Más información acerca del Cifrado de unidad BitLocker

El Cifrado de unidad BitLocker ofrece protección para unidades de sistema operativo, unidades de datos fijas y unidades de datos extraíbles perdidas o robadas. Para ello, BitLocker cifra el contenido de las unidades y exige a los usuarios que autentiquen sus credenciales para obtener acceso a la información. En la unidad en la que está instalado Windows, BitLocker usa el Módulo de plataforma segura (TPM) para detectar si se ha alterado el proceso de inicio crítico del equipo. Además, se puede requerir un PIN o una clave de inicio para que los usuarios tengan acceso a los datos de la unidad. En las unidades de datos fijas y extraíbles, los usuarios pueden obtener acceso a una unidad protegida con BitLocker mediante una contraseña, con una tarjeta inteligente o desbloqueando la unidad automáticamente.

BitLocker para unidades de sistema operativo está diseñado para trabajar con sistemas que tienen hardware de seguridad del TPM y BIOS compatibles. Para que sea compatible con BitLocker, los fabricantes del equipo deben aplicar los estándares definidos por el Trusted Computing Group (TCG). Para obtener más información acerca del TCG, visite el sitio web Trusted Computing Group (http://go.microsoft.com/fwlink/?LinkId=67440 (puede estar en inglés)).

Habilitación de BitLocker

El asistente para la instalación de BitLocker, que se puede iniciar desde el Panel de control o el Explorador de Windows, se usa para habilitar BitLocker en una unidad de datos fija o extraíble instalada en el equipo o la unidad de sistema operativo de los equipos con un TPM compatible. Si desea habilitar BitLocker en una unidad de sistema operativo de un equipo sin un TPM o usar otras características y opciones de BitLocker, puede modificar las opciones de configuración de la directiva de grupo de BitLocker que controlan qué características son accesibles mediante el asistente para la instalación de BitLocker.

En los equipos con un TPM compatible, las unidades de sistema operativo protegidas por BitLocker se pueden desbloquear de cuatro modos:

  • TPM solamente. El uso de una validación de TPM solamente no requiere interacción con el usuario para descifrar la unidad y proporcionar acceso a ella. Si la validación del TPM es correcta, el inicio de sesión de usuario será igual que el estándar. Si el TPM está ausente o se ha cambiado, o bien si el TPM detecta cambios en archivos críticos de inicio del sistema operativo, BitLocker pasa al modo de recuperación, y es necesario usar una contraseña de recuperación para volver a tener acceso a los datos.

  • TPM con clave de inicio. Además de la protección provista por el TPM, una parte de la clave de cifrado se guarda en una unidad flash USB. Esto se denomina clave de inicio. No se puede obtener acceso a los datos del volumen cifrado si no se dispone de la clave de inicio.

  • TPM con PIN. Además de la protección proporcionada por el TPM, BitLocker exige que el usuario escriba un número de identificación personal (PIN). No se puede obtener acceso a los datos del volumen cifrado si no se escribe el PIN.

  • TPM con clave de inicio y PIN. Esta opción solamente puede configurarse por medio del uso de la herramienta de la línea de comandos Manage-bde. Además de la protección de componente principal proporcionada por el TPM, se almacena una parte de la clave de cifrado en una unidad flash USB y se exige un PIN para autenticar el usuario en el TPM. Esto proporciona la autenticación multifactor, lo que significa que si pierde o le roban la unidad USB, no se podrá usar para obtener acceso a la unidad porque también se requiere el PIN correcto.

    Nota

    • Se recomienda usar siempre el controlador de TPM de Windows predeterminado con BitLocker. Instalar un controlador TPM que no sea de Microsoft puede impedir que el controlador TPM predeterminado se cargue y hacer que BitLocker indique que no hay ningún TPM en el equipo. En este caso, BitLocker no podrá usar el TPM. Si se configuran las opciones de configuración de directiva de grupo para que requieran el uso de BitLocker con un TPM, no se podrá activar BitLocker hasta que se quite el controlador que no sea de Microsoft.

Si desea usar BitLocker para proteger un sistema operativo en un equipo sin un TPM, existe la opción siguiente:

  • Clave de inicio solamente. Toda la información necesaria de la clave de cifrado se guarda en una unidad flash USB. El usuario debe insertar la unidad flash USB en el equipo durante el inicio. La clave guardada en la unidad flash USB desbloquea el equipo. Si el equipo no tiene ningún TPM, toda la información necesaria para leer la unidad cifrada se incluye en la clave de inicio. Se recomienda usar un TPM porque ayuda a proteger contra ataques realizados contra el proceso de inicio crítico del equipo.

Cuando se habilita BitLocker en unidades de datos fijas o extraíbles, BitLocker puede usar los métodos de desbloqueo siguientes:

  • Contraseña. Puede usar una contraseña para desbloquear unidades de datos fijas (por ejemplo, unidades de disco duro internas) y unidades de datos extraíbles (por ejemplo, unidades de disco duro externas y unidades flash USB). Se puede usar la configuración de directiva de grupo para establecer una longitud mínima de la contraseña.

  • Tarjeta inteligente. Para usar una tarjeta inteligente con BitLocker, debe tener un certificado compatible en su tarjeta inteligente. BitLocker elegirá automáticamente el certificado a menos que tenga varios certificados compatibles, en cuyo caso el usuario deberá elegir el que desee usar.

    Nota de seguridad

    • Al cifrar una unidad con una tarjeta inteligente, se creará en la unidad un protector basado en certificados. Este protector contiene la información sin cifrar necesaria para desbloquear la unidad. La clave pública y la huella digital del certificado usado para cifrar la unidad se almacenan sin cifrar en los metadatos del protector de la unidad. Esta información se puede usar para identificar la entidad de certificación (CA) que emitió el certificado.

  • Desbloqueo automático Las unidades de datos fijas cifradas con BitLocker se pueden configurar para desbloquearlas automáticamente cuando inicia sesión en Windows. Se puede seleccionar el desbloqueo automático de las unidades de datos extraíbles después de cifrar la unidad. Para poder desbloquear automáticamente las unidades de datos fijas, la unidad en la que está instalado Windows también debe estar cifrada con BitLocker.

Acceso al contenido de unidades de datos protegidas por BitLocker

Una vez se ha protegido una unidad con BitLocker, se autentica el acceso a la unidad antes de mostrar el contenido. Las unidades de datos fijas se pueden desbloquear automáticamente después de desbloquear la unidad de sistema operativo. Si la unidad no se desbloquea automáticamente, puede hacer clic en Equipo para ver las unidades del equipo, hacer clic con el botón secundario en la unidad y luego clic en Desbloquear, o bien usar el elemento Cifrado de unidad BitLocker del Panel de control. Según el método de autenticación configurado para el equipo, la unidad se desbloqueará automáticamente o bien le solicitará una tarjeta inteligente o una contraseña. Al insertar unidades de datos extraíbles en el equipo, cuando se detecte que la unidad está protegida por BitLocker, se le solicitará que proporcione una contraseña o una tarjeta inteligente.

Opciones de recuperación

Para evitar perder el acceso a unidades protegidas por BitLocker en caso de error del TPM, contraseñas olvidadas o pérdida de tarjetas inteligentes o unidades USB, es importante que los administradores tengan un medio de obtener acceso a las unidades BitLocker. BitLocker admite los métodos siguientes para recuperar el acceso a las unidades protegidas:

  • Clave de recuperación o contraseña de recuperación. Con BitLocker, puede usar una contraseña o una clave de recuperación. Si no se dispone de una clave de BitLocker, por ejemplo cuando se pierde una tarjeta inteligente o se olvida una contraseña de usuario, se puede usar una contraseña de recuperación de 48 dígitos para desbloquear la unidad protegida. En lugar de una contraseña, también se puede usar una clave de recuperación almacenada en un archivo en un medio extraíble, como una unidad flash USB, para desbloquear la unidad protegida.

  • Copia de seguridad de claves en Servicios de dominio de Active Directory. Las contraseñas de recuperación de BitLocker pueden almacenarse en Servicios de dominio de Active Directory. Esto permite a los administradores, como el personal de asistencia técnica, ayudar a los usuarios a recuperar las unidades protegidas por BitLocker si olvidan o pierden la contraseña de recuperación.

  • Agente de recuperación de datos. Un agente de recuperación de datos es una persona designada, como un administrador del sistema, que puede usar sus credenciales administrativas para desbloquear las unidades protegidas con BitLocker. BitLocker no está configurado con agentes de recuperación de datos predeterminados, y estos agentes tampoco están habilitados de forma predeterminada. Se deben habilitar y configurar mediante la directiva de grupo.

Referencias adicionales