Introducción a la recuperación de BitLocker
La recuperación de BitLocker es el proceso por el que se puede restaurar el acceso a una unidad protegida por BitLocker si la unidad no se desbloquea mediante su mecanismo de desbloqueo predeterminado.
En este artículo se describen los escenarios que desencadenan la recuperación de BitLocker, cómo configurar dispositivos para guardar la información de recuperación y las opciones para restaurar el acceso a una unidad bloqueada.
Escenarios de recuperación de BitLocker
En la lista siguiente se proporcionan ejemplos de eventos comunes que hacen que un dispositivo entre en el modo de recuperación de BitLocker al iniciar Windows:
Escribir el PIN incorrecto demasiadas veces
Desactivar la compatibilidad para leer el dispositivo USB en el entorno de inicio previo desde el firmware UEFI o BIOS si se usan claves basadas en USB en lugar de un TPM
Tener a la unidad de CD o de DVD antes que el disco duro en el orden de arranque del BIOS (común en el caso de máquinas virtuales)
Acoplar o desacoplar un equipo portátil
Cambios en la tabla de partición NTFS en el disco, incluida la creación, eliminación o cambio del tamaño de una partición principal.
Cambios en el administrador de inicio
Desactivar, deshabilitar o borrar el TPM
Error de prueba automática de TPM
Actualizar la placa base a una nueva, con un nuevo TPM
Actualizar los componentes de inicio anticipado críticos, como una actualización de firmware UEFI o BIOS
Ocultar el TPM del sistema operativo
Modificar los registros de configuración de la plataforma (PCR) que usa el perfil de validación del TPM
Mover una unidad protegida con BitLocker a un equipo nuevo
En dispositivos con TPM 1.2, cambiar el orden del dispositivo de inicio de firmware o BIOS
Superar el número máximo permitido de intentos de inicio de sesión con errores
Nota
Para aprovechar esta funcionalidad, debe configurar la configuración de directiva Inicio de sesión interactivo: Umbral de bloqueo de la cuenta de equipo que se encuentra en Configuración del equipo>Configuración de Windows>Configuración de seguridad>Directivas locales>Opciones de seguridad. Como alternativa, use la configuración de directiva Exchange ActiveSyncMaxFailedPasswordAttempts o el proveedor de soluciones en la nube (CSP) de DeviceLock.
Como parte del proceso de recuperación de BitLocker, se recomienda determinar qué hizo que un dispositivo entrara en modo de recuperación. El análisis de la causa principal puede ayudar a evitar que el problema vuelva a producirse en el futuro. Por ejemplo, si determinas que un atacante ha modificado un dispositivo obteniendo acceso físico, puedes implementar nuevas directivas de seguridad para el seguimiento de quién tiene presencia física.
Para escenarios planeados, como un hardware conocido o actualizaciones de firmware, puedes impedir el inicio de la recuperación suspendiendo temporalmente la protección de BitLocker. Suspender BitLocker deja la unidad completamente cifrada y el administrador puede reanudar rápidamente la protección de BitLocker después de que la tarea planeada esté completada. Usar la suspensión y reanudación también cierra la clave de cifrado de nuevo sin necesidad de escribir la clave de recuperación.
Nota
Si se suspende, BitLocker reanuda automáticamente la protección al reiniciar el dispositivo, a menos que se especifique un recuento de reinicio mediante PowerShell o la herramienta de línea de comandos manage-bde.exe. Para obtener más información sobre cómo suspender BitLocker, revise la guía de operaciones de BitLocker.
Sugerencia
La recuperación se describe en el contexto del comportamiento no planeado o no deseado. Sin embargo, la recuperación también puede deberse a un escenario de producción previsto, por ejemplo, para administrar el control de acceso. Cuando los dispositivos se vuelven a implementar en otros departamentos o empleados de la organización, BitLocker se puede forzar a la recuperación antes de que el dispositivo se entregue a un nuevo usuario.
Cifrado de dispositivo BitLocker y Windows RE
El Entorno de recuperación de Windows (Windows RE) se puede usar para recuperar el acceso a una unidad protegida con BitLocker Device Encryption. Si un dispositivo no puede iniciar después de dos errores, se iniciará automáticamente la reparación de inicio.
Cuando se inicia la reparación de inicio automáticamente debido a errores de inicio, solo ejecuta las reparaciones del sistema operativo y del controlador, siempre que los registros de inicio o cualquier punto de descarga de bloqueo disponible apunten a un archivo dañado específico. En los dispositivos que incluyan firmware para admitir medidas DE SSD específicas para PCR[7], el TPM valida que Windows RE es un entorno operativo de confianza y desbloqueará cualquier unidad protegida con BitLocker si Windows RE no se ha modificado. Si se ha modificado el entorno de Windows RE, por ejemplo se ha deshabilitado el TPM, las unidades permanecen bloqueadas hasta que se proporcione la clave de recuperación de BitLocker. Si la reparación de inicio no puede ejecutarse automáticamente y, en su lugar, Windows RE se inicia manualmente desde un disco de reparación, debe proporcionarse la clave de recuperación de BitLocker para desbloquear las unidades protegidas de BitLocker.
Windows RE también pedirá la clave de recuperación de BitLocker al iniciar un comando Quitar todo el restablecimiento de Windows RE en un dispositivo que usa el protector de unidad TPM + PIN o Contraseña para el sistema operativo. Si inicia la recuperación de BitLocker en un dispositivo sin teclado con protección de solo TPM, Windows RE, no el administrador de arranque, pedirá la clave de recuperación de BitLocker. Después de escribir la clave, puede acceder a Windows RE herramientas de solución de problemas o iniciar Windows con normalidad.
La pantalla de recuperación de BitLocker que muestra Windows RE tiene las herramientas de accesibilidad, como narrador y teclado en pantalla, para ayudarle a escribir la clave de recuperación de BitLocker:
- Para activar el narrador durante la recuperación de BitLocker en Windows RE, presione WIN + CTRL + Entrar
- Para activar el teclado en pantalla, pulse en un control de entrada de texto
Si el administrador de arranque de Windows solicita la clave de recuperación de BitLocker, es posible que esas herramientas no estén disponibles.
Opciones de recuperación de BitLocker
En un escenario de recuperación, es posible que estén disponibles las siguientes opciones para restaurar el acceso a la unidad, en función de la configuración de directiva aplicada a los dispositivos:
- Contraseña de recuperación: número de 48 dígitos que se usa para desbloquear un volumen cuando está en modo de recuperación. La contraseña de recuperación puede guardarse como un archivo de texto, imprimirse o almacenarse en Microsoft Entra ID o Active Directory. El usuario puede proporcionar una contraseña de recuperación, si está disponible
- Clave de recuperación: una clave de cifrado almacenada en medios extraíbles que se puede usar para recuperar datos cifrados en un volumen de BitLocker. El nombre de archivo tiene el formato
<protector_id>.bek. Para la unidad del sistema operativo, la clave de recuperación se puede usar para obtener acceso al dispositivo si BitLocker detecta una condición que impide que se desbloquee la unidad cuando se inicia el dispositivo. También se puede usar una clave de recuperación para obtener acceso a unidades de datos fijas y unidades extraíbles cifradas con BitLocker, si por alguna razón la contraseña se olvida o el dispositivo no puede acceder a la unidad
- Paquete de claves: clave de descifrado que se puede usar con la herramienta de reparación de BitLocker para reconstruir partes críticas de una unidad y recuperar datos recuperables. Con el paquete de claves y la contraseña de recuperación o la clave de recuperación, se pueden descifrar partes de una unidad protegida con BitLocker dañada. Cada paquete de claves solo funciona para una unidad que tiene el identificador de unidad correspondiente. Un paquete de claves no se genera automáticamente y se puede guardar en un archivo o en Active Directory Domain Services (AD DS). No se puede almacenar un paquete de claves en Microsoft Entra ID
- Certificado del agente de Recuperación de datos: un agente de recuperación de datos (DRA) es un tipo de certificado asociado a una entidad de seguridad de Active Directory y que se puede usar para acceder a las unidades cifradas de BitLocker configuradas con la clave pública coincidente. Un agente de recuperación de datos puede usar sus credenciales para desbloquear la unidad. Si la unidad es una unidad de sistema operativo, se debe montar la unidad como una unidad de datos en otro equipo para que el agente de recuperación de datos la desbloquee
Sugerencia
Los usuarios pueden proporcionar la contraseña de recuperación y la clave de recuperación en el applet de Panel de control (para datos y unidades extraíbles) o en la pantalla de recuperación previa al arranque. Se recomienda configurar las opciones de directiva para personalizar la pantalla de recuperación previa al arranque, por ejemplo, agregando un mensaje personalizado, una dirección URL y una información de contacto del departamento de soporte técnico. Para obtener más información, consulte el artículo pantalla de recuperación previa al arranque de BitLocker.
Al planear el proceso de recuperación de BitLocker, ve primero los procedimientos recomendados actuales de la organización para recuperar información confidencial. Por ejemplo:
| ☑️ | Pregunta |
|---|---|
| 🔲 | ¿Cómo controla la organización las contraseñas perdidas o olvidadas? |
| 🔲 | ¿Cómo realiza tu organización el restablecimiento del PIN de tarjeta inteligente? |
| 🔲 | ¿Los usuarios pueden guardar o recuperar información de recuperación para los dispositivos que poseen? |
| 🔲 | ¿Cuánto desea que los usuarios participen en el proceso de configuración de BitLocker? ¿Desea que los usuarios interactúen con el proceso, sean silenciosos o ambos? |
| 🔲 | ¿Dónde desea almacenar las claves de recuperación de BitLocker? |
| 🔲 | ¿Desea habilitar la rotación de contraseñas de recuperación? |
Responder a las preguntas ayuda a determinar el mejor proceso de recuperación de BitLocker para la organización y a configurar las opciones de directiva de BitLocker en consecuencia. Por ejemplo, si la organización tiene un proceso para restablecer contraseñas, se puede usar un proceso similar para la recuperación de BitLocker. Si los usuarios no pueden guardar o recuperar información de recuperación, la organización puede usar agentes de recuperación de datos (DRA) o realizar una copia de seguridad automática de la información de recuperación.
Las siguientes configuraciones de directiva definen los métodos de recuperación que pueden ser usados para restaurar el acceso a una unidad protegida con BitLocker:
- Elegir cómo se pueden recuperar unidades del sistema operativo protegidas con BitLocker
- Elegir cómo se pueden recuperar unidades fijas protegidas por BitLocker
- Elegir cómo se pueden recuperar unidades extraíbles protegidas por BitLocker
Sugerencia
En cada una de estas directivas, selecciona Guardar información de recuperación de BitLocker en Active Directory Domain Services y a continuación elige qué información de recuperación de BitLocker almacenar en los AD DS. Usa la opción No habilitar BitLocker hasta que la información de recuperación se almacene en AD DS para impedir que los usuarios habiliten BitLocker a menos que se realice correctamente la copia de seguridad de la información de recuperación de BitLocker para la unidad en Microsoft Entra ID o AD DS.
Contraseña de recuperación de BitLocker
Para recuperar BitLocker, un usuario puede usar una contraseña de recuperación, si está disponible. La contraseña de recuperación de BitLocker es única para el dispositivo en el que se creó y se puede guardar de diferentes maneras. En función de la configuración de directiva configurada, la contraseña de recuperación puede ser:
- Guardado en Microsoft Entra ID, para Microsoft Entra unidos
- Guardado en AD DS, para dispositivos que están unidos a Active Directory
- Guardado en el archivo de texto
- Impreso
Tener acceso a la contraseña de recuperación permite al titular desbloquear un volumen protegido por BitLocker y acceder a todos sus datos. Por lo tanto, es importante que su organización establezca procedimientos para controlar el acceso a las contraseñas de recuperación y asegurarse de que se almacenan de forma segura, independiente de los dispositivos que protegen.
Nota
Hay una opción para almacenar la clave de recuperación de BitLocker en la cuenta Microsoft de un usuario. La opción está disponible para los dispositivos que no son miembros de un dominio y que el usuario usa una cuenta de Microsoft. El almacenamiento de la contraseña de recuperación en una cuenta Microsoft es el método de almacenamiento de clave de recuperación recomendado predeterminado para los dispositivos que no están Microsoft Entra unidos o unidos a Active Directory.
La copia de seguridad de la contraseña de recuperación debe configurarse antes de habilitar BitLocker, pero también se puede realizar después del cifrado, como se describe en la guía de operaciones de BitLocker.
La metodología de copia de seguridad preferida en una organización es almacenar automáticamente la información de recuperación de BitLocker en una ubicación central. En función de los requisitos de la organización, la información de recuperación se puede almacenar en Microsoft Entra ID, AD DS o recursos compartidos de archivos.
La recomendación es usar los siguientes métodos de copia de seguridad de BitLocker:
- Para Microsoft Entra dispositivos unidos, almacene la clave de recuperación en Microsoft Entra ID
- Para dispositivos unidos a Active Directory, almacene la clave de recuperación en AD DS.
Nota
No hay ninguna manera automática de almacenar la clave de recuperación para dispositivos de almacenamiento extraíbles en Microsoft Entra ID o AD DS. Sin embargo, puede usar PowerShell o el comando manage.bde.exe para hacerlo. Para obtener más información y ejemplos, revise la guía de operaciones de BitLocker.
Agentes de recuperación de datos
Los agentes de recuperación de datos (DRA) se pueden usar para recuperar unidades de sistema operativo, unidades de datos fijas y unidades de datos extraíbles. Sin embargo, cuando se usa para recuperar unidades del sistema operativo, la unidad del sistema operativo debe montarse en otro dispositivo como una unidad de datos para que el DRA pueda desbloquear la unidad. Los agentes de recuperación de datos se agregan a la unidad cuando se cifran y se pueden actualizar después de que se produzca el cifrado.
La ventaja de usar un DRA a través de la contraseña o la recuperación de claves es que el DRA usa como clave maestra para BitLocker. Con un DRA puede recuperar cualquier volumen protegido por la directiva, sin tener que encontrar una contraseña o clave específica para cada volumen individual.
Para configurar los DRA para los dispositivos que están unidos a un dominio de Active Directory, se requieren los pasos siguientes:
- Obtenga un certificado DRA. BitLocker inspecciona los siguientes atributos de uso de clave y de uso mejorado de claves antes de usar el certificado.
- Si hay un atributo de uso de clave, debe ser:
CERT_DATA_ENCIPHERMENT_KEY_USAGECERT_KEY_AGREEMENT_KEY_USAGECERT_KEY_ENCIPHERMENT_KEY_USAGE
- Si hay un atributo de uso mejorado de claves (EKU), debe ser:
- Como se especifica en la configuración de directiva, o el valor predeterminado
1.3.6.1.4.1.311.67.1.1 - Cualquier identificador de objeto EKU compatible con la entidad de certificación (CA)
- Como se especifica en la configuración de directiva, o el valor predeterminado
- Si hay un atributo de uso de clave, debe ser:
- Agregar el DRA a través de la directiva de grupo mediante la ruta: Configuración de equipo>Directivas>Configuración de Windows>Configuración de seguridad>Políticas de claves públicas>Cifrado de unidad BitLocker
- Establezca la configuración de directiva Proporcionar los identificadores únicos de la directiva de la organización para asociar un identificador único a una nueva unidad habilitada con BitLocker. Un campo de identificación es una cadena que se usa para identificar de forma única una unidad de negocio u organización. Los campos de identificación son necesarios para la administración de agentes de recuperación de datos en unidades protegidas por BitLocker. BitLocker solo administra y actualiza los DRA cuando un campo de identificación está presente en una unidad y es idéntico al valor configurado en el dispositivo
- Configure las siguientes opciones de directiva para permitir la recuperación mediante un DRA para cada tipo de unidad:
Información de recuperación de BitLocker almacenada en Microsoft Entra ID
La información de recuperación de BitLocker para Microsoft Entra dispositivos unidos se puede almacenar en Microsoft Entra ID. La ventaja de almacenar las contraseñas de recuperación de BitLocker en Microsoft Entra ID es que los usuarios pueden recuperar fácilmente las contraseñas de los dispositivos que se les asignan desde la web, sin que ello implique al departamento de soporte técnico.
El acceso a las contraseñas de recuperación también se puede delegar en el departamento de soporte técnico para facilitar los escenarios de soporte técnico.
La información de contraseña de recuperación de BitLocker almacenada en Microsoft Entra ID es un tipo de recurso bitlockerRecoveryKey. El recurso se puede recuperar del Centro de administración Microsoft Entra, del centro de administración de Microsoft Intune (para dispositivos inscritos en Microsoft Intune), mediante PowerShell o mediante Microsoft Graph. Para obtener más información, vea Tipo de recurso bitlockerRecoveryKey.
No habilitar BitLocker hasta que la información de recuperación se almacene en AD DS
La información de recuperación de BitLocker de un dispositivo unido a un dominio de Active Directory se puede almacenar en AD DS. La información se almacena en un objeto secundario del propio objeto de equipo. Cada objeto de recuperación de BitLocker incluye la contraseña de recuperación y otra información de recuperación. Puede haber más de un objeto de recuperación de BitLocker en cada objeto de equipo, ya que puede haber más de una contraseña de recuperación asociada a un volumen habilitado para BitLocker.
El nombre del objeto de recuperación de BitLocker incorpora un identificador único global (GUID) e información de fecha y hora, para una longitud fija de 63 caracteres. La sintaxis es <Object Creation Date and Time><Recovery GUID>.
Nota
Active Directory mantiene el historial de todas las contraseñas de recuperación de un objeto de equipo. Las claves de recuperación antiguas no se quitan automáticamente de AD DS, a menos que se elimine el objeto de equipo.
El nombre común (cn) del objeto de recuperación de BitLocker es ms-FVE-RecoveryInformation. Cada objeto ms-FVE-RecoveryInformation tiene los siguientes campos:
| Nombre del atributo | Descripción |
|---|---|
ms-FVE-RecoveryPassword |
Contraseña de recuperación de 48 dígitos usada para recuperar un volumen de disco cifrado con BitLocker. |
ms-FVE-RecoveryGuid |
GUID asociado a una contraseña de recuperación de BitLocker. En el modo de recuperación de BitLocker, el GUID se muestra al usuario, de modo que se pueda encontrar la contraseña de recuperación correcta para desbloquear el volumen. El GUID también se incluye en el nombre del objeto de recuperación. |
ms-FVE-VolumeGuid |
GUID asociado a un volumen de disco compatible con BitLocker. Aunque la contraseña (almacenada en ms-FVE-RecoveryGuid) es única para cada contraseña de recuperación, el identificador de volumen es único para cada volumen cifrado de BitLocker. |
ms-FVE-KeyPackage |
Clave de cifrado de BitLocker del volumen protegida por la contraseña de recuperación correspondiente. Con este paquete de claves y la contraseña de recuperación (almacenada en ms-FVE-RecoveryPassword), se pueden descifrar partes de un volumen protegido con BitLocker si el disco está dañado. Cada paquete de claves solo funciona para un volumen que tiene el identificador de volumen correspondiente (almacenado en ms-FVE-VolumeGuid). La herramienta de reparación de BitLocker se puede usar para usar el paquete de claves. |
Para obtener más información sobre los atributos de BitLocker almacenados en AD DS, revise los artículos siguientes:
De manera predeterminada, no se guardará el paquete de claves de BitLocker. Para guardar el paquete junto con la contraseña de recuperación de AD DS, debes seleccionar la opción Realizar copia de seguridad de contraseñas de recuperación y paquetes de claves en la configuración de directivas de grupo que controla el método de recuperación. El paquete de claves también se puede exportar desde un volumen de trabajo.
Si no se hace una copia de seguridad de la información de recuperación en AD DS o si desea guardar un paquete de claves en una ubicación alternativa, use el siguiente comando para generar un paquete de claves para un volumen:
manage-bde.exe -KeyPackage C: -id <id> -path <path>
Se crea un archivo con el formato de nombre de archivo de BitLocker Key Package {<id>}.KPG en la ruta de acceso especificada.
Nota
Para exportar un nuevo paquete de claves desde un volumen desbloqueado protegido por BitLocker, se requiere acceso de administrador local al volumen de trabajo antes de que se produzcan daños en el volumen.
Pasos siguientes
Obtenga información sobre cómo obtener información de recuperación de BitLocker para los dispositivos unidos a Microsoft Entra, unidos a Microsoft Entra híbridos y unidos a Active Directory, y cómo restaurar el acceso a una unidad bloqueada:
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de