Guía de operaciones de BitLocker

• Se aplica a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Hay diferentes herramientas y opciones para administrar y operar BitLocker:

• el módulo de PowerShell de BitLocker
• las herramientas de cifrado de unidad de BitLocker
• Panel de control

Las herramientas de cifrado de unidad bitLocker y el módulo de PowerShell de BitLocker se pueden usar para realizar cualquier tarea que se pueda realizar a través de la Panel de control de BitLocker. Son adecuados para usarse para implementaciones automatizadas y otros escenarios de scripting.
El applet Panel de control BitLocker permite a los usuarios realizar tareas básicas, como activar BitLocker en una unidad y especificar métodos de desbloqueo y métodos de autenticación. El applet Panel de control BitLocker es adecuado para las tareas básicas de BitLocker.

En este artículo se describen las herramientas de administración de BitLocker y cómo usarlas, proporcionando ejemplos prácticos.

Módulo de PowerShell de BitLocker

El módulo de PowerShell de BitLocker permite a los administradores integrar las opciones de BitLocker en scripts existentes con facilidad. Para obtener una lista de los cmdlets incluidos en el módulo, su descripción y su sintaxis, consulte el artículo de referencia de PowerShell de BitLocker.

Herramientas de cifrado de unidad de BitLocker

Las herramientas de cifrado de unidad de BitLocker incluyen las dos herramientas de línea de comandos:

• La herramienta de configuración (manage-bde.exe) se puede usar para crear scripts de operaciones de BitLocker, ofreciendo opciones que no están presentes en bitlocker Panel de control applet. Para obtener una lista completa de las manage-bde.exe opciones, consulte la referencia de Manage-bde.
• Herramienta de reparación (repair-bde.exe) es útil para escenarios de recuperación ante desastres, en los que una unidad protegida de BitLocker no se puede desbloquear normalmente ni mediante la consola de recuperación.

BitLocker Panel de control applet

Cifrar volúmenes con la Panel de control bitlocker (seleccione Iniciar, escriba BitLocker, seleccione Administrar BitLocker) es cuántos usuarios usarán BitLocker. El nombre del applet Panel de control BitLocker es Cifrado de unidad BitLocker. El applet admite el cifrado del sistema operativo, los datos fijos y los volúmenes de datos extraíbles. BitLocker Panel de control organiza las unidades disponibles en la categoría adecuada en función de cómo el dispositivo se informa a Sí mismo de Windows. Solo los volúmenes con formato con letras de unidad asignadas aparecen correctamente en el applet de BitLocker Panel de control.

Uso de BitLocker en el Explorador de Windows

El Explorador de Windows permite a los usuarios iniciar el Asistente para cifrado de unidad BitLocker haciendo clic con el botón derecho en un volumen y seleccionando Activar BitLocker. Esta opción está disponible en los equipos cliente de forma predeterminada. En los servidores, la característica de BitLocker y la característica de Desktop-Experience deben instalarse primero para que esta opción esté disponible. Después de seleccionar Activar BitLocker, el asistente funciona exactamente igual que cuando se inicia con el Panel de control de BitLocker.

Comprobación del estado de BitLocker

Para comprobar el estado de BitLocker de un volumen determinado, los administradores pueden examinar el estado de la unidad en bitlocker Panel de control applet, Explorador de Windows, manage-bde.exe herramienta de línea de comandos o cmdlets de Windows PowerShell. Cada opción ofrece diferentes niveles de detalle y facilidad de uso.

Siga las instrucciones siguientes para comprobar el estado de BitLocker y seleccionar la herramienta que prefiera.

PowerShell

Para determinar el estado actual de un volumen, puede usar el Get-BitLockerVolume cmdlet , que proporciona información sobre el tipo de volumen, los protectores, el estado de protección y otros detalles. Por ejemplo:

PS C:\> Get-BitLockerVolume C: | fl

ComputerName         : DESKTOP
MountPoint           : C:
EncryptionMethod     : XtsAes128
AutoUnlockEnabled    :
AutoUnlockKeyStored  : False
MetadataVersion      : 2
VolumeStatus         : FullyEncrypted
ProtectionStatus     : On
LockStatus           : Unlocked
EncryptionPercentage : 100
WipePercentage       : 0
VolumeType           : OperatingSystem
CapacityGB           : 1000
KeyProtector         : {Tpm, RecoveryPassword}

Símbolo del sistema

Con manage-bde.exe puede determinar el estado del volumen en el sistema de destino, por ejemplo:

manage-bde.exe -status

Este comando devuelve los volúmenes del destino, el estado de cifrado actual, el método de cifrado y el tipo de volumen (sistema operativo o datos) de cada volumen.

C:\>manage-bde -status

Volume C: [Local Disk]
[OS Volume]

    Size:                 1000 GB
    BitLocker Version:    2.0
    Conversion Status:    Used Space Only Encrypted
    Percentage Encrypted: 100.0%
    Encryption Method:    XTS-AES 128
    Protection Status:    Protection On
    Lock Status:          Unlocked
    Identification Field: Unknown
    Key Protectors:
        TPM
        Numerical Password

Panel de control

Comprobar el estado de BitLocker con el Panel de control es un método común que usan la mayoría de los usuarios. Una vez abierto, el estado de cada volumen se muestra junto a la descripción del volumen y la letra de unidad. Los valores devueltos de estado disponibles con applet incluyen:

Estado	Descripción
En	BitLocker está habilitado para el volumen
Desactivado	BitLocker no está habilitado para el volumen
Suspended	BitLocker se suspende y no protege activamente el volumen
Esperando activación	BitLocker está habilitado con una clave de protector clara y requiere una acción adicional para estar totalmente protegido.

Si una unidad se aprovisiona previamente con BitLocker, se muestra un estado de Espera de activación con un icono de exclamación amarillo en el volumen. Este estado significa que solo se usó un protector claro al cifrar el volumen. En este caso, el volumen no está en un estado protegido y debe tener una clave segura agregada al volumen antes de que la unidad esté totalmente protegida. Los administradores pueden usar el Panel de control, PowerShell o manage-bde.exe para agregar un protector de clave adecuado. Una vez completado, el Panel de control actualizaciones para reflejar el nuevo estado.

Habilitar BitLocker

Unidad del sistema operativo con protector de TPM

En el ejemplo siguiente se muestra cómo habilitar BitLocker en una unidad del sistema operativo con solo el protector de TPM y sin clave de recuperación:

PowerShell

Enable-BitLocker C: -TpmProtector

Símbolo del sistema

manage-bde.exe -on C:

Panel de control

Desde el cifrado de unidad de BitLocker Panel de control applet:

1. Expanda la unidad del sistema operativo y seleccione la opción Activar BitLocker.

2. Cuando se le solicite, seleccione la opción Permitir que BitLocker desbloquee automáticamente mi unidad.

3. Realice una copia de seguridad de la clave de recuperación mediante uno de los métodos siguientes:

   • Guardar en la cuenta Microsoft Entra ID o en la cuenta Microsoft (si procede)
   • Guardar en una unidad flash USB
   • Guardar en un archivo : el archivo debe guardarse en una ubicación que no esté en el propio dispositivo, como una carpeta de red.
   • Imprimir la clave de recuperación

4. Seleccione Siguiente.

5. Elija una de las opciones para cifrar solo el espacio en disco usado o cifrar toda la unidad y seleccione Siguiente.

   • Cifrar solo el espacio en disco usado : cifra solo el espacio en disco que contiene datos.
   • Cifrar unidad completa : cifra todo el volumen, incluido el espacio libre. También conocido como cifrado de disco completo

   Cada uno de los métodos se recomienda en los siguientes escenarios:

   • Cifre solo el espacio en disco usado:

     • La unidad nunca ha tenido datos
     • Unidades con formato o borradas que en el pasado nunca han tenido datos confidenciales que nunca se cifraron

   • Cifrar toda la unidad (cifrado de disco completo):

     • Unidades que actualmente tienen datos
     • Unidades que actualmente tienen un sistema operativo
     • Unidades con formato o borradas que en el pasado tenían datos confidenciales que nunca se cifraron

   Importante

   Los archivos eliminados aparecen como espacio libre en el sistema de archivos, que no se cifra solo mediante el espacio en disco usado. Hasta que se borren o sobrescriban, los archivos eliminados contienen información que se podría recuperar con herramientas forenses de datos comunes.

6. Seleccione un modo de cifrado y seleccione Siguiente.

   • Nuevo modo de cifrado
   • Modo compatible

   Nota

   Normalmente se debe elegir el nuevo modo de cifrado, pero si la unidad se moverá potencialmente a otro dispositivo con un sistema operativo Windows anterior, seleccione Modo compatible.

7. Seleccione ContinueRestart now (Continuar > reinicio ahora)

8. Después del reinicio, el sistema operativo realiza una comprobación del sistema de BitLocker e inicia el cifrado.

Los usuarios pueden comprobar el estado del cifrado mediante el applet Panel de control BitLocker.

Nota

Una vez creada una clave de recuperación, se puede usar la Panel de control de BitLocker para realizar copias adicionales de la clave de recuperación.

Unidad del sistema operativo con el protector de TPM y la clave de inicio

En el ejemplo siguiente se muestra cómo habilitar BitLocker en una unidad del sistema operativo mediante el TPM y los protectores de clave de inicio .

Suponiendo que la letra de unidad del sistema operativo es C: y la unidad flash USB es la letra E:de unidad, este es el comando:

PowerShell

Si decide omitir la prueba de hardware de BitLocker, el cifrado se inicia inmediatamente sin necesidad de reiniciar.

Enable-BitLocker C: -StartupKeyProtector -StartupKeyPath E: -SkipHardwareTest

Símbolo del sistema

manage-bde.exe -protectors -add C: -TPMAndStartupKey E:
manage-bde.exe -on C:

Si se le solicita, reinicie el equipo para completar el proceso de cifrado.

Nota

Una vez completado el cifrado, se debe insertar la clave de inicio USB para poder iniciar el sistema operativo.

Panel de control

El applet Panel de control no permite habilitar BitLocker y agregar un protector de clave de inicio al mismo tiempo. Para agregar un protector de clave de inicio, siga estos pasos:

• En el applet de cifrado de unidad de BitLocker Panel de control, en la unidad del sistema operativo, seleccione la opción Cambiar cómo se desbloquea la unidad al iniciarse.
• Cuando se le solicite, seleccione la opción Insertar una unidad flash USB.
• Seleccione la unidad USB donde desea almacenar la clave de inicio y seleccione Guardar.

Después del reinicio, se muestra la pantalla de prearranque de BitLocker y se debe insertar la clave de inicio USB antes de que se pueda iniciar el sistema operativo:

Volúmenes de datos

Los volúmenes de datos usan un proceso similar para el cifrado que los volúmenes del sistema operativo, pero no requieren protectores para que se complete la operación.

PowerShell

Agregue los protectores deseados antes de cifrar el volumen. En el ejemplo siguiente se agrega un protector de contraseña al E: volumen mediante la variable $pw como contraseña. La $pw variable se mantiene como un valor secureString para almacenar la contraseña definida por el usuario:

$pw = Read-Host -AsSecureString
<user inputs password>
Add-BitLockerKeyProtector E: -PasswordProtector -Password $pw

Nota

El cmdlet de BitLocker requiere que se ejecute el GUID del protector de claves entre comillas. Asegúrese de que todo el GUID, con llaves, se incluye en el comando .

Ejemplo: Uso de PowerShell para habilitar BitLocker con un protector de TPM

Enable-BitLocker D: -EncryptionMethod XtsAes256 -UsedSpaceOnly -TpmProtector 

Ejemplo: Use PowerShell para habilitar BitLocker con un protector TPM+PIN, en este caso con un PIN establecido en 123456:

$SecureString = ConvertTo-SecureString "123456" -AsPlainText -Force
Enable-BitLocker C: -EncryptionMethod XtsAes256 -UsedSpaceOnly -Pin $SecureString -TPMandPinProtector

Símbolo del sistema

El cifrado de volúmenes de datos se puede realizar mediante el comando base:

manage-bde.exe -on <drive letter>

o se pueden agregar protectores adicionales en primer lugar al volumen. Se recomienda agregar al menos un protector principal más un protector de recuperación a un volumen de datos.

Panel de control

El cifrado de volúmenes de datos mediante el Panel de control de BitLocker funciona de forma similar al cifrado de los volúmenes del sistema operativo. Los usuarios seleccionan Activar BitLocker en el Panel de control de BitLocker para iniciar el Asistente para cifrado de unidad BitLocker.

Administración de protectores de BitLocker

La administración de los protectores de BitLocker consiste en agregar, quitar y realizar copias de seguridad de los protectores.

Los protectores de BitLocker administrados mediante las siguientes instrucciones, seleccionando la opción que mejor se adapte a sus necesidades.

Protectores de lista

La lista de protectores disponibles para un volumen (C: en el ejemplo) se puede enumerar mediante la ejecución del siguiente comando:

PowerShell

(Get-BitLockerVolume -mountpoint C).KeyProtector

Símbolo del sistema

 manage-bde.exe -protectors -get C:

Panel de control

Esta información no está disponible en el Panel de control.

Agregar protectores

Agregar un protector de contraseña de recuperación

PowerShell

Add-BitLockerKeyProtector -MountPoint C -RecoveryPasswordProtector

Símbolo del sistema

manage-bde.exe -protectors -add -recoverypassword C:

Panel de control

En el applet de cifrado de unidad de BitLocker Panel de control, seleccione el volumen donde desea agregar un protector y seleccione la opción Copia de seguridad de la clave de recuperación.

Agregar un protector de contraseña

Un protector común para un volumen de datos es el protector de contraseñas. En el siguiente ejemplo, se agrega un protector de contraseña a un volumen.

PowerShell

Add-BitLockerKeyProtector -MountPoint D -PasswordProtector

Símbolo del sistema

manage-bde.exe -protectors -add -pw D:

Panel de control

En el applet de cifrado de unidad bitlocker Panel de control, expanda la unidad donde desea agregar un protector de contraseña y seleccione la opción Agregar contraseña. Cuando se le solicite, escriba y confirme una contraseña para desbloquear la unidad. Seleccione Finalizar para completar el proceso.

Adición de un protector de Active Directory

El protector de Active Directory es un protector basado en SID que se puede agregar tanto al sistema operativo como a los volúmenes de datos, aunque no desbloquea los volúmenes del sistema operativo en el entorno de prearranque. El protector requiere el SID para que la cuenta de dominio o el grupo se vinculen con el protector. BitLocker puede proteger un disco compatible con el clúster agregando un protector basado en SID para el objeto de nombre de clúster (CNO) que permite que el disco realice correctamente la conmutación por error y se desbloquee en cualquier equipo miembro del clúster.

Importante

El protector basado en SID requiere el uso de un protector adicional, como TPM, PIN, clave de recuperación, etc. cuando se usa en volúmenes del sistema operativo.

Nota

Esta opción no está disponible para Microsoft Entra dispositivos unidos.

En este ejemplo, se agrega un protector basado en SID de dominio a un volumen cifrado anteriormente. El usuario conoce el SID de la cuenta de usuario o grupo que desea agregar y usa el siguiente comando:

PowerShell

Add-BitLockerKeyProtector C: -ADAccountOrGroupProtector -ADAccountOrGroup "<SID>"

Para agregar el protector a un volumen, se necesita el SID de dominio o el nombre de grupo precedido por el dominio y una barra diagonal inversa. En el ejemplo siguiente, la cuenta CONTOSO\Administrator se agrega como protector al volumen de datos G.

Enable-BitLocker G: -AdAccountOrGroupProtector -AdAccountOrGroup CONTOSO\Administrator

Para usar el SID para la cuenta o el grupo, el primer paso es determinar el SID asociado a la entidad de seguridad. Para obtener el SID específico de una cuenta de usuario en Windows PowerShell, use el siguiente comando:

Get-ADUser -filter {samaccountname -eq "administrator"}

Nota

El uso de este comando requiere la característica RSAT-AD-PowerShell.

Sugerencia

Puede encontrar información sobre la pertenencia a grupos y usuarios que han iniciado sesión localmente mediante: whoami.exe /all.

Símbolo del sistema

manage-bde.exe -protectors -add -sid <user or group>

Panel de control

Esta opción no está disponible en el Panel de control.

Quitar protectores

PowerShell

Para quitar los protectores existentes en un volumen, use el Remove-BitLockerKeyProtector cmdlet . Debe proporcionarse un GUID asociado al protector que se va a quitar.

Los siguientes comandos devuelven la lista de protectores de clave y GUID:

$vol = Get-BitLockerVolume C
$keyprotectors = $vol.KeyProtector
$keyprotectors

Con esta información, se puede quitar el protector de clave de un volumen específico mediante el comando :

Remove-BitLockerKeyProtector <volume> -KeyProtectorID "{GUID}"

Nota

El cmdlet de BitLocker requiere que se ejecute el GUID del protector de claves entre comillas. Asegúrese de que todo el GUID, con llaves, se incluye en el comando .

Símbolo del sistema

Los siguientes comandos devuelven la lista de protectores de clave:

manage-bde.exe -status C:

El siguiente comando quita el protector de claves de un tipo determinado:

manage-bde.exe -protectors -delete C: -type TPMandPIN

Panel de control

En el applet de cifrado de unidad de BitLocker Panel de control, expanda la unidad donde desea quitar un protector y seleccione la opción para quitarlo, si está disponible.

Nota

Debe tener al menos un método de desbloqueo para las unidades cifradas con BitLocker.

Suspender y reanudar

Algunos cambios de configuración pueden requerir suspender BitLocker y reanudarlo después de aplicar el cambio.

Suspende y reanude BitLocker mediante las siguientes instrucciones, seleccionando la opción que mejor se adapte a sus necesidades.

Suspender BitLocker

PowerShell

Suspend-BitLocker -MountPoint D

Símbolo del sistema

manage-bde.exe -protectors -disable d:

Panel de control

Solo puede suspender la protección de BitLocker para la unidad del sistema operativo cuando se usa el Panel de control.

En el applet de cifrado de unidad de BitLocker Panel de control, seleccione la unidad del sistema operativo y seleccione la opción Suspender protección.

Reanudar BitLocker

PowerShell

Resume-BitLocker -MountPoint D

Símbolo del sistema

manage-bde.exe -protectors -enable d:

Panel de control

En el applet de cifrado de unidad bitLocker Panel de control, seleccione la unidad del sistema operativo y seleccione la opción Reanudar protección.

Restablecimiento y copia de seguridad de una contraseña de recuperación

Se recomienda invalidar una contraseña de recuperación después de su uso. En este ejemplo, el protector de contraseña de recuperación se quita de la unidad del sistema operativo, se agrega un nuevo protector y se realiza una copia de seguridad en Microsoft Entra ID o Active Directory.

PowerShell

Quite todas las contraseñas de recuperación del volumen del sistema operativo:

(Get-BitLockerVolume -MountPoint $env:SystemDrive).KeyProtector | `
  where-object {$_.KeyProtectorType -eq 'RecoveryPassword'} | `
  Remove-BitLockerKeyProtector -MountPoint $env:SystemDrive

Agregue un protector de contraseña de recuperación de BitLocker para el volumen del sistema operativo:

Add-BitLockerKeyProtector -MountPoint $env:SystemDrive -RecoveryPasswordProtector

Obtenga el identificador de la nueva contraseña de recuperación:

(Get-BitLockerVolume -mountpoint $env:SystemDrive).KeyProtector | where-object {$_.KeyProtectorType -eq 'RecoveryPassword'} | ft KeyProtectorId,RecoveryPassword

Nota

Estos pasos siguientes no son necesarios si la configuración de directiva Elegir cómo se pueden recuperar las unidades de sistema operativo protegidas por BitLocker está configurada para Requerir copia de seguridad de BitLocker en AD DS.

Copie el identificador de la contraseña de recuperación de la salida.

Con el GUID del paso anterior, reemplace en {ID} el siguiente comando y use el siguiente comando para realizar una copia de seguridad de la contraseña de recuperación en Microsoft Entra ID:

BackuptoAAD-BitLockerKeyProtector -MountPoint $env:SystemDrive -KeyProtectorId "{ID}"

O bien, use el siguiente comando para realizar una copia de seguridad de la contraseña de recuperación en Active Directory:

Backup-BitLockerKeyProtector -MountPoint $env:SystemDrive -KeyProtectorId "{ID}"

Nota

Las llaves {} deben incluirse en la cadena de identificador.

Símbolo del sistema

Quite todas las contraseñas de recuperación del volumen del sistema operativo:

manage-bde.exe -protectors -delete C: -type RecoveryPassword

Agregue un protector de contraseña de recuperación de BitLocker para el volumen del sistema operativo:

manage-bde.exe -protectors -add C: -RecoveryPassword

Obtenga el identificador de la nueva contraseña de recuperación:

manage-bde.exe -protectors -get C: -Type RecoveryPassword

Nota

Estos pasos siguientes no son necesarios si la configuración de directiva Choose how BitLocker-protected operating system drives can be recovered (Elegir cómo se pueden recuperar las unidades del sistema operativo protegidas por BitLocker) está configurada para Requerir copia de seguridad de BitLocker en AD DS.

Con el GUID del paso anterior, reemplace en {ID} el siguiente comando y use el siguiente comando para realizar una copia de seguridad de la contraseña de recuperación en Microsoft Entra ID:

manage-bde.exe -protectors -aadbackup C: -id {ID}

O bien, use el siguiente comando para realizar una copia de seguridad de la contraseña de recuperación en Active Directory:

manage-bde.exe -protectors -adbackup C: -id {ID}

Nota

Las llaves {} deben incluirse en la cadena de identificador.

Panel de control

Este proceso no se puede realizar mediante el Panel de control. En su lugar, use una de las otras opciones.

Deshabilitar BitLocker

Deshabilitar BitLocker descifra y quita los protectores asociados de los volúmenes. El descifrado debe producirse cuando la protección ya no sea necesaria y no como un paso de solución de problemas.

Deshabilite BitLocker mediante las siguientes instrucciones y seleccione la opción que mejor se adapte a sus necesidades.

PowerShell

Windows PowerShell ofrece la capacidad de descifrar varias unidades en un solo paso. En el ejemplo siguiente, el usuario tiene tres volúmenes cifrados, que desea descifrar.

Con el comando Disable-BitLocker, pueden quitar todos los protectores y el cifrado al mismo tiempo sin necesidad de más comandos. Un ejemplo de este comando es:

Disable-BitLocker

Para evitar especificar cada punto de montaje individualmente, use el -MountPoint parámetro de una matriz para secuenciar el mismo comando en una línea, sin necesidad de una entrada adicional del usuario. Por ejemplo:

Disable-BitLocker -MountPoint C,D

Símbolo del sistema

Descifrado con manage-bde.exe ofrece la ventaja de no requerir confirmación del usuario para iniciar el proceso. Manage-bde usa el comando -off para iniciar el proceso de descifrado. Un comando de ejemplo para el descifrado es:

manage-bde.exe -off C:

Este comando deshabilita los protectores mientras descifra el volumen y quita todos los protectores cuando se completa el descifrado.

Panel de control

El descifrado de BitLocker mediante el Panel de control se realiza mediante un asistente. Después de abrir el applet Panel de control BitLocker, seleccione la opción Desactivar BitLocker para comenzar el proceso. Para continuar, seleccione el cuadro de diálogo de confirmación. Con desactivar BitLocker confirmado, se inicia el proceso de descifrado de la unidad.

Una vez completado el descifrado, la unidad actualiza su estado en el Panel de control y está disponible para el cifrado.