Configuración de las directivas de grupo de BitLocker

Se aplica a:

  • Windows 10, Windows 11, Windows Server 2019, Windows Server 2016, Windows 8.1 y Windows Server 2012 R2

En este tema para profesionales de TI se describe la función, la ubicación y el efecto de cada configuración de directiva de grupo que se usa para administrar el cifrado de unidad BitLocker.

Para controlar las tareas de cifrado de unidad que el usuario puede realizar desde el Panel de control de Windows o para modificar otras opciones de configuración, puede usar las plantillas administrativas de directiva de grupo o la configuración de directiva de equipo local. La forma en que configures estas opciones de directiva depende de cómo implementes BitLocker y de qué nivel de interacción del usuario se permitirá.

Nota

Un conjunto independiente de opciones de configuración de directiva de grupo admite el uso del Módulo de plataforma de confianza (TPM). Para obtener más información acerca de estas opciones, consulte Trusted Platform Module Group Policy settings.

Se puede tener acceso a la configuración de directiva de grupo de BitLocker mediante el Editor de directivas de grupo local y la Consola de administración de directivas de grupo (GPMC) en Configuración del equipo\Plantillas administrativas\componentes Windows\Cifradode unidad BitLocker . La mayoría de la configuración de directiva de grupo de BitLocker se aplica cuando BitLocker está activado inicialmente para una unidad. Si un equipo no cumple con la configuración de directiva de grupo existente, es posible que BitLocker no se haya activado ni modificado hasta que el equipo esté en un estado conforme. Cuando una unidad está fuera del cumplimiento de la configuración de directiva de grupo (por ejemplo, si se cambió una configuración de directiva de grupo después de la implementación inicial de BitLocker en la organización y, a continuación, la configuración se aplicó a unidades cifradas previamente), no se puede realizar ningún cambio en la configuración de BitLocker de esa unidad excepto un cambio que la lleve a cumplir.

Si son necesarios varios cambios para que la unidad se cumpla, debes suspender la protección de BitLocker, realizar los cambios necesarios y, a continuación, reanudar la protección. Esta situación podría producirse, por ejemplo, si una unidad extraíble se configuró inicialmente para desbloquearse con una contraseña y, a continuación, la configuración de directiva de grupo se cambia para no permitir contraseñas y requerir tarjetas inteligentes. En esta situación, debes suspender la protección de BitLocker mediante la herramienta de línea de comandos Manage-bde, eliminar el método de desbloqueo de contraseña y agregar el método de tarjeta inteligente. Una vez completado esto, BitLocker cumple con la configuración de directiva de grupo y se puede reanudar la protección de BitLocker en la unidad.

Nota

Para obtener más información acerca de la configuración de Active Directory relacionada con la habilitación de BitLocker, consulta Configurar MDT para BitLocker.

Configuración de las directivas de grupo de BitLocker

Las secciones siguientes proporcionan una lista completa de la configuración de la directiva de grupo de BitLocker que se organizan por uso. La configuración de la directiva de grupo de BitLocker incluye la configuración de tipos de unidad específicos (unidades del sistema operativo, unidades de datos fijas y unidades de datos extraíbles) y la configuración que se aplica a todas las unidades.

La siguiente configuración de directiva se puede usar para determinar cómo se puede desbloquear una unidad protegida por BitLocker.

La siguiente configuración de directiva se usa para controlar cómo los usuarios pueden tener acceso a las unidades y cómo pueden usar BitLocker en sus equipos.

La siguiente configuración de directiva determina los métodos de cifrado y los tipos de cifrado que se usan con BitLocker.

Las siguientes configuraciones de directiva definen los métodos de recuperación que pueden ser usados para restaurar el acceso a una unidad protegida con BitLocker si se produce un error o no puede usarse un método de autenticación.

Las siguientes directivas se usan para admitir escenarios de implementación personalizados en la organización.

Permitir que los dispositivos con arranque seguro y puertos DMA protegidos opten por no usar el PIN de inicio previo

Esta configuración de directiva permite a los usuarios de dispositivos que cumplan con el modo de espera moderno o la Interfaz de prueba de seguridad de hardware (HSTI) de Microsoft no tener un PIN para la autenticación previa al arranque.

 
Descripción de la directiva Con esta configuración de directiva, puedes permitir la protección de solo TPM para dispositivos más recientes y seguros, como dispositivos que admiten espera moderna o HSTI, al tiempo que necesitas PIN en dispositivos más antiguos.
Introducido Windows 10, versión 1703 o Windows 11
Tipo de unidad Unidades del sistema operativo
Ruta de la directiva Configuración del equipo\Plantillas administrativas\Windows\Cifrado de unidad BitLocker\Unidades del sistema operativo
Conflictos Esta configuración invalida la opción Requerir PIN de inicio con TPM de la directiva Requerir autenticación adicional al inicio en hardware compatible.
Cuando está habilitado Los usuarios de dispositivos compatibles con HSTI y espera moderna tendrán la opción de activar BitLocker sin autenticación de inicio previo.
Cuando está deshabilitado o no está configurado Se aplican las opciones de la directiva Requerir autenticación adicional al inicio.

Referencia

La opción de autenticación de inicio previo Requerir PIN de inicio con TPM de la directiva Requerir autenticación adicional al inicio a menudo está habilitada para ayudar a garantizar la seguridad de dispositivos antiguos que no admiten espera moderna. Pero los usuarios con discapacidad visual no tienen una forma audible de saber cuándo escribir un PIN. Esta configuración habilita una excepción a la directiva necesaria para PIN en hardware seguro.

Permitir el desbloqueo de red al inicio

Esta directiva controla una parte del comportamiento de la característica Desbloqueo de red en BitLocker. Esta directiva es necesaria para habilitar el desbloqueo de red de BitLocker en una red porque permite a los clientes que ejecutan BitLocker crear el protector de clave de red necesario durante el cifrado.

Esta directiva se usa además de la directiva de seguridad de desbloqueo de certificados de red de cifrado de unidad BitLocker (ubicada en la carpeta Directivas de clave pública de la directiva de equipo local) para permitir que los sistemas conectados a una red de confianza utilicen correctamente la característica de desbloqueo de red.

 
Descripción de la directiva Con esta configuración de directiva, puedes controlar si un equipo protegido con BitLocker conectado a una red de área local de confianza y unido a un dominio puede crear y usar protectores de clave de red en equipos habilitados para TPM para desbloquear automáticamente la unidad del sistema operativo cuando se inicia el equipo.
Introducido Windows Server 2012 y Windows 8
Tipo de unidad Unidades del sistema operativo
Ruta de la directiva Configuración del equipo\Plantillas administrativas\Windows\Cifrado de unidad BitLocker\Unidades del sistema operativo
Conflictos Ninguno
Cuando está habilitado Los clientes configurados con un certificado de desbloqueo de red de BitLocker pueden crear y usar protectores de clave de red.
Cuando está deshabilitado o no está configurado Los clientes no pueden crear ni usar protectores de clave de red

Referencia

Para usar un protector de clave de red para desbloquear el equipo, el equipo y el servidor que hospeda el desbloqueo de red de cifrado de unidad BitLocker deben aprovisionarse con un certificado de desbloqueo de red. El certificado de desbloqueo de red se usa para crear un protector de clave de red y para proteger el intercambio de información con el servidor para desbloquear el equipo. Puedes usar la configuración de directiva de grupo Configuración del equipo\Windows Configuración\Seguridad Configuración\Directivas de clave pública\Certificado de desbloqueo de red de cifrado de unidad BitLocker en el controlador de dominio para distribuir este certificado a los equipos de la organización. Este método de desbloqueo usa el TPM en el equipo, por lo que los equipos que no tienen un TPM no pueden crear protectores de clave de red para desbloquear automáticamente mediante el desbloqueo de red.

Nota

Por motivos de confiabilidad y seguridad, los equipos también deben tener un PIN de inicio de TPM que se pueda usar cuando el equipo esté desconectado de la red cableada o no pueda conectarse al controlador de dominio al iniciarse.

Para obtener más información acerca del desbloqueo de red, vea BitLocker: How to enable Network Unlock.

Requerir autenticación adicional al inicio

Esta configuración de directiva se usa para controlar qué opciones de desbloqueo están disponibles para las unidades del sistema operativo.

 
Descripción de la directiva Con esta configuración de directiva, puedes configurar si BitLocker requiere autenticación adicional cada vez que se inicia el equipo y si estás usando BitLocker con un módulo de plataforma de confianza (TPM). Esta configuración de directiva se aplica al activar BitLocker.
Introducido Windows Server 2008 R2 y Windows 7
Tipo de unidad Unidades del sistema operativo
Ruta de la directiva Configuración del equipo\Plantillas administrativas\Windows\Cifrado de unidad BitLocker\Unidades del sistema operativo
Conflictos Si se requiere un método de autenticación, no se pueden permitir los demás métodos. El uso de BitLocker con una clave de inicio de TPM o con una clave de inicio de TPM y un PIN debe no estar permitido si la configuración de directiva Denegar acceso de escritura a unidades extraíbles no protegidas por BitLocker está habilitada.
Cuando está habilitado Los usuarios pueden configurar opciones avanzadas de inicio en el Asistente para la instalación de BitLocker.
Cuando está deshabilitado o no está configurado Los usuarios solo pueden configurar opciones básicas en equipos con TPM.

Solo puede ser necesaria una de las opciones de autenticación adicionales en el inicio; de lo contrario, se produce un error de directiva.

Referencia

Si quieres usar BitLocker en un equipo sin TPM, selecciona Permitir BitLocker sin un TPM compatible. En este modo, se requiere una contraseña o una unidad USB para el inicio. La unidad USB almacena la clave de inicio que se usa para cifrar la unidad. Cuando se inserta la unidad USB, se autentica la clave de inicio y se puede acceder a la unidad del sistema operativo. Si la unidad USB se pierde o no está disponible, se requiere la recuperación de BitLocker para tener acceso a la unidad.

En un equipo con un TPM compatible, se pueden usar métodos de autenticación adicionales en el inicio para mejorar la protección de los datos cifrados. Cuando se inicia el equipo, puede usar:

  • solo el TPM
  • inserción de una unidad flash USB que contiene la clave de inicio
  • la entrada de un número de identificación personal (PIN) de 4 a 20 dígitos
  • una combinación del PIN y la unidad flash USB

Hay cuatro opciones para equipos o dispositivos habilitados para TPM:

  • Configurar el inicio del TPM

    • Permitir TPM
    • Requerir TPM
    • No permitir TPM
  • Configurar el PIN de inicio de TPM

    • Permitir el PIN de inicio con TPM
    • Requerir PIN de inicio con TPM
    • No permitir el PIN de inicio con TPM
  • Configurar la clave de inicio del TPM

    • Permitir clave de inicio con TPM
    • Requerir clave de inicio con TPM
    • No permitir la clave de inicio con TPM
  • Configurar el PIN y la clave de inicio del TPM

    • Permitir clave de inicio de TPM con PIN
    • Requerir clave de inicio y PIN con TPM
    • No permitir la clave de inicio del TPM con PIN

Permitir LOS PIN mejorados para el inicio

Esta configuración de directiva permite el uso de PIN mejorados cuando se usa un método de desbloqueo que incluye un PIN.

 
Descripción de la directiva Con esta configuración de directiva, puedes configurar si los PIN de inicio mejorados se usan con BitLocker.
Introducido Windows Server 2008 R2 y Windows 7
Tipo de unidad Unidades del sistema operativo
Ruta de la directiva Configuración del equipo\Plantillas administrativas\Windows\Cifrado de unidad BitLocker\Unidades del sistema operativo
Conflictos Ninguno
Cuando está habilitado Todos los NUEVOS PIN de inicio de BitLocker que se establezcan serán PIN mejorados. Las unidades existentes que se protegían con LOS PIN de inicio estándar no se ven afectadas.
Cuando está deshabilitado o no está configurado No se usarán LOS PIN mejorados.

Referencia

Los PIN de inicio mejorados permiten el uso de caracteres (incluidas letras mayúsculas y minúsculas, símbolos, números y espacios). Esta configuración de directiva se aplica al activar BitLocker.

Importante

No todos los equipos admiten caracteres de PIN mejorados en el entorno de inicio previo. Se recomienda encarecidamente que los usuarios realicen una comprobación del sistema durante la instalación de BitLocker para comprobar que se pueden usar caracteres de PIN mejorados.

Configurar la longitud mínima de PIN para el inicio

Esta configuración de directiva se usa para establecer una longitud mínima de PIN cuando se usa un método de desbloqueo que incluye un PIN.

 
Descripción de la directiva Con esta configuración de directiva, puede configurar una longitud mínima para un PIN de inicio de TPM. Esta configuración de directiva se aplica al activar BitLocker. El PIN de inicio debe tener una longitud mínima de 4 dígitos y puede tener una longitud máxima de 20 dígitos. De forma predeterminada, la longitud mínima del PIN es 6.
Introducido Windows Server 2008 R2 y Windows 7
Tipo de unidad Unidades del sistema operativo
Ruta de la directiva Configuración del equipo\Plantillas administrativas\Windows\Cifrado de unidad BitLocker\Unidades del sistema operativo
Conflictos Ninguno
Cuando está habilitado Puede requerir que los PIN de inicio establecidos por los usuarios tengan una longitud mínima entre 4 y 20 dígitos.
Cuando está deshabilitado o no está configurado Los usuarios pueden configurar un PIN de inicio de cualquier longitud entre 6 y 20 dígitos.

Referencia

Esta configuración de directiva se aplica al activar BitLocker. El PIN de inicio debe tener una longitud mínima de 4 dígitos y puede tener una longitud máxima de 20 dígitos.

Originalmente, BitLocker permitía de 4 a 20 caracteres para un PIN. Windows Hello tiene su propio PIN para el inicio de sesión, que puede tener de 4 a 127 caracteres. Tanto BitLocker como Windows Hello el TPM para evitar ataques de fuerza bruta de PIN.

El TPM se puede configurar para usar parámetros de prevención de ataques de diccionario(umbralde bloqueo y duración de bloqueo) para controlar cuántos intentos de autorizaciones con errores se permiten antes de bloquear el TPM y cuánto tiempo debe transcurrir antes de que se pueda realizar otro intento.

Los parámetros de prevención de ataques del diccionario proporcionan una forma de equilibrar las necesidades de seguridad con la facilidad de uso. Por ejemplo, cuando BitLocker se usa con una configuración de TPM y PIN, el número de conjeturas de PIN es limitado con el tiempo. Un TPM 2.0 en este ejemplo podría configurarse para permitir solo 32 conjeturas de PIN inmediatamente y, a continuación, solo una adivinación más cada dos horas. Esto suma un máximo de aproximadamente 4415 conjeturas al año. Si el PIN es de 4 dígitos, se podrían intentar todas las combinaciones de PIN 9999 posibles en poco más de dos años.

Aumentar la longitud del PIN requiere un mayor número de conjeturas para un atacante. En ese caso, la duración del bloqueo entre cada conjetura se puede acortar para permitir que los usuarios legítimos vuelvan a intentar un intento fallido antes, manteniendo un nivel de protección similar.

A partir de Windows 10, versión 1703 o Windows 11, la longitud mínima del PIN de BitLocker se incrementó a 6 caracteres para alinearse mejor con otras características de Windows que aprovechan TPM 2.0, incluido Windows Hello. Para ayudar a las organizaciones con la transición, a partir de Windows 10, versión 1709 y Windows 10, versión 1703 con la actualización acumulativa de octubre de 2017 o Windows 11 instalada, la longitud del PIN de BitLocker es de 6 caracteres de forma predeterminada, pero se puede reducir Windows 4 caracteres. Si la longitud mínima del PIN se reduce del valor predeterminado de seis caracteres, se extenderá el período de bloqueo de TPM 2.0.

Deshabilitar nuevos dispositivos DMA cuando este equipo está bloqueado

Esta configuración de directiva le permite bloquear el acceso directo a la memoria (DMA) para todos los puertos PCI conectables en caliente hasta que un usuario inicia sesión en Windows.

 
Descripción de la directiva Esta configuración ayuda a evitar ataques que usan dispositivos externos basados en PCI para obtener acceso a las claves de BitLocker.
Introducido Windows 10, versión 1703 o Windows 11
Tipo de unidad Unidades del sistema operativo
Ruta de la directiva Configuración del equipo\Plantillas administrativas\componentes Windows\Cifrado de unidad BitLocker
Conflictos Ninguno
Cuando está habilitado Cada vez que el usuario bloquea el scree, DMA se bloqueará en puertos PCI conectables en caliente hasta que el usuario vuelva a conectarse.
Cuando está deshabilitado o no está configurado DMA está disponible en dispositivos PCI conectables en caliente si el dispositivo está activado, independientemente de si un usuario ha iniciado sesión.

Referencia

Esta configuración de directiva solo se aplica cuando se habilita BitLocker o el cifrado de dispositivos. Como se explica en el blog guía de seguridad de Microsoft,en algunos casos cuando esta configuración está habilitada, los periféricos internos basados en PCI pueden producir errores, incluidos los controladores de red inalámbrica y los periféricos de entrada y audio. Este problema se ha corregido en la actualización de calidad de abril de 2018.

No permitir que los usuarios estándar cambien el PIN o la contraseña

Esta configuración de directiva permite configurar si los usuarios estándar pueden cambiar el PIN o la contraseña que se usa para proteger la unidad del sistema operativo.

 
Descripción de la directiva Con esta configuración de directiva, puede configurar si los usuarios estándar pueden cambiar el PIN o la contraseña usados para proteger la unidad del sistema operativo.
Introducido Windows Server 2012 y Windows 8
Tipo de unidad Unidades del sistema operativo
Ruta de la directiva Configuración del equipo\Plantillas administrativas\Windows\Cifrado de unidad BitLocker\Unidades del sistema operativo
Conflictos Ninguno
Cuando está habilitado Los usuarios estándar no pueden cambiar las contraseñas o los PIN de BitLocker.
Cuando está deshabilitado o no está configurado Los usuarios estándar pueden cambiar los PIN o contraseñas de BitLocker.

Referencia

Para cambiar el PIN o la contraseña, el usuario debe poder proporcionar el PIN o la contraseña actuales. Esta configuración de directiva se aplica al activar BitLocker.

Configurar el uso de contraseñas para unidades del sistema operativo

Esta directiva controla cómo los sistemas no basados en TPM usan el protector de contraseñas. Esta directiva, que se usa junto con la directiva Password must meet complexity requirements, permite a los administradores requerir longitud y complejidad de contraseñas para usar el protector de contraseña. De forma predeterminada, las contraseñas deben tener ocho caracteres de longitud. Las opciones de configuración de complejidad determinan la importancia de la conectividad de dominio para el cliente. Para la seguridad de contraseñas **** más segura, los administradores deben elegir Requerir complejidad de contraseña porque requiere conectividad de dominio y requiere que la contraseña de BitLocker cumpla los mismos requisitos de complejidad de contraseña que las contraseñas de inicio de sesión de dominio.

 
Descripción de la directiva Con esta configuración de directiva, puedes especificar las restricciones de las contraseñas que se usan para desbloquear las unidades del sistema operativo que están protegidas con BitLocker.
Introducido Windows Server 2012 y Windows 8
Tipo de unidad Unidades del sistema operativo
Ruta de la directiva Configuración del equipo\Plantillas administrativas\Windows\Cifrado de unidad BitLocker\Unidades del sistema operativo
Conflictos Las contraseñas no se pueden usar si el cumplimiento de FIPS está habilitado.


NOTA: Criptografía del sistema: use algoritmos compatibles con FIPS para la configuración de directiva de cifrado, hash y firma, que se encuentra en Configuración del equipo\Windows Configuración\Seguridad Configuración\Directivas locales\Opciones de seguridad especifica si el cumplimiento de FIPS está habilitado.

Cuando está habilitado Los usuarios pueden configurar una contraseña que cumpla los requisitos que defina. Para aplicar los requisitos de complejidad de la contraseña, seleccione Requerir complejidad.
Cuando está deshabilitado o no está configurado La restricción de longitud predeterminada de 8 caracteres se aplicará a las contraseñas de unidad del sistema operativo y no se producirán comprobaciones de complejidad.

Referencia

Si se permiten protectores que no son TPM en unidades del sistema operativo, puede aprovisionar una contraseña, exigir requisitos de complejidad en la contraseña y configurar una longitud mínima para la contraseña. Para que la configuración de requisitos de complejidad sea eficaz, la configuración de directiva de grupo Contraseña debe cumplir los requisitos de complejidad , que se encuentra en Configuración del equipo\Windows Configuración\Seguridad Configuración\Directivas de cuenta\Directiva de contraseña\ también debe estar habilitada.

Nota

Esta configuración se aplica al activar BitLocker, no al desbloquear un volumen. BitLocker permite desbloquear una unidad con cualquiera de los protectores que están disponibles en la unidad.

Cuando se establece en Requerir complejidad, es necesaria una conexión a un controlador de dominio cuando BitLocker está habilitado para validar la complejidad de la contraseña. Cuando se establece en Permitir complejidad, se intenta validar una conexión con un controlador de dominio que la complejidad se adhiere a las reglas establecidas por la directiva. Si no se encuentra ningún controlador de dominio, la contraseña se aceptará independientemente de la complejidad real de la contraseña y la unidad se cifrará con esa contraseña como protector. Cuando se establece en No permitir complejidad, no hay validación de complejidad de contraseña. Las contraseñas deben tener al menos 8 caracteres. Para configurar una longitud mínima mayor para la contraseña, escriba el número de caracteres deseado en el cuadro Longitud mínima de contraseña.

Cuando esta configuración de directiva está habilitada, puede establecer la opción Configurar la complejidad de contraseñas para las unidades del sistema operativo en:

  • Permitir complejidad de contraseñas
  • No permitir la complejidad de contraseñas
  • Requerir complejidad de contraseña

Requerir autenticación adicional al inicio (Windows Server 2008 y Windows Vista)

Esta configuración de directiva se usa para controlar qué opciones de desbloqueo están disponibles para equipos que ejecutan Windows Server 2008 o Windows Vista.

 
Descripción de la directiva Con esta configuración de directiva, puedes controlar si el Asistente para la instalación de BitLocker en equipos que ejecutan Windows Vista o Windows Server 2008 puede configurar un método de autenticación adicional que es necesario cada vez que se inicia el equipo.
Introducido Windows Server 2008 y Windows Vista
Tipo de unidad Unidades del sistema operativo (Windows Server 2008 y Windows Vista)
Ruta de la directiva Configuración del equipo\Plantillas administrativas\Windows\Cifrado de unidad BitLocker\Unidades del sistema operativo
Conflictos Si decide requerir un método de autenticación adicional, no se pueden permitir otros métodos de autenticación.
Cuando está habilitado El Asistente para la instalación de BitLocker muestra la página que permite al usuario configurar opciones avanzadas de inicio para BitLocker. Puedes configurar aún más las opciones de configuración para equipos con o sin TPM.
Cuando está deshabilitado o no está configurado El Asistente para la instalación de BitLocker muestra los pasos básicos que permiten a los usuarios habilitar BitLocker en equipos con TPM. En este asistente básico, no se puede configurar ninguna clave de inicio o PIN de inicio adicional.

Referencia

En un equipo con un TPM compatible, se pueden usar dos métodos de autenticación en el inicio para proporcionar protección adicional para los datos cifrados. Cuando se inicia el equipo, puede requerir que los usuarios inserten una unidad USB que contenga una clave de inicio. También puede requerir que los usuarios escriban un PIN de inicio de 6 a 20 dígitos.

Se necesita una unidad USB que contenga una clave de inicio en equipos sin tpm compatible. Sin TPM, los datos cifrados por BitLocker están protegidos únicamente por el material de clave que se encuentra en esta unidad USB.

Hay dos opciones para equipos o dispositivos habilitados para TPM:

  • Configurar el PIN de inicio de TPM

    • Permitir el PIN de inicio con TPM
    • Requerir PIN de inicio con TPM
    • No permitir el PIN de inicio con TPM
  • Configurar la clave de inicio del TPM

    • Permitir clave de inicio con TPM
    • Requerir clave de inicio con TPM
    • No permitir la clave de inicio con TPM

Estas opciones son mutuamente excluyentes. Si necesita la clave de inicio, no debe permitir el PIN de inicio. Si necesita el PIN de inicio, no debe permitir la clave de inicio. De lo contrario, se producirá un error de directiva.

Para ocultar la página avanzada en un equipo o dispositivo habilitado para TPM, establece estas opciones en No permitir la clave de inicio ni el PIN de inicio.

Configurar el uso de tarjetas inteligentes en unidades de datos fijas

Esta configuración de directiva se usa para requerir, permitir o denegar el uso de tarjetas inteligentes con unidades de datos fijas.

 
Descripción de la directiva Con esta configuración de directiva, puedes especificar si las tarjetas inteligentes se pueden usar para autenticar el acceso de los usuarios a las unidades de datos fijas protegidas por BitLocker en un equipo.
Introducido Windows Server 2008 R2 y Windows 7
Tipo de unidad Unidades de datos fijas
Ruta de la directiva Configuración del equipo\Plantillas administrativas\Windows\Cifrado de unidad BitLocker\Unidades de datos fijas
Conflictos Para usar tarjetas inteligentes con BitLocker, es posible que también deba modificar la configuración del identificador de objeto en la configuración del equipo\Plantillas administrativas\Cifrado de unidad BitLocker\Validar la configuración de directiva de cumplimiento de reglas de uso de certificados de tarjeta inteligente para que coincida con el identificador de objeto de los certificados de tarjeta inteligente.
Cuando está habilitado Las tarjetas inteligentes se pueden usar para autenticar el acceso de los usuarios a la unidad. Puede requerir la autenticación de tarjetas inteligentes si selecciona la casilla Requerir el uso de tarjetas inteligentes en unidades de datos fijas.
Cuando está deshabilitado Los usuarios no pueden usar tarjetas inteligentes para autenticar su acceso a unidades de datos fijas protegidas por BitLocker.
Cuando no está configurado Las tarjetas inteligentes se pueden usar para autenticar el acceso de los usuarios a una unidad protegida por BitLocker.

Referencia

Nota

Esta configuración se aplica al activar BitLocker, no al desbloquear una unidad. BitLocker permite desbloquear una unidad mediante cualquiera de los protectores que están disponibles en la unidad.

Configurar el uso de contraseñas en unidades de datos fijas

Esta configuración de directiva se usa para requerir, permitir o denegar el uso de contraseñas con unidades de datos fijas.

 
Descripción de la directiva Con esta configuración de directiva, puedes especificar si se necesita una contraseña para desbloquear unidades de datos fijas protegidas por BitLocker.
Introducido Windows Server 2008 R2 y Windows 7
Tipo de unidad Unidades de datos fijas
Ruta de la directiva Configuración del equipo\Plantillas administrativas\Windows\Cifrado de unidad BitLocker\Unidades de datos fijas
Conflictos Para usar la complejidad de las contraseñas, la configuración del equipo\Windows Configuración\Seguridad Configuración\Directivas de cuenta\Directiva de contraseña\Contraseña también debe cumplir con la configuración de directiva de requisitos de complejidad.
Cuando está habilitado Los usuarios pueden configurar una contraseña que cumpla los requisitos que defina. Para requerir el uso de una contraseña, seleccione Requerir contraseña para la unidad de datos fija. Para aplicar los requisitos de complejidad en la contraseña, seleccione Requerir complejidad.
Cuando está deshabilitado El usuario no puede usar una contraseña.
Cuando no está configurado Las contraseñas se admiten con la configuración predeterminada, que no incluye requisitos de complejidad de contraseña y solo requieren 8 caracteres.

Referencia

Cuando se establece en Requerir complejidad, es necesaria una conexión a un controlador de dominio para validar la complejidad de la contraseña cuando Se habilita BitLocker.

Cuando se establece en Permitir complejidad, se intenta validar una conexión con un controlador de dominio que la complejidad se adhiere a las reglas establecidas por la directiva. Sin embargo, si no se encuentra ningún controlador de dominio, la contraseña se acepta independientemente de la complejidad real de la contraseña y la unidad se cifra con esa contraseña como protector.

Cuando se establece en No permitir complejidad, no se realiza ninguna validación de complejidad de contraseña.

Las contraseñas deben tener al menos 8 caracteres. Para configurar una longitud mínima mayor para la contraseña, escriba el número de caracteres deseado en el cuadro Longitud mínima de contraseña.

Nota

Esta configuración se aplica al activar BitLocker, no al desbloquear una unidad. BitLocker permite desbloquear una unidad con cualquiera de los protectores que están disponibles en la unidad.

Para que la configuración de requisitos de complejidad sea eficaz, la configuración de directiva de grupo Configuración del equipo\Windows Configuración\Seguridad Configuración\Directivas de cuenta\Directiva de contraseña\Contraseña también debe cumplir los requisitos de complejidad. Esta configuración de directiva se configura por equipo. Esto significa que se aplica a cuentas de usuario locales y cuentas de usuario de dominio. Dado que el filtro de contraseña que se usa para validar la complejidad de contraseñas se encuentra en los controladores de dominio, las cuentas de usuario locales no pueden tener acceso al filtro de contraseñas porque no están autenticadas para el acceso al dominio. Cuando esta configuración de directiva está habilitada, si inicia sesión con una cuenta de usuario local e intenta cifrar una unidad o cambiar una contraseña en una unidad protegida por BitLocker existente, se muestra un mensaje de error "Acceso denegado". En esta situación, no se puede agregar el protector de clave de contraseña a la unidad.

Para habilitar esta configuración de directiva, es necesario establecer la conectividad a un dominio antes de agregar un protector de clave de contraseña a una unidad protegida con BitLocker. Los usuarios que trabajan de forma remota y tienen períodos de tiempo en los que no pueden conectarse al dominio deben tener en cuenta este requisito para que puedan programar una hora en la que se conectarán al dominio para activar BitLocker o para cambiar una contraseña en una unidad de datos protegida por BitLocker.

Importante

Las contraseñas no se pueden usar si el cumplimiento de FIPS está habilitado. Criptografía del sistema: use algoritmos compatibles con FIPS para la configuración de directivas de cifrado, hash y firma en Configuración del equipo\Windows Configuración\Seguridad Configuración\Directivas locales\Opciones de seguridad especifica si el cumplimiento de FIPS está habilitado.

Configurar el uso de tarjetas inteligentes en unidades de datos extraíbles

Esta configuración de directiva se usa para requerir, permitir o denegar el uso de tarjetas inteligentes con unidades de datos extraíbles.

 
Descripción de la directiva Con esta configuración de directiva, puedes especificar si se pueden usar tarjetas inteligentes para autenticar el acceso de los usuarios a unidades de datos extraíbles protegidas por BitLocker en un equipo.
Introducido Windows Server 2008 R2 y Windows 7
Tipo de unidad Unidades de datos extraíbles
Ruta de la directiva Configuración del equipo\Plantillas administrativas\componentes Windows\Cifrado de unidad BitLocker\Unidades de datos extraíbles
Conflictos Para usar tarjetas inteligentes con BitLocker, es posible que también deba modificar la configuración del identificador de objeto en la configuración del equipo\Plantillas administrativas\Cifrado de unidad BitLocker\Validar la configuración de directiva de cumplimiento de reglas de uso de certificados de tarjeta inteligente para que coincida con el identificador de objeto de los certificados de tarjeta inteligente.
Cuando está habilitado Las tarjetas inteligentes se pueden usar para autenticar el acceso de los usuarios a la unidad. Puede requerir la autenticación de tarjetas inteligentes si selecciona la casilla Requerir el uso de tarjetas inteligentes en unidades de datos extraíbles.
Cuando está deshabilitado o no está configurado Los usuarios no pueden usar tarjetas inteligentes para autenticar su acceso a unidades de datos extraíbles protegidas por BitLocker.
Cuando no está configurado Las tarjetas inteligentes están disponibles para autenticar el acceso de los usuarios a una unidad de datos extraíble protegida por BitLocker.

Referencia

Nota

Esta configuración se aplica al activar BitLocker, no al desbloquear una unidad. BitLocker permite desbloquear una unidad con cualquiera de los protectores que están disponibles en la unidad.

Configurar el uso de contraseñas en unidades de datos extraíbles

Esta configuración de directiva se usa para requerir, permitir o denegar el uso de contraseñas con unidades de datos extraíbles.

 
Descripción de la directiva Con esta configuración de directiva, puedes especificar si se necesita una contraseña para desbloquear unidades de datos extraíbles protegidas por BitLocker.
Introducido Windows Server 2008 R2 y Windows 7
Tipo de unidad Unidades de datos extraíbles
Ruta de la directiva Configuración del equipo\Plantillas administrativas\componentes Windows\Cifrado de unidad BitLocker\Unidades de datos extraíbles
Conflictos Para usar la **** complejidad de la contraseña, la configuración de directiva De contraseña debe cumplir los requisitos de complejidad, que se encuentra en Configuración del equipo\Windows Configuración\Seguridad Configuración\Directivas de cuenta\Directiva de contraseña también debe estar habilitada.
Cuando está habilitado Los usuarios pueden configurar una contraseña que cumpla los requisitos que defina. Para requerir el uso de una contraseña, seleccione Requerir contraseña para unidad de datos extraíble. Para aplicar los requisitos de complejidad en la contraseña, seleccione Requerir complejidad.
Cuando está deshabilitado El usuario no puede usar una contraseña.
Cuando no está configurado Las contraseñas se admiten con la configuración predeterminada, que no incluye requisitos de complejidad de contraseña y solo requieren 8 caracteres.

Referencia

Si decide permitir el uso de una contraseña, puede requerir que se use una contraseña, aplicar requisitos de complejidad y configurar una longitud mínima. Para que la configuración de requisitos de complejidad sea eficaz, la configuración de directiva de grupo Contraseña debe cumplir los requisitos de complejidad , que se encuentra en Configuración del equipo\Windows Configuración\Seguridad Configuración\Directivas de cuenta\Directiva de contraseña también debe estar habilitada.

Nota

Esta configuración se aplica al activar BitLocker, no al desbloquear una unidad. BitLocker permite desbloquear una unidad con cualquiera de los protectores que están disponibles en la unidad.

Las contraseñas deben tener al menos 8 caracteres. Para configurar una longitud mínima mayor para la contraseña, escriba el número de caracteres deseado en el cuadro Longitud mínima de contraseña.

Cuando se establece en Requerir complejidad, es necesaria una conexión a un controlador de dominio cuando BitLocker está habilitado para validar la complejidad de la contraseña.

Cuando se establece en Permitir complejidad, se intenta validar una conexión con un controlador de dominio para validar que la complejidad se adhiere a las reglas establecidas por la directiva. Sin embargo, si no se encuentra ningún controlador de dominio, la contraseña se seguirá aceptando independientemente de la complejidad real de la contraseña y la unidad se cifrará usando esa contraseña como protector.

Cuando se establece en No permitir complejidad, no se realizará ninguna validación de complejidad de contraseña.

Nota

Las contraseñas no se pueden usar si el cumplimiento de FIPS está habilitado. Criptografía del sistema: use algoritmos compatibles con FIPS para la configuración de directivas de cifrado, hash y firma en Configuración del equipo\Windows Configuración\Seguridad Configuración\Directivas locales\Opciones de seguridad especifica si el cumplimiento de FIPS está habilitado.

Para obtener información acerca de esta configuración, vea Criptografía del sistema: usar algoritmos compatibles con FIPS para cifrado, hash y firma.

Validar el cumplimiento de reglas de uso de certificados de tarjeta inteligente

Esta configuración de directiva se usa para determinar qué certificado usar con BitLocker.

 
Descripción de la directiva Con esta configuración de directiva, puedes asociar un identificador de objeto de un certificado de tarjeta inteligente a una unidad protegida por BitLocker.
Introducido Windows Server 2008 R2 y Windows 7
Tipo de unidad Unidades de datos fijas y extraíbles
Ruta de la directiva Configuración del equipo\Plantillas administrativas\componentes Windows\Cifrado de unidad BitLocker
Conflictos Ninguno
Cuando está habilitado El identificador de objeto especificado en la configuración Identificador de objeto debe coincidir con el identificador del objeto en el certificado de tarjeta inteligente.
Cuando está deshabilitado o no está configurado Se usa el identificador de objeto predeterminado.

Referencia

Esta configuración de directiva se aplica al activar BitLocker.

El identificador de objeto se especifica en el uso mejorado de clave (EKU) de un certificado. BitLocker puede identificar qué certificados se pueden usar para autenticar un certificado de usuario en una unidad protegida por BitLocker si coincide el identificador de objeto del certificado con el identificador de objeto definido por esta configuración de directiva.

El identificador de objeto predeterminado es 1.3.6.1.4.1.311.67.1.1.

Nota

BitLocker no requiere que un certificado tenga un atributo EKU; sin embargo, si uno está configurado para el certificado, debe establecerse en un identificador de objeto que coincida con el identificador de objeto configurado para BitLocker.

Habilitar el uso de la autenticación de BitLocker que requiere entrada de teclado de inicio previo en pizarras

Esta configuración de directiva permite a los usuarios habilitar las opciones de autenticación que requieren la entrada del usuario desde el entorno de inicio previo, incluso si la plataforma indica una falta de capacidad de entrada de prearranque.

 
Descripción de la directiva Con esta configuración de directiva, puede permitir a los usuarios habilitar opciones de autenticación que requieran la entrada del usuario desde el entorno de inicio previo, incluso si la plataforma indica una falta de capacidad de entrada de inicio previo.
Introducido Windows Server 2012 y Windows 8
Tipo de unidad Unidad del sistema operativo
Ruta de la directiva Configuración del equipo\Plantillas administrativas\componentes Windows\Cifrado de unidad BitLocker\Unidad del sistema operativo
Conflictos Ninguno
Cuando está habilitado Los dispositivos deben tener un medio alternativo de entrada previa al arranque (como un teclado USB conectado).
Cuando está deshabilitado o no está configurado El Windows de recuperación debe estar habilitado en tabletas para admitir la introducción de la contraseña de recuperación de BitLocker.

Referencia

El Windows teclado táctil (como las tabletas) no está disponible en el entorno de inicio previo donde BitLocker requiere información adicional, como un PIN o una contraseña.

Se recomienda que los administradores habiliten esta directiva solo para dispositivos que se comprueban que tienen un medio alternativo de entrada previa al arranque, como adjuntar un teclado USB.

Cuando el Windows de recuperación no está habilitado y esta directiva no está habilitada, no puedes activar BitLocker en un dispositivo que use el Windows teclado táctil.

Si no habilita esta configuración de directiva, **** es posible que las siguientes opciones de la directiva Requerir autenticación adicional al inicio no estén disponibles:

  • Configurar EL PIN de inicio del TPM: obligatorio y permitido
  • Configurar el PIN y la clave de inicio del TPM: obligatorio y permitido
  • Configurar el uso de contraseñas para unidades del sistema operativo

Denegar el acceso de escritura a unidades fijas no protegidas por BitLocker

Esta configuración de directiva se usa para requerir el cifrado de unidades fijas antes de conceder acceso de escritura.

 
Descripción de la directiva Con esta configuración de directiva, puedes establecer si la protección de BitLocker es necesaria para que las unidades de datos fijas se puedan escribir en un equipo.
Introducido Windows Server 2008 R2 y Windows 7
Tipo de unidad Unidades de datos fijas
Ruta de la directiva Configuración del equipo\Plantillas administrativas\Windows\Cifrado de unidad BitLocker\Unidades de datos fijas
Conflictos Vea la sección Referencia para obtener una descripción de los conflictos.
Cuando está habilitado Todas las unidades de datos fijas que no están protegidas con BitLocker se monta como de solo lectura. Si la unidad está protegida por BitLocker, se monta con acceso de lectura y escritura.
Cuando está deshabilitado o no está configurado Todas las unidades de datos fijas del equipo se instalan con acceso de lectura y escritura.

Referencia

Esta configuración de directiva se aplica al activar BitLocker.

Entre las consideraciones de conflicto se incluyen:

  1. Cuando esta configuración de directiva está habilitada, los usuarios reciben mensajes de error "Acceso denegado" cuando intentan guardar datos en unidades de datos fijas sin cifrar. Consulte la sección Referencia para ver conflictos adicionales.

  2. Si BdeHdCfg.exe se ejecuta en un equipo cuando esta configuración de directiva está habilitada, podría encontrarse con los siguientes problemas:

    • Si ha intentado reducir la unidad y crear la unidad del sistema, el tamaño de la unidad se reduce correctamente y se crea una partición sin procesar. Sin embargo, la partición sin formato no tiene formato. Se muestra el siguiente mensaje de error: "No se puede dar formato a la nueva unidad activa. Es posible que deba preparar manualmente la unidad para BitLocker".
    • Si intenta usar espacio sin asignar para crear la unidad del sistema, se creará una partición sin procesar. Sin embargo, la partición sin formato no tendrá formato. Se muestra el siguiente mensaje de error: "No se puede dar formato a la nueva unidad activa. Es posible que deba preparar manualmente la unidad para BitLocker".
    • Si intenta combinar una unidad existente en la unidad del sistema, la herramienta no puede copiar el archivo de arranque necesario en la unidad de destino para crear la unidad del sistema. Se muestra el siguiente mensaje de error: "El programa de instalación de BitLocker no pudo copiar archivos de arranque. Es posible que deba preparar manualmente la unidad para BitLocker".
  3. Si se aplica esta configuración de directiva, no se puede volver a particionar una unidad de disco duro porque la unidad está protegida. Si estás actualizando equipos de la organización desde una versión anterior de Windows y esos equipos se configuraron con una sola partición, debes crear la partición del sistema BitLocker necesaria antes de aplicar esta configuración de directiva a los equipos.

Denegar el acceso de escritura a unidades extraíbles no protegidas por BitLocker

Esta configuración de directiva se usa para requerir que las unidades extraíbles estén cifradas antes de conceder acceso de escritura y para controlar si las unidades extraíbles protegidas por BitLocker que se configuraron en otra organización se pueden abrir con acceso de escritura.

 
Descripción de la directiva Con esta configuración de directiva, puedes configurar si la protección de BitLocker es necesaria para que un equipo pueda escribir datos en una unidad de datos extraíble.
Introducido Windows Server 2008 R2 y Windows 7
Tipo de unidad Unidades de datos extraíbles
Ruta de la directiva Configuración del equipo\Plantillas administrativas\componentes Windows\Cifrado de unidad BitLocker\Unidades de datos extraíbles
Conflictos Vea la sección Referencia para obtener una descripción de los conflictos.
Cuando está habilitado Todas las unidades de datos extraíbles que no están protegidas con BitLocker se monta como de solo lectura. Si la unidad está protegida por BitLocker, se monta con acceso de lectura y escritura.
Cuando está deshabilitado o no está configurado Todas las unidades de datos extraíbles del equipo se instalan con acceso de lectura y escritura.

Referencia

Si está seleccionada la opción Denegar acceso de escritura a dispositivos configurados en otra organización, solo se proporciona acceso de escritura a las unidades con campos de identificación que coincidan con los campos de identificación del equipo. Cuando se tiene acceso a una unidad de datos extraíble, se comprueba si hay un campo de identificación válido y campos de identificación permitidos. Estos campos se definen mediante la configuración Proporcionar los identificadores únicos de la directiva de la organización.

Nota

Puede invalidar esta configuración de directiva con la configuración de directiva en Configuración de usuario\Plantillas administrativas\Sistema\Storage Access. Si la configuración de directiva Discos extraíbles: Denegar acceso de escritura está habilitada, se omitirá esta configuración de directiva.

Entre las consideraciones de conflicto se incluyen:

  1. El uso de BitLocker con el TPM más una clave de inicio o con el TPM más un PIN y una clave de inicio deben no estar permitidos si la configuración de directiva Denegar acceso de escritura a unidades extraíbles no protegidas por BitLocker está habilitada.
  2. El uso de claves de recuperación debe no estar permitido si la configuración de directiva Denegar acceso de escritura a unidades extraíbles no protegidas por BitLocker está habilitada.
  3. Debe habilitar la configuración Proporcionar los identificadores únicos de la directiva de organización si desea denegar el acceso de escritura a las unidades configuradas en otra organización.

Controlar el uso de BitLocker en unidades extraíbles

Esta configuración de directiva se usa para impedir que los usuarios activar o desactivar BitLocker en unidades de datos extraíbles.

 
Descripción de la directiva Con esta configuración de directiva, puedes controlar el uso de BitLocker en unidades de datos extraíbles.
Introducido Windows Server 2008 R2 y Windows 7
Tipo de unidad Unidades de datos extraíbles
Ruta de la directiva Configuración del equipo\Plantillas administrativas\componentes Windows\Cifrado de unidad BitLocker\Unidades de datos extraíbles
Conflictos Ninguno
Cuando está habilitado Puedes seleccionar la configuración de propiedades que controle cómo los usuarios pueden configurar BitLocker.
Cuando está deshabilitado Los usuarios no pueden usar BitLocker en unidades de datos extraíbles.
Cuando no está configurado Los usuarios pueden usar BitLocker en unidades de datos extraíbles.

Referencia

Esta configuración de directiva se aplica al activar BitLocker.

Para obtener información sobre cómo suspender la protección de BitLocker, consulta Implementación básica de BitLocker.

Las opciones para elegir la configuración de propiedades que controlan cómo los usuarios pueden configurar BitLocker son:

  • Permitir a los usuarios aplicar la protección de BitLocker en unidades de datos extraíbles Permite al usuario ejecutar el Asistente para instalación de BitLocker en una unidad de datos extraíble.
  • Permitir a los usuarios suspender y descifrar BitLocker en unidades de datos extraíbles Permite al usuario quitar BitLocker de la unidad o suspender el cifrado mientras realiza el mantenimiento.

Elegir el método de cifrado de unidad y la intensidad del cifrado

Esta configuración de directiva se usa para controlar el método de cifrado y la intensidad del cifrado.

 
Descripción de la directiva Con esta configuración de directiva, puede controlar el método de cifrado y la intensidad de las unidades.
Introducido Windows Server 2012 y Windows 8
Tipo de unidad Todas las unidades
Ruta de la directiva Configuración del equipo\Plantillas administrativas\componentes Windows\Cifrado de unidad BitLocker
Conflictos Ninguno
Cuando está habilitado Puedes elegir un algoritmo de cifrado y una intensidad de cifrado clave para que BitLocker lo use para cifrar unidades.
Cuando está deshabilitado o no está configurado A partir de Windows 10, versión 1511 o Windows 11, BitLocker usa el método de cifrado predeterminado de XTS-AES de 128 bits o el método de cifrado especificado por el script de instalación. Windows Phone no admite XTS; usa AES-CBC de 128 bits de forma predeterminada y admite AES-CBC de 256 bits por directiva.

Referencia

Los valores de esta directiva determinan la intensidad del cifrado que BitLocker usa para el cifrado. Es posible que las empresas quieran controlar el nivel de cifrado para aumentar la seguridad (AES-256 es más fuerte que AES-128).

Si habilita esta configuración, podrá configurar un algoritmo de cifrado y una fuerza de cifrado de clave para unidades de datos fijas, unidades del sistema operativo y unidades de datos extraíbles individualmente. Para las unidades fijas y del sistema operativo, se recomienda usar el algoritmo XTS-AES. Para las unidades extraíbles, debe usar AES-CBC de 128 bits o AES-CBC de 256 bits si la unidad se usará en otros dispositivos que no ejecutan Windows 10, versión 1511 o posterior, o Windows 11.

Cambiar el método de cifrado no tiene ningún efecto si la unidad ya está cifrada o si el cifrado está en curso. En estos casos, se omite esta configuración de directiva.

Advertencia

Esta directiva no se aplica a las unidades cifradas. Las unidades cifradas usan su propio algoritmo, establecido por la unidad durante la partición.

Cuando esta configuración de directiva está deshabilitada o no configurada, BitLocker usará el método de cifrado predeterminado de XTS-AES de 128 bits o el método de cifrado especificado en el script de instalación.

Configurar el uso del cifrado basado en hardware para unidades de datos fijas

Esta directiva controla cómo reacciona BitLocker a los sistemas que están equipados con unidades cifradas cuando se usan como volúmenes de datos fijos. El uso de cifrado basado en hardware puede mejorar el rendimiento de las operaciones de unidad que implican la lectura o escritura frecuentes de datos en la unidad.

 
Descripción de la directiva Con esta configuración de directiva, puedes administrar el uso de cifrado basado en hardware de BitLocker en unidades de datos fijas y especificar los algoritmos de cifrado que BitLocker puede usar con el cifrado basado en hardware.
Introducido Windows Server 2012 y Windows 8
Tipo de unidad Unidades de datos fijas
Ruta de la directiva Configuración del equipo\Plantillas administrativas\Windows\Cifrado de unidad BitLocker\Unidades de datos fijas
Conflictos Ninguno
Cuando está habilitado Puedes especificar opciones adicionales que controle si se usa el cifrado basado en software de BitLocker en lugar del cifrado basado en hardware en equipos que no admiten cifrado basado en hardware. También puede especificar si desea restringir los algoritmos de cifrado y los conjuntos de cifrado que se usan con el cifrado basado en hardware.
Cuando está deshabilitado BitLocker no puede usar el cifrado basado en hardware con unidades de datos fijas y el cifrado basado en software de BitLocker se usa de forma predeterminada cuando la unidad está cifrada.
Cuando no está configurado El cifrado basado en software de BitLocker se usa independientemente de la capacidad de cifrado basada en hardware.

Referencia

Nota

La configuración elegir método de cifrado de unidad y directiva de fuerza de cifrado no se aplica al cifrado basado en hardware.

El algoritmo de cifrado que usa el cifrado basado en hardware se establece cuando se particiona la unidad. De forma predeterminada, BitLocker usa el algoritmo configurado en la unidad para cifrar la unidad. La opción Restringir algoritmos de cifrado y conjuntos de cifrado permitidos para el cifrado basado en hardware de esta configuración permite restringir los algoritmos de cifrado que BitLocker puede usar con el cifrado de hardware. Si el algoritmo que se establece para la unidad no está disponible, BitLocker deshabilita el uso del cifrado basado en hardware. Los algoritmos de cifrado se especifican mediante identificadores de objeto (OID), por ejemplo:

  • Advanced Encryption Standard (AES) 128 in Cipher Block Chaining (CBC) mode OID: 2.16.840.1.101.3.4.1.2
  • AES 256 en modo CBC OID: 2.16.840.1.101.3.4.1.42

Configurar el uso del cifrado basado en hardware para unidades del sistema operativo

Esta directiva controla cómo reacciona BitLocker cuando se usan unidades cifradas como unidades del sistema operativo. El uso de cifrado basado en hardware puede mejorar el rendimiento de las operaciones de unidad que implican la lectura o escritura frecuentes de datos en la unidad.

 
Descripción de la directiva Con esta configuración de directiva, puedes administrar el uso de cifrado basado en hardware de BitLocker en unidades del sistema operativo y especificar los algoritmos de cifrado que puede usar con el cifrado basado en hardware.
Introducido Windows Server 2012 y Windows 8
Tipo de unidad Unidades del sistema operativo
Ruta de la directiva Configuración del equipo\Plantillas administrativas\Windows\Cifrado de unidad BitLocker\Unidades del sistema operativo
Conflictos Ninguno
Cuando está habilitado Puedes especificar opciones adicionales que controle si se usa el cifrado basado en software de BitLocker en lugar del cifrado basado en hardware en equipos que no admiten cifrado basado en hardware. También puede especificar si desea restringir los algoritmos de cifrado y los conjuntos de cifrado que se usan con el cifrado basado en hardware.
Cuando está deshabilitado BitLocker no puede usar el cifrado basado en hardware con unidades del sistema operativo y el cifrado basado en software de BitLocker se usa de forma predeterminada cuando la unidad está cifrada.
Cuando no está configurado El cifrado basado en software de BitLocker se usa independientemente de la capacidad de cifrado basada en hardware.

Referencia

Si el cifrado basado en hardware no está disponible, se usa el cifrado basado en software de BitLocker.

Nota

La configuración elegir método de cifrado de unidad y directiva de fuerza de cifrado no se aplica al cifrado basado en hardware.

El algoritmo de cifrado que usa el cifrado basado en hardware se establece cuando se particiona la unidad. De forma predeterminada, BitLocker usa el algoritmo configurado en la unidad para cifrar la unidad. La opción Restringir algoritmos de cifrado y conjuntos de cifrado permitidos para el cifrado basado en hardware de esta configuración permite restringir los algoritmos de cifrado que BitLocker puede usar con el cifrado de hardware. Si el algoritmo que se establece para la unidad no está disponible, BitLocker deshabilita el uso del cifrado basado en hardware. Los algoritmos de cifrado se especifican mediante identificadores de objeto (OID), por ejemplo:

  • Advanced Encryption Standard (AES) 128 in Cipher Block Chaining (CBC) mode OID: 2.16.840.1.101.3.4.1.2
  • AES 256 en modo CBC OID: 2.16.840.1.101.3.4.1.42

Configurar el uso del cifrado basado en hardware para unidades de datos extraíbles

Esta directiva controla cómo reacciona BitLocker a las unidades cifradas cuando se usan como unidades de datos extraíbles. El uso de cifrado basado en hardware puede mejorar el rendimiento de las operaciones de unidad que implican la lectura o escritura frecuentes de datos en la unidad.

 
Descripción de la directiva Con esta configuración de directiva, puedes administrar el uso de cifrado basado en hardware de BitLocker en unidades de datos extraíbles y especificar los algoritmos de cifrado que puede usar con el cifrado basado en hardware.
Introducido Windows Server 2012 y Windows 8
Tipo de unidad Unidad de datos extraíble
Ruta de la directiva Configuración del equipo\Plantillas administrativas\componentes Windows\Cifrado de unidad BitLocker\Unidades de datos extraíbles
Conflictos Ninguno
Cuando está habilitado Puedes especificar opciones adicionales que controle si se usa el cifrado basado en software de BitLocker en lugar del cifrado basado en hardware en equipos que no admiten cifrado basado en hardware. También puede especificar si desea restringir los algoritmos de cifrado y los conjuntos de cifrado que se usan con el cifrado basado en hardware.
Cuando está deshabilitado BitLocker no puede usar el cifrado basado en hardware con unidades de datos extraíbles y el cifrado basado en software de BitLocker se usa de forma predeterminada cuando la unidad está cifrada.
Cuando no está configurado El cifrado basado en software de BitLocker se usa independientemente de la capacidad de cifrado basada en hardware.

Referencia

Si el cifrado basado en hardware no está disponible, se usa el cifrado basado en software de BitLocker.

Nota

La configuración elegir método de cifrado de unidad y directiva de fuerza de cifrado no se aplica al cifrado basado en hardware.

El algoritmo de cifrado que usa el cifrado basado en hardware se establece cuando se particiona la unidad. De forma predeterminada, BitLocker usa el algoritmo configurado en la unidad para cifrar la unidad. La opción Restringir algoritmos de cifrado y conjuntos de cifrado permitidos para el cifrado basado en hardware de esta configuración permite restringir los algoritmos de cifrado que BitLocker puede usar con el cifrado de hardware. Si el algoritmo que se establece para la unidad no está disponible, BitLocker deshabilita el uso del cifrado basado en hardware. Los algoritmos de cifrado se especifican mediante identificadores de objeto (OID), por ejemplo:

  • Advanced Encryption Standard (AES) 128 in Cipher Block Chaining (CBC) mode OID: 2.16.840.1.101.3.4.1.2
  • AES 256 en modo CBC OID: 2.16.840.1.101.3.4.1.42

Exigir el tipo de cifrado de unidad en unidades de datos fijas

Esta directiva controla si las unidades de datos fijas usan cifrado de solo espacio usado o cifrado completo. Al establecer esta directiva, el Asistente para la instalación de BitLocker omite la página de opciones de cifrado para que no se muestre ninguna selección de cifrado al usuario.

 
Descripción de la directiva Con esta configuración de directiva, puedes configurar el tipo de cifrado que usa BitLocker.
Introducido Windows Server 2012 y Windows 8
Tipo de unidad Unidad de datos fija
Ruta de la directiva Configuración del equipo\Plantillas administrativas\Windows\Cifrado de unidad BitLocker\Unidades de datos fijas
Conflictos Ninguno
Cuando está habilitado Esta directiva define el tipo de cifrado que BitLocker usa para cifrar unidades y la opción de tipo de cifrado no se presenta en el Asistente para la instalación de BitLocker.
Cuando está deshabilitado o no está configurado El Asistente para la instalación de BitLocker pide al usuario que seleccione el tipo de cifrado antes de activar BitLocker.

Referencia

Esta configuración de directiva se aplica al activar BitLocker. Cambiar el tipo de cifrado no tiene efecto si la unidad ya está cifrada o si el cifrado está en curso. Elige Cifrado completo para requerir que toda la unidad esté cifrada cuando Se haya activado BitLocker. Elija Cifrado de solo espacio usado para requerir que solo la parte de la unidad que se usa para almacenar datos se cifra cuando BitLocker está activado.

Nota

Esta directiva se omite cuando se está reduciendo o expandiendo un volumen y el controlador de BitLocker usa el método de cifrado actual. Por ejemplo, cuando se expande una unidad que usa cifrado de solo espacio usado, el nuevo espacio libre no se elimina como sería para una unidad que usa cifrado completo. El usuario podría borrar el espacio libre en una unidad de solo espacio usado mediante el siguiente comando: manage-bde -w. Si el volumen se encoge, no se toma ninguna acción para el nuevo espacio libre.

Para obtener más información acerca de la herramienta para administrar BitLocker, vea Manage-bde.

Exigir el tipo de cifrado de unidad en las unidades del sistema operativo

Esta directiva controla si las unidades del sistema operativo usan el cifrado completo o el cifrado de solo espacio usado. Al establecer esta directiva, el Asistente para la instalación de BitLocker también omite la página de opciones de cifrado, por lo que no se muestra ninguna selección de cifrado al usuario.

 
Descripción de la directiva Con esta configuración de directiva, puedes configurar el tipo de cifrado que usa BitLocker.
Introducido Windows Server 2012 y Windows 8
Tipo de unidad Unidad del sistema operativo
Ruta de la directiva Configuración del equipo\Plantillas administrativas\Windows\Cifrado de unidad BitLocker\Unidades del sistema operativo
Conflictos Ninguno
Cuando está habilitado El tipo de cifrado que BitLocker usa para cifrar unidades se define mediante esta directiva y la opción de tipo de cifrado no se presenta en el Asistente para la instalación de BitLocker.
Cuando está deshabilitado o no está configurado El Asistente para la instalación de BitLocker pide al usuario que seleccione el tipo de cifrado antes de activar BitLocker.

Referencia

Esta configuración de directiva se aplica al activar BitLocker. Cambiar el tipo de cifrado no tiene efecto si la unidad ya está cifrada o si el cifrado está en curso. Elige Cifrado completo para requerir que toda la unidad esté cifrada cuando Se haya activado BitLocker. Elija Cifrado de solo espacio usado para requerir que solo la parte de la unidad que se usa para almacenar datos se cifra cuando BitLocker está activado.

Nota

Esta directiva se omite al reducir o expandir un volumen y el controlador de BitLocker usa el método de cifrado actual. Por ejemplo, cuando se expande una unidad que usa cifrado de solo espacio usado, el nuevo espacio libre no se elimina como lo sería para una unidad que usa cifrado completo. El usuario podría borrar el espacio libre en una unidad de solo espacio usado mediante el siguiente comando: manage-bde -w. Si el volumen se encoge, no se toma ninguna acción para el nuevo espacio libre.

Para obtener más información acerca de la herramienta para administrar BitLocker, vea Manage-bde.

Exigir el tipo de cifrado de unidad en unidades de datos extraíbles

Esta directiva controla si las unidades de datos fijas usan cifrado completo o cifrado de solo espacio usado. Al establecer esta directiva, el Asistente para la instalación de BitLocker también omite la página de opciones de cifrado, por lo que no se muestra ninguna selección de cifrado al usuario.

 
Descripción de la directiva Con esta configuración de directiva, puedes configurar el tipo de cifrado que usa BitLocker.
Introducido Windows Server 2012 y Windows 8
Tipo de unidad Unidad de datos extraíble
Ruta de la directiva Configuración del equipo\Plantillas administrativas\componentes Windows\Cifrado de unidad BitLocker\Unidades de datos extraíbles
Conflictos Ninguno
Cuando está habilitado El tipo de cifrado que BitLocker usa para cifrar unidades se define mediante esta directiva y la opción de tipo de cifrado no se presenta en el Asistente para la instalación de BitLocker.
Cuando está deshabilitado o no está configurado El Asistente para la instalación de BitLocker pide al usuario que seleccione el tipo de cifrado antes de activar BitLocker.

Referencia

Esta configuración de directiva se aplica al activar BitLocker. Cambiar el tipo de cifrado no tiene efecto si la unidad ya está cifrada o si el cifrado está en curso. Elige Cifrado completo para requerir que toda la unidad esté cifrada cuando Se haya activado BitLocker. Elija Cifrado de solo espacio usado para requerir que solo la parte de la unidad que se usa para almacenar datos se cifra cuando BitLocker está activado.

Nota

Esta directiva se omite al reducir o expandir un volumen y el controlador de BitLocker usa el método de cifrado actual. Por ejemplo, cuando se expande una unidad que usa cifrado de solo espacio usado, el nuevo espacio libre no se elimina como sería para una unidad que usa cifrado total. El usuario podría borrar el espacio libre en una unidad de solo espacio usado mediante el siguiente comando: manage-bde -w. Si el volumen se encoge, no se toma ninguna acción para el nuevo espacio libre.

Para obtener más información acerca de la herramienta para administrar BitLocker, vea Manage-bde.

Elegir cómo se pueden recuperar unidades del sistema operativo protegidas con BitLocker

Esta configuración de directiva se usa para configurar métodos de recuperación para unidades del sistema operativo.

 
Descripción de la directiva Con esta configuración de directiva, puedes controlar cómo se recuperan las unidades del sistema operativo protegidas por BitLocker en ausencia de la información de clave de inicio necesaria.
Introducido Windows Server 2008 R2 y Windows 7
Tipo de unidad Unidades del sistema operativo
Ruta de la directiva Configuración del equipo\Plantillas administrativas\Windows\Cifrado de unidad BitLocker\Unidades del sistema operativo
Conflictos Debe no permitir el uso de claves de recuperación si la configuración de directiva Denegar acceso de escritura a unidades extraíbles no protegidas por BitLocker está habilitada.

Al usar agentes de recuperación de datos, debe habilitar la configuración Proporcionar los identificadores únicos de la directiva de la organización.
Cuando está habilitado Puedes controlar los métodos que están disponibles para que los usuarios recuperen datos de unidades del sistema operativo protegidas por BitLocker.
Cuando está deshabilitado o no está configurado Las opciones de recuperación predeterminadas son compatibles con la recuperación de BitLocker. De forma predeterminada, se permite un agente de recuperación de datos, el usuario puede especificar las opciones de recuperación (incluida la contraseña de recuperación y la clave de recuperación) y la información de recuperación no se copia de seguridad en AD DS.

Referencia

Esta configuración de directiva se aplica al activar BitLocker.

La casilla Permitir agente de recuperación de datos se usa para especificar si se puede usar un agente de recuperación de datos con unidades del sistema operativo protegidas por BitLocker. Para poder usar un agente de recuperación de datos, debe agregarse desde Directivasde clave pública , que se encuentra en la Consola de administración de directivas de grupo (GPMC) o en el Editor de directivas de grupo local.

Para obtener más información acerca de cómo agregar agentes de recuperación de datos, consulta Implementación básica de BitLocker.

En Configurar el almacenamiento de usuario de la información de recuperación de BitLocker, seleccione si los usuarios pueden, requieren o no generar una contraseña de recuperación de 48 dígitos.

Selecciona Omitir opciones de recuperación del Asistente para la instalación de BitLocker para evitar que los usuarios especifiquen opciones de recuperación cuando habiliten BitLocker en una unidad. Esto significa que no podrás especificar qué opción de recuperación usar al habilitar BitLocker. En su lugar, las opciones de recuperación de BitLocker para la unidad están determinadas por la configuración de directiva.

En Guardar información de recuperaciónde BitLocker en Servicios de dominio de Active Directory, elige qué información de recuperación de BitLocker almacenar en Servicios de dominio de Active Directory (AD DS) para unidades del sistema operativo. Si seleccionas Almacenar contraseña de recuperacióny paquetes de claves, la contraseña de recuperación de BitLocker y el paquete de claves se almacenan en AD DS. El almacenamiento del paquete clave admite la recuperación de datos de una unidad que está físicamente dañada. Si seleccionas Solo contraseña de recuperación de la Tienda, solo la contraseña de recuperación se almacena en AD DS.

Active la casilla No habilitar BitLocker hasta que la información de recuperación se almacene en AD DS para unidades del sistema operativo si desea impedir que los usuarios habiliten BitLocker a menos que el equipo esté conectado al dominio y la copia de seguridad de la información de recuperación de BitLocker en AD DS se realice correctamente.

Nota

Si la casilla No habilitar BitLocker hasta que la información de recuperación se almacene en AD DS para unidades del sistema operativo está activada, se generará automáticamente una contraseña de recuperación.

Elegir cómo los usuarios pueden recuperar unidades protegidas por BitLocker (Windows Server 2008 y Windows Vista)

Esta configuración de directiva se usa para configurar métodos de recuperación para unidades protegidas con BitLocker en equipos que ejecutan Windows Server 2008 o Windows Vista.

 
Descripción de la directiva Con esta configuración de directiva, puedes controlar si el Asistente para configuración de BitLocker puede mostrar y especificar opciones de recuperación de BitLocker.
Introducido Windows Server 2008 y Windows Vista
Tipo de unidad Unidades de sistema operativo y unidades de datos fijas en equipos que ejecutan Windows Server 2008 y Windows Vista
Ruta de la directiva Configuración del equipo\Plantillas administrativas\componentes Windows\Cifrado de unidad BitLocker
Conflictos Esta configuración de directiva proporciona un método administrativo de recuperación de datos cifrados por BitLocker para evitar la pérdida de datos debido a la falta de información clave. Si elige **** la opción No permitir para ambas opciones de recuperación de usuarios, debe habilitar la configuración de la información de recuperación de BitLocker de la Tienda en Servicios de dominio de Active Directory (Windows Server 2008 y Windows Vista) para evitar un error de directiva.
Cuando está habilitado Puedes configurar las opciones que el Asistente para la instalación de Bitlocker muestra a los usuarios para recuperar datos cifrados de BitLocker.
Cuando está deshabilitado o no está configurado El Asistente para la instalación de BitLocker presenta a los usuarios formas de almacenar opciones de recuperación.

Referencia

Esta directiva solo se aplica a equipos que ejecutan Windows Server 2008 o Windows Vista. Esta configuración de directiva se aplica al activar BitLocker.

Se pueden usar dos opciones de recuperación para desbloquear datos cifrados por BitLocker en ausencia de la información de clave de inicio necesaria. Los usuarios pueden escribir una contraseña de recuperación numérica de 48 dígitos o pueden insertar una unidad USB que contenga una clave de recuperación de 256 bits.

Guardar la contraseña de recuperación en una unidad USB almacena la contraseña de recuperación de 48 dígitos como un archivo de texto y la clave de recuperación de 256 bits como un archivo oculto. Al guardarlo en una carpeta, se almacena la contraseña de recuperación de 48 dígitos como un archivo de texto. Al imprimirla, se envía la contraseña de recuperación de 48 dígitos a la impresora predeterminada. Por ejemplo, no permitir la contraseña de recuperación de 48 dígitos impide que los usuarios impriman o guarden información de recuperación en una carpeta.

Importante

Si la inicialización del TPM se realiza durante la instalación de BitLocker, la información del propietario del TPM se guarda o se imprime con la información de recuperación de BitLocker. La contraseña de recuperación de 48 dígitos no está disponible en modo de cumplimiento fips.

Importante

Para evitar la pérdida de datos, debes tener una forma de recuperar las claves de cifrado de BitLocker. Si no permites ambas opciones de recuperación, debes habilitar la copia de seguridad de la información de recuperación de BitLocker en AD DS. De lo contrario, se produce un error de directiva.

Almacenar información de recuperación de BitLocker en Servicios de dominio de Active Directory (Windows Server 2008 y Windows Vista)

Esta configuración de directiva se usa para configurar el almacenamiento de la información de recuperación de BitLocker en AD DS. Esto proporciona un método administrativo de recuperación de datos cifrados por BitLocker para evitar la pérdida de datos debido a la falta de información clave.

 
Descripción de la directiva Con esta configuración de directiva, puedes administrar la copia de seguridad de AD DS de la información de recuperación de cifrado de unidad BitLocker.
Introducido Windows Server 2008 y Windows Vista
Tipo de unidad Unidades de sistema operativo y unidades de datos fijas en equipos que ejecutan Windows Server 2008 y Windows Vista.
Ruta de la directiva Configuración del equipo\Plantillas administrativas\componentes Windows\Cifrado de unidad BitLocker
Conflictos Ninguno
Cuando está habilitado La información de recuperación de BitLocker se realiza de forma automática y silenciosa en AD DS cuando BitLocker está activado para un equipo.
Cuando está deshabilitado o no está configurado La información de recuperación de BitLocker no se copia de seguridad en AD DS.

Referencia

Esta directiva solo se aplica a equipos que ejecutan Windows Server 2008 o Windows Vista.

Esta configuración de directiva se aplica al activar BitLocker.

La información de recuperación de BitLocker incluye la contraseña de recuperación y los datos de identificador único. También puedes incluir un paquete que contenga una clave de cifrado para una unidad protegida por BitLocker. Este paquete clave está protegido por una o más contraseñas de recuperación y puede ayudar a realizar una recuperación especializada cuando el disco está dañado o dañado.

Si selecciona Requerir copia de seguridad de BitLocker en AD DS, BitLocker no se puede activar a menos que el equipo esté conectado al dominio y la copia de seguridad de la información de recuperación de BitLocker en AD DS se realice correctamente. Esta opción está seleccionada de forma predeterminada para garantizar que la recuperación de BitLocker sea posible.

Una contraseña de recuperación es un número de 48 dígitos que desbloquea el acceso a una unidad protegida por BitLocker. Un paquete de clave contiene la clave de cifrado bitLocker de una unidad, que está protegida por una o más contraseñas de recuperación. Los paquetes clave pueden ayudar a realizar una recuperación especializada cuando el disco está dañado o dañado.

Si la opción Requerir copia de seguridad de BitLocker en AD DS no está seleccionada, se intenta realizar una copia de seguridad de AD DS, pero los errores de red u otros errores de copia de seguridad no impiden la instalación de BitLocker. El proceso de copia de seguridad no se vuelve a procesar automáticamente y es posible que la contraseña de recuperación no se almacene en AD DS durante la instalación de BitLocker. La inicialización de TPM puede ser necesaria durante la instalación de BitLocker. Habilite la configuración de directiva Activar copia de seguridad de TPM en Servicios de dominio de Active Directory en Configuración del equipo\Plantillas administrativas\Sistema\Servicios de módulo de plataforma de confianza para garantizar que también se realice una copia de seguridad de la información del TPM.

Para obtener más información acerca de esta configuración, consulta Configuración de directiva de grupo de TPM.

Elegir carpeta predeterminada para la contraseña de recuperación

Esta configuración de directiva se usa para configurar la carpeta predeterminada para las contraseñas de recuperación.

 
Descripción de la directiva Con esta configuración de directiva, puedes especificar la ruta de acceso predeterminada que se muestra cuando el Asistente para configuración de BitLocker solicita al usuario que escriba la ubicación de una carpeta en la que guardar la contraseña de recuperación.
Introducido Windows Vista
Tipo de unidad Todas las unidades
Ruta de la directiva Configuración del equipo\Plantillas administrativas\componentes Windows\Cifrado de unidad BitLocker
Conflictos Ninguno
Cuando está habilitado Puede especificar la ruta de acceso que se usará como ubicación predeterminada de la carpeta cuando el usuario elija la opción para guardar la contraseña de recuperación en una carpeta. Puede especificar una ruta de acceso completa o incluir las variables de entorno del equipo de destino en la ruta de acceso. Si la ruta de acceso no es válida, el Asistente para la instalación de BitLocker muestra la vista de carpeta de nivel superior del equipo.
Cuando está deshabilitado o no está configurado El Asistente para la instalación de BitLocker muestra la vista de carpeta de nivel superior del equipo cuando el usuario elige la opción para guardar la contraseña de recuperación en una carpeta.

Referencia

Esta configuración de directiva se aplica al activar BitLocker.

Nota

Esta configuración de directiva no impide que el usuario guarde la contraseña de recuperación en otra carpeta.

Elegir cómo se pueden recuperar unidades fijas protegidas por BitLocker

Esta configuración de directiva se usa para configurar métodos de recuperación para unidades de datos fijas.

 
Descripción de la directiva Con esta configuración de directiva, puedes controlar cómo se recuperan las unidades de datos fijas protegidas por BitLocker en ausencia de las credenciales necesarias.
Introducido Windows Server 2008 R2 y Windows 7
Tipo de unidad Unidades de datos fijas
Ruta de la directiva Configuración del equipo\Plantillas administrativas\Windows\Cifrado de unidad BitLocker\Unidades de datos fijas
Conflictos Debe no permitir el uso de claves de recuperación si la configuración de directiva Denegar acceso de escritura a unidades extraíbles no protegidas por BitLocker está habilitada.

Al usar agentes de recuperación de datos, debe habilitar y configurar la opción Proporcionar los identificadores únicos para la configuración de directiva de la organización.
Cuando está habilitado Puedes controlar los métodos que están disponibles para que los usuarios recuperen datos de unidades de datos fijas protegidas por BitLocker.
Cuando está deshabilitado o no está configurado Las opciones de recuperación predeterminadas son compatibles con la recuperación de BitLocker. De forma predeterminada, se permite un agente de recuperación de datos, el usuario puede especificar las opciones de recuperación (incluida la contraseña de recuperación y la clave de recuperación) y la información de recuperación no se copia de seguridad en AD DS.

Referencia

Esta configuración de directiva se aplica al activar BitLocker.

La casilla Permitir agente de recuperación de datos se usa para especificar si se puede usar un agente de recuperación de datos con unidades de datos fijas protegidas por BitLocker. Para poder usar un agente de recuperación de datos, debe agregarse desde Directivasde clave pública , que se encuentra en la Consola de administración de directivas de grupo (GPMC) o en el Editor de directivas de grupo local.

En Configurar el almacenamiento de usuario de la información de recuperación de BitLocker, seleccione si los usuarios tienen permiso, requisito o no para generar una contraseña de recuperación de 48 dígitos o una clave de recuperación de 256 bits.

Selecciona Omitir opciones de recuperación del Asistente para la instalación de BitLocker para evitar que los usuarios especifiquen opciones de recuperación cuando habiliten BitLocker en una unidad. Esto significa que no puedes especificar qué opción de recuperación usar al habilitar BitLocker. En su lugar, las opciones de recuperación de BitLocker para la unidad están determinadas por la configuración de directiva.

En Guardar información de recuperación de BitLockeren Servicios de dominio de Active Directory, elige qué información de recuperación de BitLocker almacenar en AD DS para unidades de datos fijas. Si selecciona Contraseña de recuperación decopia de seguridad y paquete de claves, la contraseña de recuperación de BitLocker y el paquete de claves se almacenan en AD DS. El almacenamiento del paquete clave admite la recuperación de datos de una unidad que se ha dañado físicamente. Para recuperar estos datos, puede usar la herramienta de línea de comandos Repair-bde. Si selecciona Solo contraseña de recuperación de copia deseguridad, solo la contraseña de recuperación se almacena en AD DS.

Para obtener más información acerca de la herramienta de reparación de BitLocker, vea Repair-bde.

Active la casilla No habilitar BitLocker hasta que la información de recuperación se almacene en AD DS para unidades de datos fijas si desea impedir que los usuarios habiliten BitLocker a menos que el equipo esté conectado al dominio y la copia de seguridad de la información de recuperación de BitLocker en AD DS se realice correctamente.

Nota

Si la casilla No habilitar BitLocker hasta que la información de recuperación se almacene en AD DS para unidades de datos fijas está activada, se generará automáticamente una contraseña de recuperación.

Elegir cómo se pueden recuperar unidades extraíbles protegidas por BitLocker

Esta configuración de directiva se usa para configurar métodos de recuperación para unidades de datos extraíbles.

 
Descripción de la directiva Con esta configuración de directiva, puedes controlar cómo se recuperan las unidades de datos extraíbles protegidas por BitLocker en ausencia de las credenciales necesarias.
Introducido Windows Server 2008 R2 y Windows 7
Tipo de unidad Unidades de datos extraíbles
Ruta de la directiva Configuración del equipo\Plantillas administrativas\componentes Windows\Cifrado de unidad BitLocker\Unidades de datos extraíbles
Conflictos Debe no permitir el uso de claves de recuperación si la configuración de directiva Denegar acceso de escritura a unidades extraíbles no protegidas por BitLocker está habilitada.

Al usar agentes de recuperación de datos, debe habilitar y configurar la opción Proporcionar los identificadores únicos para la configuración de directiva de la organización.
Cuando está habilitado Puedes controlar los métodos que están disponibles para que los usuarios recuperen datos de unidades de datos extraíbles protegidas por BitLocker.
Cuando está deshabilitado o no está configurado Las opciones de recuperación predeterminadas son compatibles con la recuperación de BitLocker. De forma predeterminada, se permite un agente de recuperación de datos, el usuario puede especificar las opciones de recuperación (incluida la contraseña de recuperación y la clave de recuperación) y la información de recuperación no se copia de seguridad en AD DS.

Referencia

Esta configuración de directiva se aplica al activar BitLocker.

La casilla Permitir agente de recuperación de datos se usa para especificar si se puede usar un agente de recuperación de datos con unidades de datos extraíbles protegidas por BitLocker. Para poder usar un agente de recuperación de datos, debe agregarse desde directivas de clave pública , a la que se tiene acceso mediante la GPMC o el Editor de directivas de grupo local.

En Configurar el almacenamiento de usuario de la información de recuperación de BitLocker, seleccione si los usuarios pueden, requieren o no generar una contraseña de recuperación de 48 dígitos.

Selecciona Omitir opciones de recuperación del Asistente para la instalación de BitLocker para evitar que los usuarios especifiquen opciones de recuperación cuando habiliten BitLocker en una unidad. Esto significa que no puedes especificar qué opción de recuperación usar al habilitar BitLocker. En su lugar, las opciones de recuperación de BitLocker para la unidad están determinadas por la configuración de directiva.

En Guardar información de recuperación de BitLockeren Servicios de dominio de Active Directory, elige qué información de recuperación de BitLocker almacenar en AD DS para unidades de datos extraíbles. Si selecciona Contraseña de recuperación decopia de seguridad y paquete de claves, la contraseña de recuperación de BitLocker y el paquete de claves se almacenan en AD DS. Si selecciona Solo contraseña de recuperación de copia deseguridad, solo la contraseña de recuperación se almacena en AD DS.

Active la casilla No habilitar BitLocker hasta que la información de recuperación se almacene en AD DS para unidades de datos extraíbles si desea impedir que los usuarios habiliten BitLocker a menos que el equipo esté conectado al dominio y la copia de seguridad de la información de recuperación de BitLocker en AD DS se realice correctamente.

Nota

Si la casilla No habilitar BitLocker hasta que la información de recuperación se almacene en AD DS para unidades de datos fijas está activada, se generará automáticamente una contraseña de recuperación.

Configurar el mensaje de recuperación previa al arranque y la dirección URL

Esta configuración de directiva se usa para configurar todo el mensaje de recuperación y para reemplazar la dirección URL existente que se muestra en la pantalla de recuperación previa al arranque cuando la unidad del sistema operativo está bloqueada.

 
Descripción de la directiva Con esta configuración de directiva, puedes configurar la pantalla de recuperación de BitLocker para mostrar un mensaje personalizado y una dirección URL.
Introducido Windows
Tipo de unidad Unidades del sistema operativo
Ruta de la directiva Configuración del equipo \ Plantillas administrativas \ Windows \ Cifrado de unidad BitLocker \ Unidades del sistema operativo \ Configurar el mensaje de recuperación previo al arranque y la dirección URL
Conflictos Ninguno
Cuando está habilitado El mensaje personalizado y la dirección URL se muestran en la pantalla de recuperación previa al arranque. Si ha habilitado previamente un mensaje de recuperación personalizado y una dirección URL y desea volver al mensaje y la dirección URL predeterminados, debe mantener habilitada la configuración de directiva y seleccionar la opción Usar el mensaje de recuperación predeterminado y la dirección URL.
Cuando está deshabilitado o no está configurado Si la configuración no se ha habilitado previamente, se muestra la pantalla predeterminada de recuperación previa al arranque para la recuperación de BitLocker. Si la configuración anteriormente estaba habilitada y posteriormente se deshabilita, se muestra el último mensaje de Datos de configuración de arranque (BCD) si se trataba del mensaje de recuperación predeterminado o el mensaje personalizado.

Referencia

Al habilitar la opción Configurar el mensaje de recuperación previa al arranque y la directiva de dirección URL, puede personalizar el mensaje de pantalla de recuperación predeterminado y la dirección URL para ayudar a los clientes a recuperar su clave.

Una vez que habilite la configuración, tendrá tres opciones:

  • Si seleccionas la opción Usar el mensaje de recuperación predeterminado y la dirección URL, el mensaje de recuperación de BitLocker predeterminado y la dirección URL se mostrarán en la pantalla de recuperación previa al arranque.
  • Si selecciona la opción Usar mensaje de recuperación personalizado, escriba el mensaje personalizado en el cuadro de texto Opción de mensaje de recuperación personalizada. El mensaje que escriba en el cuadro de texto Opción de mensaje de recuperación personalizada se mostrará en la pantalla de recuperación previa al arranque. Si hay una dirección URL de recuperación disponible, inscólala en el mensaje.
  • Si selecciona la opción Usar dirección URL de recuperación personalizada, escriba la dirección URL del mensaje personalizado en el cuadro de texto Dirección URL de recuperación personalizada. La dirección URL que escriba en el cuadro de texto De la opción Dirección URL de recuperación personalizada reemplaza la dirección URL predeterminada en el mensaje de recuperación predeterminado, que se mostrará en la pantalla de recuperación previa al arranque.

Importante

No todos los caracteres e idiomas son compatibles con el entorno previo al arranque. Le recomendamos encarecidamente que compruebe la apariencia correcta de los caracteres que usa para el mensaje personalizado y la dirección URL en la pantalla de recuperación previa al arranque.

Importante

Dado que puede modificar manualmente los comandos BCDEdit antes de establecer la configuración de directiva de **** grupo, no puede devolver la configuración de directiva a la configuración predeterminada seleccionando la opción No configurado después de configurar esta configuración de directiva. Para volver a la pantalla predeterminada de recuperación previa **** al arranque, **** deje la configuración de directiva habilitada y seleccione la opción Usar opciones de mensaje predeterminadas en el cuadro de lista desplegable Elegir una opción para el mensaje de recuperación previa al arranque.

Permitir el arranque seguro para la validación de integridad

Esta directiva controla cómo se controlan los volúmenes del sistema habilitados para BitLocker junto con la característica de arranque seguro. La habilitación de esta característica fuerza la validación de arranque seguro durante el proceso de arranque y comprueba la configuración de datos de configuración de arranque (BCD) de acuerdo con la directiva de arranque seguro.

 
Descripción de la directiva Con esta configuración de directiva, puedes configurar si se permitirá el arranque seguro como proveedor de integridad de plataforma para las unidades del sistema operativo BitLocker.
Introducido Windows Server 2012 y Windows 8
Tipo de unidad Todas las unidades
Ruta de la directiva Configuración del equipo\Plantillas administrativas\Windows\Cifrado de unidad BitLocker\Unidades del sistema operativo
Conflictos Si habilita Permitir el arranque seguro para la validación de integridad, asegúrese de que la configuración de directiva de grupo Configurar el perfil de validación de la plataforma TPM para configuraciones de firmware UEFI nativas no esté habilitada o incluya PCR 7 para permitir que BitLocker use el arranque seguro para la validación de integridad de la plataforma o BCD.

Para obtener más información acerca de PCR 7, vea Registro de configuración de plataforma (PCR) en este tema.

Cuando está habilitado o no está configurado BitLocker usa el arranque seguro para la integridad de la plataforma si la plataforma es capaz de validar la integridad basada en arranque seguro.
Cuando está deshabilitado BitLocker usa la validación de integridad de plataforma heredada, incluso en sistemas que son capaces de validar la integridad basada en arranque seguro.

Referencia

El arranque seguro garantiza que el entorno de inicio previo del equipo cargue solo el firmware firmado digitalmente por los editores de software autorizados. El arranque seguro también proporciona más flexibilidad para administrar configuraciones de inicio previo que las comprobaciones de integridad de BitLocker antes de Windows Server 2012 y Windows 8. Cuando esta directiva está habilitada y el hardware es capaz de **** usar el arranque seguro para escenarios de BitLocker, se omite la configuración De directiva de grupo Usar perfil de validación de datos de configuración de arranque mejorada y El arranque seguro comprueba la configuración BCD de acuerdo con la configuración de directiva de arranque seguro, que se configura por separado de BitLocker.

Advertencia

Deshabilitar esta directiva puede provocar la recuperación de BitLocker cuando se actualiza el firmware específico del fabricante. Si deshabilitas esta directiva, suspende BitLocker antes de aplicar actualizaciones de firmware.

Proporcionar los identificadores únicos de la organización

Esta configuración de directiva se usa para establecer un identificador que se aplica a todas las unidades cifradas en la organización.

 
Descripción de la directiva Con esta configuración de directiva, puedes asociar identificadores de organización únicos a una nueva unidad habilitada con BitLocker.
Introducido Windows Server 2008 R2 y Windows 7
Tipo de unidad Todas las unidades
Ruta de la directiva Configuración del equipo\Plantillas administrativas\componentes Windows\Cifrado de unidad BitLocker
Conflictos Los campos de identificación son necesarios para administrar agentes de recuperación de datos basados en certificados en unidades protegidas con BitLocker. BitLocker administra y actualiza agentes de recuperación de datos basados en certificados solo cuando el campo de identificación está presente en una unidad y es idéntico al valor configurado en el equipo.
Cuando está habilitado Puedes configurar el campo de identificación en la unidad protegida por BitLocker y cualquier campo de identificación permitido que utilice la organización.
Cuando está deshabilitado o no está configurado El campo de identificación no es necesario.

Referencia

Estos identificadores se almacenan como el campo de identificación y el campo de identificación permitido. El campo de identificación te permite asociar un identificador de organización único a unidades protegidas por BitLocker. Este identificador se agrega automáticamente a las nuevas unidades protegidas por BitLocker y se puede actualizar en las unidades protegidas por BitLocker existentes mediante la herramienta de línea de comandos Manage-bde.

Se requiere un campo de identificación para administrar agentes de recuperación de datos basados en certificados en unidades protegidas por BitLocker y para posibles actualizaciones del Lector de BitLocker To Go. BitLocker administra y actualiza los agentes de recuperación de datos solo cuando el campo de identificación de la unidad coincide con el valor configurado en el campo de identificación. De forma similar, BitLocker actualiza el Lector de BitLocker To Go solo cuando el campo de identificación de la unidad coincide con el valor configurado para el campo de identificación.

Para obtener más información acerca de la herramienta para administrar BitLocker, vea Manage-bde.

El campo de identificación permitido se usa en combinación con la opción Denegar acceso de escritura a unidades extraíbles no protegidas por la configuración de directiva de BitLocker para ayudar a controlar el uso de unidades extraíbles en la organización. Es una lista separada por comas de campos de identificación de su organización o organizaciones externas.

Puede configurar los campos de identificación en las unidades existentes mediante la herramienta de línea de comandos Manage-bde.

Cuando una unidad protegida con BitLocker se monta en otro equipo habilitado para BitLocker, el campo de identificación y el campo de identificación permitido se usan para determinar si la unidad es de una organización externa.

Se pueden especificar varios valores separados por comas en los campos de identificación y de identificación permitidos. El campo de identificación puede ser cualquier valor de hasta 260 caracteres.

Impedir la sobrescritura de memoria al reiniciar

Esta configuración de directiva se usa para controlar si la memoria del equipo se sobrescribirá la próxima vez que se reinicie el equipo.

 
Descripción de la directiva Con esta configuración de directiva, puedes controlar el rendimiento del reinicio del equipo con el riesgo de exponer secretos de BitLocker.
Introducido Windows Vista
Tipo de unidad Todas las unidades
Ruta de la directiva Configuración del equipo\Plantillas administrativas\componentes Windows\Cifrado de unidad BitLocker
Conflictos Ninguno
Cuando está habilitado El equipo no sobrescribirá la memoria cuando se reinicie. Impedir la sobrescritura de memoria puede mejorar el rendimiento del reinicio, pero aumenta el riesgo de exponer secretos de BitLocker.
Cuando está deshabilitado o no está configurado Los secretos de BitLocker se quitan de la memoria cuando se reinicia el equipo.

Referencia

Esta configuración de directiva se aplica al activar BitLocker. Los secretos de BitLocker incluyen material de clave que se usa para cifrar datos. Esta configuración de directiva solo se aplica cuando la protección de BitLocker está habilitada.

Configurar el perfil de validación de plataforma TPM para configuraciones de firmware basadas en BIOS

Esta configuración de directiva determina qué valores mide el TPM cuando valida los componentes de arranque anticipado antes de desbloquear una unidad del sistema operativo en un equipo con una configuración de BIOS o con el firmware UEFI que tiene habilitado el Módulo de compatibilidad (CSM).

 
Descripción de la directiva Con esta configuración de directiva, puedes configurar cómo el hardware de seguridad tpm del equipo protege la clave de cifrado de BitLocker.
Introducido Windows Server 2012 y Windows 8
Tipo de unidad Unidades del sistema operativo
Ruta de la directiva Configuración del equipo\Plantillas administrativas\Windows\Cifrado de unidad BitLocker\Unidades del sistema operativo
Conflictos Ninguno
Cuando está habilitado Puedes configurar los componentes de arranque que valida el TPM antes de desbloquear el acceso a la unidad del sistema operativo cifrado por BitLocker. Si alguno de estos componentes cambia mientras la protección de BitLocker está en vigor, el TPM no libera la clave de cifrado para desbloquear la unidad. En su lugar, el equipo muestra la consola de recuperación de BitLocker y requiere que se proporciona la contraseña de recuperación o la clave de recuperación para desbloquear la unidad.
Cuando está deshabilitado o no está configurado El TPM usa el perfil de validación de plataforma predeterminado o el perfil de validación de plataforma especificado por el script de instalación.

Referencia

Esta configuración de directiva no se aplica si el equipo no tiene un TPM compatible o si BitLocker ya se ha activado con la protección de TPM.

Importante

Esta configuración de directiva de grupo solo se aplica a equipos con configuraciones de BIOS o a equipos con firmware UEFI con el CSM habilitado. Los equipos que usan una configuración de firmware UEFI nativa almacenan valores diferentes en los registros de configuración de plataforma (PCR). Use la configuración de directiva de grupo Configurar el perfil de validación de plataforma TPM para configuraciones de firmware UEFI nativas para configurar el perfil PCR tpm para equipos que usan firmware UEFI nativo.

Un perfil de validación de plataforma consta de un conjunto de índices de PCR que oscilan entre 0 y 23. El perfil de validación de plataforma predeterminado protege la clave de cifrado frente a los cambios realizados a continuación:

  • Raíz principal de confianza de medida (CRTM), BIOS y extensiones de plataforma (PCR 0)
  • Código rom de opción (PCR 2)
  • Código de registro de arranque maestro (MBR) (PCR 4)
  • Sector de arranque NTFS (PCR 8)
  • Bloque de arranque NTFS (PCR 9)
  • Administrador de arranque (PCR 10)
  • Control de acceso de BitLocker (PCR 11)

Nota

Cambiar desde el perfil de validación de plataforma predeterminado afecta a la seguridad y capacidad de administración del equipo. La sensibilidad de BitLocker a las modificaciones de plataforma (malintencionadas o autorizadas) aumenta o disminuye en función de la inclusión o exclusión (respectivamente) de los PCR.

La siguiente lista identifica todos los PCR disponibles:

  • PCR 0: Raíz de confianza principal para extensiones de medida, BIOS y plataforma
  • PCR 1: Configuración y datos de plataforma y placa base.
  • PCR 2: Código rom de opción
  • PCR 3: Configuración y datos de ROM de opción
  • PCR 4: código de registro de arranque maestro (MBR)
  • PCR 5: tabla de particiones de registro de arranque maestro (MBR)
  • PCR 6: Eventos de activación y transición de estado
  • PCR 7: específico del fabricante del equipo
  • PCR 8: sector de arranque NTFS
  • PCR 9: bloque de arranque NTFS
  • PCR 10: Administrador de arranque
  • PCR 11: control de acceso de BitLocker
  • PCR 12-23: Reservado para uso futuro

Configurar el perfil de validación de plataforma TPM (Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2)

Esta configuración de directiva determina qué valores mide el TPM cuando valida los componentes de arranque anticipado antes de desbloquear una unidad en un equipo que ejecuta Windows Vista, Windows Server 2008 o Windows 7.

 
Descripción de la directiva Con esta configuración de directiva, puedes configurar cómo el hardware de seguridad tpm del equipo protege la clave de cifrado de BitLocker.
Introducido Windows Server 2008 y Windows Vista
Tipo de unidad Unidades del sistema operativo
Ruta de la directiva Configuración del equipo\Plantillas administrativas\Windows\Cifrado de unidad BitLocker\Unidades del sistema operativo
Conflictos Ninguno
Cuando está habilitado Puedes configurar los componentes de arranque que valida el TPM antes de desbloquear el acceso a la unidad del sistema operativo cifrado por BitLocker. Si alguno de estos componentes cambia mientras la protección de BitLocker está en vigor, el TPM no libera la clave de cifrado para desbloquear la unidad. En su lugar, el equipo muestra la consola de recuperación de BitLocker y requiere que se proporciona la contraseña de recuperación o la clave de recuperación para desbloquear la unidad.
Cuando está deshabilitado o no está configurado El TPM usa el perfil de validación de plataforma predeterminado o el perfil de validación de plataforma especificado por el script de instalación.

Referencia

Esta configuración de directiva no se aplica si el equipo no tiene un TPM compatible o si BitLocker ya está activado con la protección de TPM.

Un perfil de validación de plataforma consta de un conjunto de índices de PCR que oscilan entre 0 y 23. El perfil de validación de plataforma predeterminado protege la clave de cifrado frente a los cambios realizados a continuación:

  • Raíz principal de confianza de medida (CRTM), BIOS y extensiones de plataforma (PCR 0)
  • Código rom de opción (PCR 2)
  • Código de registro de arranque maestro (MBR) (PCR 4)
  • Sector de arranque NTFS (PCR 8)
  • Bloque de arranque NTFS (PCR 9)
  • Administrador de arranque (PCR 10)
  • Control de acceso de BitLocker (PCR 11)

Nota

La configuración predeterminada del PCR de perfil de validación de TPM para equipos que usan una interfaz de firmware extensible (EFI) son solo los PCR 0, 2, 4 y 11.

La siguiente lista identifica todos los PCR disponibles:

  • PCR 0: raíz de confianza principal para los servicios de medición, arranque EFI y tiempo de ejecución, controladores EFI incrustados en la ROM del sistema, tablas estáticas ACPI, código SMM incrustado y código BIOS
  • PCR 1: Configuración y datos de plataforma y placa base. Tablas de entrega y variables de EFI que afectan a la configuración del sistema
  • PCR 2: Código rom de opción
  • PCR 3: Configuración y datos de ROM de opción
  • PCR 4: código o código de registro de arranque maestro (MBR) de otros dispositivos de arranque
  • PCR 5: tabla de partición de registro de arranque maestro (MBR). Varias variables EFI y la tabla GPT
  • PCR 6: Eventos de activación y transición de estado
  • PCR 7: específico del fabricante del equipo
  • PCR 8: sector de arranque NTFS
  • PCR 9: bloque de arranque NTFS
  • PCR 10: Administrador de arranque
  • PCR 11: control de acceso de BitLocker
  • PCR 12 - 23: Reservado para uso futuro

Advertencia

Cambiar desde el perfil de validación de plataforma predeterminado afecta a la seguridad y capacidad de administración del equipo. La sensibilidad de BitLocker a las modificaciones de plataforma (malintencionadas o autorizadas) aumenta o disminuye en función de la inclusión o exclusión (respectivamente) de los PCR.

Configurar el perfil de validación de plataforma TPM para configuraciones nativas de firmware UEFI

Esta configuración de directiva determina qué valores mide el TPM cuando valida los componentes de arranque anticipado antes de desbloquear una unidad del sistema operativo en un equipo con configuraciones de firmware UEFI nativas.

 
Descripción de la directiva Con esta configuración de directiva, puedes configurar cómo el hardware de seguridad del Módulo de plataforma segura (TPM) del equipo protege la clave de cifrado de BitLocker.
Introducido Windows Server 2012 y Windows 8
Tipo de unidad Unidades del sistema operativo
Ruta de la directiva Configuración del equipo\Plantillas administrativas\Windows\Cifrado de unidad BitLocker\Unidades del sistema operativo
Conflictos Si se omite esta directiva con PCR **** 7, se invalida la configuración permitir el arranque seguro para la validación de integridad de la directiva de grupo y se impide que BitLocker use el arranque seguro para la validación de integridad de datos de configuración de arranque (BCD) o plataforma.

Si los entornos usan tpm y arranque seguro para las comprobaciones de integridad de la plataforma, esta directiva no debe configurarse.

Para obtener más información acerca de PCR 7, vea Registro de configuración de plataforma (PCR) en este tema.

Cuando está habilitado Antes de activar BitLocker, puedes configurar los componentes de arranque que valida el TPM antes de desbloquear el acceso a la unidad del sistema operativo cifrada por BitLocker. Si alguno de estos componentes cambia mientras la protección de BitLocker está en vigor, el TPM no libera la clave de cifrado para desbloquear la unidad. En su lugar, el equipo muestra la consola de recuperación de BitLocker y requiere que se proporciona la contraseña de recuperación o la clave de recuperación para desbloquear la unidad.
Cuando está deshabilitado o no está configurado BitLocker usa el perfil de validación de plataforma predeterminado o el perfil de validación de plataforma especificado por el script de instalación.

Referencia

Esta configuración de directiva no se aplica si el equipo no tiene un TPM compatible o si BitLocker ya está activado con la protección de TPM.

Importante

Esta configuración de directiva de grupo solo se aplica a equipos con una configuración de firmware UEFI nativa. Los equipos con firmware BIOS o UEFI con un módulo de compatibilidad (CSM) habilitado almacenan diferentes valores en los registros de configuración de plataforma (PCR). Use la configuración configurar el perfil de validación de plataforma TPM para configuraciones de firmware basadas en BIOS para configurar el perfil de TPM PCR para equipos con configuraciones de BIOS o para equipos con firmware UEFI con un CSM habilitado.

Un perfil de validación de plataforma consta de un conjunto de índices de registro de configuración de plataforma (PCR) que van de 0 a 23. El perfil de validación de plataforma predeterminado protege la clave de cifrado contra los cambios en el código ejecutable del firmware del sistema principal (PCR 0), el código ejecutable extendido o conectable (PCR 2), el administrador de arranque (PCR 4) y el control de acceso de BitLocker (PCR 11).

La siguiente lista identifica todos los PCR disponibles:

  • PCR 0: Código ejecutable del firmware del sistema principal

  • PCR 1: Datos principales del firmware del sistema

  • PCR 2: Código ejecutable extendido o conectable

  • PCR 3: Datos de firmware extendidos o conectables

  • PCR 4: Administrador de arranque

  • PCR 5: GPT/Tabla de particiones

  • PCR 6: Reanudar desde eventos S4 y S5 Power State

  • PCR 7: Estado de arranque seguro

    Para obtener más información acerca de este PCR, vea Registro de configuración de plataforma (PCR) en este tema.

  • PCR 8: Inicializado en 0 sin extensiones (reservado para uso futuro)

  • PCR 9: Inicializado en 0 sin extensiones (reservado para uso futuro)

  • PCR 10: Inicializado en 0 sin extensiones (reservado para uso futuro)

  • PCR 11: control de acceso de BitLocker

  • PCR 12: Eventos de datos y eventos altamente volátiles

  • PCR 13: Detalles del módulo de arranque

  • PCR 14: Autoridades de arranque

  • PCR 15 – 23: Reservado para uso futuro

Advertencia

Cambiar desde el perfil de validación de plataforma predeterminado afecta a la seguridad y capacidad de administración del equipo. La sensibilidad de BitLocker a las modificaciones de plataforma (malintencionadas o autorizadas) aumenta o disminuye en función de la inclusión o exclusión (respectivamente) de los PCR.

Restablecer los datos de validación de la plataforma después de la recuperación de BitLocker

Esta configuración de directiva determina si quieres que los datos de validación de la plataforma se actualicen Windows se inicia después de una recuperación de BitLocker. Un perfil de datos de validación de plataforma consta de los valores de un conjunto de índices de registro de configuración de plataforma (PCR) que oscilan entre 0 y 23.

 
Descripción de la directiva Con esta configuración de directiva, puedes controlar si los datos de validación de la plataforma se actualizan Windows se inicia después de una recuperación de BitLocker.
Introducido Windows Server 2012 y Windows 8
Tipo de unidad Unidades del sistema operativo
Ruta de la directiva Configuración del equipo\Plantillas administrativas\Windows\Cifrado de unidad BitLocker\Unidades del sistema operativo
Conflictos Ninguno
Cuando está habilitado Los datos de validación de la plataforma se actualizan Windows se inicia después de una recuperación de BitLocker.
Cuando está deshabilitado Los datos de validación de la plataforma no se actualizan Windows se inicia después de una recuperación de BitLocker.
Cuando no está configurado Los datos de validación de la plataforma se actualizan Windows se inicia después de una recuperación de BitLocker.

Referencia

Para obtener más información sobre el proceso de recuperación, consulta la guía de recuperación de BitLocker.

Usar perfil de validación de datos de configuración de arranque mejorado

Esta configuración de directiva determina la configuración de datos de configuración de arranque (BCD) específicas para comprobar durante la validación de la plataforma. Una validación de plataforma usa los datos del perfil de validación de la plataforma, que consta de un conjunto de índices del Registro de configuración de plataforma (PCR) que van de 0 a 23.

 
Descripción de la directiva Con esta configuración de directiva, puede especificar la configuración de datos de configuración de arranque (BCD) para comprobarla durante la validación de la plataforma.
Introducido Windows Server 2012 y Windows 8
Tipo de unidad Unidades del sistema operativo
Ruta de la directiva Configuración del equipo\Plantillas administrativas\Windows\Cifrado de unidad BitLocker\Unidades del sistema operativo
Conflictos Cuando BitLocker usa el arranque seguro para la **** validación de integridad de datos de configuración de arranque y **** plataforma, se omite la configuración de directiva de grupo Usar perfil de validación de datos de configuración de arranque mejorado (tal como se define en la configuración Permitir el arranque seguro para la validación de integridad de la directiva de grupo).
Cuando está habilitado Puede agregar configuraciones BCD adicionales, excluir la configuración de BCD que especifique o combinar listas de inclusión y exclusión para crear un perfil de validación BCD personalizado, lo que le permite comprobar dicha configuración de BCD.
Cuando está deshabilitado El equipo vuelve a una validación de perfil BCD similar al perfil BCD predeterminado que usa Windows 7.
Cuando no está configurado El equipo comprueba la configuración predeterminada de BCD en Windows.

Referencia

Nota

La configuración que controla la depuración de arranque (0x16000010) siempre se valida y no tiene ningún efecto si se incluye en la lista de inclusión o exclusión.

Permitir el acceso a unidades de datos fijas protegidas por BitLocker desde versiones anteriores de Windows

Esta configuración de directiva se usa para controlar si se permite el acceso a las unidades mediante el lector de BitLocker To Go y si la aplicación está instalada en la unidad.

 
Descripción de la directiva Con esta configuración de directiva, puede configurar si las unidades de datos fijas con formato con el sistema de archivos FAT se pueden desbloquear y ver en equipos que ejecutan Windows Vista, Windows XP con Service Pack 3 (SP3) o Windows XP con Service Pack 2 (SP2).
Introducido Windows Server 2008 R2 y Windows 7
Tipo de unidad Unidades de datos fijas
Ruta de la directiva Configuración del equipo\Plantillas administrativas\Windows\Cifrado de unidad BitLocker\Unidades de datos fijas
Conflictos Ninguno
Cuando está habilitado y Cuando no está configurado Las unidades de datos fijas que tienen formato con el sistema de archivos FAT se pueden desbloquear en equipos que ejecutan Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2 y su contenido se puede ver. Estos sistemas operativos tienen acceso de solo lectura a unidades protegidas por BitLocker.
Cuando está deshabilitado Las unidades de datos fijas que tienen formato con el sistema de archivos FAT y están protegidas con BitLocker no se pueden desbloquear en equipos que ejecutan Windows Vista, Windows XP con SP3 o Windows XP con SP2. BitLocker To Go Reader (bitlockertogo.exe) no está instalado.

Referencia

Nota

Esta configuración de directiva no se aplica a las unidades con formato con el sistema de archivos NTFS.

Cuando esta configuración de directiva esté habilitada, active la casilla No instalar BitLocker To Go Reader en unidades fijas con formato FAT para ayudar a evitar que los usuarios ejecuten BitLocker To Go Reader desde sus unidades fijas. Si BitLocker To Go Reader (bitlockertogo.exe) está presente en una unidad que no tiene un campo de identificación especificado, o si la unidad tiene el mismo campo de identificación especificado en la configuración Proporcionar identificadores únicos para la directiva de la organización, se pedirá al usuario que actualice BitLocker y bitLocker para ir al lector se elimina de la unidad. En esta situación, para que la unidad fija se desbloquee en equipos que ejecutan Windows Vista, Windows XP con SP3 o Windows XP con SP2, BitLocker To Go Reader debe instalarse en el equipo. Si esta casilla no está activada, el lector de BitLocker To Go se instalará en la unidad fija para permitir a los usuarios desbloquear la unidad en equipos que ejecutan Windows Vista, Windows XP con SP3 o Windows XP con SP2.

Permitir el acceso a unidades de datos extraíbles protegidas por BitLocker desde versiones anteriores de Windows

Esta configuración de directiva controla el acceso a unidades de datos extraíbles que usan el lector BitLocker To Go y si el lector de BitLocker To Go se puede instalar en la unidad.

 
Descripción de la directiva Con esta configuración de directiva, puede configurar si las unidades de datos extraíbles con formato con el sistema de archivos FAT se pueden desbloquear y ver en equipos que ejecutan Windows Vista, Windows XP con SP3 o Windows XP con SP2.
Introducido Windows Server 2008 R2 y Windows 7
Tipo de unidad Unidades de datos extraíbles
Ruta de la directiva Configuración del equipo\Plantillas administrativas\componentes Windows\Cifrado de unidad BitLocker\Unidades de datos extraíbles
Conflictos Ninguno
Cuando está habilitado y Cuando no está configurado Las unidades de datos extraíbles con formato con el sistema de archivos FAT se pueden desbloquear en equipos que ejecutan Windows Vista, Windows XP con SP3 o Windows XP con SP2 y su contenido se puede ver. Estos sistemas operativos tienen acceso de solo lectura a unidades protegidas por BitLocker.
Cuando está deshabilitado Las unidades de datos extraíbles con formato con el sistema de archivos FAT protegidos con BitLocker no se pueden desbloquear en equipos que ejecutan Windows Vista, Windows XP con SP3 o Windows XP con SP2. BitLocker To Go Reader (bitlockertogo.exe) no está instalado.

Referencia

Nota

Esta configuración de directiva no se aplica a las unidades con formato con el sistema de archivos NTFS.

Cuando esta configuración de directiva esté habilitada, active la casilla No instalar BitLocker To Go Reader en unidades extraíbles con formato FAT para ayudar a evitar que los usuarios ejecuten BitLocker To Go Reader desde sus unidades extraíbles. Si BitLocker To Go Reader (bitlockertogo.exe) está presente en una unidad que no tiene un campo de identificación especificado, o si la unidad tiene el mismo campo de identificación especificado en la configuración Proporcionar identificadores únicos para la directiva de la organización, se pedirá al usuario que actualice BitLocker y bitLocker para ir al lector se eliminará de la unidad. En esta situación, para que la unidad extraíble se desbloquee en equipos que ejecutan Windows Vista, Windows XP con SP3 o Windows XP con SP2, BitLocker To Go Reader debe instalarse en el equipo. Si esta casilla no está activada, bitLocker to go reader se instalará en la unidad extraíble para permitir a los usuarios desbloquear la unidad en equipos que ejecutan Windows Vista, Windows XP con SP3 o Windows XP con SP2 que no tienen instalado BitLocker To Go Reader.

Configuración fips

Puede configurar la configuración del Estándar federal de procesamiento de información (FIPS) para el cumplimiento de FIPS. Como efecto del cumplimiento de FIPS, los usuarios no pueden crear ni guardar una contraseña de BitLocker para su recuperación o como protector de clave. Se permite el uso de una clave de recuperación.

 
Descripción de la directiva Notas
Introducido Windows Server 2003 con SP1
Tipo de unidad Todo el sistema
Ruta de la directiva Directivas locales\Opciones de seguridad\Criptografía del sistema: usar algoritmos compatibles con FIPS para cifrado, hash y firma
Conflictos Algunas aplicaciones, como Terminal Services, no admiten FIPS-140 en todos los sistemas operativos.
Cuando está habilitado Los usuarios no podrán guardar una contraseña de recuperación en ninguna ubicación. Esto incluye AD DS y carpetas de red. Además, no puedes usar WMI ni el Asistente para configurar el cifrado de unidad BitLocker para crear una contraseña de recuperación.
Cuando está deshabilitado o no está configurado No se genera ninguna clave de cifrado de BitLocker

Referencia

Esta directiva debe habilitarse antes de que se genere cualquier clave de cifrado para BitLocker. Tenga en cuenta que cuando esta directiva está habilitada, BitLocker impide crear o usar contraseñas de recuperación, por lo que las claves de recuperación deben usarse en su lugar.

Puedes guardar la clave de recuperación opcional en una unidad USB. Dado que las contraseñas de recuperación no se pueden guardar en AD DS cuando FIPS está habilitada, se produce un error si la directiva de grupo requiere la copia de seguridad de AD DS.

Puede editar la configuración de FIPS mediante el Editor de directivas de seguridad (Secpol.msc) o editando el registro Windows seguridad. Debe ser administrador para realizar estos procedimientos.

Para obtener más información acerca de la configuración de esta directiva, vea Criptografía del sistema: Usar algoritmos compatibles con FIPS para cifrado, hash y firma.

Configuración de directiva de grupo de administración de energía: suspensión e hibernación

La configuración de energía predeterminada de un equipo hará que el equipo entre en modo de suspensión con frecuencia para conservar la energía cuando está inactivo y para ayudar a extender la duración de la batería del sistema. Cuando un equipo pasa a Suspensión, los programas y documentos abiertos se conservan en la memoria. Cuando un equipo se reanuda desde Suspensión, no es necesario que los usuarios vuelvan a autenticarse con un PIN o una clave de inicio USB para obtener acceso a datos cifrados. Esto puede provocar condiciones en las que la seguridad de los datos está en peligro.

Sin embargo, cuando un equipo hiberna la unidad está bloqueada y cuando se reanuda desde la hibernación, la unidad se desbloquea, lo que significa que los usuarios tendrán que proporcionar un PIN o una clave de inicio si usan la autenticación multifactor con BitLocker. Por lo tanto, es posible que las organizaciones que usan BitLocker quieran usar Hibernate en lugar de Sleep para mejorar la seguridad. Esta configuración no tiene un impacto en el modo de solo TPM, ya que proporciona una experiencia de usuario transparente al inicio y al reanudar desde los estados hibernados.

Puede deshabilitar la siguiente configuración de directiva de grupo, que se encuentra en Configuración del equipo\Plantillas administrativas\Sistema\Administración de energía para deshabilitar todos los estados de suspensión disponibles:

  • Permitir estados de espera (S1-S3) al dormir (conectado)
  • Permitir estados de espera (S1-S3) al dormir (batería)

Acerca del Registro de configuración de plataforma (PCR)

Un perfil de validación de plataforma consta de un conjunto de índices de PCR que oscilan entre 0 y 23. El ámbito de los valores puede ser específico de la versión del sistema operativo.

Cambiar desde el perfil de validación de plataforma predeterminado afecta a la seguridad y capacidad de administración del equipo. La sensibilidad de BitLocker a las modificaciones de plataforma (malintencionadas o autorizadas) aumenta o disminuye en función de la inclusión o exclusión (respectivamente) de los PCR.

Acerca de PCR 7

PCR 7 mide el estado de arranque seguro. Con PCR 7, BitLocker puede aprovechar el arranque seguro para la validación de integridad. El arranque seguro garantiza que el entorno de inicio previo del equipo cargue solo el firmware firmado digitalmente por los editores de software autorizados. Las medidas de PCR 7 indican si el arranque seguro está en y qué claves son de confianza en la plataforma. Si el arranque seguro está en funcionamiento y el firmware mide PCR 7 correctamente según la especificación UEFI, BitLocker puede enlazarse a esta información en lugar de a los PCR 0, 2 y 4 que tienen las medidas del firmware exacto y las imágenes bootmgr cargadas. Esto reduce la probabilidad de que BitLocker comience en modo de recuperación como resultado de las actualizaciones de firmware y de imagen, y proporciona una mayor flexibilidad para administrar la configuración de inicio previo.

Las medidas de PCR 7 deben seguir las instrucciones que se describen en el apéndice A Trusted Execution Environment EFI Protocol.

Las medidas de PCR 7 son un requisito obligatorio de logotipo para sistemas que admiten el modo de espera moderno (también conocido como Equipos siempre conectados), como Microsoft Surface RT. En estos sistemas, si el TPM con la medida pcr 7 y el arranque seguro están configurados correctamente, BitLocker se enlaza a PCR 7 y PCR 11 de forma predeterminada.

Vea también