Introducción al cifrado de dispositivos BitLocker
En este artículo se explica cómo BitLocker Device Encryption puede ayudar a proteger los datos en dispositivos que ejecutan Windows. Consulte BitLocker para obtener información general y una lista de artículos.
Cuando los usuarios viajan, los datos confidenciales de su organización van con ellos. Cualquier lugar en el que se almacenen los datos confidenciales debe estar protegido contra el acceso no autorizado. Windows tiene una larga historia de proporción de soluciones de protección de datos en reposo que protegen frente a atacantes malintencionados, empezando por el sistema de archivo cifrado en el sistema operativo Windows 2000. Más recientemente, BitLocker ha proporcionado cifrado para unidades completas y unidades portátiles. Windows mejora de forma coherente la protección de datos al mejorar las opciones existentes y proporcionar nuevas estrategias.
Protección de datos en Windows 11, Windows 10 y Windows 7
En la tabla siguiente se enumeran los problemas específicos de protección de datos y cómo se abordan en Windows 11, Windows 10 y Windows 7.
| Windows 7 | Windows 11 y Windows 10 |
|---|---|
| Cuando se usa BitLocker con un PIN para proteger el inicio, los equipos como quioscos no se pueden reiniciar de forma remota. | Los dispositivos Windows modernos están cada vez más protegidos con El cifrado de dispositivos BitLocker de fábrica y admiten el inicio de sesión único para proteger sin problemas las claves de cifrado de BitLocker frente a ataques de arranque en frío. El desbloqueo en red permite que los equipos se inicien automáticamente cuando estén conectados a la red interna. |
| Cuando BitLocker está habilitado, el proceso de aprovisionamiento puede tardar varias horas. | El aprovisionamiento previo de BitLocker previamente, las unidades de disco duro cifradas y el cifrado solo en espacio utilizado permite a los administradores habilitar BitLocker rápidamente en equipos nuevos. |
| No se admite el uso de BitLocker con unidades de cifrado automático (SED). | BitLocker admite el cifrado de descarga para las unidades de disco duro cifradas. |
| Los administradores deben usar herramientas independientes para administrar las unidades de disco duro cifradas. | BitLocker admite unidades de disco duro cifradas con hardware integrado de cifrado incorporado, que permite a los administradores usar las herramientas administrativas de BitLocker con las que están familiarizados para administrarlas. |
| El cifrado de una nueva unidad flash puede tardar más de 20 minutos. | El cifrado de espacio usado solo en BitLocker To Go permite a los usuarios cifrar las unidades de datos extraíbles en segundos. |
| BitLocker puede requerir que los usuarios escriban una clave de recuperación cuando se producen cambios de configuración del sistema. | BitLocker requiere que el usuario escriba una clave de recuperación solo cuando se produzcan daños en el disco o cuando se pierda el PIN o la contraseña. |
| Los usuarios deben especificar un PIN para iniciar el equipo y luego su contraseña para iniciar sesión en Windows. | Los dispositivos Windows modernos están cada vez más protegidos con BitLocker Device Encryption de forma inmediata y admiten el inicio de sesión único para ayudar a proteger las claves de cifrado de BitLocker frente a ataques de arranque en frío. |
Prepararse para el cifrado de unidades y archivos
El mejor tipo de medidas de seguridad es transparente para el usuario durante la implementación y el uso. Cada vez que hay un posible retraso o dificultad debido a una característica de seguridad, hay una fuerte probabilidad de que los usuarios intenten omitir la seguridad. Esta situación es especialmente cierta para la protección de datos y es un escenario que las organizaciones deben evitar. Si planea cifrar volúmenes completos, dispositivos extraíbles o archivos individuales, Windows 11 y Windows 10 satisfacer estas necesidades proporcionando soluciones simplificadas y utilizables. De hecho, se pueden realizar varios pasos de antemano para preparar el cifrado de datos y hacer que la implementación sea rápida y fluida.
Aprovisionamiento previo de TPM
En Windows 7, preparar el TPM ofrecía algunos desafíos:
- Para activar el TPM es necesario entrar en el firmware bios o UEFI del dispositivo. La activación del TPM en el dispositivo requiere que alguien vaya físicamente a la configuración de firmware del BIOS o UEFI del dispositivo para activar el TPM o para instalar un controlador en Windows para activar el TPM desde Dentro de Windows.
- Cuando el TPM está habilitado, puede requerir uno o varios reinicios.
Esto hizo que la preparación del TPM en Windows 7 resultara problemática. Si el personal de TI aprovisiona nuevos equipos, puede controlar los pasos necesarios para preparar un TPM. Sin embargo, si BitLocker necesitara habilitarse en dispositivos que ya están en manos de los usuarios, esos usuarios probablemente tendrían problemas con los desafíos técnicos. A continuación, el usuario llamaría a TI para obtener soporte técnico o dejaría BitLocker deshabilitado.
Microsoft incluye instrumentación en Windows 11 y Windows 10 que permiten al sistema operativo administrar completamente el TPM. No es necesario entrar en el BIOS y se han eliminado todos los escenarios que requerían un reinicio.
Implementar el cifrado de unidad de disco duro
BitLocker es capaz de cifrar unidades de disco duro completas,como las unidades de datos y de sistema. El aprovisionamiento previo de BitLocker puede reducir considerablemente el tiempo necesario para aprovisionar nuevos equipos con BitLocker habilitado. Con Windows 11 y Windows 10, los administradores pueden activar BitLocker y el TPM desde el entorno de preinstalación de Windows antes de instalar Windows o como parte de una secuencia de tareas de implementación automatizada sin ninguna interacción del usuario. Combinado con el cifrado solo de espacio en disco usado y una unidad principalmente vacía (porque Windows aún no está instalado), solo tarda unos segundos en habilitar BitLocker.
Con las versiones anteriores de Windows, los administradores tenían que habilitar BitLocker después de instalar Windows. Aunque este proceso podría automatizarse, BitLocker tendría que cifrar toda la unidad, un proceso que podría tardar entre varias horas y más de un día en función del tamaño y el rendimiento de la unidad, lo que retrasaba la implementación. Microsoft ha mejorado este proceso a través de varias características de Windows 11 y Windows 10.
Cifrado de dispositivos BitLocker
A partir de Windows 8.1, Windows habilita automáticamente el cifrado de dispositivos BitLocker en dispositivos que admiten el modo de espera moderno. Con Windows 11 y Windows 10, Microsoft ofrece compatibilidad con cifrado de dispositivos BitLocker en una gama mucho más amplia de dispositivos, incluidos los dispositivos que son en espera moderna, y los dispositivos que ejecutan la edición Home de Windows 10 o Windows 11.
Microsoft espera que la mayoría de los dispositivos en el futuro superen los requisitos de Cifrado de dispositivos BitLocker que harán que el cifrado de dispositivos BitLocker sea generalizado en dispositivos Windows modernos. El cifrado de dispositivos BitLocker protege aún más el sistema mediante la implementación transparente del cifrado de datos en todo el dispositivo.
A diferencia de una implementación estándar de BitLocker, El cifrado de dispositivos BitLocker se habilita automáticamente para que el dispositivo siempre esté protegido. En la lista siguiente se describe cómo se habilita automáticamente el cifrado de dispositivos BitLocker:
Cuando se completa una instalación limpia de Windows 11 o Windows 10 y finaliza la experiencia integrada, el equipo se prepara para su primer uso. Como parte de esta preparación, El cifrado de dispositivos BitLocker se inicializa en la unidad del sistema operativo y las unidades de datos fijas en el equipo con una clave clara que es el equivalente del estado de suspensión estándar de BitLocker. En este estado, la unidad se muestra con un icono de advertencia en el Explorador de Windows. El icono de advertencia amarillo se quita después de crear el protector de TPM y se realiza una copia de seguridad de la clave de recuperación, como se explica en los siguientes puntos de viñetas.
Si el dispositivo no está unido a un dominio, se requiere una cuenta Microsoft a la que se hayan concedido privilegios administrativos en el dispositivo. Cuando el administrador usa una cuenta de Microsoft para iniciar sesión, se quita la clave sin cifrar, se carga una clave de recuperación en la cuenta de Microsoft online y se crea un protector TPM. Si un dispositivo requiere la clave de recuperación, se guiará al usuario para que use un dispositivo alternativo y vaya a una dirección URL de acceso a la clave de recuperación para recuperar la clave de recuperación mediante sus credenciales de cuenta de Microsoft.
Si el usuario usa una cuenta de dominio para iniciar sesión, la clave sin cifrar no se quita hasta que el usuario une el dispositivo a un dominio y se realiza una copia de seguridad correcta de la clave de recuperación en Servicios de dominio de Active Directory (AD DS). La siguiente configuración de directiva de grupo debe estar habilitada para que se haga una copia de seguridad de la clave de recuperación en AD DS:
Configuración del> equipo Plantillas> administrativas Componentes de> Windows Cifrado >de unidad bitlocker Unidades >del sistema operativoNo habilite BitLocker hasta que la información de recuperación se almacene en AD DS para las unidades del sistema operativo.
Con esta configuración, la contraseña de recuperación se crea automáticamente cuando el equipo se une al dominio y luego la clave de recuperación se guarda en AD DS, se crea el protector de TPM y se quita la clave sin cifrar.
De forma similar al inicio de sesión con una cuenta de dominio, la clave sin cifrar se quita cuando el usuario inicia sesión en una cuenta de Azure AD en el dispositivo. Como se describe en la viñeta anterior, la contraseña de recuperación se crea automáticamente cuando el usuario se autentica en Azure AD. A continuación, la clave de recuperación se guarda en Azure AD, se crea el protector de TPM y se quita la clave sin cifrar.
Microsoft recomienda habilitar automáticamente el cifrado de dispositivos BitLocker en cualquier sistema que lo admita. Sin embargo, el proceso de cifrado automático de dispositivos BitLocker se puede evitar cambiando la siguiente configuración del Registro:
- Subclave:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker - Tipo:
REG_DWORD - Valor:
PreventDeviceEncryptionigual a1(True)
Los administradores pueden administrar dispositivos unidos a un dominio que tengan el cifrado de dispositivos BitLocker habilitado a través de la administración y supervisión de Microsoft BitLocker (MBAM). En este caso, El cifrado de dispositivos BitLocker hace que las opciones adicionales de BitLocker estén disponibles automáticamente. No se requiere ninguna conversión o cifrado y MBAM puede administrar la directiva de BitLocker completa si se requiere algún cambio de configuración.
Nota
El cifrado de dispositivos BitLocker usa el método de cifrado de 128 bits XTS-AES. Si se necesita un método de cifrado o una intensidad de cifrado diferentes, pero el dispositivo ya está cifrado, primero debe descifrarse antes de que se pueda aplicar el nuevo método de cifrado o la intensidad del cifrado. Una vez descifrado el dispositivo, se pueden aplicar diferentes configuraciones de BitLocker.
Cifrado de espacio en disco usado
BitLocker en versiones anteriores de Windows podría tardar mucho tiempo en cifrar una unidad porque cifraba todos los bytes del volumen, incluidas las áreas que no tenían datos. El cifrado de todos los bytes del volumen, incluidas las áreas que no tenían datos, se conoce como cifrado de disco completo. El cifrado de disco completo sigue siendo la manera más segura de cifrar una unidad, especialmente si una unidad ha contenido previamente datos confidenciales que se han movido o eliminado. Si una unidad anteriormente tenía datos confidenciales que se han movido o eliminado, los seguimientos de los datos confidenciales podrían permanecer en partes de la unidad marcadas como no utilizadas.
Para reducir el tiempo de cifrado, BitLocker en Windows 11 y Windows 10 permitir que los usuarios decidan cifrar solo las áreas del disco que contienen datos. Las áreas del disco que no contienen datos y están vacías no se cifrarán. Los datos nuevos se cifran a medida que se crean. En función de la cantidad de datos de la unidad, esta opción puede reducir el tiempo de cifrado inicial en más del 99 %.
Tenga cuidado al cifrar solo el espacio usado en un volumen existente en el que es posible que los datos confidenciales ya se hayan almacenado en un estado no cifrado. Cuando se usa el cifrado de espacio usado, los sectores en los que se almacenan datos no cifrados anteriormente se pueden recuperar a través de herramientas de recuperación de disco hasta que se sobrescriban por nuevos datos cifrados. Por el contrario, cifrar solo el espacio usado en un volumen nuevo puede reducir significativamente el tiempo de implementación sin el riesgo de seguridad, ya que todos los datos nuevos se cifrarán a medida que se escriben en el disco.
Compatibilidad con unidad de disco duro cifrado
Los SED han estado disponibles durante años, pero Microsoft no pudo admitir su uso con algunas versiones anteriores de Windows porque las unidades carecían de características importantes de administración de claves. Microsoft trabajó con proveedores de almacenamiento para mejorar las funcionalidades del hardware y ahora BitLocker admite la próxima generación de SED, que se denominan unidades de disco duro cifradas.
Las unidades de disco duro cifradas proporcionan funcionalidades criptográficas incorporadas para cifrar los datos en las unidades. Esta característica mejora el rendimiento de la unidad y del sistema mediante la descarga de cálculos criptográficos desde el procesador del equipo a la propia unidad. La unidad cifra rápidamente los datos mediante hardware dedicado y diseñado específicamente. Si planea usar el cifrado de unidades completas con Windows 11 o Windows 10, Microsoft recomienda investigar a los fabricantes y modelos de discos duros para determinar si alguno de sus discos duros cifrados cumple los requisitos de seguridad y presupuesto.
Para obtener más información sobre las unidades de disco duro cifradas, consulte Disco duro cifrado.
Protección de la información de arranque
Una implementación eficaz de la protección de la información, como la mayoría de los controles de seguridad, considera la facilidad de uso y la seguridad. Por lo general, los usuarios prefieren una experiencia de seguridad simple. De hecho, cuanto más transparente se vuelve una solución de seguridad, más probable es que los usuarios cumplan con ella.
Es fundamental que las organizaciones protejan la información en sus equipos independientemente del estado del equipo o de la intención de los usuarios. Esta protección no debe ser complicada para los usuarios. Una situación indeseable y anteriormente común es cuando se solicita al usuario la entrada durante el arranque previo y, después, de nuevo durante el inicio de sesión de Windows. Debe evitarse complicar a los usuarios para que escriban más de una vez.
Windows 11 y Windows 10 pueden habilitar una verdadera experiencia de SSO desde el entorno de arranque previo en dispositivos modernos y, en algunos casos, incluso en dispositivos más antiguos cuando existen configuraciones sólidas de protección de la información. El TPM de manera aislada es capaz de proteger la clave de cifrado de BitLocker de forma segura mientras que esté en reposo, y puede desbloquear la unidad del sistema operativo. Cuando la clave está en uso y, por consiguiente, en la memoria, una combinación de hardware y las funcionalidades de Windows puede proteger la clave e impedir el acceso no autorizado a través de ataques de arranque en frío. Aunque hay disponibles otras contramedidas como el desbloqueo basado en PIN, no son tan fáciles de usar; dependiendo de la configuración de los dispositivos, es posible que no ofrezcan seguridad adicional en lo que respecta a la protección de claves. Para obtener más información, vea Contramedidas de BitLocker.
Administrar contraseñas y PIN
Cuando BitLocker está habilitado en una unidad del sistema y el equipo tiene un TPM, se puede requerir a los usuarios que escriban un PIN antes de que BitLocker desbloquee la unidad. Este requisito de PIN puede impedir que un atacante que tenga acceso físico a un equipo incluso acceda al inicio de sesión de Windows, lo que hace que sea casi imposible que el atacante acceda o modifique los datos de usuario y los archivos del sistema.
Requerir un PIN en el inicio es una característica de seguridad útil porque actúa como un segundo factor de autenticación. Sin embargo, esta configuración conlleva algunos costos. Uno de los costos más importantes es la necesidad de cambiar el PIN con regularidad. En las empresas que usaban BitLocker con Windows 7 y el sistema operativo Windows Vista, los usuarios tenían que ponerse en contacto con los administradores de sistemas para actualizar su PIN o contraseña de BitLocker. Este requisito no solo aumentó los costos de administración, sino que hizo que los usuarios no quisieran cambiar su PIN o contraseña de BitLocker con regularidad.
Windows 11 y Windows 10 los usuarios pueden actualizar sus PIN y contraseñas de BitLocker por sí mismos, sin credenciales de administrador. Esta característica no solo reduce los costos de soporte técnico, sino que podría mejorar también la seguridad, ya que anima a los usuarios a cambiar su PIN y las contraseñas más a menudo. Además, los dispositivos en espera moderna no requieren un PIN para el inicio: están diseñados para iniciarse con poca frecuencia y tener otras mitigaciones en su lugar que reduzcan aún más la superficie expuesta a ataques del sistema.
Para obtener más información sobre cómo funciona la seguridad de inicio y las contramedidas que proporcionan Windows 11 y Windows 10, consulte Protección de BitLocker frente a ataques anteriores al arranque.
Configurar desbloqueo en red
Algunas organizaciones tienen requisitos de seguridad de datos específicos de ubicación. Los requisitos de seguridad de datos específicos de ubicación son más comunes en entornos donde los datos de alto valor se almacenan en equipos. El entorno de red puede proporcionar una protección de datos crucial y aplicar la autenticación obligatoria. Por lo tanto, la directiva indica que esos equipos no deben salir del edificio ni desconectarse de la red corporativa. Las protecciones como los bloqueos de seguridad física y las geovallas pueden ayudar a reforzar esta directiva como controles reactivos. Más allá de estas medidas de seguridad, es necesario un control de seguridad proactivo que conceda acceso a los datos solo cuando el equipo esté conectado a la red corporativa.
El desbloqueo de red permite a los equipos protegidos con BitLocker iniciarse automáticamente cuando estén conectados a una red corporativa con cable en el que se ejecutan los servicios de implementación de Windows. Cada vez que el equipo no esté conectado a la red corporativa, un usuario debe escribir un PIN para desbloquear la unidad (si el desbloqueo basado en PIN está habilitado). El desbloqueo de la red requiere la infraestructura siguiente:
Los equipos cliente que tienen Unified Extensible Firmware Interface (UEFI) versión de firmware 2.3.1 o posterior, que admiten el Protocolo de configuración dinámica de host (DHCP)
Un servidor que ejecuta al menos Windows Server 2012 con el rol servicios de implementación de Windows (WDS)
Un servidor con el rol de servidor DHCP instalado
Para obtener más información sobre cómo configurar la característica de desbloqueo de red, vea BitLocker: Cómo habilitar el desbloqueo de red.
Administración y supervisión de Microsoft BitLocker
Parte del paquete de optimización de escritorio de Microsoft, Administración y supervisión de Microsoft BitLocker (MBAM) facilita la administración y compatibilidad con BitLocker y BitLocker To Go. MBAM 2.5 con Service Pack 1, la versión más reciente, tiene las siguientes características clave:
Permite a los administradores automatizar el proceso de cifrado de volúmenes en los equipos cliente en toda la empresa.
Permite que los responsables de seguridad determinen rápidamente el estado de cumplimiento de equipos individuales o incluso de la empresa.
Proporciona informes centralizados y administración de hardware con Microsoft Configuration Manager.
Reduce la carga de trabajo en el servicio de asistencia para ayudar a los usuarios finales con las solicitudes de recuperación de BitLocker.
Permite a los usuarios finales recuperar dispositivos cifrados de forma independiente mediante el Portal de autoservicio.
Permite que los agentes de seguridad auditen fácilmente el acceso a información clave de recuperación.
Permite a los usuarios de Windows Enterprise continuar trabajando en cualquier lugar con la garantía de que sus datos de la empresa están protegidos.
Aplica las opciones de directiva de cifrado de BitLocker establecidas para la empresa.
Se integra con herramientas de administración existentes, como Microsoft Configuration Manager.
Ofrece una experiencia de usuario de recuperación de TI personalizable.
Admite Windows 11 y Windows 10.
Importante
Las empresas pueden usar MBAM para administrar equipos cliente con BitLocker unidos a un dominio local hasta que finalice la compatibilidad estándar en julio de 2019, o bien podrían recibir soporte extendido hasta abril de 2026.
En el futuro, la funcionalidad de MBAM se incorporará a Configuration Manager. Para obtener más información, vea Planear la administración de BitLocker.
Las empresas que no usan Configuration Manager pueden usar las características integradas de Azure AD y Microsoft Intune para la administración y supervisión. Para obtener más información, consulte Supervisión del cifrado de dispositivos con Intune.