Descripción general del cifrado de dispositivos de BitLocker en Windows

Se aplica a:

  • Windows10
  • Windows11
  • Windows Server 2016 y superior

En este tema se explica cómo el cifrado de dispositivos BitLocker puede ayudar a proteger los datos en dispositivos que ejecutan Windows. Para obtener información general y una lista de temas sobre BitLocker, consulta BitLocker.

Cuando los usuarios viajan, los datos confidenciales de su organización van con ellos. Cualquier lugar en el que se almacenen los datos confidenciales debe estar protegido contra el acceso no autorizado. Windows tiene una larga historia de proporción de soluciones de protección de datos en reposo que protegen frente a atacantes malintencionados, empezando por el sistema de archivo cifrado en el sistema operativo Windows 2000. Más recientemente, BitLocker ha proporcionado cifrado para unidades completa y unidades portátiles. Windows mejora de forma coherente la protección de datos optimizando las opciones existentes y proporcionando nuevas estrategias.

En la tabla 2 se enumeran los problemas específicos de protección de datos y cómo se abordan en Windows 11, Windows 10 y Windows 7.

Tabla 2. Protección de datos en Windows 11, Windows 10 y Windows 7

Windows 7 Windows 11 y Windows 10
Cuando se usa BitLocker con un PIN para proteger el inicio, no se pueden reiniciar equipos como quioscos de forma remota. Los Windows modernos están cada vez más protegidos con cifrado de dispositivo BitLocker de forma automática y admiten SSO para proteger sin problemas las claves de cifrado de BitLocker frente a ataques de arranque en frío.

El desbloqueo en red permite que los equipos se inicien automáticamente cuando estén conectados a la red interna.
Cuando BitLocker está habilitado, el proceso de aprovisionamiento puede tardar varias horas. El aprovisionamiento previo de BitLocker previamente, las unidades de disco duro cifradas y el cifrado solo en espacio utilizado permite a los administradores habilitar BitLocker rápidamente en equipos nuevos.
No hay compatibilidad para usar BitLocker con unidades de cifrado automático (SED). BitLocker admite el cifrado de descarga para las unidades de disco duro cifradas.
Los administradores deben usar herramientas independientes para administrar las unidades de disco duro cifradas. BitLocker admite unidades de disco duro cifradas con hardware integrado de cifrado incorporado, que permite a los administradores usar las herramientas administrativas de BitLocker con las que están familiarizados para administrarlas.
El cifrado de una nueva unidad flash puede tardar más de 20 minutos. El cifrado de solo espacio usado en BitLocker To Go permite a los usuarios cifrar unidades de datos extraíbles en segundos.
BitLocker puede requerir que los usuarios escriban una clave de recuperación cuando se producen cambios de configuración del sistema. BitLocker requiere que el usuario que proporcione una clave de recuperación solo cuando se dañe el disco o cuando pierda el PIN o la contraseña.
Los usuarios deben especificar un PIN para iniciar el equipo y luego su contraseña para iniciar sesión en Windows. Los Windows modernos están cada vez más protegidos con cifrado de dispositivo BitLocker de forma automática y admiten SSO para ayudar a proteger las claves de cifrado de BitLocker de ataques de arranque en frío.

Prepararse para el cifrado de unidades y archivos

El mejor tipo de medidas de seguridad son transparentes para el usuario durante su implementación y uso. Cada vez que haya un posible retraso o dificultad debido a una característica de seguridad, hay una alta probabilidad de que los usuarios intenten omitir la seguridad. Esta situación es especialmente cierta en el caso de la protección de datos y es un escenario que las organizaciones deben evitar. Tanto si planea cifrar volúmenes completos, dispositivos extraíbles o archivos individuales, Windows 11 y Windows 10 satisfacer sus necesidades proporcionando soluciones optimizadas y utilizables. De hecho, puedes realizar varios pasos de antemano para preparar el cifrado de datos y hacer que la implementación sea rápida y fluida.

Aprovisionamiento previo de TPM

En Windows 7, preparar el uso de TPM supone un par de desafíos:

  • Puedes activar el TPM en el BIOS, lo que requiere que alguien vaya a la configuración del BIOS para activarlo, o instalar un controlador para activarlo desde Windows.
  • Al habilitar el TPM, puede que requiera uno o varios reinicios.

En resumen, fue un gran esfuerzo. Si el personal de TI aprovisionara nuevos equipos, podría controlar todo esto, pero si quisieras agregar BitLocker a dispositivos que ya estaban en manos de los usuarios, los usuarios habrían luchado contra los desafíos técnicos y podrían llamar a TI para solicitar soporte técnico o simplemente dejar BitLocker deshabilitado.

Microsoft incluye instrumentación en Windows 11 y Windows 10 que permiten al sistema operativo administrar completamente el TPM. No es necesario entrar en el BIOS; además, se han eliminado todos los escenarios que requieren reinicio.

Implementar el cifrado de unidad de disco duro

BitLocker es capaz de cifrar unidades de disco duro completas,como las unidades de datos y de sistema. El aprovisionamiento previo de BitLocker puede reducir considerablemente el tiempo necesario para aprovisionar nuevos equipos con BitLocker habilitado. Con Windows 11 y Windows 10, los administradores pueden activar BitLocker y el TPM desde el entorno de preinstalación de Windows antes de instalar Windows o como parte de una secuencia de tareas de implementación automatizada sin ninguna interacción del usuario. Al combinarse con el cifrado de espacio en disco usado y una unidad principalmente vacía (porque aún no está instalado Windows), solo se tarda unos pocos segundos en habilitar BitLocker. Con las versiones anteriores de Windows, los administradores tenían que habilitar BitLocker después de instalar Windows. Aunque este proceso podría automatizarse, BitLocker tendría que cifrar toda la unidad, un proceso que podría durar desde varias horas a más de un día según el tamaño de la unidad y el rendimiento, lo que demora de forma significativa implementación. Microsoft ha mejorado este proceso a través de varias características Windows 11 y Windows 10.

Cifrado de dispositivos BitLocker

A partir de Windows 8.1, Windows habilita automáticamente el cifrado de dispositivos BitLocker en dispositivos compatibles con el modo de espera moderno. Con Windows 11 y Windows 10, Microsoft ofrece compatibilidad con cifrado de dispositivos BitLocker en una gama mucho más amplia de dispositivos, incluidos los que están en espera moderna, y dispositivos que ejecutan una edición Windows 10 Home o Windows 11.

Microsoft espera que la mayoría de los dispositivos en el futuro pasen los requisitos de prueba, lo que hace que el cifrado de dispositivos BitLocker sea generalizado en los dispositivos Windows modernos. El cifrado de dispositivos BitLocker protege aún más el sistema mediante la implementación transparente del cifrado de datos en todo el dispositivo.

A diferencia de una implementación estándar de BitLocker, el cifrado de dispositivo BitLocker se habilita automáticamente para que el dispositivo siempre esté protegido. La siguiente lista describe cómo sucede:

  • Cuando se completa una instalación limpia de Windows 11 o Windows 10 y finaliza la experiencia lista para usar, el equipo está preparado para su primer uso. Como parte de esta preparación, el cifrado de dispositivo BitLocker se inicializa en la unidad del sistema operativo y las unidades de datos fijas en el equipo con una clave clara (esto es el equivalente al estado suspendido estándar de BitLocker). En este estado, la unidad se muestra con un icono de advertencia en Windows Explorer. El icono de advertencia amarillo se quita después de crear el protector tpm y de hacer una copia de seguridad de la clave de recuperación, como se explica en los siguientes puntos de viñeta.
  • Si el dispositivo no está unido a un dominio, se requiere una cuenta de Microsoft a la que se han concedido privilegios de administrador en el dispositivo. Cuando el administrador usa una cuenta de Microsoft para iniciar sesión, se quita la clave sin cifrar, se carga una clave de recuperación en la cuenta de Microsoft online y se crea un protector TPM. Si un dispositivo requiere la clave de recuperación, el usuario le guiará para usar un dispositivo alternativo y navegar a una dirección URL de acceso a la clave de recuperación para recuperar la clave de recuperación mediante sus credenciales de cuenta de Microsoft.
  • Si el usuario usa una cuenta de dominio para iniciar sesión, la clave sin cifrar no se quita hasta que el usuario une el dispositivo a un dominio y la clave de recuperación se copia correctamente a los Servicios de dominio de Active Directory (AD DS). Debes habilitar la configuración de directiva de grupo Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades del sistema operativo y seleccionar la opción No habilitar BitLocker hasta que se almacene la información de recuperación en AD DS para las unidades del sistema operativo. Con esta configuración, la contraseña de recuperación se crea automáticamente cuando el equipo se une al dominio y luego la clave de recuperación se guarda en AD DS, se crea el protector de TPM y se quita la clave sin cifrar.
  • Al igual que al iniciar sesión con una cuenta de dominio, la clave sin cifrar se quita cuando el usuario inicia sesión en una cuenta de Azure AD en el dispositivo. Como se describe en la viñeta anterior, la contraseña de recuperación se crea automáticamente cuando el usuario se autentica en Azure AD. A continuación, la clave de recuperación se guarda en Azure AD, se crea el protector de TPM y se quita la clave sin cifrar.

Microsoft recomienda habilitar el cifrado de dispositivos BitLocker en cualquier sistema que lo admita, pero el proceso de cifrado automático de dispositivos BitLocker se puede evitar cambiando la siguiente configuración del Registro:

  • Subclave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BitLocker
  • Valor: PreventDeviceEncryption igual a True (1)
  • Tipo: REG_DWORD

Los administradores pueden administrar dispositivos unidos a un dominio que tienen habilitado el cifrado de dispositivos BitLocker a través de La administración y supervisión de Microsoft BitLocker (MBAM). En este caso, el cifrado de dispositivo BitLocker automáticamente hace que estén disponibles opciones adicionales de BitLocker. No se requiere ninguna conversión o cifrado y MBAM puede administrar la directiva de BitLocker completa si se requiere algún cambio de configuración.

Nota

BitLocker Device Encryption usa el método de cifrado XTS-AES de 128 bits. En caso de que necesites usar un método de cifrado diferente o una fuerza de cifrado, el dispositivo debe configurarse y descifrarse (si ya está cifrado) primero. Después de eso, se pueden aplicar diferentes configuraciones de BitLocker.

Cifrado de espacio en disco usado

BitLocker en versiones anteriores de Windows podría tardar mucho tiempo en cifrar una unidad, porque se cifra cada byte en el volumen (incluidas las partes que no tienen datos). Esa sigue siendo la forma más segura de cifrar una unidad, especialmente si una unidad ha contenido previamente datos confidenciales que se han movido o eliminado desde entonces. En ese caso, los seguimientos de los datos confidenciales podrían permanecer en partes de la unidad marcadas como no utilizadas. Pero, ¿por qué cifrar una unidad nueva cuando simplemente puedes cifrar los datos como se han escrito? Para reducir el tiempo de cifrado, BitLocker en Windows 11 y Windows 10 permitir a los usuarios elegir cifrar solo sus datos. Según la cantidad de datos en la unidad, esta opción puede reducir el tiempo de cifrado más de un 99 %. Sin embargo, ten cuidado al cifrar solo el espacio utilizado en un volumen existente en el que los datos confidenciales pueden haberse almacenado ya en un estado sin cifrar, ya que se pueden recuperar los sectores a través de herramientas de recuperación del disco hasta que los nuevos datos cifrados los sobrescriban. En cambio, cifrar solo el espacio utilizado en un volumen completamente nuevo puede reducir considerablemente el tiempo de implementación sin correr el riesgo de seguridad porque todos los datos nuevos se cifrarán tal y como se han escrito en el disco.

Compatibilidad con unidad de disco duro cifrado

Los SED han estado disponibles durante años, pero Microsoft no admite su uso con versiones anteriores de Windows porque las unidades carecían de características de administración de claves importantes. Microsoft trabajó con proveedores de almacenamiento para mejorar las funcionalidades del hardware y ahora BitLocker admite la próxima generación de SED, que se denominan unidades de disco duro cifradas. Las unidades de disco duro cifradas proporcionan funcionalidades criptográficas incorporadas para cifrar datos en unidades, lo que mejora el rendimiento del disco y el sistema al descargar cálculos criptográficos desde el procesador del equipo a la misma unidad y rápidamente cifrar la unidad mediante hardware dedicado y específico. Si planea usar el cifrado de unidad completa con Windows 11 o Windows 10, Microsoft recomienda investigar los modelos y fabricantes de discos duros para determinar si alguna de sus unidades de disco duro cifradas cumple los requisitos de seguridad y presupuesto. Para obtener más información sobre las unidades de disco duro cifradas, consulta Unidad de disco duro cifrada.

Protección de la información de arranque

Una implementación eficaz de la protección de la información, como la mayoría de los controles de seguridad, considera la facilidad de uso, así como la seguridad. Por lo general, los usuarios prefieren una experiencia de seguridad simple. De hecho, cuanto más transparente se vuelve una solución de seguridad, más probable es que los usuarios cumplan con ella. Es fundamental que las organizaciones protejan la información en sus equipos sin tener en cuenta el estado del equipo o el propósito de los usuarios. Esta protección no debe ser complicada para los usuarios. Una situación no deseada y común anteriormente se daba al pedir al usuario que escribiera durante el prearranque y luego otra vez durante el inicio de sesión de Windows. Debe evitarse complicar a los usuarios para que escriban más de una vez. Windows 11 y Windows 10 pueden habilitar una verdadera experiencia de SSO desde el entorno de inicio previo en dispositivos modernos y, en algunos casos, incluso en dispositivos más antiguos cuando hay configuraciones de protección de la información sólidas. El TPM de manera aislada es capaz de proteger la clave de cifrado de BitLocker de forma segura mientras que esté en reposo, y puede desbloquear la unidad del sistema operativo. Cuando la clave está en uso y, por consiguiente, en la memoria, una combinación de hardware y las funcionalidades de Windows puede proteger la clave e impedir el acceso no autorizado a través de ataques de arranque en frío. Aunque otras medidas preventivas como el desbloqueo basado en PIN estén disponibles, no son tan fáciles de usar; según la configuración de los dispositivos, es posible que no ofrezcan seguridad adicional en cuanto a la protección de claves. Para obtener más información, consulta Contramedidas de BitLocker.

Administrar contraseñas y PIN

Cuando se habilite BitLocker en una unidad del sistema y el equipo tenga un TPM, puedes requerir que los usuarios escriban un código PIN antes de que BitLocker desbloquee la unidad. Este requisito PIN puede evitar que un atacante con acceso físico a un equipo llegue incluso al inicio de sesión de Windows, lo que hace prácticamente imposible que el atacante tenga acceso o modifique los archivos de sistema y los datos de usuario.

Requerir un PIN en el inicio es una característica de seguridad útil, ya que actúa como un segundo factor de autenticación (un segundo "algo que sabes"). Sin embargo, esta configuración incluye algunos costes. Uno de los más importantes es la necesidad de cambiar el PIN con regularidad. En las empresas que usaban BitLocker con Windows 7 y el sistema operativo Windows Vista, los usuarios tenían que ponerse en contacto con los administradores de sistemas para actualizar su PIN o contraseña de BitLocker. Este requisito no solo aumentaba los costos de administración, sino que hacía que los usuarios estuvieran menos dispuestos a cambiar su PIN o contraseña de BitLocker de forma periódica. Windows 11 y Windows 10 usuarios pueden actualizar sus PROPIOs PIN y contraseñas de BitLocker, sin credenciales de administrador. Esta característica no solo reduce los costos de soporte técnico, sino que podría mejorar también la seguridad, ya que anima a los usuarios a cambiar su PIN y las contraseñas más a menudo. Además, los dispositivos de espera modernas no necesitan un PIN para el inicio: están diseñados para iniciarse con poca frecuencia y tienen otras mitigaciones que reducen aún más la superficie de ataque del sistema. Para obtener más información sobre cómo funciona la seguridad de inicio y las contramedidas que Windows 11 y Windows 10, vea Protect BitLocker from pre-boot attacks.

Configurar desbloqueo en red

Algunas organizaciones tienen requisitos de seguridad de datos específicos de la ubicación. Esto es más común en entornos donde se almacenan los datos de gran valor en los equipos. El entorno de red puede proporcionar protección de datos esenciales y exigir autenticación obligatoria; por lo tanto, según la directiva, esos equipos no deben abandonar el edificio o desconectarse de la red corporativa. Las protecciones como los bloqueos de seguridad física y las geovallas pueden ayudar a reforzar esta directiva como controles reactivos. Además de estas, es necesario un control de seguridad proactiva que conceda acceso a datos únicamente cuando el equipo esté conectado a la red corporativa.

El desbloqueo de red permite a los equipos protegidos con BitLocker iniciarse automáticamente cuando estén conectados a una red corporativa con cable en el que se ejecutan los servicios de implementación de Windows. Cada vez que el equipo no esté conectado a la red corporativa, un usuario deberá escribir un PIN para desbloquear la unidad (si el desbloqueo basado en PIN está habilitado). El desbloqueo de la red requiere la infraestructura siguiente:

  • Los equipos cliente que tienen Unified Extensible Firmware Interface (UEFI) versión de firmware 2.3.1 o posterior, que admiten el Protocolo de configuración dinámica de host (DHCP)
  • Un servidor que se ejecuta al Windows Server 2012 con el rol Windows Deployment Services
  • Un servidor con el rol de servidor DHCP instalado

Para obtener más información sobre cómo configurar el desbloqueo en red, consulta BitLocker: Cómo habilitar el desbloqueo en red.

Microsoft BitLocker Administration and Monitoring

Parte de Microsoft Desktop Optimization Pack, MBAM, hace que sea más fácil administrar y admitir BitLocker y BitLocker To Go. MBAM 2.5 con Service Pack 1, la versión más reciente, tiene las siguientes características clave:

  • Permite a los administradores automatizar el proceso de cifrado de volúmenes en los equipos cliente en toda la empresa.
  • Permite que los responsables de seguridad determinen rápidamente el estado de cumplimiento de equipos individuales o incluso de la empresa.
  • Proporciona informes centralizados y administración de hardware con Microsoft Microsoft Endpoint Configuration Manager.
  • Reduce la carga de trabajo en el servicio de asistencia para ayudar a los usuarios finales con las solicitudes de recuperación de BitLocker.
  • Permite a los usuarios finales recuperar dispositivos cifrados de forma independiente mediante el Portal de autoservicio.
  • Permite que los agentes de seguridad auditen fácilmente el acceso a información clave de recuperación.
  • Permite a los usuarios de Windows Enterprise continuar trabajando en cualquier lugar con la garantía de que sus datos de la empresa están protegidos.
  • Aplica las opciones de directiva de cifrado de BitLocker que estableces para tu empresa.
  • Se integra con las herramientas de administración existentes, como Microsoft Endpoint Configuration Manager.
  • Ofrece una experiencia de usuario de recuperación de TI personalizable.
  • Admite Windows 11 y Windows 10.

Para obtener más información sobre MBAM, incluida cómo obtenerla, consulta Microsoft BitLocker Administration and Monitoring en TechCenter de MDOP.