Javier de Jesús Castro Ramírez | Eduardo Valdivia | 26 de Septiembre 2014

CIFRADO DE LA UNUDAD BITLOCKER

El Cifrado de unidad BitLocker™ de Windows (BitLocker) es una característica de seguridad de los sistemas
operativos Windows Vista® y Windows Server® 2008 que puede proporcionar protección al sistema
operativo del equipo y a los datos almacenados en el volumen del sistema operativo. En Windows
Server 2008, la protección de BitLocker se pueden extender también a los volúmenes usados para el
almacenamiento de datos.

¿QUÉ HACE EL CIFRADO DE LA UNIDAD DE BITLOCKER DE WINDOWS?

BitLocker realiza dos funciones:

 BitLocker cifra todos los datos almacenados en el volumen del sistema operativo Windows (y en
los volúmenes de datos configurados). Esto incluye el sistema operativo Windows, los archivos de
paginación e hibernación, las aplicaciones y los datos usados por las aplicaciones.

 BitLocker está configurado para que use de manera predeterminada un Módulo de plataforma
segura (TPM) que ayude a garantizar la integridad de los componentes de arranque iniciales (los
componentes utilizados en las primeras fases del proceso de inicio), y "bloquea" los volúmenes que
hayan sido protegidos con BitLocker para que permanezcan protegidos aun en el caso de que se
altere el equipo cuando el sistema operativo no se esté ejecutando.

¿A QUIEN PUEDE INTERESARLE ESTA CARACTERISTICA?

 Administradores, profesionales de seguridad de TI y encargados de velar por el cumplimiento de

las normas que tienen la tarea de garantizar que no se divulguen datos confidenciales sin
autorización

 Administradores responsables de proteger los equipos en sucursales y oficinas remotas

 Administradores responsables de servidores o equipos cliente de Windows Vista que sean móviles

 Administradores responsables de la retirada de servidores en los que se han almacenado datos

confidenciales

¿HAY QUE TENER EN CUANTA CONSIDERACIONES ESPECIALES?

BitLocker requiere que la partición activa (en ocasiones denominada partición del sistema) sea una partición
no cifrada. El sistema operativo Windows está instalado en una segunda partición cifrada con BitLocker.

Siempre que se enfrente al cifrado de datos, especialmente en un entorno empresarial, debe considerar de
qué forma pueden recuperarse dichos datos en caso de fallo de hardware, cambios de personal u otras
situaciones en las que se pierdan las claves de cifrado. BitLocker admite un sólido escenario de recuperación,
descrito más adelante en este artículo.
¿QUÉ NUEVAS FUNCIONALIDADES PROPORCIONA ESTA FUNCIÓN?

Las principales características de BitLocker incluyen cifrado completo de volúmenes, comprobación de la

integridad de los componentes de arranque iniciales, un sólido mecanismo de recuperación y
compatibilidad con un proceso de retirada segura.

Cifrado de volúmenes completos

Todo lo que se escribe en un volumen protegido con BitLocker se cifra, incluidos el propio sistema
operativo y todos los datos y aplicaciones.

¿POR QUÉ ES IMPORTAN TE ESTA FUNCIONALIDAD?

Esta función ayuda a proteger los datos frente al acceso no autorizado. Si bien la seguridad física de los
servidores sigue siendo importante, BitLocker puede ayudar a proteger los datos en caso de robo del
equipo, envío del mismo de una ubicación a otra o cualquier otra situación en la que éste quede fuera de
su control físico.
Cifrar el disco ayuda a impedir los ataques sin conexión, como la retirada de una unidad de disco de un
equipo y su instalación en otro en un intento de burlar las medidas de seguridad de Windows, como los
permisos aplicados por listas de control de acceso (ACL) de NTFS.

¿QUÉ DIFERENCIAS DE FUNCIONAMIENTO EXISTEN?

BitLocker se implementa en código en los componentes de arranque iniciales (registro de arranque maestro
(MBR), sector de arranque, administrador de arranque, cargador de Windows) y como un controlador de
filtro que es parte integral del sistema operativo.
Cuando BitLocker se habilita por primera vez, es preciso cifrar los datos existentes en el volumen. Podrá
seguir usando el equipo durante este proceso, pero es posible que perciba un rendimiento reducido
mientras se realiza este cifrado inicial.
Una vez finalizado el cifrado inicial, el uso del volumen cifrado provoca una ligera reducción del rendimiento
en el acceso al disco. Si bien ésta depende en gran medida del hardware y los patrones de uso, es razonable
calcular entre un 3 y un 5 por ciento. En los sistemas cliente los usuarios apenas lo notarán. En los servidores
con carga elevada debería evaluarse el rendimiento del subsistema de disco.

ADMINISTRACION REMOTA

BitLocker puede administrarse de forma remota con Instrumental de administración de Windows (WMI) o
con una interfaz de línea de comandos.

¿POR QUÉ ES IMPORTAN TE ESTA FUNCIONALIDAD?

En un entorno con muchos equipos o con equipos en sucursales u oficinas remotas puede ser difícil o
incluso imposible administrar las características y las configuraciones de forma individual.
¿QUÉ DIFERENCIAS DE FUNCIONAMIENTO EXISTEN?
Las características de BitLocker están expuestas a través del subsistema de WMI. WMI es una
implementación de las funciones y estructuras de Web-Based Enterprise Management (WBEM). En
consecuencia, los administradores pueden usar cualquier software WBEM compatible con WMI para
administrar BitLocker en equipos locales o remotos.

Windows incluye también una interfaz de línea de comandos con BitLocker implementada como un script
denominado manage-bde.wsf que se puede usar para controlar todos los aspectos de BitLocker en un
equipo local o remoto. Para obtener una lista completa de los comandos y la sintaxis de manage-bde,
escriba lo siguiente en el símbolo del sistema:

manage-bde.wsf /?

La administración remota de BitLocker es un componente opcional que se puede instalar en Windows

Server 2008 para poder administrar otros equipos sin habilitar BitLocker en el servidor que se está usando.

¿COMO SE SOLUCIONAN ESTOS PROBLEMAS?

El componente opcional para la administración remota de BitLocker se denomina BitLocker-
RemoteAdminTool. Este paquete de componentes opcionales incluye manage-bde.wsf y el archivo .ini
asociado. Para instalar sólo el componente de administración remota debe escribirse lo siguiente en el
símbolo del sistema:

ServerManagerCmd -install RSAT-BitLocker

INSTALACION DE BITLO KER

REQUISITOS DEL CIFRADO DE UNIDAD BITLOCKER

Estos pasos se deben usar únicamente en la realización de pruebas. Esta guía no debe ser el único recurso
para implementar características de Windows Server 2008 o Windows Vista.

Requisitos de hardware y software

 Un equipo con los requisitos mínimos de Windows Server 2008.

 Un TPM versión 1.2 activado (escenarios 3 y 4).

 BIOS compatible con Trusted Computing Group (TCG) (escenarios 3 y 4).

 Dos particiones de disco NTFS, una para el volumen del sistema y otra para el volumen del
sistema operativo. La partición del volumen del sistema debe tener como mínimo 1,5 gigabytes
(GB) y debe establecerse como partición activa (escenario 1).

 Una configuración de BIOS que se inicie primero desde la unidad de disco duro, no desde las
unidades USB o CD.
CREACION DE PARTICIONES EN UN DISCO DURO PARA CIFRADO DE UNIDAD BITLOCKER
Para que funcione BitLocker, deben existir al menos dos particiones en el disco duro. La primera partición
es el volumen del sistema, que se etiqueta con S en este documento. Este volumen contiene la información
de arranque en un espacio no cifrado. La segunda partición es el volumen del sistema operativo, que se
etiqueta con C en este documento. Este volumen está cifrado y contiene el sistema operativo y los datos
de usuario.
Las particiones se deben crear antes de instalar Windows Server 2008.

Creación de particiones en un disco sin sistema operativo para BitLocker

Con este procedimiento, el equipo se inicia con el DVD del producto y, a continuación, se escriben varios
comandos que realizan lo siguiente:

 Crean una nueva partición primaria de 1,5 GB.

 Establecen esta partición como activa.

 Crean una segunda partición primaria utilizando el resto del espacio de disco.

 Dan formato a ambas particiones de forma que se puedan utilizar como volúmenes de Windows.

 Instalan Windows Server 2008 en el volumen mayor (unidad C).

Creación de particiones en un disco sin sistema operativo para BitLocker

1. Inicie el equipo con el DVD del producto Windows Server 2008.

2. En la pantalla inicial de Instalar Windows, elija Idioma de instalación, Formato de hora y moneda y
Distribución del teclado, y finalmente haga clic en Siguiente.
3. En la siguiente pantalla de Instalar Windows, haga clic en Reparar el equipo, en la parte inferior
izquierda de la pantalla.
4. En el cuadro de diálogo Opciones de recuperación del sistema, asegúrese de que no quede
seleccionado ningún sistema operativo. Para ello, haga clic en el cuadro en blanco de la lista
de Sistemas operativos, al final de todas las entradas que aparecen en la lista. A continuación,
haga clic en Siguiente.
5. En el siguiente cuadro de diálogo de Opciones de recuperación del sistema, haga clic en Símbolo
del sistema.
6. Use Diskpart para crear una partición en el volumen del sistema operativo. En el símbolo del
sistema, escribadiskpart y a continuación presione ENTRAR.
7. Escriba select disk 0.
8. Escriba clean para borrar la tabla de particiones existente.
9. Escriba create partition primary size=1500 para establecer la partición que está
creando como partición primaria.
10. Escriba assign letter=S para dar a esta partición la denominación S.
11. Escriba active para establecer la nueva partición como partición activa.
 12. Escriba create partition primarypara crear otra partición primaria. Instalará Windows en
la partición más grande.
13. Escriba assign letter=C para dar a esta partición la denominación C.
14. Escriba list volume para ver una lista de todos los volúmenes del disco. Podrá ver una lista de
cada volumen, números de volumen, letras, etiquetas, sistemas de archivo, tipos, tamaños y otra
información. Compruebe que tiene un volumen de instalación de DVD y dos volúmenes de disco
y que conoce la etiqueta usada para cada volumen.
15. Escriba exit para salir de la aplicación Diskpart.
16. Escriba format c: /y /q /fs:NTFS para dar el formato adecuado al volumen C.
17. Escriba format s: /y /q /fs:NTFS para dar el formato adecuado al volumen S.
18. Escriba exit para salir de la ventana del símbolo del sistema.
19. En la ventana Opciones de recuperación del sistema, utilice el icono de cerrar ventana en la
esquina superior derecha (o presione ALT+F4) para cerrar la ventana y regresar a la pantalla
principal de la instalación. No haga clic en Apagar ni en Reiniciar.
20. Haga clic en Instalar ahora y continúe con el proceso de instalación de Windows Server 2008.
Instale Windows Server 2008 en el volumen más grande, C (el volumen del sistema operativo).

INSTALACION DEL CIFRADO DE UNIDAD BITLOCKER

indica la forma de instalar el Cifrado de unidad BitLocker en un servidor. En una instalación de servidor,
se debe instalar la propiedad BitLocker.

NOTA: debe de haber iniciado como administrador.

Instalación de BitLocker durante la configuración inicial

1. Cuando se instala Windows Server 2008, aparece la ventana Tareas de configuración inicial.
2. Elija Agregar características y, a continuación, instale Cifrado de unidad BitLocker.
3. Reinicie el servidor.
También se puede instalar BitLocker por medio de Administrador de servidores.

Instalación de BitLocker después de la instalación, desde la interfaz de usuario de

Windows.

1. Haga clic en Inicio, haga clic en Administrador del servidor, haga clic en Agregar características y,
a continuación, haga clic en Cifrado de unidad BitLocker.
2. Reinicie el servidor.
También se puede instalar BitLocker desde el símbolo del sistema.

Instalación de BitLocker después de la instalación, desde el símbolo del sistema

1. Abra una ventana del símbolo del sistema como administrador. Para ello, haga clic en el
botón Inicio, haga clic en Todos los programas y, a continuación, haga clic en Accesorios.
2. Haga clic con el botón secundario en Símbolo del sistema y, a continuación, haga clic en Ejecutar
como administrador.
 3. Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que
muestra es la que desea y, a continuación, haga clic en Continuar.
4. En el símbolo del sistema, escriba lo siguiente:
ServerManagerCmd -install BitLocker -restart
Esto instalará BitLocker si no estuviese ya instalado.
5. Reinicie el servidor.

ACTIVACION DEL CIFRADO DE UNIDAD BOTLOCKER BASICO

El escenario 3 presenta los procedimientos para activar la protección de Cifrado de unidad BitLocker en
un sistema con un TPM. Después de cifrar el volumen, el usuario inicia sesión en el equipo con
normalidad.

Antes de comenzar

 Debe haber iniciado sesión como administrador.

 BitLocker debe estar instalado en este servidor.

 Se puede configurar una impresora para imprimir las contraseñas de recuperación.

Activación del Cifrado de unidad BitLocker

1. Haga clic en Inicio, haga clic en Panel de Control, haga clic en Seguridad y, a continuación, haga
clic en Cifrado de unidad BitLocker.
2. Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que
muestra es la que desea y, a continuación, haga clic en Continuar.
3. En la página Cifrado de unidad BitLocker, haga clic en Activar BitLocker en el volumen del sistema
operativo. Aparece un mensaje de advertencia que indica que el cifrado de BitLocker afectará al
rendimiento del servidor.
Si el TPM no está inicializado, aparece el asistente para Inicializar el hardware de seguridad de
TPM. Siga las instrucciones para inicializar el TPM y reinicie o apague el equipo.
4. En la página Guardar la contraseña de recuperación, se encontrará con las siguientes opciones:
o Guardar la contraseña en una unidad USB. Guarda la contraseña en una unidad flash USB.

o Guardar la contraseña en una carpeta. Guarda la contraseña en una carpeta de una

unidad de red u otra ubicación.

o Imprimir la contraseña. Imprime la contraseña.

Utilice una o más de estas opciones para conservar la contraseña de recuperación. Seleccione las
opciones que desee y siga los pasos del asistente para establecer la ubicación donde se guarda o
imprime la contraseña de recuperación.
Cuando haya terminado de guardar la contraseña de recuperación, haga clic en Siguiente.

5. En la página Cifrar el volumen de disco seleccionado, confirme que la casilla Ejecutar la

comprobación del sistema de BitLocker está activada y después haga clic en Continuar.
 Confirme que desea reiniciar el equipo haciendo clic en Reiniciar ahora. El equipo se reinicia y
BitLocker comprueba si el equipo es compatible con BitLocker y está preparado para cifrar. De no
ser así, se muestra un mensaje de error que alerta del problema.

6. Confirme que desea reiniciar el equipo haciendo clic en Reiniciar ahora. El equipo se reinicia y
BitLocker comprueba si el equipo es compatible con BitLocker y está preparado para cifrar. De no
ser así, se muestra un mensaje de error que alerta del problema Si está preparado para cifrar,
aparece la barra de estado Cifrado en curso. Puede observar cómo progresa el estado de
finalización del cifrado del volumen de disco arrastrando el cursor sobre el icono de Cifrado de
unidad BitLocker en el área de notificación en la parte inferior de la pantalla.
Una vez terminado este procedimiento, se ha cifrado el volumen del sistema operativo y se ha
creado una contraseña de recuperación única para este volumen. No observará ningún cambio la
próxima vez que inicie sesión. Si alguna vez cambia el TPM o no se puede acceder a él, si se
producen cambios en archivos clave del sistema, o si alguien intenta arrancar el equipo con un CD
o un DVD de producto para sortear al sistema operativo, el equipo conmutará a modo de
recuperación hasta que se suministre la clave de recuperación.

ACTIVACION DE CIFRAD O DE UNIDAD BITLOCKER PARA VOLUMENES DE DATOS EN

SERVIDOR.

Para servidores almacenados en un entorno compartido o no seguro, por ejemplo los que están ubicados
en una sucursal, BitLocker puede asegurar el mismo nivel de protección de datos que ofrece a equipos
cliente mediante el cifrado de volúmenes de datos y del volumen del sistema operativo.

El sistema operativo monta un volumen de datos protegido por BitLocker como lo hace habitualmente.
Las claves para proteger un volumen de datos son independientes de las claves que protegen el volumen
del sistema operativo. Para permitir que el sistema monte de forma automática estos volúmenes, la
cadena de claves que protege los volúmenes de datos también se almacena cifrada en el volumen de
arranque actual. Si el sistema operativo entra en modo de recuperación, los volúmenes de datos no se
desbloquean hasta que el sistema operativo salga del modo de recuperación.

La recuperación de un volumen de datos es similar a la de un volumen del sistema operativo. Si el

volumen de datos se daña o se mueve a una nueva plataforma o si el volumen del sistema operativo no
puede recuperar la clave para que el volumen de datos se desbloquee de forma automática, el usuario
debe insertar un medio con una copia de la clave de recuperación del volumen de datos.

Antes de comenzar

 Debe haber iniciado sesión como administrador.

 BitLocker debe estar instalado en este servidor.

 Debe disponer de una unidad flash USB para guardar la contraseña de recuperación de los
volúmenes de datos.
 Activación del Cifrado de unidad BitLocker para volúmenes de datos en servidor

1. Abra una ventana del símbolo del sistema como administrador. Para ello, haga clic en el
botón Inicio, haga clic en Todos los programas y, a continuación, haga clic en Accesorios.
2. Haga clic con el botón secundario en Símbolo del sistema y, a continuación, haga clic en Ejecutar
como administrador.
3. Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que
muestra es la que desea y, a continuación, haga clic en Continuar.
4. En el símbolo del sistema, escriba lo siguiente:
start /w pkgmgr /iu:BitLocker
Esto instalará BitLocker si no estuviese ya instalado.
5. Reinicie el servidor. Ahora BitLocker está instalado, pero aún no se ha habilitado.
6. En la ventana del símbolo del sistema con privilegios elevados, escriba lo siguiente:
manage-bde –on <volume>: -rp –rk U:\
7. Este comando cifra el volumen con nombre, genera una contraseña de recuperación y guarda la
clave de recuperación en U:\ (la unidad USB, por ejemplo). Registre la contraseña de recuperación
y el nombre de archivo de clave de recuperación que se muestra en la consola. El volumen de
datos se debe desbloquear después de cada reinicio mediante el uso de la contraseña de
recuperación o de la clave de recuperación, de la siguiente forma:
o manage-bde –unlock <volume>: -rp <recovery password>

o manage-bde –unlock <volume>: -rk U:\<recovery-key-file name>

8. Para habilitar el desbloqueo automático del volumen de datos, escriba lo siguiente:

manage-bde –autounlock –enable <volume>:
9. Este comando genera una clave de recuperación y la guarda en el volumen del sistema operativo.
El volumen del sistema operativo debe estar completamente cifrado antes de ejecutar este
comando. Una vez que se habilita el desbloqueo automático, el volumen de datos se desbloquea
automáticamente cada vez que se reinicia el sistema.

ACTIVACION DEL CIFRADO DE UNIDAD BITLOCKER EN EQUIPOS TPM COMPATIBLE

Utilice el siguiente procedimiento para cambiar la configuración de la directiva de grupo de forma que se
pueda activar Cifrado de unidad BitLocker sin TPM. En lugar de un TPM, utilizará una clave de inicio para
autenticarse a si mismo. La clave de inicio se ubica en una unidad flash USB insertada en el equipo antes
de encenderlo. En este escenario, se debe disponer de un BIOS que pueda leer unidades flash USB en el
entorno previo al sistema operativo (en el momento del arranque). El BIOS se puede verificar durante la
comprobación del sistema que se realiza en el paso final del asistente de BitLocker.

Antes de comenzar

 Debe haber iniciado sesión como administrador.

 BitLocker debe estar instalado en este servidor.

 Debe disponer de una unidad flash USB para guardar la contraseña de recuperación.
  Se recomienda que utilice una segunda unidad flash USB para guardar la clave de inicio en lugar
separado a la contraseña de recuperación.

Activación del Cifrado de unidad BitLocker en un equipo sin TPM compatible

1. Haga clic en Inicio, escriba gpedit.msc en el cuadro Iniciar búsqueda y, a continuación, presione
ENTRAR.
2. Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que
muestra es la que desea y, a continuación, haga clic en Continuar.
3. En el árbol de consola Editor de directivas de grupo local, haga clic en Directiva de equipo local,
en Plantillas administrativas, en Componentes de Windows y, a continuación, en Cifrado de
unidad BitLocker.
4. Haga doble clic en el parámetro Configuración del panel de control: Habilitar opciones de inicio
avanzadas.
5. Seleccione la opción Habilitado, active la casilla Permitir BitLocker sin un TPM compatible y, a
continuación, haga clic en Aceptar.
Ha cambiado la configuración de la directiva, de forma que puede utilizar una clave de inicio en
lugar de un TPM.
6. Cierre el Editor de directivas de grupo local.
7. Para que la directiva de grupo se aplique inmediatamente, haga clic en Inicio,
escriba gpupdate.exe /forcé en el cuadro Iniciar búsqueda y, a continuación, presione ENTRAR.
8. Haga clic en Inicio, en Panel de control, en Seguridad y, a continuación, en Cifrado de unidad
BitLocker
9. Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que
muestra es la que desea y, a continuación, haga clic en Continuar.
10. En la página Cifrado de unidad BitLocker, haga clic en Activar BitLocker. Esto sólo aparecerá con el
volumen del sistema operativo.
11. En la página Establecer preferencias de inicio de BitLocker, active la opción Requerir llave de inicio
USB en cada inicio. Esta es la única opción disponible para configuraciones sin TPM. Se debe
insertar esta clave todas las veces que se inicie el equipo.
12. Inserte la unidad flash USB en el equipo, si aún no lo ha hecho.
13. En la página Guardar la clave de inicio, elija la ubicación de la unidad flash USB y, a continuación,
haga clic en Guardar.
14. En la página Guardar la contraseña de recuperación, se encontrará con las siguientes opciones:
o Guardar la contraseña en una unidad USB. Guarda la contraseña en una unidad flash USB.

o Guardar la contraseña en una carpeta. Guarda la contraseña en una carpeta de una

unidad de red u otra ubicación.

o Imprimir la contraseña. Imprime la contraseña.

Utilice una o más de estas opciones para conservar la contraseña de recuperación. Seleccione las
opciones que desee y siga los pasos del asistente para establecer la ubicación donde se guarda o
imprime la contraseña de recuperación. No debe guardar la contraseña de recuperación y la clave
de inicio en el mismo medio.

Cuando haya terminado de guardar la contraseña de recuperación, haga clic en Siguiente.

 En la página Cifrar el volumen de disco seleccionado, confirme que la casilla Ejecutar la
comprobación del sistema de BitLocker está activada y después haga clic en Continuar.
Confirme que desea reiniciar el equipo haciendo clic en Reiniciar ahora. El equipo se reinicia y
BitLocker comprueba si el equipo es compatible con BitLocker y está preparado para cifrar. De no
ser así, se muestra un mensaje de error que alerta del problema antes de comenzar el cifrado.

Si está preparado para cifrar, aparece la barra de estado Cifrado en curso. Puede observar cómo
progresa el estado de finalización del cifrado del volumen de disco arrastrando el cursor sobre el
icono de Cifrado de unidad BitLocker en el área de notificación en la parte inferior de la pantalla o
haciendo clic en el icono de Cifrado.

Una vez terminado este procedimiento, se ha cifrado el volumen del sistema operativo y se ha
creado una contraseña de recuperación única para este volumen. La próxima vez que encienda el
equipo, la unidad flash USB con la clave de inicio debe estar conectada en un puerto USB del
equipo. Si no lo está, no podrá obtener acceso a los datos del volumen cifrado.
Si no tiene una unidad flash USB con la clave de inicio, necesitará entrar en el modo de
recuperación y proporcionar una contraseña de recuperación para poder tener acceso a los datos.

RECUPERACION DE DATOS PROTEGIDOS CON CIFRADO DE UINIDAD BITLOCKER

El escenario 5 describe el proceso de recuperación de datos después de que BitLocker ha entrado en
modo de recuperación. BitLocker bloquea el equipo cuando no se dispone de una clave de cifrado de
disco. A continuación se muestra una lista de posibles causas:

 Se produce un error relacionado con TPM.

 Se modifica uno de los archivos de arranque inicial.

 Se desactiva el TPM involuntariamente y el equipo de apaga.

 Se borra el TPM involuntariamente y el equipo de apaga.

Cuando se bloquea un equipo, el procedimiento de inicio se interrumpe muy pronto, antes de arrancar el
sistema operativo. Debe usar la contraseña de recuperación de una unidad flash USB o escribir la
contraseña de recuperación utilizando las teclas de función. Las teclas F1 a F9 representan los dígitos de 1
al 9, y F10 representa el 0.
Puesto que la recuperación se produce tan pronto en el proceso de inicio, las propiedades de
accesibilidad de Windows no están disponibles. Si necesita propiedades de accesibilidad, debe tener en
cuenta que las tendrá en el caso de que se produzca la recuperación.
Este escenario incluye dos pasos:

 Comprobación de la recuperación de datos

 Recuperación de datos

Comprobación de la recuperación de datos

 1. Haga clic en Inicio, en Todos los programas, en Accesorios y, a continuación, en Ejecutar.
2. Escriba tpm.msc en el cuadro Abrir y, a continuación, haga clic en Aceptar. Aparece la Consola de
administración de TPM.
3. Debajo de Acciones, haga clic en Desactivar TPM.
4. Proporcione la contraseña de propietario de TPM, en caso necesario.
5. Cuando en el panel Estado del panel de tareas Administración de TMP en el equipo local se lea
"El TPM está desactivado y le han dejado sin propietario", cierre dicho panel de tareas.
6. Cierre todas las ventanas abiertas.
7. Si la unidad flash USB que contiene la contraseña de recuperación está conectada en el sistema,
utilice el icono Quitar hardware de forma segura en el área de notificación para quitarla del
sistema.
8. Haga clic en el botón Inicio y, a continuación, haga clic en el botón Apagar equipo para
reiniciarlo. Cuando se reinicia el equipo se le pedirá la contraseña de recuperación porque ha
cambiado la configuración de arranque desde que cifró el volumen.

Recuperación de acceso a los datos con Cifrado de unidad BitLocker

1. Encienda el equipo.
2. Si el equipo está bloqueado, aparecerá la Consola de recuperación de Cifrado de unidad
BitLocker.
3. Se le pedirá que inserte la unidad flash USB que contiene la contraseña de recuperación.
o Si tiene la unidad flash USB con la contraseña de recuperación, insértela y a continuación
presione ESC. El equipo se reiniciará automáticamente. No es necesario que escriba la
contraseña de recuperación manualmente.

o Si no tiene la unidad flash USB con la contraseña de recuperación, presione ENTRAR. Se le

solicitará que escriba la contraseña de recuperación manualmente.

Si conoce la contraseña de recuperación, escríbala y después presione ENTRAR.

Si no conoce la contraseña de recuperación, presione ENTRAR dos veces y apague el

equipo.

DESACTIVACION DEL CIFRADO DE UNIDAD BITLOCKER

El escenario 6 describe la forma de de desactivar Cifrado de unidad BitLocker y descifrar un volumen. El

procedimiento es el mismo para todas las configuraciones de Cifrado de unidad BitLocker, tanto en
equipos equipados con TPM como en equipos sin TPM compatible. Los volúmenes de datos sólo se
pueden descifrar, no deshabilitar.

Cuando se desactiva BitLocker, puede elegir deshabilitarlo temporalmente o descifrar el volumen. La

deshabilitación de BitLocker permite cambios de TPM y otros cambios menores en el sistema. El
descifrado de un volumen supone que será descifrado completamente y todas las claves se descartarán.
Debe descifrar un equipo antes de actualizar el sistema operativo. Una vez que se descifra un volumen, si
desea habilitar BitLocker debe generar nuevas claves con otro proceso de cifrado.
Antes de comenzar

 Debe haber iniciado sesión como administrador.

 El volumen debe estar cifrado.

Desactivación del Cifrado de unidad BitLocker

1. Haga clic en Inicio, en Panel de Control, en Seguridad y, a continuación, haga clic en Cifrado de
unidad BitLocker.
2. Desde la página de Cifrado de unidad BitLocker, busque el volumen para el que desea desactivar
BitLocker y haga clic en Desactivar Cifrado de unidad BitLocker.
3. Desde el cuadro de diálogo ¿Qué nivel de descifrado desea? haga clic en Deshabilitar Cifrado de
unidad BitLocker o en Descifrar volumen, según sea necesario.
Una vez terminado este procedimiento, o bien se ha deshabilitado BitLocker o se ha descifrado el
volumen del sistema operativo.