-bde.execomando .
Los usuarios de la línea de comandos deben determinar la sintaxis adecuada para una situación determinada. En la sección siguiente se trata el cifrado general para volúmenes de sistema operativo y volúmenes de datos.
Comandos de volumen del sistema operativo
A continuación se muestran ejemplos de comandos válidos básicos para los volúmenes del sistema operativo. En general, el uso solo del manage-bde.exe -on <drive letter> comando cifra el volumen del sistema operativo con un protector de solo TPM y sin clave de recuperación. Sin embargo, muchos entornos requieren protectores más seguros, como contraseñas o PIN, y esperan poder recuperar información con una clave de recuperación.
Determinación del estado del volumen
Una buena práctica cuando se usa manage-bde.exe es determinar el estado del volumen en el sistema de destino. Use el siguiente comando para determinar el estado del volumen:
manage-bde.exe -status
Este comando devuelve los volúmenes del destino, el estado de cifrado actual y el tipo de volumen (sistema operativo o datos) de cada volumen. Con esta información, los usuarios pueden determinar el mejor método de cifrado para su entorno.
Habilitación de BitLocker sin TPM
Supongamos que BitLocker se desea en un equipo sin TPM. En este escenario, se necesita una unidad flash USB como clave de inicio para el volumen del sistema operativo. A continuación, la clave de inicio permitirá que el equipo arranque. Para crear la clave de inicio mediante manage-bde.exe, se usaría el -protectors modificador especificando la -startupkey opción . Suponiendo que la unidad flash USB es la letra E:de unidad , se usarían los siguientes manage-bde.exe comandos para crear la clave de inicio e iniciar el cifrado de BitLocker:
manage-bde.exe -protectors -add C: -startupkey E:
manage-bde.exe -on C:
Si se le solicita, reinicie el equipo para completar el proceso de cifrado.
Habilitación de BitLocker solo con un TPM
Es posible cifrar el volumen del sistema operativo sin ningún protector definido mediante manage-bde.exe. Use este comando:
manage-bde.exe -on C:
Este comando cifrará la unidad mediante tpm como protector. Si los usuarios no están seguros del protector de un volumen, pueden usar la -protectors opción de manage-bde.exe para enumerar esta información ejecutando el siguiente comando:
manage-bde.exe -protectors -get <volume>
Aprovisionamiento de BitLocker con dos protectores
Otro ejemplo es un usuario de un hardware que no es tpm que desea agregar una contraseña y un protector basado en SID al volumen del sistema operativo. En esta instancia, el usuario agrega primero los protectores. La adición de los protectores se realiza con el comando :
manage-bde.exe -protectors -add C: -pw -sid <user or group>
Este comando requiere que el usuario escriba y, a continuación, confirme los protectores de contraseña antes de agregarlos al volumen. Con los protectores habilitados en el volumen, el usuario solo tiene que activar BitLocker.
Comandos de volumen de datos
Los volúmenes de datos usan la misma sintaxis para el cifrado que los volúmenes del sistema operativo, pero no requieren protectores para que se complete la operación. El cifrado de volúmenes de datos se puede realizar mediante el comando base:
manage-bde.exe -on <drive letter>
O bien, los usuarios pueden elegir agregar protectores al volumen. Se recomienda agregar al menos un protector principal y un protector de recuperación a un volumen de datos.
Habilitación de BitLocker con una contraseña
Un protector común para un volumen de datos es el protector de contraseñas. En el ejemplo siguiente, se agrega un protector de contraseña al volumen y se activa BitLocker.
manage-bde.exe -protectors -add -pw C:
manage-bde.exe -on C:
Cifrado de volúmenes mediante los cmdlets de Windows PowerShell de BitLocker
Windows PowerShell cmdlets proporcionan una manera alternativa de trabajar con BitLocker. Con las funcionalidades de scripting de Windows PowerShell, los administradores pueden integrar las opciones de BitLocker en scripts existentes con facilidad. En la lista siguiente se muestran los cmdlets de BitLocker disponibles.
| Nombre | Parameters |
|---|---|
| Add-BitLockerKeyProtector | |
| Backup-BitLockerKeyProtector | |
| Disable-BitLocker | |
| Disable-BitLockerAutoUnlock | |
| Enable-BitLocker | |
| Enable-BitLockerAutoUnlock | |
| Get-BitLockerVolume | |
| Lock-BitLocker | |
| Remove-BitLockerKeyProtector | |
| Resume-BitLocker | |
| Suspend-BitLocker | |
| Unlock-BitLocker |
De forma similar a manage-bde.exe, los cmdlets de Windows PowerShell permiten la configuración más allá de las opciones que se ofrecen en el panel de control. Al igual que con manage-bde.exe, los usuarios deben tener en cuenta las necesidades específicas del volumen que cifran antes de ejecutar Windows PowerShell cmdlets.
Un buen paso inicial es determinar el estado actual de los volúmenes en el equipo. Puede hacerlo mediante el cmdlet de PowerShell de Get-BitLocker volumen. La salida de este cmdlet muestra información sobre el tipo de volumen, los protectores, el estado de protección y otra información útil.
En ocasiones, es posible que no se muestren todos los protectores al usar Get-BitLockerVolume debido a la falta de espacio en la pantalla de salida. Si no se ven todos los protectores de un volumen, se puede usar el comando de canalización de Windows PowerShell (|) para dar formato a una lista de los protectores.
Nota
En el caso de que haya más de cuatro protectores para un volumen, el comando de canalización puede que se quede sin espacio para mostrar. Para volúmenes con más de cuatro protectores, use el método descrito en la sección siguiente para generar una lista de todos los protectores con identificador de protector.
Get-BitLockerVolume C: | fl
Si los protectores existentes deben quitarse antes de aprovisionar BitLocker en el volumen, se puede usar el Remove-BitLockerKeyProtector cmdlet . Para realizar esta acción, es necesario quitar el GUID asociado al protector.
Un script simple puede canalizar los valores de cada valor de Get-BitLockerVolume a otra variable como se muestra a continuación:
$vol = Get-BitLockerVolume
$keyprotectors = $vol.KeyProtector
Con este script, se puede mostrar la información de la variable $keyprotectors para determinar el GUID de cada protector. Esta información se puede usar para quitar el protector de clave de un volumen específico mediante el comando :
Remove-BitLockerKeyProtector <volume>: -KeyProtectorID "{GUID}"
Nota
El cmdlet bitlocker requiere que se ejecute el GUID del protector de claves (entre comillas). Asegúrese de que todo el GUID, con llaves, se incluye en el comando .
Cmdlets de PowerShell de volumen de sistema operativo
El uso de los cmdlets de Windows PowerShell de BitLocker es similar a trabajar con la manage-bde.exe herramienta para cifrar volúmenes del sistema operativo. Windows PowerShell ofrece flexibilidad a los usuarios. Por ejemplo, los usuarios pueden agregar el protector deseado como comando part para cifrar el volumen. A continuación se muestran ejemplos de escenarios de usuario comunes y pasos para realizarlos mediante los cmdlets de BitLocker para Windows PowerShell.
Para habilitar BitLocker solo con el protector de TPM, use este comando:
Enable-BitLocker C:
En el ejemplo siguiente se agrega un protector adicional, los protectores StartupKey, y se elige omitir la prueba de hardware de BitLocker. En este ejemplo, el cifrado se inicia inmediatamente sin necesidad de reiniciar.
Enable-BitLocker C: -StartupKeyProtector -StartupKeyPath <path> -SkipHardwareTest
Cmdlets de PowerShell para volúmenes de datos
El cifrado de volúmenes de datos mediante Windows PowerShell es el mismo que para los volúmenes del sistema operativo. Debe agregar los protectores deseados antes de cifrar el volumen. En el ejemplo siguiente se agrega un protector de contraseña al volumen E: mediante la variable $pw como contraseña. La variable $pw se mantiene como un valor SecureString para almacenar la contraseña definida por el usuario. Por último, comienza el cifrado.
$pw = Read-Host -AsSecureString
<user inputs password>
Enable-BitLockerKeyProtector E: -PasswordProtector -Password $pw
Uso de un protector basado en SID en Windows PowerShell
El protector ADAccountOrGroup es un protector basado en SID de Active Directory. Este protector se puede agregar tanto al sistema operativo como a los volúmenes de datos, aunque no desbloquea los volúmenes del sistema operativo en el entorno previo al arranque. El protector requiere el SID para que la cuenta de dominio o el grupo se vinculen con el protector. BitLocker puede proteger un disco compatible con el clúster agregando un protector basado en SID para el objeto de nombre de clúster (CNO) que permite que el disco realice correctamente la conmutación por error y se desbloquee en cualquier equipo miembro del clúster.
Advertencia
El protector basado en SID requiere el uso de un protector adicional, como TPM, PIN, clave de recuperación, etc. cuando se usa en volúmenes del sistema operativo.
Para agregar un protector ADAccountOrGroup a un volumen, se necesita el SID de dominio o el nombre del grupo precedido por el dominio y una barra diagonal inversa. En el ejemplo siguiente, la cuenta CONTOSO\Administrator se agrega como protector al volumen de datos G.
Enable-BitLocker G: -AdAccountOrGroupProtector -AdAccountOrGroup CONTOSO\Administrator
Para los usuarios que desean usar el SID para la cuenta o el grupo, el primer paso es determinar el SID asociado a la cuenta. Para obtener el SID específico de una cuenta de usuario en Windows PowerShell, use el siguiente comando:
Get-ADUser -filter {samaccountname -eq "administrator"}
Nota
El uso de este comando requiere la característica RSAT-AD-PowerShell.
Sugerencia
Además del comando Windows PowerShell anterior, puede encontrar información sobre la pertenencia al usuario y al grupo que ha iniciado sesión localmente mediante: WHOAMI /ALL. Esto no requiere el uso de características adicionales.
En el ejemplo siguiente, el usuario desea agregar un protector basado en SID de dominio al volumen del sistema operativo cifrado anteriormente. El usuario conoce el SID de la cuenta de usuario o grupo que desea agregar y usa el siguiente comando:
Add-BitLockerKeyProtector C: -ADAccountOrGroupProtector -ADAccountOrGroup "<SID>"
Nota
Los protectores basados en Active Directory se usan normalmente para desbloquear volúmenes habilitados para clústeres de conmutación por error.
Comprobación del estado de BitLocker
Para comprobar el estado de BitLocker de un volumen determinado, los administradores pueden examinar el estado de la unidad en el applet del panel de control de BitLocker, el Explorador de Windows, manage-bde.exe la herramienta de línea de comandos o Windows PowerShell cmdlets. Cada opción ofrece diferentes niveles de detalle y facilidad de uso. Examinaremos cada uno de los métodos disponibles en la sección siguiente.
Comprobación del estado de BitLocker con el panel de control
Comprobar el estado de BitLocker con el panel de control es el método más común que usan la mayoría de los usuarios. Una vez abierto, el estado de cada volumen se muestra junto a la descripción del volumen y la letra de unidad. Los valores devueltos de estado disponibles con el panel de control incluyen:
| Estado | Descripción |
|---|---|
| En | BitLocker está habilitado para el volumen |
| Desactivado | BitLocker no está habilitado para el volumen |
| Suspended | BitLocker se suspende y no protege activamente el volumen |
| Esperando activación | BitLocker está habilitado con una clave de protector clara y requiere una acción adicional para estar totalmente protegido. |
Si una unidad se aprovisiona previamente con BitLocker, se muestra un estado de "Esperando activación" con un icono de exclamación amarillo en el volumen. Este estado significa que solo se usó un protector claro al cifrar el volumen. En este caso, el volumen no está en un estado protegido y debe tener una clave segura agregada al volumen antes de que la unidad esté totalmente protegida. Los administradores pueden usar el panel de control, manage-bde.exe la herramienta o las API wmi para agregar un protector de clave adecuado. Una vez completado, el panel de control se actualizará para reflejar el nuevo estado.
Con el panel de control, los administradores pueden elegir Activar BitLocker para iniciar el Asistente para cifrado de unidades de BitLocker y agregar un protector, como el PIN para un volumen del sistema operativo (o la contraseña si no existe tpm), o un protector de contraseña o tarjeta inteligente a un volumen de datos. La ventana de seguridad de la unidad se muestra antes de cambiar el estado del volumen. Al seleccionar Activar BitLocker , se completará el proceso de cifrado.
Una vez completada la activación del protector de BitLocker, se muestra el aviso de finalización.
Comprobación del estado de BitLocker con manage-bde.exe
Los administradores que prefieren una interfaz de línea de comandos pueden usar manage-bde.exe para comprobar el estado del volumen. Manage-bde es capaz de devolver más información sobre el volumen que las herramientas gráficas de la interfaz de usuario en el panel de control. Por ejemplo, manage-bde.exe puede mostrar la versión de BitLocker en uso, el tipo de cifrado y los protectores asociados a un volumen.
Para comprobar el estado de un volumen mediante manage-bde.exe, use el siguiente comando:
manage-bde.exe -status <volume>
Nota
Si no hay ninguna letra de volumen asociada al comando -status, todos los volúmenes del equipo muestran su estado.
Comprobación del estado de BitLocker con Windows PowerShell
Windows PowerShell comandos ofrecen otra manera de consultar el estado de BitLocker para los volúmenes. Al igual que manage-bde.exe, Windows PowerShell incluye la ventaja de poder comprobar el estado de un volumen en un equipo remoto.
Con el cmdlet Get-BitLockerVolume, cada volumen del sistema muestra su estado actual de BitLocker. Para obtener información más detallada sobre un volumen específico, use el siguiente comando:
Get-BitLockerVolume <volume> -Verbose | fl
Este comando muestra información sobre el método de cifrado, el tipo de volumen, los protectores de clave, etc.
Aprovisionamiento de BitLocker durante la implementación del sistema operativo
Los administradores pueden habilitar BitLocker antes de la implementación del sistema operativo desde el entorno de preinstalación de Windows. La habilitación de BitLocker antes de la implementación del sistema operativo se realiza con un protector de clave clara generado aleatoriamente aplicado al volumen con formato y mediante el cifrado del volumen antes de ejecutar el proceso de instalación de Windows. Si el cifrado usa la opción Solo espacio en disco usado que se describe más adelante en este documento, este paso tarda solo unos segundos y se incorpora bien a los procesos de implementación normales.
Descifrado de volúmenes de BitLocker
Al descifrar volúmenes, se quita BitLocker y los protectores asociados de los volúmenes. El descifrado debe producirse cuando ya no se requiere protección. El descifrado de BitLocker no debe producirse como un paso de solución de problemas. BitLocker se puede quitar de un volumen mediante los cmdlets applet, manage-bde.exeo Windows PowerShell del panel de control de BitLocker. Analizaremos cada método más adelante.
Descifrado de volúmenes mediante el applet del panel de control de BitLocker
El descifrado de BitLocker mediante el panel de control se realiza mediante un asistente. Se puede llamar al panel de control desde el Explorador de Windows o abrirlo directamente. Después de abrir el panel de control de BitLocker, los usuarios seleccionarán la opción Desactivar BitLocker para comenzar el proceso. Después de seleccionar la opción Desactivar BitLocker , el usuario elige continuar haciendo clic en el cuadro de diálogo de confirmación. Con Desactivar BitLocker confirmado, comienza el proceso de descifrado de la unidad y notifica el estado al panel de control.
El panel de control no notifica el progreso del descifrado, pero lo muestra en el área de notificación de la barra de tareas. Al seleccionar el icono del área de notificación, se abrirá un cuadro de diálogo modal con progreso.
Una vez completado el descifrado, la unidad actualiza su estado en el panel de control y está disponible para el cifrado.
Descifrado de volúmenes mediante la interfaz de línea manage-bde.exe de comandos
Descifrar volúmenes mediante manage-bde.exe es sencillo. Descifrado con manage-bde.exe ofrece la ventaja de no requerir confirmación del usuario para iniciar el proceso. Manage-bde usa el comando -off para iniciar el proceso de descifrado. Un comando de ejemplo para el descifrado es:
manage-bde.exe -off C:
Este comando deshabilita los protectores mientras descifra el volumen y quita todos los protectores cuando se completa el descifrado. Si los usuarios desean comprobar el estado del descifrado, pueden usar el siguiente comando:
manage-bde.exe -status C:
Descifrado de volúmenes mediante los cmdlets de Windows PowerShell de BitLocker
El descifrado con cmdlets de Windows PowerShell es sencillo, similar a manage-bde.exe. Windows PowerShell ofrece la capacidad de descifrar varias unidades en un solo paso. En el ejemplo siguiente, el usuario tiene tres volúmenes cifrados, que desea descifrar.
Con el comando Disable-BitLocker, pueden quitar todos los protectores y el cifrado al mismo tiempo sin necesidad de más comandos. Un ejemplo de este comando es:
Disable-BitLocker
Si un usuario no quería introducir cada punto de montaje individualmente, el uso del -MountPoint parámetro en una matriz puede secuenciar el mismo comando en una línea sin necesidad de una entrada adicional del usuario. Un comando de ejemplo es:
Disable-BitLocker -MountPoint E:,F:,G: