¿Por qué se debe implementar una estrategia de recuperación para el Cifrado de unidad BitLocker?

Disponer de una estrategia de recuperación ayuda a garantizar que los usuarios no pierdan sus datos. La recuperación es importante en las unidades de datos por si un usuario olvida una contraseña o pierde una tarjeta inteligente. Cuando se configuren las unidades de datos para el desbloqueo automático, la recuperación será necesaria si se pierde la clave de desbloqueo automático almacenada en el equipo, por ejemplo en caso de error del disco duro o de reinstalación del sistema operativo.

Cuando se use para proteger una unidad de sistema operativo de un equipo con el hardware de seguridad del Módulo de plataforma de confianza (TPM), el Cifrado de unidad BitLocker de Windows no permitirá que se inicie el sistema operativo si el TPM detecta que se han alterado componentes fundamentales de inicio. Sin embargo, es importante que los usuarios autorizados puedan descifrar los datos. Para ello, BitLocker proporciona distintos métodos de recuperación que se pueden usar para volver a tener acceso a las unidades de sistema operativo protegidas con BitLocker.

Además de los ataques malintencionados, hay otras situaciones en las que puede ser necesario recuperar una unidad de sistema operativo protegida con BitLocker. Entre ellas se incluyen:

  • Traslado de la unidad protegida con BitLocker a un equipo nuevo.

  • Actualización de la placa base a una nueva, con un nuevo TPM.

  • Actualización de la memoria de sólo lectura opcional (opción ROM).

  • Desactivación, deshabilitación o borrado del TPM.

  • Actualización de componentes críticos de inicio, como una BIOS, que hacen que el TPM presente errores durante la validación.

  • Cuando se olvida el número de identificación personal (PIN), en los casos en que se haya habilitado la autenticación con PIN.

  • Pérdida de la unidad flash USB que contiene la clave de inicio cuando la autenticación con clave de inicio está habilitada.

La creación de un plan para hacer un seguimiento de los métodos de recuperación disponibles para cada equipo permite recuperar los datos si es necesario. El control administrativo del uso de los métodos de recuperación permite evitar que tengan acceso a datos protegidos personas no autorizadas.

Mediante la directiva de grupo, un administrador puede elegir los métodos de recuperación para exigir, impedir o hacer que sea opcional la habilitación de BitLocker para quienes usen el Asistente para la instalación de BitLocker. Por ejemplo, los administradores pueden exigir que se almacene la contraseña de recuperación de la unidad de sistema operativo en los Servicios de dominio de Active Directory (AD DS). La directiva de grupo permite al administrador determinar si la contraseña de recuperación también puede guardarse en un archivo en el disco, imprimirse o verse como texto, o bien si la clave de recuperación puede escribirse en una unidad flash USB. BitLocker puede leer fácilmente la información de una unidad flash USB durante la recuperación, o bien el usuario puede escribir la contraseña de recuperación. Ambos métodos permiten a los usuarios recuperar el acceso a la unidad protegida sin ayuda del administrador.

Referencias adicionales