Preguntas más frecuentes sobre BitLocker

Sí, BitLocker admite la autenticación multifactor para unidades de sistema operativo. Si BitLocker está habilitado en un equipo que tiene una versión de TPM 1.2 o posterior, se pueden usar formas adicionales de autenticación con la protección de TPM.

Se necesitan dos particiones para ejecutar BitLocker porque la comprobación de integridad del sistema y la autenticación previa al inicio deben producirse en una partición independiente de la unidad del sistema operativo cifrada. Esta configuración te ayuda a proteger el sistema operativo y la información de la unidad cifrada.

El estado del TPM se puede comprobar en Windows Defenderdetalles del procesador de seguridad deseguridad> de dispositivos de Security Center>.

Sí, BitLocker se puede habilitar en una unidad del sistema operativo sin TPM, si el firmware del BIOS o UEFI tiene la capacidad de leer desde una unidad flash USB en el entorno de arranque. BitLocker no desbloqueará la unidad protegida hasta que el TPM del equipo o una unidad flash USB que contenga la clave de inicio de BitLocker liberen por primera vez la clave maestra de volumen de BitLocker. Sin embargo, los equipos sin TPMs no podrán usar la comprobación de integridad del sistema que BitLocker también puede proporcionar. Para ayudar a determinar si un equipo puede leer desde un dispositivo USB durante el proceso de arranque, usa la comprobación del sistema de BitLocker como parte del proceso de configuración de BitLocker. Esta comprobación del sistema realiza pruebas para confirmar que el equipo puede leer correctamente desde los dispositivos USB en el momento adecuado y que el equipo cumple con otros requisitos de BitLocker.

Ponte en contacto con el fabricante del equipo para solicitar un firmware de arranque BIOS o UEFI compatible con Trusted Computing Group (TCG) que cumpla los requisitos siguientes:

• Es compatible con los estándares tcg para un equipo cliente
• Tiene un mecanismo de actualización seguro para ayudar a evitar que se instale un firmware de arranque o BIOS malintencionado en el equipo.

Para activar, desactivar o cambiar las configuraciones de BitLocker en el sistema operativo y las unidades de datos fijas, se requiere la pertenencia al grupo de administradores local. Los usuarios estándar pueden activar, desactivar o cambiar las configuraciones de BitLocker en unidades de datos extraíbles.

Las opciones de inicio del equipo deben configurarse para que la unidad de disco duro esté en primer lugar en el orden de arranque, antes que cualquier otra unidad, como unidades de CD/DVD o unidades USB. Si el disco duro no es el primero y el equipo normalmente se inicia desde el disco duro, se puede detectar o asumir un cambio de orden de arranque cuando se encuentra un medio extraíble durante el arranque. El orden de arranque suele afectar a la medición del sistema verificada por BitLocker y un cambio en el orden de arranque provocará un aviso para la clave de recuperación de BitLocker. Por la misma razón, si se usa un portátil con una estación de acoplamiento, asegúrese de que la unidad de disco duro está en primer lugar en el orden de arranque, tanto cuando el portátil está acoplado como desacoplado.

Sí.

Descifrar elimina completamente la protección de BitLocker y descifra totalmente la unidad.

Suspender mantiene los datos cifrados, pero cifra la clave maestra de volumen de BitLocker con una clave sin cifrado. La clave sin cifrado es una clave criptográfica almacenada sin cifrar ni proteger en la unidad de disco. Al almacenar esta clave no cifrada, la opción Suspender permite cambios o actualizaciones en el equipo sin el tiempo ni el costo de descifrar y volver a cifrar toda la unidad. Después de que se realicen los cambios y se vuelva a habilitar BitLocker, BitLocker cerrará la clave de cifrado con los nuevos valores de los componentes medidos que se modificaron como parte de la actualización, se cambiará la clave maestra del volumen, se actualizarán los protectores para que coincidan y se borrará la clave sin cifrado.

No se necesita ninguna acción del usuario para BitLocker para aplicar actualizaciones de Microsoft, incluidas las actualizaciones de calidad de Windows y las actualizaciones de funciones. Los usuarios deben suspender BitLocker para actualizaciones de software no sean de Microsoft, como:

• Algunas actualizaciones de firmware de TPM si estas actualizaciones borran el TPM fuera de la API de Windows. No todas las actualizaciones de firmware de TPM borrarán el TPM. Los usuarios no tienen que suspender BitLocker si la actualización de firmware de TPM usa la API de Windows para borrar el TPM porque, en este caso, BitLocker se suspenderá automáticamente. Se recomienda que los usuarios prueben sus actualizaciones de firmware de TPM si no quieren suspender la protección de BitLocker.
• Actualizaciones de aplicaciones que no son de Microsoft que modifican la configuración de UEFI\BIOS
• Actualizaciones manuales o no de Microsoft para proteger bases de datos de arranque (solo si BitLocker usa Arranque seguro para la validación de integridad)
• Novedades al firmware UEFI\BIOS, la instalación de controladores UEFI adicionales o aplicaciones UEFI sin usar el mecanismo de actualización de Windows (solo si BitLocker no usa Arranque seguro para la validación de integridad durante las actualizaciones)
• BitLocker se puede comprobar si usa Arranque seguro para la validación de integridad con la línea de comandos manage-bde.exe -protectors -get C:. Si se usa El arranque seguro para la validación de integridad, informa de que usa arranque seguro para la validación de la integridad.

Sí, la implementación y configuración de BitLocker se puede automatizar mediante Windows PowerShell o con el manage-bde.exe comando . Para obtener más información sobre los comandos de administración comunes de BitLocker, consulte la guía de operaciones de BitLocker.

Normalmente, hay una pequeña sobrecarga de rendimiento, a menudo en porcentajes de un solo dígito, que es relativa al rendimiento de las operaciones de almacenamiento en las que debe funcionar.

Aunque el cifrado de BitLocker se produce en segundo plano mientras un usuario sigue trabajando con el sistema que sigue siendo utilizable, los tiempos de cifrado varían en función del tipo de unidad que se cifra, el tamaño de la unidad y la velocidad de la unidad. Si se cifran unidades grandes, es posible que desee programar el cifrado durante las horas en las que no se usa la unidad.

Cuando BitLocker está habilitado, BitLocker también se puede establecer para cifrar toda la unidad o solo el espacio usado en la unidad. En una nueva unidad de disco duro, cifrar solo el espacio usado puede resultar considerablemente más rápido que cifrar toda la unidad. Cuando se selecciona esta opción de cifrado, BitLocker cifra automáticamente los datos a medida que se guardan, garantizando que ningún dato se guarde sin cifrar.

Si el equipo está apagado o entra en modo de hibernación, el proceso de cifrado y descifrado de BitLocker se reanudará donde se detuvo la próxima vez que Windows se inicie. La reanudación del cifrado o descifrado de BitLocker es verdadera incluso si la energía de repente no está disponible.

No, BitLocker no cifra ni descifra toda la unidad al leer y escribir datos. Los sectores cifrados de la unidad protegida por BitLocker solo se descifran cuando se solicitan a las operaciones de lectura del sistema. Los bloques que se escriben en la unidad se cifran antes de que el sistema las escriba en el disco físico. Nunca se almacenan datos sin cifrar en una unidad protegida con BitLocker.

La configuración de directiva se puede configurar para requerir que las unidades de datos estén protegidas por BitLocker antes de que un equipo protegido por BitLocker pueda escribir datos en ellas. Para obtener más información, consulta Configuración de directivas de BitLocker. Cuando se habilita esta configuración de directiva, el sistema operativo protegido con BitLocker montará las unidades de datos que no estén protegidas por BitLocker como de solo lectura.

BitLocker permite a los usuarios elegir cifrar solo sus datos. Aunque no es la manera más segura de cifrar una unidad, esta opción puede reducir el tiempo de cifrado en más del 99 %, en función de la cantidad de datos que se deben cifrar. Para obtener más información, consulte Cifrado de solo espacio en disco usado.

Los siguientes tipos de cambios en el sistema pueden causar un error de comprobación de integridad e impedir que el TPM libere la clave de BitLocker para descifrar la unidad del sistema operativo protegida:

• Mover la unidad protegida por BitLocker a un equipo nuevo
• Instalación de una nueva placa base con un nuevo TPM
• Desactivar, deshabilitar o borrar el TPM
• Cambio de cualquier configuración de arranque
• Cambio del BIOS, firmware UEFI, registro de arranque maestro, sector de arranque, administrador de arranque, ROM de opción u otros componentes de arranque temprano o datos de configuración de arranque

Dado que BitLocker está diseñado para proteger los equipos de numerosos ataques, hay numerosas razones por las que BitLocker podría iniciarse en modo de recuperación. Por ejemplo:

• Cambio del orden de arranque del BIOS para arrancar otra unidad antes de la unidad de disco duro
• Agregar o quitar hardware, como insertar una nueva tarjeta en el equipo
• Quitar, insertar o agotar completamente la carga en una batería inteligente en un equipo portátil

En BitLocker, la recuperación se compone del descifrado de una copia de la clave maestra de volumen con una clave de recuperación almacenada en una unidad flash USB o una clave criptográfica derivada de una contraseña de recuperación. El TPM no está implicado en ningún escenario de recuperación, por lo que la recuperación sigue siendo posible si el TPM produce un error en la validación del componente de arranque, no funciona correctamente o se quita.

Se puede impedir que BitLocker se enlace a PCR 7 si un sistema operativo que no es de Windows arranca antes de Windows, o si el arranque seguro no está disponible para el dispositivo, ya sea porque está deshabilitado o el hardware no lo admite.

Sí, se pueden intercambiar varios discos duros en el mismo equipo si BitLocker está habilitado, pero solo si los discos duros estaban protegidos con BitLocker en el mismo equipo. Las claves de BitLocker son únicas para el TPM y la unidad del sistema operativo. Si es necesario preparar un sistema operativo de copia de seguridad o una unidad de datos en caso de error de disco, asegúrese de que coincidan con el TPM correcto. También se pueden configurar diferentes unidades de disco duro para diferentes sistemas operativos y, a continuación, habilitar BitLocker en cada uno de ellos con diferentes métodos de autenticación (por ejemplo, uno solo con TPM y otro con TPM+PIN) sin conflictos.

Sí, si la unidad es una unidad de datos, se puede desbloquear desde el elemento de cifrado de unidad bitlocker Panel de control mediante una contraseña o una tarjeta inteligente. Si la unidad de datos se configuró solo para el desbloqueo automático, deberá desbloquearse mediante la clave de recuperación. Un agente de recuperación de datos puede desbloquear el disco duro cifrado (si hay alguno configurado) o puede desbloquearse mediante la clave de recuperación.

Algunas unidades no se pueden cifrar con BitLocker. Los motivos por los que no se puede cifrar una unidad incluyen un tamaño de disco insuficiente, un sistema de archivos incompatible, si la unidad es un disco dinámico o una unidad se designa como partición del sistema. De manera predeterminada, la unidad del sistema (o la partición del sistema) no aparece en la pantalla. Sin embargo, si no se crea como una unidad oculta cuando se instaló el sistema operativo debido a un proceso de instalación personalizado, esa unidad podría mostrarse pero no se puede cifrar.

Cualquier número de unidades de datos fijas e internas se pueden proteger con BitLocker. En algunas versiones, también se admiten dispositivos de almacenamiento conectado directo basados en ATA y SATA.

Las unidades de datos extraíbles se pueden desbloquear mediante una contraseña o una tarjeta inteligente. También se puede configurar un protector de SID para desbloquear una unidad mediante credenciales de dominio de usuario. Una vez iniciado el cifrado, la unidad también se puede desbloquear automáticamente en un equipo específico para una cuenta de usuario específica. Los administradores del sistema pueden configurar qué opciones están disponibles para los usuarios, incluida la complejidad de la contraseña y los requisitos de longitud mínima. Para desbloquear mediante un protector de SID, use manage-bde.exe:

Manage-bde.exe -protectors -add e: -sid domain\username

BitLocker puede generar y usar varias claves. Algunas claves son necesarias y otras son protectores opcionales que puede elegir usar en función del nivel de seguridad que necesite.

Contraseña del propietario de TPM

Antes de habilitar BitLocker en un equipo con una versión 1.2 de TPM, debe inicializar el TPM. El proceso de inicialización genera una contraseña de propietario de TPM, que es una contraseña establecida en el TPM. Debe poder proporcionar la contraseña de propietario del TPM para cambiar el estado del TPM, por ejemplo, al habilitar o deshabilitar el TPM o restablecer el bloqueo de TPM.

Contraseña de recuperación y clave de recuperación

Al configurar BitLocker, debe elegir cómo se puede recuperar el acceso a las unidades protegidas por BitLocker en caso de que no se pueda usar el método de desbloqueo especificado (por ejemplo, si el TPM no puede validar los componentes de arranque, se olvida el número de identificación personal (PIN) o se olvida la contraseña). En estas situaciones, debe poder proporcionar la clave de recuperación o la contraseña de recuperación para desbloquear los datos cifrados en la unidad. Al proporcionar la información de recuperación, puede usar cualquiera de los siguientes formatos:

• Una contraseña de recuperación que consta de 48 dígitos divididos en ocho grupos. Durante la recuperación, debe escribir esta contraseña en la consola de recuperación de BitLocker mediante las teclas de función del teclado.
• Un archivo de clave en una unidad flash USB que lee directamente la consola de recuperación de BitLocker. Durante la recuperación, debe insertar este dispositivo USB.

PIN y PIN mejorado

Para un mayor nivel de seguridad con el TPM, puede configurar BitLocker con un número de identificación personal (PIN). El PIN es un valor creado por el usuario que se debe especificar cada vez que el equipo se inicia o reanuda desde la hibernación. El PIN puede constar de entre 4 y 20 dígitos según lo especificado en la configuración configurar la longitud mínima del PIN para la directiva de inicio y se almacena internamente como un hash de 256 bits de los caracteres Unicode especificados. Este valor nunca se muestra al usuario. El PIN se usa para proporcionar otro factor de autenticación junto con la autenticación de TPM.
Para un nivel de seguridad aún mayor con el TPM, puede configurar BitLocker para usar PIN mejorados. Los PIN mejorados son PIN que usan el juego de caracteres de teclado completo además del conjunto numérico para permitir combinaciones de PIN más posibles y tienen entre 4 y 20 caracteres. Para usar PIN mejorados, debe habilitar la configuración de directiva Permitir PIN mejorados para inicio antes de agregar el PIN a la unidad. Al habilitar esta directiva, todos los PIN creados pueden usar caracteres de teclado completos.

Clave de inicio

La configuración de una clave de inicio es otro método para habilitar un mayor nivel de seguridad con el TPM. La clave de inicio es una clave almacenada en una unidad flash USB y la unidad flash USB debe insertarse cada vez que se inicie el equipo. La clave de inicio se usa para proporcionar otro factor de autenticación junto con la autenticación de TPM. Para usar una unidad flash USB como clave de inicio, la unidad flash USB debe tener formato mediante el sistema de archivos NTFS, FAT o FAT32.

La contraseña de recuperación y la clave de recuperación de una unidad del sistema operativo o una unidad de datos fija se pueden guardar en una carpeta, guardarse en uno o varios dispositivos USB, guardarse en una cuenta microsoft o imprimirse.

En el caso de las unidades de datos extraíbles, la contraseña de recuperación y la clave de recuperación se pueden guardar en una carpeta, guardarse en una cuenta microsoft o imprimirse. De forma predeterminada, una clave de recuperación para una unidad extraíble no se puede almacenar en una unidad extraíble.

Un administrador de dominio también puede configurar las opciones de directiva para generar automáticamente contraseñas de recuperación y almacenarlas en Servicios de dominio de Active Directory (AD DS) o Microsoft Entra ID para cualquier unidad protegida por BitLocker.

La Manage-bde.exe herramienta de línea de comandos se puede usar para reemplazar el modo de autenticación de solo TPM por un modo de autenticación multifactor. Por ejemplo, si BitLocker está habilitado solo con autenticación tpm y es necesario agregar la autenticación de PIN, use los siguientes comandos desde un símbolo del sistema con privilegios elevados y reemplace el PIN numérico de 4 a 20 dígitos por el PIN numérico deseado:

manage-bde.exe -protectors -delete %systemdrive% -type tpm

manage-bde.exe -protectors -add %systemdrive% -tpmandpin <4-20 digit numeric PIN>

Un nuevo hardware que cumple los requisitos del programa de compatibilidad de hardware de Windows hace que un PIN sea menos crítico que una mitigación y tener un protector solo de TPM probablemente es suficiente cuando se combina con directivas como el bloqueo del dispositivo. Por ejemplo, Surface Pro y Surface Book no tienen puertos DMA externos para atacar. En el caso de hardware más antiguo, donde puede ser necesario un PIN, se recomienda habilitar PIN mejorados que permitan caracteres no numéricos, como letras y signos de puntuación, y establecer la longitud del PIN en función de la tolerancia al riesgo y las funcionalidades de anti-martillo de hardware disponibles para los TPMs en los equipos.

BitLocker está diseñado para hacer que la unidad cifrada sea irrecuperable sin la autenticación requerida. Cuando está en modo de recuperación, el usuario necesita la contraseña de recuperación o la clave de recuperación para desbloquear la unidad cifrada.

Aunque el uso de una unidad flash USB como clave de inicio y para el almacenamiento de la clave de recuperación es técnicamente posible, no es un procedimiento recomendado usar una unidad flash USB para almacenar ambas teclas. Si la unidad flash USB que contiene la clave de inicio se pierde o se roba, también se perderá la clave de recuperación. Además, la inserción de esta clave haría que el equipo arrancara automáticamente desde la clave de recuperación incluso si los archivos medidos por TPM han cambiado, lo que evita la comprobación de integridad del sistema del TPM.

Sí, la clave de inicio del equipo se puede guardar en varias unidades flash USB. Al hacer clic con el botón derecho en una unidad protegida por BitLocker y seleccionar Administrar BitLocker , se proporcionarán las opciones para guardar las claves de recuperación en unidades flash USB adicionales según sea necesario.

Sí, las claves de inicio de BitLocker para diferentes equipos se pueden guardar en la misma unidad flash USB.

La generación de claves de inicio diferentes para el mismo equipo se puede realizar mediante scripting. Sin embargo, para equipos que tengan un TPM, la creación de claves de inicio diferentes impide que BitLocker use la comprobación de integridad del sistema del TPM.

No se puede generar varias combinaciones de PIN.

Los datos sin procesar se cifran con la clave de cifrado de todo el volumen, que luego se cifra con la clave maestra del volumen. A su vez, la clave maestra de volumen se cifra mediante uno de los varios métodos posibles en función de la autenticación (es decir, los protectores de clave o TPM) y los escenarios de recuperación.

La clave de cifrado de todo el volumen se cifra con la clave maestra del volumen y se almacena en la unidad cifrada. La clave maestra del volumen se cifra con el protector de clave correspondiente y se almacena en la unidad cifrada. Si se ha suspendido BitLocker, la clave sin cifrado que se usa para cifrar la clave maestra del volumen también se almacena en la unidad cifrada, junto con la clave maestra del volumen cifrado.

Este proceso de almacenamiento garantiza que la clave maestra de volumen nunca se almacena sin cifrar y está protegida a menos que BitLocker esté deshabilitado. Las claves también se guardan en dos ubicaciones adicionales de la unidad para su redundancia. El administrador de arranque puede leer y procesar las claves.

Las claves F1 a F10 son códigos de digitalización universalmente asignados en el entorno de prearranque de todos los equipos y en todos los idiomas. Las teclas numéricas de 0 a 9 no se pueden usar en el entorno de arranque previo en todos los teclados.

Al usar un PIN mejorado, los usuarios deben ejecutar la comprobación del sistema opcional durante el proceso de configuración de BitLocker para garantizar que se puede escribir el PIN correctamente en el entorno de prearranque.

Es posible que un atacante pueda detectar un número de identificación personal (PIN) que realice un ataque por fuerza bruta. Un ataque por fuerza bruta se produce cuando un atacante usa una herramienta automatizada para probar diferentes combinaciones de PIN hasta descubrir el correcto. En el caso de los equipos protegidos con BitLocker, este tipo de ataque, también conocido como ataque de diccionario, requiere que el atacante tenga acceso físico al equipo.

El TPM tiene la capacidad integrada para detectar y reaccionar ante estos tipos de ataques. Dado que los TPM de distintos fabricantes pueden admitir diferentes mitigaciones de ataques y PIN, póngase en contacto con el fabricante del TPM para determinar cómo el TPM del equipo mitiga los ataques por fuerza bruta del PIN. Una vez determinado el fabricante del TPM, póngase en contacto con el fabricante para recopilar la información específica del proveedor del TPM. La mayoría de los fabricantes usan el recuento de errores de autenticación de PIN para aumentar exponencialmente el tiempo de bloqueo a la interfaz de PIN. Sin embargo, cada fabricante tiene diferentes directivas sobre cuándo y cómo se reduce o restablece el contador de errores.

El fabricante de TPM se puede determinar en Windows Defenderdetalles del procesador deseguridad de seguridad> de dispositivos de Security Center>.

Las siguientes preguntas pueden ser de ayuda al preguntar a un fabricante de TPM sobre el diseño de un mecanismo de mitigación de ataques de diccionario:

• ¿Cuántos intentos de autorización erróneos pueden producirse antes del bloqueo?
• ¿Cuál es el algoritmo para determinar la duración de un bloqueo basado en el número de intentos erróneos y otros parámetros relevantes?
• ¿Qué acciones pueden hacer que el recuento de errores y la duración del bloqueo disminuya o se restablezca?

La longitud mínima del número de identificación personal (PIN) se puede configurar mediante el valor Configurar la longitud mínima del PIN para el inicio directiva de grupo y permitir el uso de PIN alfanuméricos habilitando la opción Permitir PIN mejorados para la directiva de inicio. La complejidad del PIN no se puede requerir a través de la configuración de directiva.

Para obtener más información, consulta Configuración de directivas de BitLocker.

BitLocker aplica un hash al número de identificación personal (PIN) especificado por el usuario mediante SHA-256 y los primeros 160 bits del hash se usan como datos de autorización enviados al TPM para sellar la clave maestra del volumen. La clave maestra de volumen ahora está protegida por el TPM y el PIN. Para anular la seal de la clave maestra de volumen, es necesario que escriba el PIN cada vez que el equipo se reinicie o se reanude de la hibernación.

BitLocker To Go es el cifrado de unidad BitLocker en unidades de datos extraíbles. Esta característica incluye el cifrado de:

• Unidades flash USB
• Tarjetas SD
• Unidades de disco duro externas
• Otras unidades con formato mediante el sistema de archivos NTFS, FAT16, FAT32 o exFAT.

La creación de particiones de unidades debe cumplir los requisitos de partición de cifrado de unidad BitLocker.

Al igual que con BitLocker, las unidades cifradas por BitLocker To Go se pueden abrir mediante una contraseña o una tarjeta inteligente en otro equipo. En Panel de control, use cifrado de unidad bitlocker.

Si BitLocker está habilitado en una unidad antes de aplicar la configuración de directiva para aplicar una copia de seguridad, la información de recuperación no se copiará automáticamente en AD DS cuando el equipo se una al dominio o cuando se aplique posteriormente la configuración de directiva. Sin embargo, la configuración de la directiva Elija cómo se pueden recuperar las unidades del sistema operativo protegidas por BitLocker, Elija cómo se pueden recuperar las unidades fijas protegidas por BitLocker y Elija cómo se pueden recuperar las unidades extraíbles protegidas por BitLocker para requerir que el equipo se conecte a un dominio antes de que BitLocker pueda habilitarse para ayudar a garantizar que la información de recuperación de las unidades protegidas por BitLocker de la organización se realice en AD DS.

Para obtener más información sobre cómo hacer una copia de seguridad de la contraseña de recuperación en AD DS o Microsoft Entra ID, revise la guía de operaciones de BitLocker.

Sí, en el equipo cliente se registra una entrada de registro de eventos que indica el éxito o el error de una copia de seguridad. Sin embargo, incluso si una entrada del registro de eventos dice "Correcto", la información podría posteriormente eliminarse de AD DS, o BitLocker podría haberse reconfigurado de tal modo que la información de Active Directory ya no pueda desbloquear la unidad (por ejemplo, al quitar el protector de clave de contraseña de recuperación). Además, también es posible que se pueda suplantar la entrada de registro.

Por último, determinar si existe una copia de seguridad legítima en AD DS requiere consultar AD DS con credenciales de administrador de dominio mediante la herramienta de Visor de contraseña de BitLocker.

No. Por diseño, las entradas de contraseña de recuperación de BitLocker no se eliminan de AD DS. Por lo tanto, se pueden ver varias contraseñas para cada unidad. Para identificar la contraseña más reciente, comprueba la fecha en el objeto.

Si se produce un error inicial en la copia de seguridad, como cuando no se puede acceder a un controlador de dominio en el momento en que se ejecuta el Asistente para la instalación de BitLocker, BitLocker no vuelve a intentar realizar una copia de seguridad de la información de recuperación en AD DS.

Cuando un administrador activa la casilla No habilitar BitLocker hasta que la información de recuperación se almacena en AD DS para (sistema operativo | datos fijos | datos extraíbles) en cualquiera de las unidades elegir cómo se pueden recuperar las unidades de sistema operativo protegidas por BitLocker, Elija cómo se pueden recuperar las unidades de datos fijos protegidas por BitLocker y Elija cómo se pueden recuperar las unidades de datos extraíbles protegidas por BitLocker . configuración de directiva, los usuarios no pueden habilitar BitLocker a menos que el equipo esté conectado al dominio y la copia de seguridad de la información de recuperación de BitLocker en AD DS se realice correctamente. Con esta configuración configurada si se produce un error en la copia de seguridad, BitLocker no se puede habilitar, lo que garantiza que los administradores podrán recuperar unidades protegidas por BitLocker en la organización.

Para obtener más información, consulta Configuración de directivas de BitLocker.

Cuando un administrador desactiva estas casillas, el administrador permite que una unidad esté protegida por BitLocker sin tener la información de recuperación copiada correctamente en AD DS; sin embargo, BitLocker no volverá a intentar automáticamente la copia de seguridad si se produce un error. En su lugar, los administradores pueden crear un script de copia de seguridad, como se describió anteriormente en ¿Qué ocurre si BitLocker está habilitado en un equipo antes de que el equipo se una al dominio? para capturar la información después de restaurar la conectividad.

BitLocker usa Advanced Encryption Standard (AES) como algoritmo de cifrado con longitudes de clave configurables de 128 bits o 256 bits. La configuración de cifrado predeterminada es AES-128, pero las opciones se pueden configurar mediante la configuración de directiva.

La práctica recomendada para la configuración de BitLocker en una unidad del sistema operativo es implementar BitLocker en un equipo con una versión 1.2 o posterior de TPM.

BitLocker en las unidades del sistema operativo en su configuración básica proporciona seguridad adicional para el modo de hibernación. En modo de suspensión, el equipo es vulnerable a ataques directos de acceso a la memoria, ya que los datos no protegidos permanecen en la RAM. Por lo tanto, para mejorar la seguridad, se recomienda deshabilitar el modo de suspensión. La autenticación de inicio se puede configurar mediante una configuración de directiva.

La mayoría de los sistemas operativos usan un espacio de memoria compartido y dependen del sistema operativo para administrar la memoria física. Un TPM es un componente de hardware que usa su propio firmware interno y circuitos de lógica para procesar instrucciones, protegiendo por tanto frente a las vulnerabilidades de software externo. Atacar el TPM requiere acceso físico al equipo. Además, las herramientas y aptitudes necesarias para atacar el hardware suelen ser más costosas y, por lo general, no están tan disponibles como las que se usan para atacar el software. Dado que cada TPM es exclusivo del equipo que lo contiene, atacar a varios equipos TPM sería difícil y lento.

El desbloqueo de red de BitLocker permite una administración más sencilla para los clientes y servidores habilitados para BitLocker que usan el método de protección tpm+PIN en un entorno de dominio. Cuando se reinicia un equipo que está conectado a una red corporativa con cable, el desbloqueo en red permite que se omita la solicitud de entrada de PIN. Este desbloquea automáticamente los volúmenes del sistema operativo protegidos con BitLocker mediante una clave de confianza proporcionada por el servidor de servicios de implementación de Windows como método de autenticación secundario.

Para usar desbloqueo de red, se debe configurar un PIN para el equipo. Cuando el equipo no esté conectado a la red, deberá proporcionarse un PIN para desbloquearlo.

El desbloqueo de red de BitLocker tiene requisitos de software y hardware para los equipos cliente, los servicios de implementación de Windows y los controladores de dominio que deben cumplirse antes de que se pueda usar.

Network Unlock usa dos protectores: el protector de TPM y el protector proporcionado por la red o por el PIN. El desbloqueo automático usa un único protector: el almacenado en el TPM. Si el equipo está unido a una red sin el protector de clave, se le pedirá que escriba un PIN. Si el PIN no está disponible, la clave de recuperación deberá usarse para desbloquear el equipo si no se puede conectar a la red.

Para obtener más información, consulta BitLocker: cómo habilitar el desbloqueo en red.

Sí, el sistema de cifrado de archivos (EFS) se puede usar para cifrar archivos en una unidad protegida por BitLocker. BitLocker ayuda a proteger toda la unidad del sistema operativo frente a ataques sin conexión, mientras que EFS puede proporcionar cifrado adicional de nivel de archivo basado en el usuario para la separación de seguridad entre varios usuarios del mismo equipo. EFS también se puede usar en Windows para cifrar archivos en otras unidades que BitLocker no cifra. Los secretos raíz de EFS se almacenan de forma predeterminada en la unidad del sistema operativo; Por lo tanto, si BitLocker está habilitado para la unidad del sistema operativo, los datos cifrados por EFS en otras unidades también están protegidos indirectamente por BitLocker.

Sí. Sin embargo, el depurador debe activarse antes de habilitar BitLocker. Al activar el depurador se garantiza que se calculan las mediciones correctas al cerrar el TPM, lo que permite que el equipo se inicie correctamente. Si es necesario activar o desactivar la depuración al usar BitLocker, asegúrese de suspender BitLocker primero para evitar poner el equipo en modo de recuperación.

BitLocker tiene una pila de controladores de almacenamiento que garantiza que los volcados de memoria se cifren cuando BitLocker está habilitado.

BitLocker no admite tarjetas inteligentes para la autenticación previa al arranque. No hay ningún estándar del sector para la compatibilidad con tarjetas inteligentes en el firmware, y la mayoría de los equipos no implementan compatibilidad con firmware para tarjetas inteligentes, o solo admiten tarjetas inteligentes y lectores específicos. Esta falta de estandarización dificulta su apoyo.

Microsoft no admite controladores TPM que no sean de Microsoft y recomienda encarecidamente no usarlos con BitLocker. Intentar usar un controlador TPM que no sea de Microsoft con BitLocker puede hacer que BitLocker informe de que un TPM no está presente en el equipo y no permite que el TPM se use con BitLocker.

No se recomienda modificar el registro de arranque maestro en equipos cuyas unidades de sistema operativo estén protegidas por BitLocker por varias razones de seguridad, confiabilidad y soporte técnico del producto. Los cambios en el registro de arranque maestro (MBR) podrían cambiar el entorno de seguridad e impedir que el equipo se inicie con normalidad y complicar los esfuerzos para recuperarse de un MBR dañado. Los cambios realizados en el MBR por algo diferente a Windows podrían obligar al equipo a entrar en modo de recuperación o impedir que se inicie al completo.

La comprobación del sistema está diseñada para asegurarse de que el firmware del BIOS o UEFI del equipo es compatible con BitLocker y que el TPM funciona correctamente. La comprobación del sistema puede producir errores por varias razones:

• El firmware del BIOS o UEFI del equipo no puede leer unidades flash USB
• El BIOS, el firmware uEFI o el menú de arranque del equipo no tienen habilitada la lectura de unidades flash USB.
• Hay varias unidades flash USB insertadas en el equipo
• El PIN no se especificó correctamente
• El firmware de BIOS o UEFI del equipo solo admite el uso de las claves de función (F1-F10) para escribir números en el entorno de arranque previo
• La clave de inicio se quitó antes de que el equipo terminara de reiniciarse.
• El TPM no funciona correctamente y no puede anular el sesado de las claves

Algunos equipos no pueden leer unidades flash USB en el entorno de arranque previo. En primer lugar, compruebe la configuración de firmware y arranque del BIOS o UEFI para asegurarse de que el uso de unidades USB está habilitado. Si no está habilitado, habilite el uso de unidades USB en la configuración de arranque y firmware de BIOS o UEFI y, a continuación, intente leer la clave de recuperación de la unidad flash USB de nuevo. Si la unidad flash USB todavía no se puede leer, la unidad de disco duro tendrá que montarse como una unidad de datos en otro equipo para que haya un sistema operativo que intente leer la clave de recuperación de la unidad flash USB. Si la unidad flash USB se ha dañado o dañado, es posible que sea necesario proporcionar una contraseña de recuperación o usar la información de recuperación de la que se ha realizado una copia de seguridad en AD DS. Además, si la clave de recuperación se usa en el entorno de arranque previo, asegúrese de que la unidad tenga formato mediante el sistema de archivos NTFS, FAT16 o FAT32.

La opción Guardar en USB no se muestra de forma predeterminada para las unidades extraíbles. Si la opción no está disponible, significa que un administrador del sistema no ha autorizado el uso de claves de recuperación.

El desbloqueo automático de unidades de datos fijas requiere que la unidad del sistema operativo también esté protegida por BitLocker. Si se usa un equipo que no tiene una unidad de sistema operativo protegida por BitLocker, la unidad fija no se puede desbloquear automáticamente. Para las unidades de datos extraíbles, el desbloqueo automático se puede agregar haciendo clic con el botón derecho en la unidad en el Explorador de Windows y seleccionando Administrar BitLocker. Las credenciales de contraseña o tarjeta inteligente que se proporcionaron cuando Se ha activado BitLocker todavía se pueden usar para desbloquear la unidad extraíble en otros equipos.

En modo seguro, dispondrás de una funcionalidad limitada de BitLocker. Las unidades protegidas con BitLocker se pueden desbloquear y descifrar con el elemento del Panel de control de Cifrado de unidad BitLocker . Hacer clic con el botón derecho para acceder a las opciones de BitLocker desde el Explorador de Windows no está disponible en modo seguro.

Las unidades de datos fijas y extraíbles se pueden bloquear mediante la herramienta de línea de comandos Manage-bde y el comando -lock.

La sintaxis de este comando es:

manage-bde.exe <driveletter> -lock

Además de mediante el uso de este comando, las unidades de datos se bloquearán al apagar y reiniciar el sistema operativo. Una unidad de datos extraíble también se bloqueará automáticamente al quitar la unidad del equipo.

Sí. Sin embargo, las instantáneas anteriores a la habilitación de BitLocker se eliminarán automáticamente cuando se habilite BitLocker en unidades cifradas de software. Si se usa una unidad cifrada de hardware, se conservan las instantáneas.

BitLocker debe funcionar como cualquier máquina física específica dentro de sus limitaciones de hardware, siempre y cuando el entorno (físico o virtual) cumpla los requisitos del sistema operativo Windows para ejecutarse.

• Con TPM: sí, se admite.
• Sin TPM: sí, se admite (con el protector de contraseña).

BitLocker también se admite en discos duros virtuales de volumen de datos, como los que usan los clústeres.

Sí, BitLocker se puede usar con máquinas virtuales si el entorno cumple los requisitos de hardware y software de BitLocker.