Documentos de Académico
Documentos de Profesional
Documentos de Cultura
El Cifrado de unidad BitLocker™ de Windows (BitLocker) es una característica de seguridad de los sistemas
operativos Windows Vista® y Windows Server® 2008 que puede proporcionar protección al sistema
operativo del equipo y a los datos almacenados en el volumen del sistema operativo. En Windows
Server 2008, la protección de BitLocker se pueden extender también a los volúmenes usados para el
almacenamiento de datos.
BitLocker cifra todos los datos almacenados en el volumen del sistema operativo Windows (y en
los volúmenes de datos configurados). Esto incluye el sistema operativo Windows, los archivos de
paginación e hibernación, las aplicaciones y los datos usados por las aplicaciones.
BitLocker está configurado para que use de manera predeterminada un Módulo de plataforma
segura (TPM) que ayude a garantizar la integridad de los componentes de arranque iniciales (los
componentes utilizados en las primeras fases del proceso de inicio), y "bloquea" los volúmenes que
hayan sido protegidos con BitLocker para que permanezcan protegidos aun en el caso de que se
altere el equipo cuando el sistema operativo no se esté ejecutando.
Administradores responsables de servidores o equipos cliente de Windows Vista que sean móviles
Siempre que se enfrente al cifrado de datos, especialmente en un entorno empresarial, debe considerar de
qué forma pueden recuperarse dichos datos en caso de fallo de hardware, cambios de personal u otras
situaciones en las que se pierdan las claves de cifrado. BitLocker admite un sólido escenario de recuperación,
descrito más adelante en este artículo.
¿QUÉ NUEVAS FUNCIONALIDADES PROPORCIONA ESTA FUNCIÓN?
ADMINISTRACION REMOTA
BitLocker puede administrarse de forma remota con Instrumental de administración de Windows (WMI) o
con una interfaz de línea de comandos.
En un entorno con muchos equipos o con equipos en sucursales u oficinas remotas puede ser difícil o
incluso imposible administrar las características y las configuraciones de forma individual.
¿QUÉ DIFERENCIAS DE FUNCIONAMIENTO EXISTEN?
Las características de BitLocker están expuestas a través del subsistema de WMI. WMI es una
implementación de las funciones y estructuras de Web-Based Enterprise Management (WBEM). En
consecuencia, los administradores pueden usar cualquier software WBEM compatible con WMI para
administrar BitLocker en equipos locales o remotos.
Windows incluye también una interfaz de línea de comandos con BitLocker implementada como un script
denominado manage-bde.wsf que se puede usar para controlar todos los aspectos de BitLocker en un
equipo local o remoto. Para obtener una lista completa de los comandos y la sintaxis de manage-bde,
escriba lo siguiente en el símbolo del sistema:
manage-bde.wsf /?
Estos pasos se deben usar únicamente en la realización de pruebas. Esta guía no debe ser el único recurso
para implementar características de Windows Server 2008 o Windows Vista.
Dos particiones de disco NTFS, una para el volumen del sistema y otra para el volumen del
sistema operativo. La partición del volumen del sistema debe tener como mínimo 1,5 gigabytes
(GB) y debe establecerse como partición activa (escenario 1).
Una configuración de BIOS que se inicie primero desde la unidad de disco duro, no desde las
unidades USB o CD.
CREACION DE PARTICIONES EN UN DISCO DURO PARA CIFRADO DE UNIDAD BITLOCKER
Para que funcione BitLocker, deben existir al menos dos particiones en el disco duro. La primera partición
es el volumen del sistema, que se etiqueta con S en este documento. Este volumen contiene la información
de arranque en un espacio no cifrado. La segunda partición es el volumen del sistema operativo, que se
etiqueta con C en este documento. Este volumen está cifrado y contiene el sistema operativo y los datos
de usuario.
Las particiones se deben crear antes de instalar Windows Server 2008.
Con este procedimiento, el equipo se inicia con el DVD del producto y, a continuación, se escriben varios
comandos que realizan lo siguiente:
Crean una segunda partición primaria utilizando el resto del espacio de disco.
Dan formato a ambas particiones de forma que se puedan utilizar como volúmenes de Windows.
indica la forma de instalar el Cifrado de unidad BitLocker en un servidor. En una instalación de servidor,
se debe instalar la propiedad BitLocker.
1. Cuando se instala Windows Server 2008, aparece la ventana Tareas de configuración inicial.
2. Elija Agregar características y, a continuación, instale Cifrado de unidad BitLocker.
3. Reinicie el servidor.
También se puede instalar BitLocker por medio de Administrador de servidores.
1. Haga clic en Inicio, haga clic en Administrador del servidor, haga clic en Agregar características y,
a continuación, haga clic en Cifrado de unidad BitLocker.
2. Reinicie el servidor.
También se puede instalar BitLocker desde el símbolo del sistema.
1. Abra una ventana del símbolo del sistema como administrador. Para ello, haga clic en el
botón Inicio, haga clic en Todos los programas y, a continuación, haga clic en Accesorios.
2. Haga clic con el botón secundario en Símbolo del sistema y, a continuación, haga clic en Ejecutar
como administrador.
3. Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que
muestra es la que desea y, a continuación, haga clic en Continuar.
4. En el símbolo del sistema, escriba lo siguiente:
ServerManagerCmd -install BitLocker -restart
Esto instalará BitLocker si no estuviese ya instalado.
5. Reinicie el servidor.
Antes de comenzar
1. Haga clic en Inicio, haga clic en Panel de Control, haga clic en Seguridad y, a continuación, haga
clic en Cifrado de unidad BitLocker.
2. Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que
muestra es la que desea y, a continuación, haga clic en Continuar.
3. En la página Cifrado de unidad BitLocker, haga clic en Activar BitLocker en el volumen del sistema
operativo. Aparece un mensaje de advertencia que indica que el cifrado de BitLocker afectará al
rendimiento del servidor.
Si el TPM no está inicializado, aparece el asistente para Inicializar el hardware de seguridad de
TPM. Siga las instrucciones para inicializar el TPM y reinicie o apague el equipo.
4. En la página Guardar la contraseña de recuperación, se encontrará con las siguientes opciones:
o Guardar la contraseña en una unidad USB. Guarda la contraseña en una unidad flash USB.
Utilice una o más de estas opciones para conservar la contraseña de recuperación. Seleccione las
opciones que desee y siga los pasos del asistente para establecer la ubicación donde se guarda o
imprime la contraseña de recuperación.
Cuando haya terminado de guardar la contraseña de recuperación, haga clic en Siguiente.
6. Confirme que desea reiniciar el equipo haciendo clic en Reiniciar ahora. El equipo se reinicia y
BitLocker comprueba si el equipo es compatible con BitLocker y está preparado para cifrar. De no
ser así, se muestra un mensaje de error que alerta del problema Si está preparado para cifrar,
aparece la barra de estado Cifrado en curso. Puede observar cómo progresa el estado de
finalización del cifrado del volumen de disco arrastrando el cursor sobre el icono de Cifrado de
unidad BitLocker en el área de notificación en la parte inferior de la pantalla.
Una vez terminado este procedimiento, se ha cifrado el volumen del sistema operativo y se ha
creado una contraseña de recuperación única para este volumen. No observará ningún cambio la
próxima vez que inicie sesión. Si alguna vez cambia el TPM o no se puede acceder a él, si se
producen cambios en archivos clave del sistema, o si alguien intenta arrancar el equipo con un CD
o un DVD de producto para sortear al sistema operativo, el equipo conmutará a modo de
recuperación hasta que se suministre la clave de recuperación.
Para servidores almacenados en un entorno compartido o no seguro, por ejemplo los que están ubicados
en una sucursal, BitLocker puede asegurar el mismo nivel de protección de datos que ofrece a equipos
cliente mediante el cifrado de volúmenes de datos y del volumen del sistema operativo.
El sistema operativo monta un volumen de datos protegido por BitLocker como lo hace habitualmente.
Las claves para proteger un volumen de datos son independientes de las claves que protegen el volumen
del sistema operativo. Para permitir que el sistema monte de forma automática estos volúmenes, la
cadena de claves que protege los volúmenes de datos también se almacena cifrada en el volumen de
arranque actual. Si el sistema operativo entra en modo de recuperación, los volúmenes de datos no se
desbloquean hasta que el sistema operativo salga del modo de recuperación.
Antes de comenzar
Debe disponer de una unidad flash USB para guardar la contraseña de recuperación de los
volúmenes de datos.
Activación del Cifrado de unidad BitLocker para volúmenes de datos en servidor
1. Abra una ventana del símbolo del sistema como administrador. Para ello, haga clic en el
botón Inicio, haga clic en Todos los programas y, a continuación, haga clic en Accesorios.
2. Haga clic con el botón secundario en Símbolo del sistema y, a continuación, haga clic en Ejecutar
como administrador.
3. Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que
muestra es la que desea y, a continuación, haga clic en Continuar.
4. En el símbolo del sistema, escriba lo siguiente:
start /w pkgmgr /iu:BitLocker
Esto instalará BitLocker si no estuviese ya instalado.
5. Reinicie el servidor. Ahora BitLocker está instalado, pero aún no se ha habilitado.
6. En la ventana del símbolo del sistema con privilegios elevados, escriba lo siguiente:
manage-bde –on <volume>: -rp –rk U:\
7. Este comando cifra el volumen con nombre, genera una contraseña de recuperación y guarda la
clave de recuperación en U:\ (la unidad USB, por ejemplo). Registre la contraseña de recuperación
y el nombre de archivo de clave de recuperación que se muestra en la consola. El volumen de
datos se debe desbloquear después de cada reinicio mediante el uso de la contraseña de
recuperación o de la clave de recuperación, de la siguiente forma:
o manage-bde –unlock <volume>: -rp <recovery password>
Antes de comenzar
Debe disponer de una unidad flash USB para guardar la contraseña de recuperación.
Se recomienda que utilice una segunda unidad flash USB para guardar la clave de inicio en lugar
separado a la contraseña de recuperación.
1. Haga clic en Inicio, escriba gpedit.msc en el cuadro Iniciar búsqueda y, a continuación, presione
ENTRAR.
2. Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que
muestra es la que desea y, a continuación, haga clic en Continuar.
3. En el árbol de consola Editor de directivas de grupo local, haga clic en Directiva de equipo local,
en Plantillas administrativas, en Componentes de Windows y, a continuación, en Cifrado de
unidad BitLocker.
4. Haga doble clic en el parámetro Configuración del panel de control: Habilitar opciones de inicio
avanzadas.
5. Seleccione la opción Habilitado, active la casilla Permitir BitLocker sin un TPM compatible y, a
continuación, haga clic en Aceptar.
Ha cambiado la configuración de la directiva, de forma que puede utilizar una clave de inicio en
lugar de un TPM.
6. Cierre el Editor de directivas de grupo local.
7. Para que la directiva de grupo se aplique inmediatamente, haga clic en Inicio,
escriba gpupdate.exe /forcé en el cuadro Iniciar búsqueda y, a continuación, presione ENTRAR.
8. Haga clic en Inicio, en Panel de control, en Seguridad y, a continuación, en Cifrado de unidad
BitLocker
9. Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que
muestra es la que desea y, a continuación, haga clic en Continuar.
10. En la página Cifrado de unidad BitLocker, haga clic en Activar BitLocker. Esto sólo aparecerá con el
volumen del sistema operativo.
11. En la página Establecer preferencias de inicio de BitLocker, active la opción Requerir llave de inicio
USB en cada inicio. Esta es la única opción disponible para configuraciones sin TPM. Se debe
insertar esta clave todas las veces que se inicie el equipo.
12. Inserte la unidad flash USB en el equipo, si aún no lo ha hecho.
13. En la página Guardar la clave de inicio, elija la ubicación de la unidad flash USB y, a continuación,
haga clic en Guardar.
14. En la página Guardar la contraseña de recuperación, se encontrará con las siguientes opciones:
o Guardar la contraseña en una unidad USB. Guarda la contraseña en una unidad flash USB.
Utilice una o más de estas opciones para conservar la contraseña de recuperación. Seleccione las
opciones que desee y siga los pasos del asistente para establecer la ubicación donde se guarda o
imprime la contraseña de recuperación. No debe guardar la contraseña de recuperación y la clave
de inicio en el mismo medio.
Si está preparado para cifrar, aparece la barra de estado Cifrado en curso. Puede observar cómo
progresa el estado de finalización del cifrado del volumen de disco arrastrando el cursor sobre el
icono de Cifrado de unidad BitLocker en el área de notificación en la parte inferior de la pantalla o
haciendo clic en el icono de Cifrado.
Una vez terminado este procedimiento, se ha cifrado el volumen del sistema operativo y se ha
creado una contraseña de recuperación única para este volumen. La próxima vez que encienda el
equipo, la unidad flash USB con la clave de inicio debe estar conectada en un puerto USB del
equipo. Si no lo está, no podrá obtener acceso a los datos del volumen cifrado.
Si no tiene una unidad flash USB con la clave de inicio, necesitará entrar en el modo de
recuperación y proporcionar una contraseña de recuperación para poder tener acceso a los datos.
Cuando se bloquea un equipo, el procedimiento de inicio se interrumpe muy pronto, antes de arrancar el
sistema operativo. Debe usar la contraseña de recuperación de una unidad flash USB o escribir la
contraseña de recuperación utilizando las teclas de función. Las teclas F1 a F9 representan los dígitos de 1
al 9, y F10 representa el 0.
Puesto que la recuperación se produce tan pronto en el proceso de inicio, las propiedades de
accesibilidad de Windows no están disponibles. Si necesita propiedades de accesibilidad, debe tener en
cuenta que las tendrá en el caso de que se produzca la recuperación.
Este escenario incluye dos pasos:
Recuperación de datos
1. Encienda el equipo.
2. Si el equipo está bloqueado, aparecerá la Consola de recuperación de Cifrado de unidad
BitLocker.
3. Se le pedirá que inserte la unidad flash USB que contiene la contraseña de recuperación.
o Si tiene la unidad flash USB con la contraseña de recuperación, insértela y a continuación
presione ESC. El equipo se reiniciará automáticamente. No es necesario que escriba la
contraseña de recuperación manualmente.
1. Haga clic en Inicio, en Panel de Control, en Seguridad y, a continuación, haga clic en Cifrado de
unidad BitLocker.
2. Desde la página de Cifrado de unidad BitLocker, busque el volumen para el que desea desactivar
BitLocker y haga clic en Desactivar Cifrado de unidad BitLocker.
3. Desde el cuadro de diálogo ¿Qué nivel de descifrado desea? haga clic en Deshabilitar Cifrado de
unidad BitLocker o en Descifrar volumen, según sea necesario.
Una vez terminado este procedimiento, o bien se ha deshabilitado BitLocker o se ha descifrado el
volumen del sistema operativo.