Preguntas más frecuentes sobre la información general y los requisitos de BitLocker

Se aplica a:

  • Windows 10 y versiones posteriores
  • Windows Server 2016 y versiones posteriores

¿Cómo funciona BitLocker?

Funcionamiento de BitLocker con unidades de sistema operativo

BitLocker se puede usar para mitigar el acceso a datos no autorizados en equipos perdidos o robados mediante el cifrado de todos los archivos de usuario y archivos del sistema en la unidad del sistema operativo, incluidos los archivos de intercambio y los archivos de hibernación, y comprobar la integridad de los componentes de arranque temprano y los datos de configuración de arranque.

Funcionamiento de BitLocker con unidades de datos fijas y extraíbles

BitLocker se puede usar para cifrar todo el contenido de una unidad de datos. directiva de grupo se pueden usar para requerir que BitLocker esté habilitado en una unidad antes de que el equipo pueda escribir datos en la unidad. BitLocker se puede configurar con varios métodos de desbloqueo para unidades de datos y una unidad de datos admite varios métodos de desbloqueo.

¿BitLocker admite la autenticación multifactor?

Sí, BitLocker admite la autenticación multifactor para unidades de sistema operativo. Si BitLocker está habilitado en un equipo que tiene una versión de TPM 1.2 o posterior, se pueden usar formas adicionales de autenticación con la protección de TPM.

¿Cuáles son los requisitos de hardware y software de BitLocker?

Para conocer los requisitos, consulta Requisitos del sistema.

Nota

BitLocker no admite discos dinámicos. Los volúmenes de datos dinámicos no se mostrarán en el Panel de control. Aunque el volumen del sistema operativo siempre se mostrará en el Panel de control, independientemente de si se trata de un disco dinámico, si es un disco dinámico, BitLocker no puede protegerlo.

¿Por qué se necesitan dos particiones? ¿Por qué la unidad del sistema debe ser tan grande?

Se necesitan dos particiones para ejecutar BitLocker porque la comprobación de integridad del sistema y la autenticación previa al inicio deben producirse en una partición independiente de la unidad del sistema operativo cifrada. Esta configuración te ayuda a proteger el sistema operativo y la información de la unidad cifrada.

¿Qué módulos de plataforma segura (TPM) admite BitLocker?

BitLocker admite TPM versión 1.2 o posterior. La compatibilidad de BitLocker con TPM 2.0 requiere unified Extensible Firmware Interface (UEFI) para el dispositivo.

Nota

TPM 2.0 no se admite en los modos heredado y CSM del BIOS. Los dispositivos con TPM 2.0 deben tener configurado su modo BIOS solo como UEFI nativa. Las opciones del Módulo de soporte de compatibilidad (CSM) y del Módulo heredado deben deshabilitarse. Para mayor seguridad, habilite la característica Arranque seguro.

El sistema operativo instalado en el hardware en modo heredado impedirá que el sistema operativo arranque cuando el modo BIOS se cambie a UEFI. Use la herramienta MBR2GPT antes de cambiar el modo BIOS que preparará el sistema operativo y el disco para admitir UEFI.

¿Cómo puedo saber si un equipo tiene un TPM?

A partir de Windows 10, versión 1803, el estado del TPM se puede comprobar en Windows Defenderdetalles del procesador de seguridad deseguridad> de dispositivos de Security Center>. En versiones anteriores de Windows, abra la consola MMC de TPM (tpm.msc) y busque en el encabezado Estado . Get-TPM** también se puede ejecutar en PowerShell para obtener más detalles sobre el TPM en el equipo actual.

¿Puedo usar BitLocker en una unidad del sistema operativo sin un TPM?

Sí, BitLocker se puede habilitar en una unidad del sistema operativo sin tpm versión 1.2 o posterior, si el firmware del BIOS o UEFI tiene la capacidad de leer desde una unidad flash USB en el entorno de arranque. BitLocker no desbloqueará la unidad protegida hasta que el TPM del equipo o una unidad flash USB que contenga la clave de inicio de BitLocker liberen por primera vez la clave maestra de volumen de BitLocker. Sin embargo, los equipos sin TPMs no podrán usar la comprobación de integridad del sistema que BitLocker también puede proporcionar. Para ayudar a determinar si un equipo puede leer desde un dispositivo USB durante el proceso de arranque, usa la comprobación del sistema de BitLocker como parte del proceso de configuración de BitLocker. Esta comprobación del sistema realiza pruebas para confirmar que el equipo puede leer correctamente desde los dispositivos USB en el momento adecuado y que el equipo cumple con otros requisitos de BitLocker.

¿Cómo puedo obtener soporte de BIOS para el TPM de mi equipo?

Ponte en contacto con el fabricante del equipo para solicitar un firmware de arranque BIOS o UEFI compatible con Trusted Computing Group (TCG) que cumpla los requisitos siguientes:

  • Es compatible con los estándares tcg para un equipo cliente.
  • Tiene un mecanismo de actualización seguro para ayudar a evitar que un firmware de arranque o BIOS malintencionado se instale en el equipo.

¿Qué credenciales son necesarias para usar BitLocker?

Para activar, desactivar o cambiar las configuraciones de BitLocker en el sistema operativo y las unidades de datos fijas, es necesario pertenecer al grupo de administradores local. Los usuarios estándar pueden activar, desactivar o cambiar las configuraciones de BitLocker en unidades de datos extraíbles.

¿Cuál es el orden de arranque recomendado para los equipos que vayan a estar protegidos con BitLocker?

Las opciones de inicio del equipo deben configurarse para que la unidad de disco duro esté en primer lugar en el orden de arranque, antes que cualquier otra unidad, como unidades de CD/DVD o unidades USB. Si el disco duro no es el primero y el equipo normalmente se inicia desde el disco duro, es posible que se detecte o se asuma un cambio de orden de arranque cuando se encuentre un medio extraíble durante el arranque. El orden de arranque suele afectar a la medición del sistema verificada por BitLocker y un cambio en el orden de arranque provocará un aviso para la clave de recuperación de BitLocker. Por la misma razón, si se usa un portátil con una estación de acoplamiento, asegúrese de que la unidad de disco duro está en primer lugar en el orden de arranque, tanto cuando el portátil está acoplado como desacoplado.