BitLocker
Se aplica a:
- Windows 10
- Windows 11
- Windows Server 2016 y superior
En este artículo se proporciona información general de alto nivel de BitLocker, incluida una lista de requisitos del sistema, aplicaciones prácticas y características en desuso.
Introducción a BitLocker
Cifrado de unidad BitLocker es una característica de protección de datos que se integra en el sistema operativo y soluciona las amenazas de robo o exposición de datos de equipos perdidos, sustraídos o retirados inadecuadamente.
BitLocker proporciona la máxima protección cuando se usa con un módulo de plataforma segura (TPM) versión 1.2 o versiones posteriores. El TPM es un componente de hardware instalado en muchos equipos nuevos por los fabricantes de equipos. Funciona con BitLocker para ayudar a proteger los datos de usuario y para asegurarse de que un equipo no se ha alterado mientras el sistema estaba sin conexión.
En equipos que no tienen una versión 1.2 de TPM o versiones posteriores, BitLocker todavía se puede usar para cifrar la unidad del sistema operativo Windows. Sin embargo, esta implementación requiere que el usuario inserte una clave de inicio USB para iniciar el equipo o reanudarse desde la hibernación. A partir de Windows 8, se puede usar una contraseña de volumen del sistema operativo para proteger el volumen del sistema operativo en un equipo sin TPM. Ambas opciones no proporcionan la comprobación de integridad del sistema previa al inicio ofrecida por BitLocker con un TPM.
Además del TPM, BitLocker ofrece la opción de bloquear el proceso de inicio normal hasta que el usuario proporcione un número de identificación personal (PIN) o inserte un dispositivo extraíble (como una unidad flash USB) que contenga una clave de inicio. Estas medidas de seguridad adicionales proporcionan autenticación multifactor y garantía de que el equipo no se iniciará ni reanudará desde la hibernación hasta que se presente el PIN o la clave de inicio correctos.
Aplicaciones prácticas
Los datos de un equipo perdido o robado son vulnerables a un acceso no autorizado, mediante la ejecución de una herramienta de ataques de software contra ellos o mediante la transferencia del disco duro del equipo a otro equipo. BitLocker ayuda a mitigar el acceso a datos no autorizados mejorando las protecciones de archivo y de sistema. BitLocker también ayuda a convertir los datos en inaccesibles cuando se retiran o reciclan equipos protegidos con BitLocker.
Hay dos herramientas adicionales en las Herramientas de administración remota del servidor que se pueden usar para administrar BitLocker.
Visor de contraseñas de recuperación de BitLocker. El Visor de contraseñas de recuperación de BitLocker permite que las contraseñas de recuperación de cifrado de unidad BitLocker de las que se ha realizado una copia de seguridad de Servicios de dominio de Active Directory (AD DS) se encuentren y vean. Esta herramienta se puede usar para ayudar a recuperar los datos almacenados en una unidad que se ha cifrado mediante BitLocker. La herramienta Visor de contraseñas de recuperación de BitLocker es una extensión del complemento Microsoft Management Console (MMC) de Usuarios y equipos de Active Directory.
Mediante esta herramienta, se puede examinar el cuadro de diálogo Propiedades de un objeto de equipo para ver las contraseñas de recuperación de BitLocker correspondientes. Además, se puede buscar una contraseña de recuperación de BitLocker en un contenedor de dominio en todos los dominios del bosque de Active Directory haciendo clic con el botón derecho en el contenedor de dominio. El administrador de dominio solo puede ver las contraseñas de recuperación o tener permisos delegados por parte de un administrador de dominio.
Herramientas de cifrado de unidad de BitLocker. Las herramientas de cifrado de unidad BitLocker incluyen las herramientas de línea de comandos manage-bde y repair-bde, y los cmdlets de BitLocker para Windows PowerShell. Tanto manage-bde como los cmdlets de BitLocker se pueden usar para realizar cualquier tarea que se pueda realizar a través del panel de control de BitLocker, y son adecuados para usarse para implementaciones automatizadas y otros escenarios de scripting. Repair-bde se proporciona para escenarios de recuperación ante desastres en los que una unidad protegida por BitLocker no se puede desbloquear normalmente o mediante la consola de recuperación.
Funcionalidad nueva y modificada
Para averiguar las novedades de BitLocker para Windows, como la compatibilidad con el algoritmo de cifrado XTS-AES, consulte Novedades de Windows 10, versiones 1507 y 1511 para profesionales de TI: BitLocker.
Requisitos del sistema
BitLocker presenta los siguientes requisitos de hardware:
Para que BitLocker use la comprobación de integridad del sistema proporcionada por un TPM, el equipo debe tener TPM 1.2 o versiones posteriores. Si un equipo no tiene un TPM, guardar una clave de inicio en una unidad extraíble, como una unidad flash USB, se vuelve obligatorio al habilitar BitLocker.
Un equipo con un TPM también debe tener un firmware de BIOS o UEFI compatible con Trusted Computing Group (TCG). El firmware de BIOS o UEFI establece una cadena de confianza para el inicio del sistema preoperativo, y debe incluir compatibilidad con la raíz estática de Trust Measurement especificada por TCG. Un equipo sin TPM no requiere firmware compatible con TCG.
El firmware de BIOS o UEFI del sistema (para equipos TPM y no TPM) debe admitir la clase de dispositivo de almacenamiento masivo USB, lo que incluye la lectura de pequeños archivos de una unidad flash USB en el entorno de sistema preoperativo.
Importante
Desde Windows 7, una unidad del sistema operativo se puede cifrar sin un TPM y una unidad flash USB. Para este procedimiento, consulte Sugerencia del día: Bitlocker sin TPM o USB.
Nota
TPM 2.0 no se admite en los modos heredado y de módulo de compatibilidad (CSM) del BIOS. Los dispositivos con TPM 2.0 deben tener su modo BIOS configurado solo como UEFI nativo. Las opciones Heredada y CSM deben estar deshabilitadas. Para mayor seguridad, habilite la característica de arranque seguro.
El sistema operativo instalado en hardware en modo heredado impide que el sistema operativo arranque cuando el modo BIOS cambia a UEFI. Use la herramienta MBR2GPT antes de cambiar el modo BIOS, que prepara el sistema operativo y el disco para admitir UEFI.
El disco duro debe particionarse con al menos dos unidades:
- La unidad del sistema operativo (o la unidad de arranque) contiene el sistema operativo y sus archivos de compatibilidad. Debe estar formateada con el sistema de archivos NTFS.
- La unidad del sistema contiene los archivos que son necesarios para cargar Windows después de que el firmware haya preparado el hardware del sistema. BitLocker no está habilitado en esta unidad. Para que funcione BitLocker, la unidad del sistema no debe estar cifrada, debe ser diferente de la unidad del sistema operativo y debe estar formateada con el sistema de archivos FAT32 en equipos que usan firmware basado en UEFI o con el sistema de archivos NTFS en equipos que usan firmware BIOS. Se recomienda que la unidad del sistema tenga un tamaño aproximado de 350 MB. Una vez activado BitLocker, debería tener aproximadamente 250 MB de espacio libre.
Cuando se instala en un equipo nuevo, Windows crea automáticamente las particiones necesarias para BitLocker.
Una partición sujeta al cifrado no se puede marcar como una partición activa. Este requisito se aplica a las unidades del sistema operativo, las unidades de datos fijas y las unidades de datos extraíbles.
Al instalar el componente opcional de BitLocker en un servidor, también debe instalarse la característica Almacenamiento mejorado. La característica Almacenamiento mejorado se usa para admitir unidades cifradas por hardware.
En esta sección:
| Artículo | Descripción |
|---|---|
| Descripción general del cifrado de dispositivo de BitLocker en Windows 10 | En este artículo se proporciona información general sobre las formas en que El cifrado de dispositivos BitLocker puede ayudar a proteger los datos de los dispositivos que ejecutan Windows 10. |
| Preguntas frecuentes de BitLocker | En este artículo se responden las preguntas más frecuentes sobre los requisitos para usar, actualizar, implementar y administrar directivas de administración de claves para BitLocker. |
| Preparar la organización para BitLocker: planificación y directivas | En este artículo se explica el procedimiento que puede usar para planear la implementación de BitLocker. |
| Implementación básica de BitLocker | En este artículo se explica cómo se pueden usar las características de BitLocker para proteger los datos a través del cifrado de unidad. |
| BitLocker: cómo implementar en Windows Server | En este artículo se explica cómo implementar BitLocker en Windows Server. |
| BitLocker: Cómo habilitar el desbloqueo en red | En este artículo se describe cómo funciona el desbloqueo de red de BitLocker y cómo configurarlo. |
| BitLocker: Usar herramientas de cifrado de unidad BitLocker para administrar BitLocker | En este artículo se describe cómo usar herramientas para administrar BitLocker. |
| BitLocker: Usar el Visor de contraseñas de recuperación de BitLocker | En este artículo se describe cómo usar el Visor de contraseñas de recuperación de BitLocker. |
| Configuración de las directivas de grupo de BitLocker | En este artículo se describe la función, la ubicación y el efecto de cada configuración de directiva de grupo que se usa para administrar BitLocker. |
| Configuraciones de BCD y BitLocker | En este artículo se describe la configuración de BCD que usa BitLocker. |
| Guía de recuperación de BitLocker | En este artículo se describe cómo recuperar claves de BitLocker de AD DS. |
| Proteger BitLocker frente a ataques de prearranque | Esta guía detallada le ayuda a comprender las circunstancias en las que se recomienda el uso de la autenticación previa al arranque para los dispositivos que ejecutan Windows 10, Windows 8.1, Windows 8 o Windows 7; y cuándo se puede omitir de forma segura desde la configuración de un dispositivo. |
| Solucionar problemas de BitLocker | En esta guía se describen los recursos que pueden ayudarle a solucionar problemas de BitLocker y proporciona soluciones para varios problemas comunes de BitLocker. |
| Protección de volúmenes compartidos de clúster y redes de área de almacenamiento con BitLocker | En este artículo se describe cómo proteger los CSP y los SAN con BitLocker. |
| Habilitar el arranque seguro y el cifrado de dispositivo de BitLocker en Windows IoT Core | En este artículo se describe cómo usar BitLocker con Windows IoT Core |