Configuración de BitLocker

Para configurar BitLocker, puede usar una de las siguientes opciones:

  • Proveedor de servicios de configuración (CSP): esta opción se usa normalmente para dispositivos administrados por una solución de mobile Administración de dispositivos (MDM), como Microsoft Intune. El CSP de BitLocker se usa para configurar BitLocker y para notificar el estado de las distintas funciones de BitLocker a la solución MDM. Con Microsoft Intune, puede usar el estado de BitLocker en las directivas de cumplimiento, combinándolas con el acceso condicional. El acceso condicional puede impedir o conceder acceso a servicios como Exchange Online y SharePoint Online, en función del estado de BitLocker. Para obtener más información sobre las opciones de Intune para configurar y supervisar BitLocker, consulte los artículos siguientes:
  • Directiva de grupo (GPO): esta opción se puede usar para dispositivos que están unidos a un dominio de Active Directory y no se administran mediante una solución de administración de dispositivos. La directiva de grupo también se puede usar para dispositivos que no están unidos a un dominio de Active Directory mediante el editor de directivas de grupo local.
  • Microsoft Configuration Manager: esta opción se puede usar para dispositivos administrados por Microsoft Configuration Manager mediante el agente de administración de BitLocker. Para obtener más información sobre las opciones para configurar BitLocker a través de Microsoft Configuration Manager, consulte Implementación de la administración de BitLocker.

Nota

Windows Server no admite la configuración de BitLocker mediante CSP o Microsoft Configuration Manager. Use GPO en su lugar.

Aunque muchos de los valores de la directiva de BitLocker se pueden configurar con CSP y GPO, hay algunas opciones que solo están disponibles mediante una de las opciones. Para obtener información sobre la configuración de directiva disponible para CSP y GPO, revise la sección Configuración de directiva de BitLocker.

Requisitos de licencia y de la edición de Windows

En la tabla siguiente se enumeran las ediciones de Windows que admiten la administración de BitLocker:

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education

Los derechos de licencia de administración de BitLocker se conceden mediante las siguientes licencias:

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5
No

Se puede obtener más información sobre las licencias de Windows en Información general sobre las licencias de Windows.

Configuración de directiva de BitLocker

En esta sección se describen los valores de directiva para configurar BitLocker mediante el proveedor de servicios de configuración (CSP) y la directiva de grupo (GPO).

Importante

La mayoría de la configuración de directiva de BitLocker se aplica cuando BitLocker está activado inicialmente para una unidad. El cifrado no se reinicia si cambia la configuración.

Lista de configuración de directivas

La lista de configuraciones se ordena alfabéticamente y se organiza en cuatro categorías:

  • Configuración común: configuración aplicable a todas las unidades protegidas por BitLocker
  • Unidad del sistema operativo: configuración aplicable a la unidad donde está instalado Windows
  • Unidades de datos fijas: configuración aplicable a las unidades locales, excepto la unidad del sistema operativo
  • Unidades de datos extraíbles: configuración aplicable a las unidades extraíbles

Seleccione una de las pestañas para ver la lista de opciones disponibles:

En la tabla siguiente se enumeran las directivas de BitLocker aplicables a todos los tipos de unidad, lo que indica si son aplicables a través del proveedor de servicios de configuración (CSP) o la directiva de grupo (GPO). Seleccione el nombre de la directiva para obtener más detalles.

Nombre de directiva CSP GPO
Permitir cifrado de usuario estándar
Elija la carpeta predeterminada para la contraseña de recuperación.
Elección del método de cifrado de unidad y la intensidad del cifrado
Configuración de la rotación de contraseñas de recuperación
Deshabilitación de nuevos dispositivos DMA cuando este equipo está bloqueado
Impedir la sobrescritura de memoria al reiniciar
Proporcionar los identificadores únicos de la organización
Requerir cifrado de dispositivos
Validación del cumplimiento de la regla de uso de certificados de tarjeta inteligente

Permitir cifrado de usuario estándar

Con esta directiva puede aplicar la directiva Requerir cifrado de dispositivos para escenarios en los que se aplica la directiva mientras el usuario que ha iniciado sesión actual no tiene derechos administrativos.

Importante

La advertencia Permitir para otra directiva de cifrado de disco debe deshabilitarse para permitir el cifrado de usuario estándar.

Ruta de acceso
CSP ./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryption
GPO No disponible

Elija la carpeta predeterminada para la contraseña de recuperación.

Especifique la ruta de acceso predeterminada que se muestra cuando el Asistente para configuración de cifrado de unidad BitLocker solicita al usuario que escriba la ubicación de una carpeta en la que guardar la contraseña de recuperación. Puede especificar una ruta de acceso completa o incluir las variables de entorno del equipo de destino en la ruta de acceso:

  • Si la ruta de acceso no es válida, el asistente para la instalación de BitLocker muestra la vista de carpeta de nivel superior del equipo.
  • Si deshabilita o no establece esta configuración de directiva, el Asistente para configuración de BitLocker muestra la vista de carpeta de nivel superior del equipo cuando el usuario elige la opción para guardar la contraseña de recuperación en una carpeta.

Nota

Esta configuración de directiva no impide que el usuario guarde la contraseña de recuperación en otra carpeta.

Ruta de acceso
CSP No disponible
GPO Configuración del> equipoPlantillas> administrativasComponentes de> WindowsCifrado de unidad bitlocker

Elección del método de cifrado de unidad y la intensidad del cifrado

Con esta directiva, puede configurar un algoritmo de cifrado y una intensidad de cifrado de claves para unidades de datos fijas, unidades del sistema operativo y unidades de datos extraíbles individualmente.

Configuración recomendada: XTS-AES algoritmo para todas las unidades. La elección del tamaño de clave, 128 bits o 256 bits depende del rendimiento del dispositivo. Para unidades de disco duro y CPU más eficaces, elija la clave de 256 bits, para los que tengan menos rendimiento, use 128.

Importante

Los reguladores o el sector pueden requerir el tamaño de clave.

Si deshabilita o no establece esta configuración de directiva, BitLocker usa el método de cifrado predeterminado de XTS-AES 128-bit.

Nota

Esta directiva no se aplica a las unidades cifradas. Las unidades cifradas usan su propio algoritmo, que la unidad establece durante la creación de particiones.

Ruta de acceso
CSP ./Device/Vendor/MSFT/BitLocker/EncryptionMethodByDriveType
GPO Configuración del> equipoPlantillas> administrativasComponentes de> WindowsCifrado de unidad bitlocker

Configuración de la rotación de contraseñas de recuperación

Con esta directiva, puede configurar una rotación de contraseñas de recuperación numérica al usarse para el sistema operativo y las unidades fijas en Microsoft Entra dispositivos unidos y unidos Microsoft Entra híbridos.

Los valores posibles son:

  • 0: la rotación de contraseñas de recuperación numérica está desactivada
  • 1: la rotación de contraseñas de recuperación numérica cuando se usa está activada para Microsoft Entra dispositivos unidos. Este es también el valor predeterminado.
  • 2: la rotación de contraseñas de recuperación numérica cuando se usa está activada para dispositivos unidos a Microsoft Entra y Microsoft Entra dispositivos unidos híbridos

Nota

La directiva solo es efectiva cuando el identificador de Micropsoft Entra o la copia de seguridad de Active Directory para la contraseña de recuperación están configuradas para ser necesarias.

  • Para la unidad del sistema operativo: habilite No habilitar BitLocker hasta que la información de recuperación se almacene en AD DS para las unidades del sistema operativo.
  • Para unidades fijas: habilite "No habilitar BitLocker hasta que la información de recuperación se almacene en AD DS para unidades de datos fijas.
Ruta de acceso
CSP ./Device/Vendor/MSFT/BitLocker/ConfigureRecoveryPasswordRotation
GPO No disponible

Deshabilitación de nuevos dispositivos DMA cuando este equipo está bloqueado

Cuando está habilitada, esta configuración de directiva bloquea el acceso directo a la memoria (DMA) para todos los puertos PCI conectables en caliente hasta que un usuario inicia sesión en Windows.

Una vez que un usuario inicia sesión, Windows enumera los dispositivos PCI conectados a los puertos pci de Thunderbolt del host. Cada vez que el usuario bloquea el dispositivo, DMA se bloquea en los puertos PCI thunderbolt de conexión activa sin dispositivos secundarios, hasta que el usuario vuelve a iniciar sesión.

Los dispositivos que ya se enumeraron cuando se desbloqueó el dispositivo seguirán funcionando hasta que se desenchufe o el sistema se reinicie o hiberna.

Esta configuración de directiva solo se aplica cuando BitLocker o el cifrado de dispositivo están habilitados.

Importante

Esta directiva no es compatible con Kernel DMA Protection. Se recomienda deshabilitar esta directiva si el sistema admite kernel DMA Protection, ya que Kernel DMA Protection proporciona mayor seguridad para el sistema. Para obtener más información acerca de Kernel DMA Protection, consulte Protección contra DMA del kernel.

Ruta de acceso
CSP No disponible
GPO Configuración del> equipoPlantillas> administrativasComponentes de> WindowsCifrado de unidad bitlocker

Impedir la sobrescritura de memoria al reiniciar

Esta configuración de directiva se usa para controlar si la memoria del equipo se sobrescribe cuando se reinicia el dispositivo. Los secretos de BitLocker incluyen el material de clave que se usa para cifrar los datos.

  • Si habilita esta configuración de directiva, la memoria no se sobrescribe cuando se reinicia el equipo. Evitar la sobrescritura de memoria puede mejorar el rendimiento del reinicio, pero aumenta el riesgo de exponer secretos de BitLocker.
  • Si deshabilita o no establece esta configuración de directiva, los secretos de BitLocker se quitan de la memoria cuando se reinicia el equipo.

Nota

Esta configuración de directiva solo se aplica cuando está habilitada la protección de BitLocker.

Ruta de acceso
CSP No disponible
GPO Configuración del> equipoPlantillas> administrativasComponentes de> WindowsCifrado de unidad bitlocker

Proporcionar los identificadores únicos de la organización

Esta configuración de directiva permite asociar identificadores organizativos únicos a una unidad cifrada con BitLocker. Los identificadores se almacenan como campo de identificación y campo de identificación permitido:

  • El campo de identificación permite asociar un identificador organizativo único a unidades protegidas por BitLocker. Este identificador se agrega automáticamente a las nuevas unidades protegidas por BitLocker y se puede actualizar en unidades protegidas con BitLocker existentes mediante la herramienta de configuración cifrado de unidad bitlocker (manage-bde.exe)
  • El campo de identificación permitido se usa en combinación con la opción Denegar el acceso de escritura a unidades extraíbles no protegidas por la directiva de BitLocker para ayudar a controlar el uso de unidades extraíbles en su organización. Es una lista separada por comas de campos de identificación de su organización u otras organizaciones externas. Puede configurar los campos de identificación en unidades existentes mediante manage-bde.exe.

Si habilita esta configuración de directiva, puede configurar el campo de identificación en la unidad protegida por BitLocker y cualquier campo de identificación permitido que use su organización. Cuando una unidad protegida por BitLocker se monta en otro dispositivo habilitado para BitLocker, el campo de identificación y el campo de identificación permitido se usan para determinar si la unidad pertenece a otra organización.

Si deshabilita o no establece esta configuración de directiva, no se requiere el campo de identificación.

Importante

Los campos de identificación son necesarios para la administración de agentes de recuperación de datos basados en certificados en unidades protegidas por BitLocker. BitLocker solo administra y actualiza los agentes de recuperación de datos basados en certificados cuando el campo de identificación está presente en una unidad y es idéntico al valor configurado en el dispositivo. El campo de identificación puede tener cualquier valor de 260 caracteres o menos.

Ruta de acceso
CSP ./Device/Vendor/MSFT/BitLocker/IdentificationField
GPO Configuración del> equipoPlantillas> administrativasComponentes de> WindowsCifrado de unidad bitlocker

Requerir cifrado de dispositivos

Esta configuración de directiva determina si BitLocker es necesario:

Nota

Normalmente, BitLocker sigue la configuración elegir método de cifrado de unidad y directiva de seguridad de cifrado. Sin embargo, esta configuración de directiva se omitirá para el cifrado automático de unidades fijas y el cifrado automático de unidades del sistema operativo.

Los volúmenes de datos fijos cifrados se tratan de forma similar a los volúmenes del sistema operativo, pero deben cumplir otros criterios para poder cifrarse:

  • No debe ser un volumen dinámico
  • No debe ser una partición de recuperación
  • No debe ser un volumen oculto
  • No debe ser una partición del sistema
  • No debe estar respaldado por el almacenamiento virtual.
  • No debe tener una referencia en el almacén BCD.

Nota

Solo se admite el cifrado de disco completo cuando se usa esta directiva para el cifrado silencioso. En el caso del cifrado no silencioso, el tipo de cifrado dependerá del tipo De aplicación del cifrado de unidad en las unidades del sistema operativo y de la aplicación del tipo de cifrado de unidad en las directivas de unidades de datos fijas configuradas en el dispositivo.

Ruta de acceso
CSP ./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryption
GPO No disponible

Validación del cumplimiento de la regla de uso de certificados de tarjeta inteligente

Esta configuración de directiva se usa para determinar qué certificado usar con BitLocker mediante la asociación de un identificador de objeto (OID) de un certificado de tarjeta inteligente a una unidad protegida por BitLocker. El identificador de objeto se especifica en el uso mejorado de claves (EKU) de un certificado.

BitLocker puede identificar qué certificados se pueden usar para autenticar un certificado de usuario en una unidad protegida por BitLocker haciendo coincidir el identificador de objeto del certificado con el identificador de objeto definido por esta configuración de directiva. El OID predeterminado es 1.3.6.1.4.1.311.67.1.1.

Si habilita esta configuración de directiva, el identificador de objeto especificado en el campo Identificador de objeto debe coincidir con el identificador de objeto del certificado de tarjeta inteligente. Si deshabilita o no establece esta configuración de directiva, se usa el OID predeterminado.

Nota

BitLocker no requiere que un certificado tenga un atributo EKU; sin embargo, si uno está configurado para el certificado, debe establecerse en un identificador de objeto que coincida con el identificador de objeto configurado para BitLocker.

Ruta de acceso
CSP No disponible
GPO Configuración del> equipoPlantillas> administrativasComponentes de> WindowsCifrado de unidad bitlocker

Cumplimiento de bitlocker y configuración de directivas

Si un dispositivo no es compatible con la configuración de directiva configurada, es posible que BitLocker no esté activado o que la configuración de BitLocker se modifique hasta que el dispositivo esté en un estado compatible. Cuando una unidad deja de cumplir la configuración de directiva, solo se permiten los cambios en la configuración de BitLocker que la harán cumplir. Este escenario podría producirse, por ejemplo, si una unidad cifrada anteriormente no es compatible con un cambio de configuración de directiva.

Si es necesario realizar varios cambios para que la unidad se cumpla, es posible que sea necesario suspender la protección de BitLocker, realizar los cambios necesarios y, a continuación, reanudar la protección. Esta situación podría producirse, por ejemplo, si se configura inicialmente una unidad extraíble para desbloquear con una contraseña y, a continuación, se cambia la configuración de directiva para requerir tarjetas inteligentes. En este escenario, es necesario suspender la protección de BitLocker, eliminar el método de desbloqueo de contraseña y agregar el método de tarjeta inteligente. Una vez completado este proceso, BitLocker es compatible con la configuración de directiva y se puede reanudar la protección de BitLocker en la unidad.

En otros escenarios, para que la unidad cumpla con un cambio en la configuración de la directiva, es posible que BitLocker tenga que deshabilitarse y descifrar la unidad seguida de volver a habilitar BitLocker y, a continuación, volver a cifrar la unidad. Un ejemplo de este escenario es cuando se cambia el método de cifrado de BitLocker o la intensidad del cifrado.

Para obtener más información sobre cómo administrar BitLocker, revise la guía de operaciones de BitLocker.

Configuración y administración de servidores

A menudo, los servidores se implementan, configuran y administran mediante PowerShell. La recomendación es usar la configuración de directiva de grupo para configurar BitLocker en servidores y para administrar BitLocker mediante PowerShell.

BitLocker es un componente opcional en Windows Server. Siga las instrucciones de Instalación de BitLocker en Windows Server para agregar el componente opcional de BitLocker.

La interfaz mínima de servidor es un requisito previo para algunas de las herramientas de administración de BitLocker. En una instalación de Server Core , primero se deben agregar los componentes de GUI necesarios. Los pasos para agregar componentes de shell a Server Core se describen en Usar características a petición con sistemas actualizados e imágenes revisadas y Cómo actualizar medios de origen locales para agregar roles y características. Si un servidor se instala manualmente, elegir Servidor con experiencia de escritorio es la ruta de acceso más fácil, ya que evita realizar los pasos para agregar una GUI a Server Core.

Los centros de datos que apagan las luces pueden aprovechar la seguridad mejorada de un segundo factor, a la vez que evitan la necesidad de intervención del usuario durante los reinicios si, opcionalmente, usan una combinación de BitLocker (TPM+PIN) y Desbloqueo de red de BitLocker. El desbloqueo de BitLocker en red reúne lo mejor de la protección del hardware, la dependencia de ubicación y el desbloqueo automático, mientras está en la ubicación de confianza. Para conocer los pasos de configuración, consulte Desbloqueo de red.

Pasos siguientes

Revise la guía de operaciones de BitLocker para obtener información sobre cómo usar diferentes herramientas para administrar y operar BitLocker.

Guía de operaciones de BitLocker >