Cursos
Módulo
Explore device encryption features - Training
This module explains the benefits of using encryption to protect drives and files against unauthorized access.
Este explorador ya no se admite.
Actualice a Microsoft Edge para aprovechar las características y actualizaciones de seguridad más recientes, y disponer de soporte técnico.
Durante la recuperación de BitLocker, la pantalla de recuperación previa al arranque es un punto de contacto crítico para los usuarios, que ofrece un mensaje de recuperación personalizado adaptado a las necesidades de la organización, una dirección URL de recuperación directa para soporte técnico adicional y sugerencias estratégicas para ayudar a los usuarios a localizar su clave de recuperación.
En este artículo se profundiza en los distintos elementos que se muestran en la pantalla de recuperación previa al arranque y se detalla cómo influyen la configuración de la directiva y el estado de las claves de recuperación en la información presentada. Ya sea un mensaje personalizado o una guía práctica, la pantalla de recuperación previa al arranque está diseñada para simplificar el proceso de recuperación para los usuarios.
De forma predeterminada, la pantalla de recuperación de BitLocker muestra un mensaje genérico y la dirección URL https://aka.ms/recoverykeyfaq.
Con la configuración de directiva de BitLocker, puede configurar un mensaje de recuperación personalizado y una dirección URL en la pantalla de recuperación previa al arranque de BitLocker. El mensaje de recuperación personalizado y la dirección URL pueden incluir la dirección del portal de recuperación de autoservicio de BitLocker, el sitio web interno de TI o un número de teléfono para soporte técnico.
Configuración de directiva de BitLocker configurada con un mensaje de recuperación personalizado.
Configuración de directiva de BitLocker configurada con una dirección URL de recuperación personalizada.
Para obtener más información sobre cómo configurar un mensaje de recuperación personalizado con la configuración de directiva, consulte Configuración del mensaje y la dirección URL de recuperación antes del arranque.
Los metadatos de BitLocker incluyen información sobre cuándo y dónde se guardó una clave de recuperación de BitLocker. Esta información no se expone a través de la interfaz de usuario ni de ninguna API pública. Solo lo usa la pantalla de recuperación de BitLocker en forma de sugerencias para ayudar a un usuario a localizar la clave de recuperación de un volumen. Las sugerencias se muestran en la pantalla de recuperación y hacen referencia a la ubicación donde se guardó la clave. Las sugerencias se aplican tanto a la pantalla de recuperación del administrador de arranque como a la pantalla de desbloqueo de WinRE.
Hay reglas que rigen qué sugerencia se muestra durante la recuperación (en el orden de procesamiento):
En este escenario, la contraseña de recuperación se guarda en un archivo.
Importante
No se recomienda imprimir las claves de recuperación ni guardarlas en un archivo. En su lugar, use la cuenta microsoft, el identificador de Microsoft Entra o la copia de seguridad de Active Directory.
En este escenario, se configura una dirección URL personalizada. La contraseña de recuperación es:
Resultado: se muestran las sugerencias para la dirección URL personalizada y la cuenta Microsoft (https://aka.ms/myrecoverykey).
A partir de Windows 11, versión 24H2, la pantalla de recuperación previa al arranque de BitLocker incluye la sugerencia de cuenta Microsoft (MSA), si la contraseña de recuperación se guarda en una MSA. Esta sugerencia ayuda al usuario a comprender qué cuenta de MSA se usó para almacenar información de clave de recuperación.
En este escenario, se configura una dirección URL personalizada. La contraseña de recuperación es:
Resultado: solo se muestra la dirección URL personalizada.
En este escenario, la contraseña de recuperación es:
Resultado: solo se muestra la sugerencia de cuenta microsoft (https://aka.ms/myrecoverykey).
En este escenario, hay dos contraseñas de recuperación.
La contraseña de recuperación 1 es:
La contraseña de recuperación n.º 2 es:
Resultado: solo se muestra la sugerencia de la clave de copia de seguridad correcta, aunque no sea la clave más reciente.
En este escenario, hay dos contraseñas de recuperación.
La contraseña de recuperación 1 es:
La contraseña de recuperación n.º 2 es:
Resultado: se muestra la sugerencia Microsoft Entra ID (https://aka.ms/aadrecoverykey), que es la clave más reciente guardada.
A partir de Windows 11, versión 24H2, la pantalla de recuperación previa al arranque de BitLocker mejora la información de error de recuperación. La pantalla de recuperación proporciona información más detallada sobre la naturaleza del error de recuperación, lo que permite a los usuarios comprender y solucionar mejor el problema.
Los usuarios tienen la opción de revisar información adicional sobre el error de recuperación presionando la tecla Alt .
La pantalla Información de recuperación adicional contiene una categoría de error y un código, que puede usar para recuperar más detalles de la siguiente sección de este artículo.
En las secciones siguientes se describen los códigos de cada categoría de error de BitLocker. Dentro de cada sección hay una tabla con el mensaje de error mostrado en la pantalla de recuperación y la causa del error. Algunas tablas incluyen la posible resolución.
Las categorías de error son:
Código de error | Causa del error | Resolución |
---|---|---|
E_FVE_USER_REQUESTED_RECOVERY |
El usuario especificó explícitamente el modo de recuperación desde una pantalla con la opción a ESC modo de recuperación. |
|
E_FVE_BOOT_DEBUG_ENABLED |
El modo de depuración de arranque está habilitado. | Quite la opción de depuración de arranque de la base de datos de configuración de arranque. |
La aplicación de firmas de controlador se usa para garantizar la integridad del código del sistema operativo.
Código de error | Causa del error |
---|---|
E_FVE_CI_DISABLED |
La aplicación de la firma del controlador está deshabilitada. |
La funcionalidad de umbral de bloqueo de dispositivos permite a un administrador configurar el inicio de sesión de Windows con la protección de BitLocker. Después del número configurado de intentos de inicio de sesión de Windows con errores, el dispositivo se reinicia y solo se puede recuperar proporcionando un método de recuperación de BitLocker.
Para aprovechar esta funcionalidad, debe configurar la configuración de directiva Inicio de sesión interactivo: Umbral de bloqueo de la cuenta de equipo que se encuentra en Configuración> del equipoConfiguración de Windows Configuración>de seguridad Directivas>>localesOpciones de seguridad. Como alternativa, use la configuración de directiva MaxFailedPasswordAttempts de Exchange ActiveSync o el proveedor de servicios de configuración DeviceLock (CSP).
Código de error | Causa del error | Resolución |
---|---|---|
E_FVE_DEVICE_LOCKEDOUT |
El bloqueo del dispositivo se desencadena debido a demasiados intentos de inicio de sesión incorrectos. | Se requiere un método de recuperación de BitLocker para volver a la pantalla de inicio de sesión. |
E_FVE_DEVICE_LOCKOUT_MISMATCH |
El contador de bloqueo del dispositivo no está sincronizado. | Se requiere un método de recuperación de BitLocker para volver a la pantalla de inicio de sesión. |
La base de datos de configuración de arranque (BCD) contiene información crítica para el entorno de arranque de Windows.
Código de error | Causa del error | Resolución |
---|---|---|
E_FVE_BAD_CODE_ID E_FVE_BAD_CODE_OPTION |
BitLocker entró en modo de recuperación porque cambió una aplicación de arranque. BitLocker realiza un seguimiento de los datos dentro de la recuperación de BCD y BitLocker cuando estos datos cambian sin previo aviso. Consulte la pantalla de recuperación para buscar la aplicación de arranque que cambió. |
Para corregir este problema, restaure la configuración de BCD. Se requiere un método de recuperación de BitLocker para desbloquear el dispositivo si la configuración de BCD no se puede restaurar antes del arranque. |
Para obtener más información, vea Configuración de datos de arranque y BitLocker.
El módulo de plataforma segura (TPM) es hardware criptográfico o firmware que se usa para proteger un dispositivo. BitLocker crea un protector de TPM para administrar la protección de las claves de cifrado usadas para cifrar los datos.
En el arranque, BitLocker intenta comunicarse con el TPM para desbloquear el dispositivo y acceder a los datos.
Código de error | Causa del error |
---|---|
E_FVE_TPM_DISABLED |
Un TPM está presente, pero está deshabilitado para su uso antes o durante el arranque. |
E_FVE_TPM_INVALIDATED |
Un TPM está presente pero invalidado. |
E_FVE_BAD_SRK |
La clave raíz de almacenamiento interna del TPM está dañada. |
E_FVE_TPM_NOT_DETECTED |
El sistema de arranque no tiene o no detecta un TPM. |
E_MATCHING_PCRS_TPM_FAILURE |
Se produjo un error inesperado en el TPM al anular la sealación de la clave de cifrado. |
E_FVE_TPM_FAILURE |
Detectar todos los demás errores de TPM. |
Para obtener más información, vea Información general sobre la tecnología del módulo de plataforma segura y BitLocker y TPM.
El TPM contiene varios registros de configuración de plataforma (PCR) que se pueden usar en el perfil de validación del protector de TPM de BitLocker. Los PCR se usan para validar la integridad del proceso de arranque, es decir, que la configuración de arranque y el flujo de arranque no se han alterado.
La recuperación de BitLocker puede ser el resultado de cambios inesperados en los PCR usados en el perfil de validación del protector de TPM. Los cambios en los PCR que no se usan en el perfil del protector de TPM no influyen en BitLocker.
Código de error | Causa del error | Resolución |
---|---|---|
E_FVE_PCR_MISMATCH |
La configuración del dispositivo ha cambiado. Entre las posibles causas se incluyen: - Se inserta un medio de arranque. Quitarlo y reiniciar el dispositivo podría solucionar este problema - Se aplicó una actualización de firmware sin actualizar el protector de TPM. |
Se requiere un método de recuperación para desbloquear el dispositivo. |
Para obtener más ejemplos, vea Escenarios de recuperación de BitLocker.
Si el protector de TPM usa PCR 7 en el perfil de validación, BitLocker espera que PCR 7 mida un conjunto específico de eventos para el arranque seguro. Estas medidas se definen en la especificación UEFI. Para obtener más información, consulte Static Root of Trust Measurements (Raíz estática de las medidas de confianza).
Código de error | Causa del error | Resolución |
---|---|---|
E_FVE_SECUREBOOT_DISABLED |
El arranque seguro se ha deshabilitado. Para acceder a la clave de cifrado y desbloquear el dispositivo, BitLocker espera que arranque seguro esté activado. | Volver a habilitar el arranque seguro y reiniciar el sistema podría corregir el problema de recuperación. De lo contrario, se requiere un método de recuperación para acceder al dispositivo. |
E_FVE_SECUREBOOT_CHANGED |
La configuración de arranque seguro cambió inesperadamente. La configuración de arranque medida en PCR 7 cambió. Esto puede deberse a: - Una medida adicional que no estaba presente cuando BitLocker actualizó el protector de TPM. - Falta una medida que estaba presente cuando BitLocker actualizó por última vez el protector de TPM, pero ahora no está presente. - Un evento esperado tiene una medida diferente |
Se requiere un método de recuperación para desbloquear el dispositivo. |
Código de error | Causa del error | Resolución |
---|---|---|
E_FVE_RECOVERY_ERROR_UNKNOWN |
BitLocker entró en modo de recuperación debido a un error desconocido. | Se requiere un método de recuperación para desbloquear el dispositivo. |
Cursos
Módulo
Explore device encryption features - Training
This module explains the benefits of using encryption to protect drives and files against unauthorized access.