BitLocker: Usar herramientas de Cifrado de unidad BitLocker para administrar BitLocker

Se aplica a

  • Windows10
  • Windows11
  • Windows Server 2016 y superior

En este artículo para el profesional de TI se describe cómo usar herramientas para administrar BitLocker.

Las herramientas de cifrado de unidad BitLocker incluyen las herramientas de línea de comandos manage-bde y repair-bde y los cmdlets bitLocker para Windows PowerShell.

Tanto manage-bde como los cmdlets de BitLocker se pueden usar para realizar cualquier tarea que se pueda realizar a través del panel de control de BitLocker y que sean adecuadas para implementaciones automatizadas y otros escenarios de scripting.

Repair-bde es una herramienta de circunstancias especiales que se proporciona para escenarios de recuperación ante desastres en los que una unidad protegida de BitLocker no se puede desbloquear normalmente o usar la consola de recuperación.

  1. Manage-bde
  2. Repair-bde
  3. Cmdlets de BitLocker para Windows PowerShell

Manage-bde

Manage-bde es una herramienta de línea de comandos que se puede usar para las operaciones de BitLocker de scripting. Manage-bde ofrece opciones adicionales que no se muestran en el panel de control de BitLocker. Para obtener una lista completa de las opciones de manage-bde, vea la referencia de línea de comandos Manage-bde.

Manage-bde incluye menos opciones predeterminadas y requiere una mayor personalización para configurar BitLocker. Por ejemplo, usar solo el comando de un volumen de datos cifrará completamente el volumen sin ningún manage-bde -on protector de autenticación. Un volumen cifrado de esta manera aún requiere la interacción del usuario para activar la protección de BitLocker, aunque el comando se haya completado correctamente porque es necesario agregar un método de autenticación al volumen para que esté totalmente protegido. En las secciones siguientes se proporcionan ejemplos de escenarios de uso comunes para manage-bde.

Uso de manage-bde con volúmenes de sistema operativo

A continuación se muestran ejemplos de comandos válidos básicos para los volúmenes del sistema operativo. En general, el uso solo del comando cifrará el volumen del sistema operativo con un manage-bde -on <drive letter> protector de solo TPM y sin clave de recuperación. Sin embargo, muchos entornos requieren protectores más seguros, como contraseñas o PIN, y esperan poder recuperar información con una clave de recuperación. Se recomienda agregar al menos un protector principal y un protector de recuperación a un volumen del sistema operativo.

Una buena práctica al usar manage-bde es determinar el estado del volumen en el sistema de destino. Use el siguiente comando para determinar el estado del volumen:

manage-bde -status

Este comando devuelve los volúmenes del destino, el estado de cifrado actual, el método de cifrado y el tipo de volumen (sistema operativo o datos) de cada volumen:

Usar manage-bde para comprobar el estado del cifrado.

En el ejemplo siguiente se muestra cómo habilitar BitLocker en un equipo sin un chip TPM. Antes de iniciar el proceso de cifrado, debes crear la clave de inicio necesaria para BitLocker y guardarlo en la unidad USB. Cuando BitLocker está habilitado para el volumen del sistema operativo, BitLocker tendrá que tener acceso a la unidad flash USB para obtener la clave de cifrado (en este ejemplo, la letra de unidad E representa la unidad USB). Se le pedirá que reinicie para completar el proceso de cifrado.

manage-bde –protectors -add C: -startupkey E:
manage-bde -on C:

Nota

Una vez completado el cifrado, se debe insertar la clave de inicio USB para poder iniciar el sistema operativo.

Una alternativa al protector de clave de inicio en hardware que no es TPM es usar una contraseña y un protector ADaccountorgroup para proteger el volumen del sistema operativo. En este escenario, agregaría primero los protectores. Para agregarlos, use este comando:

manage-bde -protectors -add C: -pw -sid <user or group>

Este comando requerirá que escriba y, a continuación, confirme el protector de contraseña antes de agregarlos al volumen. Con los protectores habilitados en el volumen, puedes activar BitLocker.

En equipos con TPM, es posible cifrar el volumen del sistema operativo sin ningún protector definido mediante manage-bde. Use este comando:

manage-bde -on C:

Este comando cifra la unidad mediante el TPM como protector predeterminado. Si no está seguro de si hay un protector tpm disponible, para enumerar los protectores disponibles para un volumen, ejecute el siguiente comando:

 manage-bde -protectors -get <volume>

Uso de manage-bde con volúmenes de datos

Los volúmenes de datos usan la misma sintaxis para el cifrado que los volúmenes del sistema operativo, pero no requieren protectores para que se complete la operación. El cifrado de volúmenes de datos se puede realizar mediante el comando base: o puede elegir agregar protectores adicionales manage-bde -on <drive letter> al volumen primero. Se recomienda agregar al menos un protector principal y un protector de recuperación a un volumen de datos.

Un protector común para un volumen de datos es el protector de contraseña. En el ejemplo siguiente, agregamos un protector de contraseña al volumen y activamos BitLocker.

manage-bde -protectors -add -pw C:
manage-bde -on C:

Repair-bde

Es posible que experimentes un problema que dañe un área de un disco duro en la que BitLocker almacena información crítica. Este tipo de problema puede deberse a un error en el disco duro o si Windows se cierra inesperadamente.

La Herramienta de reparación de BitLocker (Repair-bde) se puede usar para tener acceso a datos cifrados en un disco duro gravemente dañado si la unidad se cifra mediante BitLocker. Repair-bde puede reconstruir partes críticas de la unidad y recuperar datos recuperables siempre que se utilice una contraseña de recuperación válida o una clave de recuperación para descifrar los datos. Si los datos de metadatos de BitLocker de la unidad se han dañado, debes poder proporcionar un paquete de clave de copia de seguridad además de la contraseña de recuperación o la clave de recuperación. Este paquete clave se copia de seguridad en Servicios de dominio de Active Directory (AD DS) si usó la configuración predeterminada para la copia de seguridad de AD DS. Con este paquete de clave y la contraseña de recuperación o la clave de recuperación, puedes descifrar partes de una unidad protegida con BitLocker si el disco está dañado. Cada paquete de clave funcionará solo para una unidad que tenga el identificador de unidad correspondiente. Puedes usar el Visor de contraseñas de recuperación de BitLocker para obtener este paquete clave de AD DS.

Sugerencia

Si no estás haciendo una copia de seguridad de la información de recuperación en AD DS o si quieres guardar paquetes de claves de forma alternativa, puedes usar el comando para generar un paquete de claves para manage-bde -KeyPackage un volumen.

La herramienta de línea de comandos Repair-bde está diseñada para su uso cuando el sistema operativo no se inicia o cuando no se puede iniciar la consola de recuperación de BitLocker. Use Repair-bde si se cumplen las siguientes condiciones:

  • Has cifrado la unidad mediante el cifrado de unidad BitLocker.
  • Windows no se inicia o no se puede iniciar la consola de recuperación de BitLocker.
  • No tiene una copia de los datos contenidos en la unidad cifrada.

Nota

Es posible que los daños en la unidad no se relacionan con BitLocker. Por lo tanto, se recomienda probar otras herramientas para ayudar a diagnosticar y resolver el problema con la unidad antes de usar la herramienta de reparación de BitLocker. El Windows de recuperación (Windows RE) proporciona opciones adicionales para reparar equipos.

Existen las siguientes limitaciones para Repair-bde:

  • La herramienta de línea de comandos Repair-bde no puede reparar una unidad que falló durante el proceso de cifrado o descifrado.
  • La herramienta de línea de comandos Repair-bde supone que si la unidad tiene cifrado, la unidad se ha cifrado completamente.

Para obtener más información acerca del uso de repair-bde, vea Repair-bde.

Cmdlets de BitLocker para Windows PowerShell

Windows PowerShell cmdlets proporcionan una nueva forma de que los administradores lo usen al trabajar con BitLocker. Con Windows PowerShell de scripting de Windows PowerShell, los administradores pueden integrar las opciones de BitLocker en scripts existentes con facilidad. En la lista siguiente se muestran los cmdlets de BitLocker disponibles.

Nombre

Parameters

Add-BitLockerKeyProtector

-ADAccountOrGroup

-ADAccountOrGroupProtector

-Confirm

-MountPoint

-Password

-PasswordProtector

-Pin

-RecoveryKeyPath

-RecoveryKeyProtector

-RecoveryPassword

-RecoveryPasswordProtector

-Service

-StartupKeyPath

-StartupKeyProtector

-TpmAndPinAndStartupKeyProtector

-TpmAndPinProtector

-TpmAndStartupKeyProtector

-TpmProtector

-WhatIf

Backup-BitLockerKeyProtector

-Confirm

-KeyProtectorId

-MountPoint

-WhatIf

Disable-BitLocker

-Confirm

-MountPoint

-WhatIf

Disable-BitLockerAutoUnlock

-Confirm

-MountPoint

-WhatIf

Enable-BitLocker

-AdAccountOrGroup

-AdAccountOrGroupProtector

-Confirm

-EncryptionMethod

-HardwareEncryption

-Password

-PasswordProtector

-Pin

-RecoveryKeyPath

-RecoveryKeyProtector

-RecoveryPassword

-RecoveryPasswordProtector

-Service

-SkipHardwareTest

-StartupKeyPath

-StartupKeyProtector

-TpmAndPinAndStartupKeyProtector

-TpmAndPinProtector

-TpmAndStartupKeyProtector

-TpmProtector

-UsedSpaceOnly

-WhatIf

Enable-BitLockerAutoUnlock

-Confirm

-MountPoint

-WhatIf

Get-BitLockerVolume

-MountPoint

Lock-BitLocker

-Confirm

-ForceDismount

-MountPoint

-WhatIf

Remove-BitLockerKeyProtector

-Confirm

-KeyProtectorId

-MountPoint

-WhatIf

Resume-BitLocker

-Confirm

-MountPoint

-WhatIf

Suspend-BitLocker

-Confirm

-MountPoint

-RebootCount

-WhatIf

Unlock-BitLocker

-AdAccountOrGroup

-Confirm

-MountPoint

-Password

-RecoveryKeyPath

-RecoveryPassword

-RecoveryPassword

-WhatIf

Al igual que manage-bde, los cmdlets Windows PowerShell permiten la configuración más allá de las opciones ofrecidas en el panel de control. Al igual que con manage-bde, los usuarios deben tener en cuenta las necesidades específicas del volumen que cifran antes de ejecutar Windows PowerShell cmdlets.

Un buen paso inicial es determinar el estado actual de los volúmenes en el equipo. Puede hacerlo con el Get-BitLockerVolume cmdlet.

El Get-BitLockerVolume resultado del cmdlet proporciona información sobre el tipo de volumen, los protectores, el estado de protección y otros detalles.

Sugerencia

En ocasiones, es posible que no se muestren todos los protectores al usar debido a la falta Get-BitLockerVolume de espacio en la pantalla de salida. Si no ve todos los protectores para un volumen, puede usar el comando Windows PowerShell pipe (|) para dar formato a una lista completa de los protectores. Get-BitLockerVolume C: | fl

Si quieres quitar los protectores existentes antes de aprovisionar BitLocker en el volumen, puedes usar el Remove-BitLockerKeyProtector cmdlet. Para lograrlo, es necesario quitar el GUID asociado con el protector.

Un script simple puede canalizar los valores de cada Get-BitLockerVolume devolver a otra variable como se muestra a continuación:

$vol = Get-BitLockerVolume
$keyprotectors = $vol.KeyProtector

Con este script, puede mostrar la información en la variable $keyprotectors para determinar el GUID de cada protector.

Con esta información, puede quitar el protector de teclas de un volumen específico mediante el comando:

Remove-BitLockerKeyProtector <volume>: -KeyProtectorID "{GUID}"

Nota

El cmdlet BitLocker requiere el GUID del protector de claves entre comillas para ejecutarse. Asegúrese de que todo el GUID, con llaves, se incluye en el comando.

Uso de los cmdlets Windows PowerShell BitLocker con volúmenes del sistema operativo

El uso de los cmdlets Windows PowerShell BitLocker es similar a trabajar con la herramienta manage-bde para cifrar volúmenes del sistema operativo. Windows PowerShell ofrece a los usuarios mucha flexibilidad. Por ejemplo, los usuarios pueden agregar el protector deseado como comando de parte para cifrar el volumen. A continuación se muestran ejemplos de escenarios de usuario comunes y pasos para realizarlos en BitLocker Windows PowerShell.

En el ejemplo siguiente se muestra cómo habilitar BitLocker en una unidad del sistema operativo usando solo el protector tpm:

Enable-BitLocker C:

En el ejemplo siguiente, agrega un protector adicional, el protector StartupKey y elige omitir la prueba de hardware de BitLocker. En este ejemplo, el cifrado se inicia inmediatamente sin necesidad de reiniciar.

Enable-BitLocker C: -StartupKeyProtector -StartupKeyPath <path> -SkipHardwareTest

Uso de los cmdlets Windows PowerShell BitLocker con volúmenes de datos

El cifrado de volumen de Windows PowerShell es el mismo que para los volúmenes del sistema operativo. Agregue los protectores deseados antes de cifrar el volumen. En el siguiente ejemplo se agrega un protector de contraseña al volumen E: mediante la variable $pw como contraseña. La $pw variable se mantiene como un valor de SecureString para almacenar la contraseña definida por el usuario.

$pw = Read-Host -AsSecureString
<user inputs password>
Enable-BitLockerKeyProtector E: -PasswordProtector -Password $pw

Usar una cuenta de AD o un protector de grupo en Windows PowerShell

El protector ADAccountOrGroup, introducido en Windows 8 y Windows Server 2012, es un protector basado en SID de Active Directory. Este protector se puede agregar tanto al sistema operativo como a los volúmenes de datos, aunque no desbloquea los volúmenes del sistema operativo en el entorno previo al arranque. El protector requiere el SID para que la cuenta de dominio o grupo se vincule con el protector. BitLocker puede proteger un disco que tenga en cuenta el clúster agregando un protector basado en SID para el objeto de nombre de clúster (CNO) que permite al disco conmutar correctamente por error y desbloquearlo cualquier equipo miembro del clúster.

Advertencia

El protector ADAccountOrGroup requiere el uso de un protector adicional para su uso (como TPM, PIN o clave de recuperación) cuando se usa en volúmenes del sistema operativo

Para agregar un protector ADAccountOrGroup a un volumen, use el SID de dominio real o el nombre de grupo precedido por el dominio y una barra diagonal inversa. En el ejemplo siguiente, la cuenta CONTOSO\Administrator se agrega como protector al volumen de datos G.

Enable-BitLocker G: -AdAccountOrGroupProtector -AdAccountOrGroup CONTOSO\Administrator

Para los usuarios que deseen usar el SID para la cuenta o grupo, el primer paso consiste en determinar el SID asociado a la cuenta. Para obtener el SID específico de una cuenta de usuario en Windows PowerShell, use el siguiente comando:

Nota

El uso de este comando requiere la característica RSAT-AD-PowerShell.

get-aduser -filter {samaccountname -eq "administrator"}

Sugerencia

Además del comando de PowerShell anterior, se puede encontrar información sobre la pertenencia a usuarios y grupos que han iniciado sesión localmente con: WHOAMI /ALL. Esto no requiere el uso de características adicionales.

En el siguiente ejemplo se agrega un protector ADAccountOrGroup al volumen del sistema operativo cifrado anteriormente mediante el SID de la cuenta:

Add-BitLockerKeyProtector C: -ADAccountOrGroupProtector -ADAccountOrGroup S-1-5-21-3651336348-8937238915-291003330-500

Nota

Los protectores basados en Active Directory se usan normalmente para desbloquear volúmenes habilitados para clúster de conmutación por error.

Más información