Configuración de las directivas de grupo de BitLockerBitLocker Group Policy settings

Se aplica a:Applies to:

  • Windows 10, Windows Server 2019, Windows Server 2016, Windows 8.1 y Windows Server 2012 R2Windows 10, Windows Server 2019, Windows Server 2016, Windows 8.1, and Windows Server 2012 R2

En este tema para profesionales de TI se describe la función, la ubicación y el efecto de cada configuración de directiva de grupo que se usa para administrar el cifrado de unidad BitLocker.This topic for IT professionals describes the function, location, and effect of each Group Policy setting that is used to manage BitLocker Drive Encryption.

Para controlar las tareas de cifrado de unidad que el usuario puede realizar desde el Panel de control de Windows o para modificar otras opciones de configuración, puedes usar las plantillas administrativas de directiva de grupo o la configuración de directiva de equipo local.To control what drive encryption tasks the user can perform from the Windows Control Panel or to modify other configuration options, you can use Group Policy administrative templates or local computer policy settings. La forma en que configures estas opciones de directiva depende de cómo implementes BitLocker y de qué nivel de interacción del usuario se permitirá.How you configure these policy settings depends on how you implement BitLocker and what level of user interaction will be allowed.

Nota

Un conjunto independiente de opciones de configuración de directiva de grupo admite el uso del Módulo de plataforma de confianza (TPM).A separate set of Group Policy settings supports the use of the Trusted Platform Module (TPM). Para obtener más información acerca de estas opciones, consulte Trusted Platform Module Group Policy settings.For details about those settings, see Trusted Platform Module Group Policy settings.

Se puede tener acceso a la configuración de directiva de grupo de BitLocker mediante el Editor de directivas de grupo local y la Consola de administración de directivas de grupo (GPMC) en Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifradode unidad BitLocker .BitLocker Group Policy settings can be accessed using the Local Group Policy Editor and the Group Policy Management Console (GPMC) under Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption. La mayoría de la configuración de directiva de grupo de BitLocker se aplica cuando BitLocker está activado inicialmente para una unidad.Most of the BitLocker Group Policy settings are applied when BitLocker is initially turned on for a drive. Si un equipo no cumple con la configuración de directiva de grupo existente, es posible que BitLocker no se haya activado ni modificado hasta que el equipo esté en un estado conforme.If a computer is not compliant with existing Group Policy settings, BitLocker may not be turned on or modified until the computer is in a compliant state. Cuando una unidad está fuera del cumplimiento de la configuración de directiva de grupo (por ejemplo, si se cambió una configuración de directiva de grupo después de la implementación inicial de BitLocker en la organización y, a continuación, la configuración se aplicó a unidades cifradas previamente), no se puede realizar ningún cambio en la configuración de BitLocker de esa unidad excepto un cambio que la lleve a cumplir.When a drive is out of compliance with Group Policy settings (for example, if a Group Policy setting was changed after the initial BitLocker deployment in your organization, and then the setting was applied to previously encrypted drives), no change can be made to the BitLocker configuration of that drive except a change that will bring it into compliance.

Si son necesarios varios cambios para que la unidad se cumpla, debes suspender la protección de BitLocker, realizar los cambios necesarios y, a continuación, reanudar la protección.If multiple changes are necessary to bring the drive into compliance, you must suspend BitLocker protection, make the necessary changes, and then resume protection. Esta situación podría producirse, por ejemplo, si una unidad extraíble se configuró inicialmente para desbloquearse con una contraseña y, a continuación, la configuración de directiva de grupo se cambia para no permitir contraseñas y requerir tarjetas inteligentes.This situation could occur, for example, if a removable drive was initially configured to be unlocked with a password and then Group Policy settings are changed to disallow passwords and require smart cards. En esta situación, debes suspender la protección de BitLocker mediante la herramienta de línea de comandos Manage-bde, eliminar el método de desbloqueo de contraseña y agregar el método de tarjeta inteligente.In this situation, you need to suspend BitLocker protection by using the Manage-bde command-line tool, delete the password unlock method, and add the smart card method. Una vez completado esto, BitLocker cumple con la configuración de directiva de grupo y se puede reanudar la protección de BitLocker en la unidad.After this is complete, BitLocker is compliant with the Group Policy setting and BitLocker protection on the drive can be resumed.

Nota

Para obtener más información acerca de la configuración de Active Directory relacionada con la habilitación de BitLocker, consulta Configurar MDT para BitLocker.For more details about Active Directory configuration related to BitLocker enablement, please see Set up MDT for BitLocker.

Configuración de las directivas de grupo de BitLockerBitLocker Group Policy settings

Las secciones siguientes proporcionan una lista completa de la configuración de la directiva de grupo de BitLocker que se organizan por uso.The following sections provide a comprehensive list of BitLocker Group Policy settings that are organized by usage. La configuración de la directiva de grupo de BitLocker incluye la configuración de tipos de unidad específicos (unidades del sistema operativo, unidades de datos fijas y unidades de datos extraíbles) y la configuración que se aplica a todas las unidades.BitLocker Group Policy settings include settings for specific drive types (operating system drives, fixed data drives, and removable data drives) and settings that are applied to all drives.

La siguiente configuración de directiva se puede usar para determinar cómo se puede desbloquear una unidad protegida por BitLocker.The following policy settings can be used to determine how a BitLocker-protected drive can be unlocked.

La siguiente configuración de directiva se usa para controlar cómo los usuarios pueden tener acceso a las unidades y cómo pueden usar BitLocker en sus equipos.The following policy settings are used to control how users can access drives and how they can use BitLocker on their computers.

La siguiente configuración de directiva determina los métodos de cifrado y los tipos de cifrado que se usan con BitLocker.The following policy settings determine the encryption methods and encryption types that are used with BitLocker.

Las siguientes configuraciones de directiva definen los métodos de recuperación que pueden ser usados para restaurar el acceso a una unidad protegida con BitLocker si se produce un error o no puede usarse un método de autenticación.The following policy settings define the recovery methods that can be used to restore access to a BitLocker-protected drive if an authentication method fails or is unable to be used.

Las siguientes directivas se usan para admitir escenarios de implementación personalizados en la organización.The following policies are used to support customized deployment scenarios in your organization.

Permitir que los dispositivos con arranque seguro y puertos DMA protegidos opten por no usar el PIN de inicio previoAllow devices with Secure Boot and protected DMA ports to opt out of preboot PIN

Esta configuración de directiva permite a los usuarios de dispositivos que cumplan con el modo de espera moderno o la Interfaz de prueba de seguridad de hardware (HSTI) de Microsoft no tener un PIN para la autenticación previa al arranque.This policy setting allows users on devices that are compliant with Modern Standby or the Microsoft Hardware Security Test Interface (HSTI) to not have a PIN for preboot authentication.

Descripción de la directivaPolicy description Con esta configuración de directiva, puedes permitir la protección de solo TPM para dispositivos más recientes y seguros, como dispositivos que admiten espera moderna o HSTI, al tiempo que necesitas PIN en dispositivos más antiguos.With this policy setting, you can allow TPM-only protection for newer, more secure devices, such as devices that support Modern Standby or HSTI, while requiring PIN on older devices.
IntroducidoIntroduced Windows 10, versión 1703Windows 10, version 1703
Tipo de unidadDrive type Unidades del sistema operativoOperating system drives
Ruta de la directivaPolicy path Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades del sistema operativoComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives
ConflictosConflicts Esta configuración invalida la opción Requerir PIN de inicio con TPM de la directiva Requerir autenticación adicional al inicio en hardware compatible.This setting overrides the Require startup PIN with TPM option of the Require additional authentication at startup policy on compliant hardware.
Cuando está habilitadoWhen enabled Los usuarios de dispositivos compatibles con HSTI y espera moderna tendrán la opción de activar BitLocker sin autenticación de inicio previo.Users on Modern Standby and HSTI compliant devices will have the choice to turn on BitLocker without preboot authentication.
Cuando está deshabilitado o no está configuradoWhen disabled or not configured Se aplican las opciones de la directiva Requerir autenticación adicional al inicio.The options of the Require additional authentication at startup policy apply.

ReferenciaReference

La opción de autenticación de inicio previo Requerir PIN de inicio con TPM de la directiva Requerir autenticación adicional al inicio a menudo está habilitada para ayudar a garantizar la seguridad de dispositivos antiguos que no admiten espera moderna.The preboot authentication option Require startup PIN with TPM of the Require additional authentication at startup policy is often enabled to help ensure security for older devices that do not support Modern Standby. Pero los usuarios con discapacidad visual no tienen una forma audible de saber cuándo escribir un PIN.But visually impaired users have no audible way to know when to enter a PIN. Esta configuración habilita una excepción a la directiva necesaria para PIN en hardware seguro.This setting enables an exception to the PIN-required policy on secure hardware.

Permitir el desbloqueo de red al inicioAllow network unlock at startup

Esta directiva controla una parte del comportamiento de la característica Desbloqueo de red en BitLocker.This policy controls a portion of the behavior of the Network Unlock feature in BitLocker. Esta directiva es necesaria para habilitar el desbloqueo de red de BitLocker en una red porque permite a los clientes que ejecutan BitLocker crear el protector de clave de red necesario durante el cifrado.This policy is required to enable BitLocker Network Unlock on a network because it allows clients running BitLocker to create the necessary network key protector during encryption.

Esta directiva se usa además de la directiva de seguridad de desbloqueo de certificados de red de cifrado de unidad BitLocker (ubicada en la carpeta Directivas de clave pública de la directiva de equipo local) para permitir que los sistemas conectados a una red de confianza utilicen correctamente la característica de desbloqueo de red.This policy is used in addition to the BitLocker Drive Encryption Network Unlock Certificate security policy (located in the Public Key Policies folder of Local Computer Policy) to allow systems that are connected to a trusted network to properly utilize the Network Unlock feature.

Descripción de la directivaPolicy description Con esta configuración de directiva, puedes controlar si un equipo protegido con BitLocker conectado a una red de área local de confianza y unido a un dominio puede crear y usar protectores de clave de red en equipos habilitados para TPM para desbloquear automáticamente la unidad del sistema operativo cuando se inicia el equipo.With this policy setting, you can control whether a BitLocker-protected computer that is connected to a trusted local area network and joined to a domain can create and use network key protectors on TPM-enabled computers to automatically unlock the operating system drive when the computer is started.
IntroducidoIntroduced Windows Server 2012 y Windows 8Windows Server 2012 and Windows 8
Tipo de unidadDrive type Unidades del sistema operativoOperating system drives
Ruta de la directivaPolicy path Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades del sistema operativoComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives
ConflictosConflicts NingunoNone
Cuando está habilitadoWhen enabled Los clientes configurados con un certificado de desbloqueo de red de BitLocker pueden crear y usar protectores de clave de red.Clients configured with a BitLocker Network Unlock certificate can create and use Network Key Protectors.
Cuando está deshabilitado o no está configuradoWhen disabled or not configured Los clientes no pueden crear ni usar protectores de clave de redClients cannot create and use Network Key Protectors

ReferenciaReference

Para usar un protector de clave de red para desbloquear el equipo, el equipo y el servidor que hospeda el desbloqueo de red de cifrado de unidad BitLocker deben aprovisionarse con un certificado de desbloqueo de red.To use a network key protector to unlock the computer, the computer and the server that hosts BitLocker Drive Encryption Network Unlock must be provisioned with a Network Unlock certificate. El certificado de desbloqueo de red se usa para crear un protector de clave de red y para proteger el intercambio de información con el servidor para desbloquear el equipo.The Network Unlock certificate is used to create a network key protector and to protect the information exchange with the server to unlock the computer. Puedes usar la configuración de directiva de grupo Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de clave pública\Certificado de desbloqueo de red de cifrado de unidad BitLocker en el controlador de dominio para distribuir este certificado a los equipos de la organización.You can use the Group Policy setting Computer Configuration\Windows Settings\Security Settings\Public Key Policies\BitLocker Drive Encryption Network Unlock Certificate on the domain controller to distribute this certificate to computers in your organization. Este método de desbloqueo usa el TPM en el equipo, por lo que los equipos que no tienen un TPM no pueden crear protectores de clave de red para desbloquear automáticamente mediante el desbloqueo de red.This unlock method uses the TPM on the computer, so computers that do not have a TPM cannot create network key protectors to automatically unlock by using Network Unlock.

Nota

Por motivos de confiabilidad y seguridad, los equipos también deben tener un PIN de inicio de TPM que se pueda usar cuando el equipo esté desconectado de la red cableada o no pueda conectarse al controlador de dominio al iniciarse.For reliability and security, computers should also have a TPM startup PIN that can be used when the computer is disconnected from the wired network or cannot connect to the domain controller at startup.

Para obtener más información acerca del desbloqueo de red, vea BitLocker: How to enable Network Unlock.For more information about Network Unlock, see BitLocker: How to enable Network Unlock.

Requerir autenticación adicional al inicioRequire additional authentication at startup

Esta configuración de directiva se usa para controlar qué opciones de desbloqueo están disponibles para las unidades del sistema operativo.This policy setting is used to control which unlock options are available for operating system drives.

Descripción de la directivaPolicy description Con esta configuración de directiva, puedes configurar si BitLocker requiere autenticación adicional cada vez que se inicia el equipo y si estás usando BitLocker con un módulo de plataforma de confianza (TPM).With this policy setting, you can configure whether BitLocker requires additional authentication each time the computer starts and whether you are using BitLocker with a Trusted Platform Module (TPM). Esta configuración de directiva se aplica al activar BitLocker.This policy setting is applied when you turn on BitLocker.
IntroducidoIntroduced Windows Server 2008 R2 y Windows 7Windows Server 2008 R2 and Windows 7
Tipo de unidadDrive type Unidades del sistema operativoOperating system drives
Ruta de la directivaPolicy path Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades del sistema operativoComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives
ConflictosConflicts Si se requiere un método de autenticación, no se pueden permitir los demás métodos.If one authentication method is required, the other methods cannot be allowed. El uso de BitLocker con una clave de inicio de TPM o con una clave de inicio de TPM y un PIN debe no estar permitido si la configuración de directiva Denegar acceso de escritura a unidades extraíbles no protegidas por BitLocker está habilitada.Use of BitLocker with a TPM startup key or with a TPM startup key and a PIN must be disallowed if the Deny write access to removable drives not protected by BitLocker policy setting is enabled.
Cuando está habilitadoWhen enabled Los usuarios pueden configurar opciones avanzadas de inicio en el Asistente para la instalación de BitLocker.Users can configure advanced startup options in the BitLocker Setup Wizard.
Cuando está deshabilitado o no está configuradoWhen disabled or not configured Los usuarios solo pueden configurar opciones básicas en equipos con TPM.Users can configure only basic options on computers with a TPM.

Solo puede ser necesaria una de las opciones de autenticación adicionales en el inicio; de lo contrario, se produce un error de directiva.Only one of the additional authentication options can be required at startup; otherwise, a policy error occurs.

ReferenciaReference

Si quieres usar BitLocker en un equipo sin TPM, selecciona Permitir BitLocker sin un TPM compatible.If you want to use BitLocker on a computer without a TPM, select Allow BitLocker without a compatible TPM. En este modo, se requiere una contraseña o una unidad USB para el inicio.In this mode, a password or USB drive is required for startup. La unidad USB almacena la clave de inicio que se usa para cifrar la unidad.The USB drive stores the startup key that is used to encrypt the drive. Cuando se inserta la unidad USB, se autentica la clave de inicio y se puede acceder a la unidad del sistema operativo.When the USB drive is inserted, the startup key is authenticated and the operating system drive is accessible. Si la unidad USB se pierde o no está disponible, se requiere la recuperación de BitLocker para tener acceso a la unidad.If the USB drive is lost or unavailable, BitLocker recovery is required to access the drive.

En un equipo con un TPM compatible, se pueden usar métodos de autenticación adicionales en el inicio para mejorar la protección de los datos cifrados.On a computer with a compatible TPM, additional authentication methods can be used at startup to improve protection for encrypted data. Cuando se inicia el equipo, puede usar:When the computer starts, it can use:

  • solo el TPMonly the TPM
  • inserción de una unidad flash USB que contiene la clave de inicioinsertion of a USB flash drive containing the startup key
  • la entrada de un número de identificación personal (PIN) de 4 a 20 dígitosthe entry of a 4-digit to 20-digit personal identification number (PIN)
  • una combinación del PIN y la unidad flash USBa combination of the PIN and the USB flash drive

Hay cuatro opciones para equipos o dispositivos habilitados para TPM:There are four options for TPM-enabled computers or devices:

  • Configurar el inicio del TPMConfigure TPM startup

    • Permitir TPMAllow TPM
    • Requerir TPMRequire TPM
    • No permitir TPMDo not allow TPM
  • Configurar el PIN de inicio de TPMConfigure TPM startup PIN

    • Permitir el PIN de inicio con TPMAllow startup PIN with TPM
    • Requerir PIN de inicio con TPMRequire startup PIN with TPM
    • No permitir el PIN de inicio con TPMDo not allow startup PIN with TPM
  • Configurar la clave de inicio del TPMConfigure TPM startup key

    • Permitir clave de inicio con TPMAllow startup key with TPM
    • Requerir clave de inicio con TPMRequire startup key with TPM
    • No permitir la clave de inicio con TPMDo not allow startup key with TPM
  • Configurar el PIN y la clave de inicio del TPMConfigure TPM startup key and PIN

    • Permitir clave de inicio de TPM con PINAllow TPM startup key with PIN
    • Requerir clave de inicio y PIN con TPMRequire startup key and PIN with TPM
    • No permitir la clave de inicio del TPM con PINDo not allow TPM startup key with PIN

Permitir LOS PIN mejorados para el inicioAllow enhanced PINs for startup

Esta configuración de directiva permite el uso de PIN mejorados cuando se usa un método de desbloqueo que incluye un PIN.This policy setting permits the use of enhanced PINs when you use an unlock method that includes a PIN.

Descripción de la directivaPolicy description Con esta configuración de directiva, puedes configurar si los PIN de inicio mejorados se usan con BitLocker.With this policy setting, you can configure whether enhanced startup PINs are used with BitLocker.
IntroducidoIntroduced Windows Server 2008 R2 y Windows 7Windows Server 2008 R2 and Windows 7
Tipo de unidadDrive type Unidades del sistema operativoOperating system drives
Ruta de la directivaPolicy path Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades del sistema operativoComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives
ConflictosConflicts NingunoNone
Cuando está habilitadoWhen enabled Todos los NUEVOS PIN de inicio de BitLocker que se establezcan serán PIN mejorados.All new BitLocker startup PINs that are set will be enhanced PINs. Las unidades existentes que se protegían con LOS PIN de inicio estándar no se ven afectadas.Existing drives that were protected by using standard startup PINs are not affected.
Cuando está deshabilitado o no está configuradoWhen disabled or not configured No se usarán LOS PIN mejorados.Enhanced PINs will not be used.

ReferenciaReference

Los PIN de inicio mejorados permiten el uso de caracteres (incluidas letras mayúsculas y minúsculas, símbolos, números y espacios).Enhanced startup PINs permit the use of characters (including uppercase and lowercase letters, symbols, numbers, and spaces). Esta configuración de directiva se aplica al activar BitLocker.This policy setting is applied when you turn on BitLocker.

[! IMPORANT] No todos los equipos admiten caracteres de PIN mejorados en el entorno de inicio previo.[!IMPORANT] Not all computers support enhanced PIN characters in the preboot environment. Se recomienda encarecidamente que los usuarios realicen una comprobación del sistema durante la instalación de BitLocker para comprobar que se pueden usar caracteres de PIN mejorados.It is strongly recommended that users perform a system check during the BitLocker setup to verify that enhanced PIN characters can be used.

Configurar la longitud mínima de PIN para el inicioConfigure minimum PIN length for startup

Esta configuración de directiva se usa para establecer una longitud mínima de PIN cuando se usa un método de desbloqueo que incluye un PIN.This policy setting is used to set a minimum PIN length when you use an unlock method that includes a PIN.

Descripción de la directivaPolicy description Con esta configuración de directiva, puede configurar una longitud mínima para un PIN de inicio de TPM.With this policy setting, you can configure a minimum length for a TPM startup PIN. Esta configuración de directiva se aplica al activar BitLocker.This policy setting is applied when you turn on BitLocker. El PIN de inicio debe tener una longitud mínima de 4 dígitos y puede tener una longitud máxima de 20 dígitos.The startup PIN must have a minimum length of 4 digits, and it can have a maximum length of 20 digits. De forma predeterminada, la longitud mínima del PIN es 6.By default, the minimum PIN length is 6.
IntroducidoIntroduced Windows Server 2008 R2 y Windows 7Windows Server 2008 R2 and Windows 7
Tipo de unidadDrive type Unidades del sistema operativoOperating system drives
Ruta de la directivaPolicy path Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades del sistema operativoComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives
ConflictosConflicts NingunoNone
Cuando está habilitadoWhen enabled Puede requerir que los PIN de inicio establecidos por los usuarios tengan una longitud mínima entre 4 y 20 dígitos.You can require that startup PINs set by users must have a minimum length you choose that is between 4 and 20 digits.
Cuando está deshabilitado o no está configuradoWhen disabled or not configured Los usuarios pueden configurar un PIN de inicio de cualquier longitud entre 6 y 20 dígitos.Users can configure a startup PIN of any length between 6 and 20 digits.

ReferenciaReference

Esta configuración de directiva se aplica al activar BitLocker.This policy setting is applied when you turn on BitLocker. El PIN de inicio debe tener una longitud mínima de 4 dígitos y puede tener una longitud máxima de 20 dígitos.The startup PIN must have a minimum length of 4 digits and can have a maximum length of 20 digits.

Originalmente, BitLocker permitía de 4 a 20 caracteres para un PIN.Originally, BitLocker allowed from 4 to 20 characters for a PIN. Windows Hello tiene su propio PIN para el inicio de sesión, que puede tener de 4 a 127 caracteres.Windows Hello has its own PIN for logon, which can be 4 to 127 characters. Tanto BitLocker como Windows Hello usan el TPM para evitar ataques de fuerza bruta de PIN.Both BitLocker and Windows Hello use the TPM to prevent PIN brute-force attacks.

El TPM se puede configurar para usar parámetros de prevención de ataques de diccionario(umbralde bloqueo y duración de bloqueo) para controlar cuántos intentos de autorizaciones con errores se permiten antes de bloquear el TPM y cuánto tiempo debe transcurrir antes de que se pueda realizar otro intento.The TPM can be configured to use Dictionary Attack Prevention parameters (lockout threshold and lockout duration) to control how many failed authorizations attempts are allowed before the TPM is locked out, and how much time must elapse before another attempt can be made.

Los parámetros de prevención de ataques del diccionario proporcionan una forma de equilibrar las necesidades de seguridad con la facilidad de uso.The Dictionary Attack Prevention Parameters provide a way to balance security needs with usability. Por ejemplo, cuando BitLocker se usa con una configuración de TPM y PIN, el número de conjeturas de PIN es limitado con el tiempo.For example, when BitLocker is used with a TPM + PIN configuration, the number of PIN guesses is limited over time. Un TPM 2.0 en este ejemplo podría configurarse para permitir solo 32 conjeturas de PIN inmediatamente y, a continuación, solo una adivinación más cada dos horas.A TPM 2.0 in this example could be configured to allow only 32 PIN guesses immediately, and then only one more guess every two hours. Esto suma un máximo de aproximadamente 4415 conjeturas al año.This totals a maximum of about 4415 guesses per year. Si el PIN es de 4 dígitos, se podrían intentar todas las combinaciones de PIN 9999 posibles en poco más de dos años.If the PIN is 4 digits, all 9999 possible PIN combinations could be attempted in a little over two years.

Aumentar la longitud del PIN requiere un mayor número de conjeturas para un atacante.Increasing the PIN length requires a greater number of guesses for an attacker. En ese caso, la duración del bloqueo entre cada conjetura se puede acortar para permitir que los usuarios legítimos vuelvan a intentar un intento fallido antes, manteniendo un nivel de protección similar.In that case, the lockout duration between each guess can be shortened to allow legitimate users to retry a failed attempt sooner, while maintaining a similar level of protection.

A partir de Windows 10, versión 1703, la longitud mínima del PIN de BitLocker se incrementó a 6 caracteres para alinearse mejor con otras características de Windows que aprovechan TPM 2.0, incluido Windows Hello.Beginning with Windows 10, version 1703, the minimum length for the BitLocker PIN was increased to 6 characters to better align with other Windows features that leverage TPM 2.0, including Windows Hello. Para ayudar a las organizaciones con la transición, a partir de Windows 10, versión 1709 y Windows 10, versión 1703 con la actualización acumulativa de octubre de 2017 instalada, la longitud del PIN de BitLocker es de 6 caracteres de forma predeterminada, pero se puede reducir a 4 caracteres.To help organizations with the transition, beginning with Windows 10, version 1709 and Windows 10, version 1703 with the October 2017 cumulative update installed, the BitLocker PIN length is 6 characters by default, but it can be reduced to 4 characters. Si la longitud mínima del PIN se reduce del valor predeterminado de seis caracteres, se extenderá el período de bloqueo de TPM 2.0.If the minimum PIN length is reduced from the default of six characters, then the TPM 2.0 lockout period will be extended.

Deshabilitar nuevos dispositivos DMA cuando este equipo está bloqueadoDisable new DMA devices when this computer is locked

Esta configuración de directiva le permite bloquear el acceso directo a la memoria (DMA) para todos los puertos PCI conectables en caliente hasta que un usuario inicia sesión en Windows.This policy setting allows you to block direct memory access (DMA) for all hot pluggable PCI ports until a user signs in to Windows.

Descripción de la directivaPolicy description Esta configuración ayuda a evitar ataques que usan dispositivos externos basados en PCI para obtener acceso a las claves de BitLocker.This setting helps prevent attacks that use external PCI-based devices to access BitLocker keys.
IntroducidoIntroduced Windows 10, versión 1703Windows 10, version 1703
Tipo de unidadDrive type Unidades del sistema operativoOperating system drives
Ruta de la directivaPolicy path Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLockerComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption
ConflictosConflicts NingunoNone
Cuando está habilitadoWhen enabled Cada vez que el usuario bloquea el scree, DMA se bloqueará en puertos PCI conectables en caliente hasta que el usuario vuelva a conectarse.Every time the user locks the scree, DMA will be blocked on hot pluggable PCI ports until the user signs in again.
Cuando está deshabilitado o no está configuradoWhen disabled or not configured DMA está disponible en dispositivos PCI conectables en caliente si el dispositivo está activado, independientemente de si un usuario ha iniciado sesión.DMA is available on hot pluggable PCI devices if the device is turned on, regardless of whether a user is signed in.

ReferenciaReference

Esta configuración de directiva solo se aplica cuando se habilita BitLocker o el cifrado de dispositivos.This policy setting is only enforced when BitLocker or device encryption is enabled. Como se explica en el blog guía de seguridad de Microsoft,en algunos casos cuando esta configuración está habilitada, los periféricos internos basados en PCI pueden producir errores, incluidos los controladores de red inalámbrica y los periféricos de entrada y audio.As explained in the Microsoft Security Guidance blog, in some cases when this setting is enabled, internal, PCI-based peripherals can fail, including wireless network drivers and input and audio peripherals. Este problema se ha corregido en la actualización de calidad de abril de 2018.This problem is fixed in the April 2018 quality update.

No permitir que los usuarios estándar cambien el PIN o la contraseñaDisallow standard users from changing the PIN or password

Esta configuración de directiva permite configurar si los usuarios estándar pueden cambiar el PIN o la contraseña que se usa para proteger la unidad del sistema operativo.This policy setting allows you to configure whether standard users are allowed to change the PIN or password that is used to protect the operating system drive.

Descripción de la directivaPolicy description Con esta configuración de directiva, puede configurar si los usuarios estándar pueden cambiar el PIN o la contraseña usados para proteger la unidad del sistema operativo.With this policy setting, you can configure whether standard users are allowed to change the PIN or password used to protect the operating system drive.
IntroducidoIntroduced Windows Server 2012 y Windows 8Windows Server 2012 and Windows 8
Tipo de unidadDrive type Unidades del sistema operativoOperating system drives
Ruta de la directivaPolicy path Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades del sistema operativoComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives
ConflictosConflicts NingunoNone
Cuando está habilitadoWhen enabled Los usuarios estándar no pueden cambiar las contraseñas o los PIN de BitLocker.Standard users are not allowed to change BitLocker PINs or passwords.
Cuando está deshabilitado o no está configuradoWhen disabled or not configured Los usuarios estándar pueden cambiar los PIN o contraseñas de BitLocker.Standard users are permitted to change BitLocker PINs or passwords.

ReferenciaReference

Para cambiar el PIN o la contraseña, el usuario debe poder proporcionar el PIN o la contraseña actuales.To change the PIN or password, the user must be able to provide the current PIN or password. Esta configuración de directiva se aplica al activar BitLocker.This policy setting is applied when you turn on BitLocker.

Configurar el uso de contraseñas para unidades del sistema operativoConfigure use of passwords for operating system drives

Esta directiva controla cómo los sistemas no basados en TPM usan el protector de contraseñas.This policy controls how non-TPM based systems utilize the password protector. Esta directiva, que se usa junto con la directiva Password must meet complexity requirements, permite a los administradores requerir longitud y complejidad de contraseñas para usar el protector de contraseña.Used in conjunction with the Password must meet complexity requirements policy, this policy allows administrators to require password length and complexity for using the password protector. De forma predeterminada, las contraseñas deben tener ocho caracteres de longitud.By default, passwords must be eight characters in length. Las opciones de configuración de complejidad determinan la importancia de la conectividad de dominio para el cliente.Complexity configuration options determine how important domain connectivity is for the client. Para la seguridad de contraseñas **** más segura, los administradores deben elegir Requerir complejidad de contraseña porque requiere conectividad de dominio y requiere que la contraseña de BitLocker cumpla los mismos requisitos de complejidad de contraseña que las contraseñas de inicio de sesión de dominio.For the strongest password security, administrators should choose Require password complexity because it requires domain connectivity, and it requires that the BitLocker password meets the same password complexity requirements as domain sign-in passwords.

Descripción de la directivaPolicy description Con esta configuración de directiva, puedes especificar las restricciones de las contraseñas que se usan para desbloquear las unidades del sistema operativo que están protegidas con BitLocker.With this policy setting, you can specify the constraints for passwords that are used to unlock operating system drives that are protected with BitLocker.
IntroducidoIntroduced Windows Server 2012 y Windows 8Windows Server 2012 and Windows 8
Tipo de unidadDrive type Unidades del sistema operativoOperating system drives
Ruta de la directivaPolicy path Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades del sistema operativoComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives
ConflictosConflicts Las contraseñas no se pueden usar si el cumplimiento de FIPS está habilitado.Passwords cannot be used if FIPS-compliance is enabled.


NOTA: Criptografía del sistema: use algoritmos compatibles con FIPS para la configuración de directivas de cifrado, hash y firma, que se encuentra en Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad especifica si el cumplimiento de FIPS está habilitado.NOTE: The System cryptography: Use FIPS-compliant algorithms for encryption, hashing, and signing policy setting, which is located at Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options specifies whether FIPS-compliance is enabled.

Cuando está habilitadoWhen enabled Los usuarios pueden configurar una contraseña que cumpla los requisitos que defina.Users can configure a password that meets the requirements you define. Para aplicar los requisitos de complejidad de la contraseña, seleccione Requerir complejidad.To enforce complexity requirements for the password, select Require complexity.
Cuando está deshabilitado o no está configuradoWhen disabled or not configured La restricción de longitud predeterminada de 8 caracteres se aplicará a las contraseñas de unidad del sistema operativo y no se producirán comprobaciones de complejidad.The default length constraint of 8 characters will apply to operating system drive passwords and no complexity checks will occur.

ReferenciaReference

Si se permiten protectores que no son TPM en unidades del sistema operativo, puede aprovisionar una contraseña, exigir requisitos de complejidad en la contraseña y configurar una longitud mínima para la contraseña.If non-TPM protectors are allowed on operating system drives, you can provision a password, enforce complexity requirements on the password, and configure a minimum length for the password. Para que la configuración de requisitos de complejidad sea eficaz, la configuración de directiva de grupo Contraseña debe cumplir los requisitos de complejidad , que se encuentra en Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de cuenta\Directiva de contraseña\ también debe estar habilitada.For the complexity requirement setting to be effective, the Group Policy setting Password must meet complexity requirements, which is located at Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy\ must be also enabled.

Nota

Esta configuración se aplica al activar BitLocker, no al desbloquear un volumen.These settings are enforced when turning on BitLocker, not when unlocking a volume. BitLocker permite desbloquear una unidad con cualquiera de los protectores que están disponibles en la unidad.BitLocker allows unlocking a drive with any of the protectors that are available on the drive.

Cuando se establece en Requerir complejidad, es necesaria una conexión a un controlador de dominio cuando BitLocker está habilitado para validar la complejidad de la contraseña.When set to Require complexity, a connection to a domain controller is necessary when BitLocker is enabled to validate the complexity the password. Cuando se establece en Permitir complejidad, se intenta validar una conexión con un controlador de dominio que la complejidad se adhiere a las reglas establecidas por la directiva.When set to Allow complexity, a connection to a domain controller is attempted to validate that the complexity adheres to the rules set by the policy. Si no se encuentra ningún controlador de dominio, la contraseña se aceptará independientemente de la complejidad real de la contraseña y la unidad se cifrará con esa contraseña como protector.If no domain controllers are found, the password will be accepted regardless of actual password complexity, and the drive will be encrypted by using that password as a protector. Cuando se establece en No permitir complejidad, no hay validación de complejidad de contraseña.When set to Do not allow complexity, there is no password complexity validation. Las contraseñas deben tener al menos 8 caracteres.Passwords must be at least 8 characters. Para configurar una longitud mínima mayor para la contraseña, escriba el número de caracteres deseado en el cuadro Longitud mínima de contraseña.To configure a greater minimum length for the password, enter the desired number of characters in the Minimum password length box.

Cuando esta configuración de directiva está habilitada, puede establecer la opción Configurar la complejidad de contraseñas para las unidades del sistema operativo en:When this policy setting is enabled, you can set the option Configure password complexity for operating system drives to:

  • Permitir complejidad de contraseñasAllow password complexity
  • No permitir la complejidad de contraseñasDo not allow password complexity
  • Requerir complejidad de contraseñaRequire password complexity

Requerir autenticación adicional al inicio (Windows Server 2008 y Windows Vista)Require additional authentication at startup (Windows Server 2008 and Windows Vista)

Esta configuración de directiva se usa para controlar qué opciones de desbloqueo están disponibles para equipos que ejecutan Windows Server 2008 o Windows Vista.This policy setting is used to control what unlock options are available for computers running Windows Server 2008 or Windows Vista.

Descripción de la directivaPolicy description Con esta configuración de directiva, puedes controlar si el Asistente para la instalación de BitLocker en equipos que ejecutan Windows Vista o Windows Server 2008 puede configurar un método de autenticación adicional que sea necesario cada vez que se inicie el equipo.With this policy setting, you can control whether the BitLocker Setup Wizard on computers running Windows Vista or Windows Server 2008 can set up an additional authentication method that is required each time the computer starts.
IntroducidoIntroduced Windows Server 2008 y Windows VistaWindows Server 2008 and Windows Vista
Tipo de unidadDrive type Unidades del sistema operativo (Windows Server 2008 y Windows Vista)Operating system drives (Windows Server 2008 and Windows Vista)
Ruta de la directivaPolicy path Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades del sistema operativoComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives
ConflictosConflicts Si decide requerir un método de autenticación adicional, no se pueden permitir otros métodos de autenticación.If you choose to require an additional authentication method, other authentication methods cannot be allowed.
Cuando está habilitadoWhen enabled El Asistente para la instalación de BitLocker muestra la página que permite al usuario configurar opciones avanzadas de inicio para BitLocker.The BitLocker Setup Wizard displays the page that allows the user to configure advanced startup options for BitLocker. Puedes configurar aún más las opciones de configuración para equipos con o sin TPM.You can further configure setting options for computers with or without a TPM.
Cuando está deshabilitado o no está configuradoWhen disabled or not configured El Asistente para la instalación de BitLocker muestra los pasos básicos que permiten a los usuarios habilitar BitLocker en equipos con TPM.The BitLocker Setup Wizard displays basic steps that allow users to enable BitLocker on computers with a TPM. En este asistente básico, no se puede configurar ninguna clave de inicio o PIN de inicio adicional.In this basic wizard, no additional startup key or startup PIN can be configured.

ReferenciaReference

En un equipo con un TPM compatible, se pueden usar dos métodos de autenticación en el inicio para proporcionar protección adicional para los datos cifrados.On a computer with a compatible TPM, two authentication methods can be used at startup to provide added protection for encrypted data. Cuando se inicia el equipo, puede requerir que los usuarios inserten una unidad USB que contenga una clave de inicio.When the computer starts, it can require users to insert a USB drive that contains a startup key. También puede requerir que los usuarios escriban un PIN de inicio de 6 a 20 dígitos.It can also require users to enter a 6-digit to 20-digit startup PIN.

Se necesita una unidad USB que contenga una clave de inicio en equipos sin tpm compatible.A USB drive that contains a startup key is needed on computers without a compatible TPM. Sin TPM, los datos cifrados por BitLocker están protegidos únicamente por el material de clave que se encuentra en esta unidad USB.Without a TPM, BitLocker-encrypted data is protected solely by the key material that is on this USB drive.

Hay dos opciones para equipos o dispositivos habilitados para TPM:There are two options for TPM-enabled computers or devices:

  • Configurar el PIN de inicio de TPMConfigure TPM startup PIN

    • Permitir el PIN de inicio con TPMAllow startup PIN with TPM
    • Requerir PIN de inicio con TPMRequire startup PIN with TPM
    • No permitir el PIN de inicio con TPMDo not allow startup PIN with TPM
  • Configurar la clave de inicio del TPMConfigure TPM startup key

    • Permitir clave de inicio con TPMAllow startup key with TPM
    • Requerir clave de inicio con TPMRequire startup key with TPM
    • No permitir la clave de inicio con TPMDo not allow startup key with TPM

Estas opciones son mutuamente excluyentes.These options are mutually exclusive. Si necesita la clave de inicio, no debe permitir el PIN de inicio.If you require the startup key, you must not allow the startup PIN. Si necesita el PIN de inicio, no debe permitir la clave de inicio.If you require the startup PIN, you must not allow the startup key. De lo contrario, se producirá un error de directiva.Otherwise, a policy error will occur.

Para ocultar la página avanzada en un equipo o dispositivo habilitado para TPM, establece estas opciones en No permitir la clave de inicio ni el PIN de inicio.To hide the advanced page on a TPM-enabled computer or device, set these options to Do not allow for the startup key and for the startup PIN.

Configurar el uso de tarjetas inteligentes en unidades de datos fijasConfigure use of smart cards on fixed data drives

Esta configuración de directiva se usa para requerir, permitir o denegar el uso de tarjetas inteligentes con unidades de datos fijas.This policy setting is used to require, allow, or deny the use of smart cards with fixed data drives.

Descripción de la directivaPolicy description Con esta configuración de directiva, puedes especificar si las tarjetas inteligentes se pueden usar para autenticar el acceso de los usuarios a las unidades de datos fijas protegidas por BitLocker en un equipo.With this policy setting, you can specify whether smart cards can be used to authenticate user access to the BitLocker-protected fixed data drives on a computer.
IntroducidoIntroduced Windows Server 2008 R2 y Windows 7Windows Server 2008 R2 and Windows 7
Tipo de unidadDrive type Unidades de datos fijasFixed data drives
Ruta de la directivaPolicy path Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades de datos fijasComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Fixed Data Drives
ConflictosConflicts Para usar tarjetas inteligentes con BitLocker, es posible que también deba modificar la configuración del identificador de objeto en la configuración del equipo\Plantillas administrativas\Cifrado de unidad BitLocker\Validar la configuración de directiva de cumplimiento de reglas de uso de certificados de tarjeta inteligente para que coincida con el identificador de objeto de los certificados de tarjeta inteligente.To use smart cards with BitLocker, you may also need to modify the object identifier setting in the Computer Configuration\Administrative Templates\BitLocker Drive Encryption\Validate smart card certificate usage rule compliance policy setting to match the object identifier of your smart card certificates.
Cuando está habilitadoWhen enabled Las tarjetas inteligentes se pueden usar para autenticar el acceso de los usuarios a la unidad.Smart cards can be used to authenticate user access to the drive. Puede requerir la autenticación de tarjetas inteligentes si selecciona la casilla Requerir el uso de tarjetas inteligentes en unidades de datos fijas.You can require smart card authentication by selecting the Require use of smart cards on fixed data drives check box.
Cuando está deshabilitadoWhen disabled Los usuarios no pueden usar tarjetas inteligentes para autenticar su acceso a unidades de datos fijas protegidas por BitLocker.Users cannot use smart cards to authenticate their access to BitLocker-protected fixed data drives.
Cuando no está configuradoWhen not configured Las tarjetas inteligentes se pueden usar para autenticar el acceso de los usuarios a una unidad protegida por BitLocker.Smart cards can be used to authenticate user access to a BitLocker-protected drive.

ReferenciaReference

Nota

Esta configuración se aplica al activar BitLocker, no al desbloquear una unidad.These settings are enforced when turning on BitLocker, not when unlocking a drive. BitLocker permite desbloquear una unidad mediante cualquiera de los protectores que están disponibles en la unidad.BitLocker allows unlocking a drive by using any of the protectors that are available on the drive.

Configurar el uso de contraseñas en unidades de datos fijasConfigure use of passwords on fixed data drives

Esta configuración de directiva se usa para requerir, permitir o denegar el uso de contraseñas con unidades de datos fijas.This policy setting is used to require, allow, or deny the use of passwords with fixed data drives.

Descripción de la directivaPolicy description Con esta configuración de directiva, puedes especificar si se necesita una contraseña para desbloquear unidades de datos fijas protegidas por BitLocker.With this policy setting, you can specify whether a password is required to unlock BitLocker-protected fixed data drives.
IntroducidoIntroduced Windows Server 2008 R2 y Windows 7Windows Server 2008 R2 and Windows 7
Tipo de unidadDrive type Unidades de datos fijasFixed data drives
Ruta de la directivaPolicy path Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades de datos fijasComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Fixed Data Drives
ConflictosConflicts Para usar la complejidad de la contraseña, la configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de cuenta\Directiva de contraseña\Contraseña también debe estar habilitada.To use password complexity, the Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy\Password must meet complexity requirements policy setting must also be enabled.
Cuando está habilitadoWhen enabled Los usuarios pueden configurar una contraseña que cumpla los requisitos que defina.Users can configure a password that meets the requirements you define. Para requerir el uso de una contraseña, seleccione Requerir contraseña para la unidad de datos fija.To require the use of a password, select Require password for fixed data drive. Para aplicar los requisitos de complejidad en la contraseña, seleccione Requerir complejidad.To enforce complexity requirements on the password, select Require complexity.
Cuando está deshabilitadoWhen disabled El usuario no puede usar una contraseña.The user is not allowed to use a password.
Cuando no está configuradoWhen not configured Las contraseñas se admiten con la configuración predeterminada, que no incluye requisitos de complejidad de contraseña y solo requieren 8 caracteres.Passwords are supported with the default settings, which do not include password complexity requirements and require only 8 characters.

ReferenciaReference

Cuando se establece en Requerir complejidad, es necesaria una conexión a un controlador de dominio para validar la complejidad de la contraseña cuando Se habilita BitLocker.When set to Require complexity, a connection to a domain controller is necessary to validate the complexity of the password when BitLocker is enabled.

Cuando se establece en Permitir complejidad, se intenta validar una conexión con un controlador de dominio que la complejidad se adhiere a las reglas establecidas por la directiva.When set to Allow complexity, a connection to a domain controller is attempted to validate that the complexity adheres to the rules set by the policy. Sin embargo, si no se encuentra ningún controlador de dominio, la contraseña se acepta independientemente de la complejidad real de la contraseña y la unidad se cifra con esa contraseña como protector.However, if no domain controllers are found, the password is accepted regardless of the actual password complexity, and the drive is encrypted by using that password as a protector.

Cuando se establece en No permitir complejidad, no se realiza ninguna validación de complejidad de contraseña.When set to Do not allow complexity, no password complexity validation is performed.

Las contraseñas deben tener al menos 8 caracteres.Passwords must be at least 8 characters. Para configurar una longitud mínima mayor para la contraseña, escriba el número de caracteres deseado en el cuadro Longitud mínima de contraseña.To configure a greater minimum length for the password, enter the desired number of characters in the Minimum password length box.

Nota

Esta configuración se aplica al activar BitLocker, no al desbloquear una unidad.These settings are enforced when turning on BitLocker, not when unlocking a drive. BitLocker permite desbloquear una unidad con cualquiera de los protectores que están disponibles en la unidad.BitLocker allows unlocking a drive with any of the protectors that are available on the drive.

Para que la configuración de requisitos de complejidad sea eficaz, la configuración de directiva de grupo Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de cuenta\Directiva de contraseña\Contraseña también debe cumplir los requisitos de complejidad.For the complexity requirement setting to be effective, the Group Policy setting Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy\Password must meet complexity requirements must also be enabled. Esta configuración de directiva se configura por equipo.This policy setting is configured on a per-computer basis. Esto significa que se aplica a cuentas de usuario locales y cuentas de usuario de dominio.This means that it applies to local user accounts and domain user accounts. Dado que el filtro de contraseña que se usa para validar la complejidad de contraseñas se encuentra en los controladores de dominio, las cuentas de usuario locales no pueden tener acceso al filtro de contraseñas porque no están autenticadas para el acceso al dominio.Because the password filter that is used to validate password complexity is located on the domain controllers, local user accounts cannot access the password filter because they are not authenticated for domain access. Cuando esta configuración de directiva está habilitada, si inicia sesión con una cuenta de usuario local e intenta cifrar una unidad o cambiar una contraseña en una unidad protegida por BitLocker existente, se muestra un mensaje de error "Acceso denegado".When this policy setting is enabled, if you sign in with a local user account, and you attempt to encrypt a drive or change a password on an existing BitLocker-protected drive, an "Access denied" error message is displayed. En esta situación, no se puede agregar el protector de clave de contraseña a la unidad.In this situation, the password key protector cannot be added to the drive.

Para habilitar esta configuración de directiva, es necesario establecer la conectividad a un dominio antes de agregar un protector de clave de contraseña a una unidad protegida con BitLocker.Enabling this policy setting requires that connectivity to a domain be established before adding a password key protector to a BitLocker-protected drive. Los usuarios que trabajan de forma remota y tienen períodos de tiempo en los que no pueden conectarse al dominio deben tener en cuenta este requisito para que puedan programar una hora en la que se conectarán al dominio para activar BitLocker o para cambiar una contraseña en una unidad de datos protegida por BitLocker.Users who work remotely and have periods of time in which they cannot connect to the domain should be made aware of this requirement so that they can schedule a time when they will be connected to the domain to turn on BitLocker or to change a password on a BitLocker-protected data drive.

Importante

Las contraseñas no se pueden usar si el cumplimiento de FIPS está habilitado.Passwords cannot be used if FIPS compliance is enabled. Criptografía del sistema: use algoritmos compatibles con FIPS para la configuración de directivas de cifrado, hash y firma en Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad especifica si el cumplimiento de FIPS está habilitado.The System cryptography: Use FIPS-compliant algorithms for encryption, hashing, and signing policy setting in Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options specifies whether FIPS compliance is enabled.

Configurar el uso de tarjetas inteligentes en unidades de datos extraíblesConfigure use of smart cards on removable data drives

Esta configuración de directiva se usa para requerir, permitir o denegar el uso de tarjetas inteligentes con unidades de datos extraíbles.This policy setting is used to require, allow, or deny the use of smart cards with removable data drives.

Descripción de la directivaPolicy description Con esta configuración de directiva, puedes especificar si se pueden usar tarjetas inteligentes para autenticar el acceso de los usuarios a unidades de datos extraíbles protegidas por BitLocker en un equipo.With this policy setting, you can specify whether smart cards can be used to authenticate user access to BitLocker-protected removable data drives on a computer.
IntroducidoIntroduced Windows Server 2008 R2 y Windows 7Windows Server 2008 R2 and Windows 7
Tipo de unidadDrive type Unidades de datos extraíblesRemovable data drives
Ruta de la directivaPolicy path Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades de datos extraíblesComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Removable Data Drives
ConflictosConflicts Para usar tarjetas inteligentes con BitLocker, es posible que también deba modificar la configuración del identificador de objeto en la configuración del equipo\Plantillas administrativas\Cifrado de unidad BitLocker\Validar la configuración de directiva de cumplimiento de reglas de uso de certificados de tarjeta inteligente para que coincida con el identificador de objeto de los certificados de tarjeta inteligente.To use smart cards with BitLocker, you may also need to modify the object identifier setting in the Computer Configuration\Administrative Templates\BitLocker Drive Encryption\Validate smart card certificate usage rule compliance policy setting to match the object identifier of your smart card certificates.
Cuando está habilitadoWhen enabled Las tarjetas inteligentes se pueden usar para autenticar el acceso de los usuarios a la unidad.Smart cards can be used to authenticate user access to the drive. Puede requerir la autenticación de tarjetas inteligentes si selecciona la casilla Requerir el uso de tarjetas inteligentes en unidades de datos extraíbles.You can require smart card authentication by selecting the Require use of smart cards on removable data drives check box.
Cuando está deshabilitado o no está configuradoWhen disabled or not configured Los usuarios no pueden usar tarjetas inteligentes para autenticar su acceso a unidades de datos extraíbles protegidas por BitLocker.Users are not allowed to use smart cards to authenticate their access to BitLocker-protected removable data drives.
Cuando no está configuradoWhen not configured Las tarjetas inteligentes están disponibles para autenticar el acceso de los usuarios a una unidad de datos extraíble protegida por BitLocker.Smart cards are available to authenticate user access to a BitLocker-protected removable data drive.

ReferenciaReference

Nota

Esta configuración se aplica al activar BitLocker, no al desbloquear una unidad.These settings are enforced when turning on BitLocker, not when unlocking a drive. BitLocker permite desbloquear una unidad con cualquiera de los protectores que están disponibles en la unidad.BitLocker allows unlocking a drive with any of the protectors that are available on the drive.

Configurar el uso de contraseñas en unidades de datos extraíblesConfigure use of passwords on removable data drives

Esta configuración de directiva se usa para requerir, permitir o denegar el uso de contraseñas con unidades de datos extraíbles.This policy setting is used to require, allow, or deny the use of passwords with removable data drives.

||| |--- |--- | |Descripción de la directivaPolicy description|Con esta configuración de directiva, puedes especificar si se necesita una contraseña para desbloquear unidades de datos extraíbles protegidas por BitLocker.With this policy setting, you can specify whether a password is required to unlock BitLocker-protected removable data drives.| |IntroducidoIntroduced|Windows Server 2008 R2 y Windows 7Windows Server 2008 R2 and Windows 7| |Tipo de unidadDrive type|Unidades de datos extraíblesRemovable data drives| |Ruta de la directivaPolicy path|Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades de datos extraíblesComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Removable Data Drives| |ConflictosConflicts|Para usar la **** complejidad de contraseña, la configuración de directiva Contraseña debe cumplir los requisitos de complejidad, que se encuentra en Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de cuenta\Directiva de contraseña también debe estar habilitada.To use password complexity, the Password must meet complexity requirements policy setting, which is located at Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy must also be enabled.| |Cuando está habilitadoWhen enabled|Los usuarios pueden configurar una contraseña que cumpla los requisitos que defina.Users can configure a password that meets the requirements you define. Para requerir el uso de una contraseña, seleccione Requerir contraseña para unidad de datos extraíble.To require the use of a password, select Require password for removable data drive. Para aplicar los requisitos de complejidad en la contraseña, seleccione Requerir complejidad.To enforce complexity requirements on the password, select Require complexity.| |Cuando está deshabilitadoWhen disabled|El usuario no puede usar una contraseña.The user is not allowed to use a password.| |Cuando no está configuradoWhen not configured|Las contraseñas se admiten con la configuración predeterminada, que no incluye requisitos de complejidad de contraseña y solo requieren 8 caracteres.Passwords are supported with the default settings, which do not include password complexity requirements and require only 8 characters.| ReferenciaReference

Si decide permitir el uso de una contraseña, puede requerir que se use una contraseña, aplicar requisitos de complejidad y configurar una longitud mínima.If you choose to allow the use of a password, you can require a password to be used, enforce complexity requirements, and configure a minimum length. Para que la configuración de requisitos de complejidad sea eficaz, la configuración de directiva de grupo Contraseña debe cumplir los requisitos de complejidad , que se encuentra en Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de cuenta\Directiva de contraseña también debe estar habilitada.For the complexity requirement setting to be effective, the Group Policy setting Password must meet complexity requirements, which is located at Computer Configuration\Windows Settings\Security Settings\Account Policies\Password Policy must also be enabled.

Nota

Esta configuración se aplica al activar BitLocker, no al desbloquear una unidad.These settings are enforced when turning on BitLocker, not when unlocking a drive. BitLocker permite desbloquear una unidad con cualquiera de los protectores que están disponibles en la unidad.BitLocker allows unlocking a drive with any of the protectors that are available on the drive.

Las contraseñas deben tener al menos 8 caracteres.Passwords must be at least 8 characters. Para configurar una longitud mínima mayor para la contraseña, escriba el número de caracteres deseado en el cuadro Longitud mínima de contraseña.To configure a greater minimum length for the password, enter the desired number of characters in the Minimum password length box.

Cuando se establece en Requerir complejidad, es necesaria una conexión a un controlador de dominio cuando BitLocker está habilitado para validar la complejidad de la contraseña.When set to Require complexity, a connection to a domain controller is necessary when BitLocker is enabled to validate the complexity the password.

Cuando se establece en Permitir complejidad, se intenta validar una conexión con un controlador de dominio para validar que la complejidad se adhiere a las reglas establecidas por la directiva.When set to Allow complexity, a connection to a domain controller will be attempted to validate that the complexity adheres to the rules set by the policy. Sin embargo, si no se encuentra ningún controlador de dominio, la contraseña se seguirá aceptando independientemente de la complejidad real de la contraseña y la unidad se cifrará usando esa contraseña como protector.However, if no domain controllers are found, the password will still be accepted regardless of actual password complexity and the drive will be encrypted by using that password as a protector.

Cuando se establece en No permitir complejidad, no se realizará ninguna validación de complejidad de contraseña.When set to Do not allow complexity, no password complexity validation will be done.

Nota

Las contraseñas no se pueden usar si el cumplimiento de FIPS está habilitado.Passwords cannot be used if FIPS compliance is enabled. Criptografía del sistema: use algoritmos compatibles con FIPS para la configuración de directivas de cifrado, hash y firma en Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad especifica si el cumplimiento de FIPS está habilitado.The System cryptography: Use FIPS-compliant algorithms for encryption, hashing, and signing policy setting in Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options specifies whether FIPS compliance is enabled.

Para obtener información acerca de esta configuración, vea Criptografía del sistema: usar algoritmos compatibles con FIPS para cifrado, hash y firma.For information about this setting, see System cryptography: Use FIPS-compliant algorithms for encryption, hashing, and signing.

Validar el cumplimiento de reglas de uso de certificados de tarjeta inteligenteValidate smart card certificate usage rule compliance

Esta configuración de directiva se usa para determinar qué certificado usar con BitLocker.This policy setting is used to determine what certificate to use with BitLocker.

Descripción de la directivaPolicy description Con esta configuración de directiva, puedes asociar un identificador de objeto de un certificado de tarjeta inteligente a una unidad protegida por BitLocker.With this policy setting, you can associate an object identifier from a smart card certificate to a BitLocker-protected drive.
IntroducidoIntroduced Windows Server 2008 R2 y Windows 7Windows Server 2008 R2 and Windows 7
Tipo de unidadDrive type Unidades de datos fijas y extraíblesFixed and removable data drives
Ruta de la directivaPolicy path Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLockerComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption
ConflictosConflicts NingunoNone
Cuando está habilitadoWhen enabled El identificador de objeto especificado en la configuración Identificador de objeto debe coincidir con el identificador del objeto en el certificado de tarjeta inteligente.The object identifier that is specified in the Object identifier setting must match the object identifier in the smart card certificate.
Cuando está deshabilitado o no está configuradoWhen disabled or not configured Se usa el identificador de objeto predeterminado.The default object identifier is used.

ReferenciaReference

Esta configuración de directiva se aplica al activar BitLocker.This policy setting is applied when you turn on BitLocker.

El identificador de objeto se especifica en el uso mejorado de clave (EKU) de un certificado.The object identifier is specified in the enhanced key usage (EKU) of a certificate. BitLocker puede identificar qué certificados se pueden usar para autenticar un certificado de usuario en una unidad protegida por BitLocker si coincide el identificador de objeto del certificado con el identificador de objeto definido por esta configuración de directiva.BitLocker can identify which certificates can be used to authenticate a user certificate to a BitLocker-protected drive by matching the object identifier in the certificate with the object identifier that is defined by this policy setting.

El identificador de objeto predeterminado es 1.3.6.1.4.1.311.67.1.1.The default object identifier is 1.3.6.1.4.1.311.67.1.1.

Nota

BitLocker no requiere que un certificado tenga un atributo EKU; sin embargo, si uno está configurado para el certificado, debe establecerse en un identificador de objeto que coincida con el identificador de objeto configurado para BitLocker.BitLocker does not require that a certificate have an EKU attribute; however, if one is configured for the certificate, it must be set to an object identifier that matches the object identifier configured for BitLocker.

Habilitar el uso de la autenticación de BitLocker que requiere entrada de teclado de inicio previo en pizarrasEnable use of BitLocker authentication requiring preboot keyboard input on slates

Esta configuración de directiva permite a los usuarios habilitar las opciones de autenticación que requieren la entrada del usuario desde el entorno de inicio previo, incluso si la plataforma indica una falta de capacidad de entrada de prearranque.This policy setting allows users to enable authentication options that require user input from the preboot environment even if the platform indicates a lack of preboot input capability.

Descripción de la directivaPolicy description Con esta configuración de directiva, puede permitir a los usuarios habilitar opciones de autenticación que requieran la entrada del usuario desde el entorno de inicio previo, incluso si la plataforma indica una falta de capacidad de entrada de inicio previo.With this policy setting, you can allow users to enable authentication options that require user input from the preboot environment, even if the platform indicates a lack of preboot input capability.
IntroducidoIntroduced Windows Server 2012 y Windows 8Windows Server 2012 and Windows 8
Tipo de unidadDrive type Unidad del sistema operativoOperating system drive
Ruta de la directivaPolicy path Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidad del sistema operativoComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drive
ConflictosConflicts NingunoNone
Cuando está habilitadoWhen enabled Los dispositivos deben tener un medio alternativo de entrada previa al arranque (como un teclado USB conectado).Devices must have an alternative means of preboot input (such as an attached USB keyboard).
Cuando está deshabilitado o no está configuradoWhen disabled or not configured El entorno de recuperación de Windows debe estar habilitado en tabletas para admitir la introducción de la contraseña de recuperación de BitLocker.The Windows Recovery Environment must be enabled on tablets to support entering the BitLocker recovery password.

ReferenciaReference

El teclado táctil de Windows (como las tabletas) no está disponible en el entorno de inicio previo donde BitLocker requiere información adicional, como un PIN o una contraseña.The Windows touch keyboard (such as used by tablets) is not available in the preboot environment where BitLocker requires additional information, such as a PIN or password.

Se recomienda que los administradores habiliten esta directiva solo para dispositivos que se comprueban que tienen un medio alternativo de entrada previa al arranque, como adjuntar un teclado USB.It is recommended that administrators enable this policy only for devices that are verified to have an alternative means of preboot input, such as attaching a USB keyboard.

Cuando el entorno de recuperación de Windows no está habilitado y esta directiva no está habilitada, no puedes activar BitLocker en un dispositivo que use el teclado táctil de Windows.When the Windows Recovery Environment is not enabled and this policy is not enabled, you cannot turn on BitLocker on a device that uses the Windows touch keyboard.

Si no habilita esta configuración de directiva, **** es posible que las siguientes opciones de la directiva Requerir autenticación adicional al inicio no estén disponibles:If you do not enable this policy setting, the following options in the Require additional authentication at startup policy might not be available:

  • Configurar EL PIN de inicio del TPM: obligatorio y permitidoConfigure TPM startup PIN: Required and Allowed
  • Configurar el PIN y la clave de inicio del TPM: obligatorio y permitidoConfigure TPM startup key and PIN: Required and Allowed
  • Configurar el uso de contraseñas para unidades del sistema operativoConfigure use of passwords for operating system drives

Denegar el acceso de escritura a unidades fijas no protegidas por BitLockerDeny write access to fixed drives not protected by BitLocker

Esta configuración de directiva se usa para requerir el cifrado de unidades fijas antes de conceder acceso de escritura.This policy setting is used to require encryption of fixed drives prior to granting Write access.

Descripción de la directivaPolicy description Con esta configuración de directiva, puedes establecer si la protección de BitLocker es necesaria para que las unidades de datos fijas se puedan escribir en un equipo.With this policy setting, you can set whether BitLocker protection is required for fixed data drives to be writable on a computer.
IntroducidoIntroduced Windows Server 2008 R2 y Windows 7Windows Server 2008 R2 and Windows 7
Tipo de unidadDrive type Unidades de datos fijasFixed data drives
Ruta de la directivaPolicy path Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades de datos fijasComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Fixed Data Drives
ConflictosConflicts Vea la sección Referencia para obtener una descripción de los conflictos.See the Reference section for a description of conflicts.
Cuando está habilitadoWhen enabled Todas las unidades de datos fijas que no están protegidas con BitLocker se monta como de solo lectura.All fixed data drives that are not BitLocker-protected are mounted as Read-only. Si la unidad está protegida por BitLocker, se monta con acceso de lectura y escritura.If the drive is protected by BitLocker, it is mounted with Read and Write access.
Cuando está deshabilitado o no está configuradoWhen disabled or not configured Todas las unidades de datos fijas del equipo se instalan con acceso de lectura y escritura.All fixed data drives on the computer are mounted with Read and Write access.

ReferenciaReference

Esta configuración de directiva se aplica al activar BitLocker.This policy setting is applied when you turn on BitLocker.

Entre las consideraciones de conflicto se incluyen:Conflict considerations include:

  1. Cuando esta configuración de directiva está habilitada, los usuarios reciben mensajes de error "Acceso denegado" cuando intentan guardar datos en unidades de datos fijas sin cifrar.When this policy setting is enabled, users receive "Access denied" error messages when they try to save data to unencrypted fixed data drives. Consulte la sección Referencia para ver conflictos adicionales.See the Reference section for additional conflicts.

  2. Si BdeHdCfg.exe se ejecuta en un equipo cuando esta configuración de directiva está habilitada, podría encontrarse con los siguientes problemas:If BdeHdCfg.exe is run on a computer when this policy setting is enabled, you could encounter the following issues:

    • Si ha intentado reducir la unidad y crear la unidad del sistema, el tamaño de la unidad se reduce correctamente y se crea una partición sin procesar.If you attempted to shrink the drive and create the system drive, the drive size is successfully reduced and a raw partition is created. Sin embargo, la partición sin formato no tiene formato.However, the raw partition is not formatted. Se muestra el siguiente mensaje de error: "No se puede dar formato a la nueva unidad activa.The following error message is displayed: "The new active drive cannot be formatted. Es posible que deba preparar manualmente la unidad para BitLocker".You may need to manually prepare your drive for BitLocker."
    • Si intenta usar espacio sin asignar para crear la unidad del sistema, se creará una partición sin procesar.If you attempt to use unallocated space to create the system drive, a raw partition will be created. Sin embargo, la partición sin formato no tendrá formato.However, the raw partition will not be formatted. Se muestra el siguiente mensaje de error: "No se puede dar formato a la nueva unidad activa.The following error message is displayed: "The new active drive cannot be formatted. Es posible que deba preparar manualmente la unidad para BitLocker".You may need to manually prepare your drive for BitLocker."
    • Si intenta combinar una unidad existente en la unidad del sistema, la herramienta no puede copiar el archivo de arranque necesario en la unidad de destino para crear la unidad del sistema.If you attempt to merge an existing drive into the system drive, the tool fails to copy the required boot file onto the target drive to create the system drive. Se muestra el siguiente mensaje de error: "El programa de instalación de BitLocker no pudo copiar archivos de arranque.The following error message is displayed: "BitLocker setup failed to copy boot files. Es posible que deba preparar manualmente la unidad para BitLocker".You may need to manually prepare your drive for BitLocker."
  3. Si se aplica esta configuración de directiva, no se puede volver a particionar una unidad de disco duro porque la unidad está protegida.If this policy setting is enforced, a hard drive cannot be repartitioned because the drive is protected. Si estás actualizando equipos de la organización desde una versión anterior de Windows y esos equipos se configuraron con una sola partición, debes crear la partición del sistema BitLocker necesaria antes de aplicar esta configuración de directiva a los equipos.If you are upgrading computers in your organization from a previous version of Windows, and those computers were configured with a single partition, you should create the required BitLocker system partition before you apply this policy setting to the computers.

Denegar el acceso de escritura a unidades extraíbles no protegidas por BitLockerDeny write access to removable drives not protected by BitLocker

Esta configuración de directiva se usa para requerir que las unidades extraíbles estén cifradas antes de conceder acceso de escritura y para controlar si las unidades extraíbles protegidas por BitLocker que se configuraron en otra organización se pueden abrir con acceso de escritura.This policy setting is used to require that removable drives are encrypted prior to granting Write access, and to control whether BitLocker-protected removable drives that were configured in another organization can be opened with Write access.

Descripción de la directivaPolicy description Con esta configuración de directiva, puedes configurar si la protección de BitLocker es necesaria para que un equipo pueda escribir datos en una unidad de datos extraíble.With this policy setting, you can configure whether BitLocker protection is required for a computer to be able to write data to a removable data drive.
IntroducidoIntroduced Windows Server 2008 R2 y Windows 7Windows Server 2008 R2 and Windows 7
Tipo de unidadDrive type Unidades de datos extraíblesRemovable data drives
Ruta de la directivaPolicy path Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades de datos extraíblesComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Removable Data Drives
ConflictosConflicts Vea la sección Referencia para obtener una descripción de los conflictos.See the Reference section for a description of conflicts.
Cuando está habilitadoWhen enabled Todas las unidades de datos extraíbles que no están protegidas con BitLocker se monta como de solo lectura.All removable data drives that are not BitLocker-protected are mounted as Read-only. Si la unidad está protegida por BitLocker, se monta con acceso de lectura y escritura.If the drive is protected by BitLocker, it is mounted with Read and Write access.
Cuando está deshabilitado o no está configuradoWhen disabled or not configured Todas las unidades de datos extraíbles del equipo se instalan con acceso de lectura y escritura.All removable data drives on the computer are mounted with Read and Write access.

ReferenciaReference

Si está seleccionada la opción Denegar acceso de escritura a dispositivos configurados en otra organización, solo se proporciona acceso de escritura a las unidades con campos de identificación que coincidan con los campos de identificación del equipo.If the Deny write access to devices configured in another organization option is selected, only drives with identification fields that match the computer's identification fields are given Write access. Cuando se tiene acceso a una unidad de datos extraíble, se comprueba si hay un campo de identificación válido y campos de identificación permitidos.When a removable data drive is accessed, it is checked for a valid identification field and allowed identification fields. Estos campos se definen mediante la configuración Proporcionar los identificadores únicos de la directiva de la organización.These fields are defined by the Provide the unique identifiers for your organization policy setting.

Nota

Puede invalidar esta configuración de directiva con la configuración de directiva en Configuración de usuario\Plantillas administrativas\Sistema\Acceso de almacenamiento extraíble.You can override this policy setting with the policy settings under User Configuration\Administrative Templates\System\Removable Storage Access. Si la configuración de directiva Discos extraíbles: Denegar acceso de escritura está habilitada, se omitirá esta configuración de directiva.If the Removable Disks: Deny write access policy setting is enabled, this policy setting will be ignored.

Entre las consideraciones de conflicto se incluyen:Conflict considerations include:

  1. El uso de BitLocker con el TPM más una clave de inicio o con el TPM más un PIN y una clave de inicio deben no estar permitidos si la configuración de directiva Denegar acceso de escritura a unidades extraíbles no protegidas por BitLocker está habilitada.Use of BitLocker with the TPM plus a startup key or with the TPM plus a PIN and startup key must be disallowed if the Deny write access to removable drives not protected by BitLocker policy setting is enabled.
  2. El uso de claves de recuperación debe no estar permitido si la configuración de directiva Denegar acceso de escritura a unidades extraíbles no protegidas por BitLocker está habilitada.Use of recovery keys must be disallowed if the Deny write access to removable drives not protected by BitLocker policy setting is enabled.
  3. Debe habilitar la configuración Proporcionar los identificadores únicos de la directiva de organización si desea denegar el acceso de escritura a las unidades configuradas en otra organización.You must enable the Provide the unique identifiers for your organization policy setting if you want to deny Write access to drives that were configured in another organization.

Controlar el uso de BitLocker en unidades extraíblesControl use of BitLocker on removable drives

Esta configuración de directiva se usa para impedir que los usuarios activar o desactivar BitLocker en unidades de datos extraíbles.This policy setting is used to prevent users from turning BitLocker on or off on removable data drives.

Descripción de la directivaPolicy description Con esta configuración de directiva, puedes controlar el uso de BitLocker en unidades de datos extraíbles.With this policy setting, you can control the use of BitLocker on removable data drives.
IntroducidoIntroduced Windows Server 2008 R2 y Windows 7Windows Server 2008 R2 and Windows 7
Tipo de unidadDrive type Unidades de datos extraíblesRemovable data drives
Ruta de la directivaPolicy path Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades de datos extraíblesComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Removable Data Drives
ConflictosConflicts NingunoNone
Cuando está habilitadoWhen enabled Puedes seleccionar la configuración de propiedades que controle cómo los usuarios pueden configurar BitLocker.You can select property settings that control how users can configure BitLocker.
Cuando está deshabilitadoWhen disabled Los usuarios no pueden usar BitLocker en unidades de datos extraíbles.Users cannot use BitLocker on removable data drives.
Cuando no está configuradoWhen not configured Los usuarios pueden usar BitLocker en unidades de datos extraíbles.Users can use BitLocker on removable data drives.

ReferenciaReference

Esta configuración de directiva se aplica al activar BitLocker.This policy setting is applied when you turn on BitLocker.

Para obtener información sobre cómo suspender la protección de BitLocker, consulta Implementación básica de BitLocker.For information about suspending BitLocker protection, see BitLocker Basic Deployment.

Las opciones para elegir la configuración de propiedades que controlan cómo los usuarios pueden configurar BitLocker son:The options for choosing property settings that control how users can configure BitLocker are:

  • Permitir a los usuarios aplicar la protección de BitLocker en unidades de datos extraíbles Permite al usuario ejecutar el Asistente para instalación de BitLocker en una unidad de datos extraíble.Allow users to apply BitLocker protection on removable data drives Enables the user to run the BitLocker Setup Wizard on a removable data drive.
  • Permitir a los usuarios suspender y descifrar BitLocker en unidades de datos extraíbles Permite al usuario quitar BitLocker de la unidad o suspender el cifrado mientras realiza el mantenimiento.Allow users to suspend and decrypt BitLocker on removable data drives Enables the user to remove BitLocker from the drive or to suspend the encryption while performing maintenance.

Elegir el método de cifrado de unidad y la intensidad del cifradoChoose drive encryption method and cipher strength

Esta configuración de directiva se usa para controlar el método de cifrado y la intensidad del cifrado.This policy setting is used to control the encryption method and cipher strength.

Descripción de la directivaPolicy description Con esta configuración de directiva, puede controlar el método de cifrado y la intensidad de las unidades.With this policy setting, you can control the encryption method and strength for drives.
IntroducidoIntroduced Windows Server 2012 y Windows 8Windows Server 2012 and Windows 8
Tipo de unidadDrive type Todas las unidadesAll drives
Ruta de la directivaPolicy path Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLockerComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption
ConflictosConflicts NingunoNone
Cuando está habilitadoWhen enabled Puedes elegir un algoritmo de cifrado y una intensidad de cifrado clave para que BitLocker lo use para cifrar unidades.You can choose an encryption algorithm and key cipher strength for BitLocker to use to encrypt drives.
Cuando está deshabilitado o no está configuradoWhen disabled or not configured A partir de Windows 10, versión 1511, BitLocker usa el método de cifrado predeterminado de XTS-AES de 128 bits o el método de cifrado especificado por el script de instalación.Beginning with Windows 10, version 1511, BitLocker uses the default encryption method of XTS-AES 128-bit or the encryption method that is specified by the setup script. Windows Phone no admite XTS; usa AES-CBC de 128 bits de forma predeterminada y admite AES-CBC de 256 bits por directiva.Windows Phone does not support XTS; it uses AES-CBC 128-bit by default and supports AES-CBC 256-bit by policy.

ReferenciaReference

Los valores de esta directiva determinan la intensidad del cifrado que BitLocker usa para el cifrado.The values of this policy determine the strength of the cipher that BitLocker uses for encryption. Es posible que las empresas quieran controlar el nivel de cifrado para aumentar la seguridad (AES-256 es más fuerte que AES-128).Enterprises may want to control the encryption level for increased security (AES-256 is stronger than AES-128).

Si habilita esta configuración, podrá configurar un algoritmo de cifrado y una fuerza de cifrado de clave para unidades de datos fijas, unidades del sistema operativo y unidades de datos extraíbles individualmente.If you enable this setting, you will be able to configure an encryption algorithm and key cipher strength for fixed data drives, operating system drives, and removable data drives individually. Para las unidades fijas y del sistema operativo, se recomienda usar el algoritmo XTS-AES.For fixed and operating system drives, we recommend that you use the XTS-AES algorithm. Para las unidades extraíbles, debes usar AES-CBC de 128 bits o AES-CBC de 256 bits si la unidad se usará en otros dispositivos que no ejecuten Windows 10, versión 1511 o posterior.For removable drives, you should use AES-CBC 128-bit or AES-CBC 256-bit if the drive will be used in other devices that are not running Windows 10, version 1511 or later.

Cambiar el método de cifrado no tiene ningún efecto si la unidad ya está cifrada o si el cifrado está en curso.Changing the encryption method has no effect if the drive is already encrypted or if encryption is in progress. En estos casos, se omite esta configuración de directiva.In these cases, this policy setting is ignored.

Advertencia

Esta directiva no se aplica a las unidades cifradas.This policy does not apply to encrypted drives. Las unidades cifradas usan su propio algoritmo, establecido por la unidad durante la partición.Encrypted drives utilize their own algorithm, which is set by the drive during partitioning.

Cuando esta configuración de directiva está deshabilitada o no configurada, BitLocker usará el método de cifrado predeterminado de XTS-AES de 128 bits o el método de cifrado especificado en el script de instalación.When this policy setting is disabled or not configured, BitLocker will use the default encryption method of XTS-AES 128-bit or the encryption method that is specified in the setup script.

Configurar el uso del cifrado basado en hardware para unidades de datos fijasConfigure use of hardware-based encryption for fixed data drives

Esta directiva controla cómo reacciona BitLocker a los sistemas que están equipados con unidades cifradas cuando se usan como volúmenes de datos fijos.This policy controls how BitLocker reacts to systems that are equipped with encrypted drives when they are used as fixed data volumes. El uso de cifrado basado en hardware puede mejorar el rendimiento de las operaciones de unidad que implican la lectura o escritura frecuentes de datos en la unidad.Using hardware-based encryption can improve the performance of drive operations that involve frequent reading or writing of data to the drive.

Descripción de la directivaPolicy description Con esta configuración de directiva, puedes administrar el uso de cifrado basado en hardware de BitLocker en unidades de datos fijas y especificar los algoritmos de cifrado que BitLocker puede usar con el cifrado basado en hardware.With this policy setting, you can manage BitLocker’s use of hardware-based encryption on fixed data drives and to specify which encryption algorithms BitLocker can use with hardware-based encryption.
IntroducidoIntroduced Windows Server 2012 y Windows 8Windows Server 2012 and Windows 8
Tipo de unidadDrive type Unidades de datos fijasFixed data drives
Ruta de la directivaPolicy path Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades de datos fijasComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Fixed Data Drives
ConflictosConflicts NingunoNone
Cuando está habilitadoWhen enabled Puedes especificar opciones adicionales que controle si se usa el cifrado basado en software de BitLocker en lugar del cifrado basado en hardware en equipos que no admiten cifrado basado en hardware.You can specify additional options that control whether BitLocker software-based encryption is used instead of hardware-based encryption on computers that do not support hardware-based encryption. También puede especificar si desea restringir los algoritmos de cifrado y los conjuntos de cifrado que se usan con el cifrado basado en hardware.You can also specify whether you want to restrict the encryption algorithms and cipher suites that are used with hardware-based encryption.
Cuando está deshabilitadoWhen disabled BitLocker no puede usar el cifrado basado en hardware con unidades de datos fijas y el cifrado basado en software de BitLocker se usa de forma predeterminada cuando la unidad está cifrada.BitLocker cannot use hardware-based encryption with fixed data drives, and BitLocker software-based encryption is used by default when the drive in encrypted.
Cuando no está configuradoWhen not configured El cifrado basado en software de BitLocker se usa independientemente de la capacidad de cifrado basada en hardware.BitLocker software-based encryption is used irrespective of hardware-based encryption ability.

ReferenciaReference

Nota

La configuración elegir método de cifrado de unidad y directiva de fuerza de cifrado no se aplica al cifrado basado en hardware.The Choose drive encryption method and cipher strength policy setting does not apply to hardware-based encryption.

El algoritmo de cifrado que usa el cifrado basado en hardware se establece cuando se particiona la unidad.The encryption algorithm that is used by hardware-based encryption is set when the drive is partitioned. De forma predeterminada, BitLocker usa el algoritmo configurado en la unidad para cifrar la unidad.By default, BitLocker uses the algorithm that is configured on the drive to encrypt the drive. La opción Restringir algoritmos de cifrado y conjuntos de cifrado permitidos para el cifrado basado en hardware de esta configuración permite restringir los algoritmos de cifrado que BitLocker puede usar con el cifrado de hardware.The Restrict encryption algorithms and cipher suites allowed for hardware-based encryption option of this setting enables you to restrict the encryption algorithms that BitLocker can use with hardware encryption. Si el algoritmo que se establece para la unidad no está disponible, BitLocker deshabilita el uso del cifrado basado en hardware.If the algorithm that is set for the drive is not available, BitLocker disables the use of hardware-based encryption. Los algoritmos de cifrado se especifican mediante identificadores de objeto (OID), por ejemplo:Encryption algorithms are specified by object identifiers (OID), for example:

  • Advanced Encryption Standard (AES) 128 in Cipher Block Chaining (CBC) mode OID: 2.16.840.1.101.3.4.1.2Advanced Encryption Standard (AES) 128 in Cipher Block Chaining (CBC) mode OID: 2.16.840.1.101.3.4.1.2
  • AES 256 en modo CBC OID: 2.16.840.1.101.3.4.1.42AES 256 in CBC mode OID: 2.16.840.1.101.3.4.1.42

Configurar el uso del cifrado basado en hardware para unidades del sistema operativoConfigure use of hardware-based encryption for operating system drives

Esta directiva controla cómo reacciona BitLocker cuando se usan unidades cifradas como unidades del sistema operativo.This policy controls how BitLocker reacts when encrypted drives are used as operating system drives. El uso de cifrado basado en hardware puede mejorar el rendimiento de las operaciones de unidad que implican la lectura o escritura frecuentes de datos en la unidad.Using hardware-based encryption can improve the performance of drive operations that involve frequent reading or writing of data to the drive.

Descripción de la directivaPolicy description Con esta configuración de directiva, puedes administrar el uso de cifrado basado en hardware de BitLocker en unidades del sistema operativo y especificar los algoritmos de cifrado que puede usar con el cifrado basado en hardware.With this policy setting, you can manage BitLocker’s use of hardware-based encryption on operating system drives and specify which encryption algorithms it can use with hardware-based encryption.
IntroducidoIntroduced Windows Server 2012 y Windows 8Windows Server 2012 and Windows 8
Tipo de unidadDrive type Unidades del sistema operativoOperating system drives
Ruta de la directivaPolicy path Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades del sistema operativoComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives
ConflictosConflicts NingunoNone
Cuando está habilitadoWhen enabled Puedes especificar opciones adicionales que controle si se usa el cifrado basado en software de BitLocker en lugar del cifrado basado en hardware en equipos que no admiten cifrado basado en hardware.You can specify additional options that control whether BitLocker software-based encryption is used instead of hardware-based encryption on computers that do not support hardware-based encryption. También puede especificar si desea restringir los algoritmos de cifrado y los conjuntos de cifrado que se usan con el cifrado basado en hardware.You can also specify whether you want to restrict the encryption algorithms and cipher suites that are used with hardware-based encryption.
Cuando está deshabilitadoWhen disabled BitLocker no puede usar el cifrado basado en hardware con unidades del sistema operativo y el cifrado basado en software de BitLocker se usa de forma predeterminada cuando la unidad está cifrada.BitLocker cannot use hardware-based encryption with operating system drives, and BitLocker software-based encryption is used by default when the drive in encrypted.
Cuando no está configuradoWhen not configured El cifrado basado en software de BitLocker se usa independientemente de la capacidad de cifrado basada en hardware.BitLocker software-based encryption is used irrespective of hardware-based encryption ability.

ReferenciaReference

Si el cifrado basado en hardware no está disponible, se usa el cifrado basado en software de BitLocker.If hardware-based encryption is not available, BitLocker software-based encryption is used instead.

Nota

La configuración elegir método de cifrado de unidad y directiva de fuerza de cifrado no se aplica al cifrado basado en hardware.The Choose drive encryption method and cipher strength policy setting does not apply to hardware-based encryption.

El algoritmo de cifrado que usa el cifrado basado en hardware se establece cuando se particiona la unidad.The encryption algorithm that is used by hardware-based encryption is set when the drive is partitioned. De forma predeterminada, BitLocker usa el algoritmo configurado en la unidad para cifrar la unidad.By default, BitLocker uses the algorithm that is configured on the drive to encrypt the drive. La opción Restringir algoritmos de cifrado y conjuntos de cifrado permitidos para el cifrado basado en hardware de esta configuración permite restringir los algoritmos de cifrado que BitLocker puede usar con el cifrado de hardware.The Restrict encryption algorithms and cipher suites allowed for hardware-based encryption option of this setting enables you to restrict the encryption algorithms that BitLocker can use with hardware encryption. Si el algoritmo que se establece para la unidad no está disponible, BitLocker deshabilita el uso del cifrado basado en hardware.If the algorithm that is set for the drive is not available, BitLocker disables the use of hardware-based encryption. Los algoritmos de cifrado se especifican mediante identificadores de objeto (OID), por ejemplo:Encryption algorithms are specified by object identifiers (OID), for example:

  • Advanced Encryption Standard (AES) 128 in Cipher Block Chaining (CBC) mode OID: 2.16.840.1.101.3.4.1.2Advanced Encryption Standard (AES) 128 in Cipher Block Chaining (CBC) mode OID: 2.16.840.1.101.3.4.1.2
  • AES 256 en modo CBC OID: 2.16.840.1.101.3.4.1.42AES 256 in CBC mode OID: 2.16.840.1.101.3.4.1.42

Configurar el uso del cifrado basado en hardware para unidades de datos extraíblesConfigure use of hardware-based encryption for removable data drives

Esta directiva controla cómo reacciona BitLocker a las unidades cifradas cuando se usan como unidades de datos extraíbles.This policy controls how BitLocker reacts to encrypted drives when they are used as removable data drives. El uso de cifrado basado en hardware puede mejorar el rendimiento de las operaciones de unidad que implican la lectura o escritura frecuentes de datos en la unidad.Using hardware-based encryption can improve the performance of drive operations that involve frequent reading or writing of data to the drive.

Descripción de la directivaPolicy description Con esta configuración de directiva, puedes administrar el uso de cifrado basado en hardware de BitLocker en unidades de datos extraíbles y especificar los algoritmos de cifrado que puede usar con el cifrado basado en hardware.With this policy setting, you can manage BitLocker’s use of hardware-based encryption on removable data drives and specify which encryption algorithms it can use with hardware-based encryption.
IntroducidoIntroduced Windows Server 2012 y Windows 8Windows Server 2012 and Windows 8
Tipo de unidadDrive type Unidad de datos extraíbleRemovable data drive
Ruta de la directivaPolicy path Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades de datos extraíblesComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Removable Data Drives
ConflictosConflicts NingunoNone
Cuando está habilitadoWhen enabled Puedes especificar opciones adicionales que controle si se usa el cifrado basado en software de BitLocker en lugar del cifrado basado en hardware en equipos que no admiten cifrado basado en hardware.You can specify additional options that control whether BitLocker software-based encryption is used instead of hardware-based encryption on computers that do not support hardware-based encryption. También puede especificar si desea restringir los algoritmos de cifrado y los conjuntos de cifrado que se usan con el cifrado basado en hardware.You can also specify whether you want to restrict the encryption algorithms and cipher suites that are used with hardware-based encryption.
Cuando está deshabilitadoWhen disabled BitLocker no puede usar el cifrado basado en hardware con unidades de datos extraíbles y el cifrado basado en software de BitLocker se usa de forma predeterminada cuando la unidad está cifrada.BitLocker cannot use hardware-based encryption with removable data drives, and BitLocker software-based encryption is used by default when the drive in encrypted.
Cuando no está configuradoWhen not configured El cifrado basado en software de BitLocker se usa independientemente de la capacidad de cifrado basada en hardware.BitLocker software-based encryption is used irrespective of hardware-based encryption ability.

ReferenciaReference

Si el cifrado basado en hardware no está disponible, se usa el cifrado basado en software de BitLocker.If hardware-based encryption is not available, BitLocker software-based encryption is used instead.

Nota

La configuración elegir método de cifrado de unidad y directiva de fuerza de cifrado no se aplica al cifrado basado en hardware.The Choose drive encryption method and cipher strength policy setting does not apply to hardware-based encryption.

El algoritmo de cifrado que usa el cifrado basado en hardware se establece cuando se particiona la unidad.The encryption algorithm that is used by hardware-based encryption is set when the drive is partitioned. De forma predeterminada, BitLocker usa el algoritmo configurado en la unidad para cifrar la unidad.By default, BitLocker uses the algorithm that is configured on the drive to encrypt the drive. La opción Restringir algoritmos de cifrado y conjuntos de cifrado permitidos para el cifrado basado en hardware de esta configuración permite restringir los algoritmos de cifrado que BitLocker puede usar con el cifrado de hardware.The Restrict encryption algorithms and cipher suites allowed for hardware-based encryption option of this setting enables you to restrict the encryption algorithms that BitLocker can use with hardware encryption. Si el algoritmo que se establece para la unidad no está disponible, BitLocker deshabilita el uso del cifrado basado en hardware.If the algorithm that is set for the drive is not available, BitLocker disables the use of hardware-based encryption. Los algoritmos de cifrado se especifican mediante identificadores de objeto (OID), por ejemplo:Encryption algorithms are specified by object identifiers (OID), for example:

  • Advanced Encryption Standard (AES) 128 in Cipher Block Chaining (CBC) mode OID: 2.16.840.1.101.3.4.1.2Advanced Encryption Standard (AES) 128 in Cipher Block Chaining (CBC) mode OID: 2.16.840.1.101.3.4.1.2
  • AES 256 en modo CBC OID: 2.16.840.1.101.3.4.1.42AES 256 in CBC mode OID: 2.16.840.1.101.3.4.1.42

Exigir el tipo de cifrado de unidad en unidades de datos fijasEnforce drive encryption type on fixed data drives

Esta directiva controla si las unidades de datos fijas usan cifrado de solo espacio usado o cifrado completo.This policy controls whether fixed data drives utilize Used Space Only encryption or Full encryption. Al establecer esta directiva, el Asistente para la instalación de BitLocker omite la página de opciones de cifrado para que no se muestre ninguna selección de cifrado al usuario.Setting this policy also causes the BitLocker Setup Wizard to skip the encryption options page so no encryption selection displays to the user.

Descripción de la directivaPolicy description Con esta configuración de directiva, puedes configurar el tipo de cifrado que usa BitLocker.With this policy setting, you can configure the encryption type that is used by BitLocker.
IntroducidoIntroduced Windows Server 2012 y Windows 8Windows Server 2012 and Windows 8
Tipo de unidadDrive type Unidad de datos fijaFixed data drive
Ruta de la directivaPolicy path Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades de datos fijasComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Fixed Data Drives
ConflictosConflicts NingunoNone
Cuando está habilitadoWhen enabled Esta directiva define el tipo de cifrado que BitLocker usa para cifrar unidades y la opción de tipo de cifrado no se presenta en el Asistente para la instalación de BitLocker.This policy defines the encryption type that BitLocker uses to encrypt drives, and the encryption type option is not presented in the BitLocker Setup Wizard.
Cuando está deshabilitado o no está configuradoWhen disabled or not configured El Asistente para la instalación de BitLocker pide al usuario que seleccione el tipo de cifrado antes de activar BitLocker.The BitLocker Setup Wizard asks the user to select the encryption type before turning on BitLocker.

ReferenciaReference

Esta configuración de directiva se aplica al activar BitLocker.This policy setting is applied when you turn on BitLocker. Cambiar el tipo de cifrado no tiene efecto si la unidad ya está cifrada o si el cifrado está en curso.Changing the encryption type has no effect if the drive is already encrypted or if encryption is in progress. Elige Cifrado completo para requerir que toda la unidad esté cifrada cuando Se haya activado BitLocker.Choose Full encryption to require that the entire drive be encrypted when BitLocker is turned on. Elija Cifrado de solo espacio usado para requerir que solo la parte de la unidad que se usa para almacenar datos se cifra cuando BitLocker está activado.Choose Used Space Only encryption to require that only the portion of the drive that is used to store data is encrypted when BitLocker is turned on.

Nota

Esta directiva se omite cuando se está reduciendo o expandiendo un volumen y el controlador de BitLocker usa el método de cifrado actual.This policy is ignored when you are shrinking or expanding a volume and the BitLocker driver uses the current encryption method. Por ejemplo, cuando se expande una unidad que usa cifrado de solo espacio usado, el nuevo espacio libre no se elimina como sería para una unidad que usa cifrado completo.For example, when a drive that is using Used Space Only encryption is expanded, the new free space is not wiped as it would be for a drive that is using Full encryption. El usuario podría borrar el espacio libre en una unidad de solo espacio usado mediante el siguiente comando: manage-bde -w.The user could wipe the free space on a Used Space Only drive by using the following command: manage-bde -w. Si el volumen se encoge, no se toma ninguna acción para el nuevo espacio libre.If the volume is shrunk, no action is taken for the new free space.

Para obtener más información acerca de la herramienta para administrar BitLocker, vea Manage-bde.For more information about the tool to manage BitLocker, see Manage-bde.

Exigir el tipo de cifrado de unidad en las unidades del sistema operativoEnforce drive encryption type on operating system drives

Esta directiva controla si las unidades del sistema operativo usan el cifrado completo o el cifrado de solo espacio usado.This policy controls whether operating system drives utilize Full encryption or Used Space Only encryption. Al establecer esta directiva, el Asistente para la instalación de BitLocker también omite la página de opciones de cifrado, por lo que no se muestra ninguna selección de cifrado al usuario.Setting this policy also causes the BitLocker Setup Wizard to skip the encryption options page, so no encryption selection displays to the user.

Descripción de la directivaPolicy description Con esta configuración de directiva, puedes configurar el tipo de cifrado que usa BitLocker.With this policy setting, you can configure the encryption type that is used by BitLocker.
IntroducidoIntroduced Windows Server 2012 y Windows 8Windows Server 2012 and Windows 8
Tipo de unidadDrive type Unidad del sistema operativoOperating system drive
Ruta de la directivaPolicy path Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades del sistema operativoComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives
ConflictosConflicts NingunoNone
Cuando está habilitadoWhen enabled El tipo de cifrado que BitLocker usa para cifrar unidades se define mediante esta directiva y la opción de tipo de cifrado no se presenta en el Asistente para la instalación de BitLocker.The encryption type that BitLocker uses to encrypt drives is defined by this policy, and the encryption type option is not presented in the BitLocker Setup Wizard.
Cuando está deshabilitado o no está configuradoWhen disabled or not configured El Asistente para la instalación de BitLocker pide al usuario que seleccione el tipo de cifrado antes de activar BitLocker.The BitLocker Setup Wizard asks the user to select the encryption type before turning on BitLocker.

ReferenciaReference

Esta configuración de directiva se aplica al activar BitLocker.This policy setting is applied when you turn on BitLocker. Cambiar el tipo de cifrado no tiene efecto si la unidad ya está cifrada o si el cifrado está en curso.Changing the encryption type has no effect if the drive is already encrypted or if encryption is in progress. Elige Cifrado completo para requerir que toda la unidad esté cifrada cuando Se haya activado BitLocker.Choose Full encryption to require that the entire drive be encrypted when BitLocker is turned on. Elija Cifrado de solo espacio usado para requerir que solo la parte de la unidad que se usa para almacenar datos se cifra cuando BitLocker está activado.Choose Used Space Only encryption to require that only the portion of the drive that is used to store data is encrypted when BitLocker is turned on.

Nota

Esta directiva se omite al reducir o expandir un volumen y el controlador de BitLocker usa el método de cifrado actual.This policy is ignored when shrinking or expanding a volume, and the BitLocker driver uses the current encryption method. Por ejemplo, cuando se expande una unidad que usa cifrado de solo espacio usado, el nuevo espacio libre no se elimina como lo sería para una unidad que usa cifrado completo.For example, when a drive that is using Used Space Only encryption is expanded, the new free space is not wiped as it would be for a drive that uses Full encryption. El usuario podría borrar el espacio libre en una unidad de solo espacio usado mediante el siguiente comando: manage-bde -w.The user could wipe the free space on a Used Space Only drive by using the following command: manage-bde -w. Si el volumen se encoge, no se toma ninguna acción para el nuevo espacio libre.If the volume is shrunk, no action is taken for the new free space.

Para obtener más información acerca de la herramienta para administrar BitLocker, vea Manage-bde.For more information about the tool to manage BitLocker, see Manage-bde.

Exigir el tipo de cifrado de unidad en unidades de datos extraíblesEnforce drive encryption type on removable data drives

Esta directiva controla si las unidades de datos fijas usan cifrado completo o cifrado de solo espacio usado.This policy controls whether fixed data drives utilize Full encryption or Used Space Only encryption. Al establecer esta directiva, el Asistente para la instalación de BitLocker también omite la página de opciones de cifrado, por lo que no se muestra ninguna selección de cifrado al usuario.Setting this policy also causes the BitLocker Setup Wizard to skip the encryption options page, so no encryption selection displays to the user.

Descripción de la directivaPolicy description Con esta configuración de directiva, puedes configurar el tipo de cifrado que usa BitLocker.With this policy setting, you can configure the encryption type that is used by BitLocker.
IntroducidoIntroduced Windows Server 2012 y Windows 8Windows Server 2012 and Windows 8
Tipo de unidadDrive type Unidad de datos extraíbleRemovable data drive
Ruta de la directivaPolicy path Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades de datos extraíblesComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Removable Data Drives
ConflictosConflicts NingunoNone
Cuando está habilitadoWhen enabled El tipo de cifrado que BitLocker usa para cifrar unidades se define mediante esta directiva y la opción de tipo de cifrado no se presenta en el Asistente para la instalación de BitLocker.The encryption type that BitLocker uses to encrypt drives is defined by this policy, and the encryption type option is not presented in the BitLocker Setup Wizard.
Cuando está deshabilitado o no está configuradoWhen disabled or not configured El Asistente para la instalación de BitLocker pide al usuario que seleccione el tipo de cifrado antes de activar BitLocker.The BitLocker Setup Wizard asks the user to select the encryption type before turning on BitLocker.

ReferenciaReference

Esta configuración de directiva se aplica al activar BitLocker.This policy setting is applied when you turn on BitLocker. Cambiar el tipo de cifrado no tiene efecto si la unidad ya está cifrada o si el cifrado está en curso.Changing the encryption type has no effect if the drive is already encrypted or if encryption is in progress. Elige Cifrado completo para requerir que toda la unidad esté cifrada cuando Se haya activado BitLocker.Choose Full encryption to require that the entire drive be encrypted when BitLocker is turned on. Elija Cifrado de solo espacio usado para requerir que solo la parte de la unidad que se usa para almacenar datos se cifra cuando BitLocker está activado.Choose Used Space Only encryption to require that only the portion of the drive that is used to store data is encrypted when BitLocker is turned on.

Nota

Esta directiva se omite al reducir o expandir un volumen y el controlador de BitLocker usa el método de cifrado actual.This policy is ignored when shrinking or expanding a volume, and the BitLocker driver uses the current encryption method. Por ejemplo, cuando se expande una unidad que usa cifrado de solo espacio usado, el nuevo espacio libre no se elimina como sería para una unidad que usa cifrado total.For example, when a drive that is using Used Space Only encryption is expanded, the new free space is not wiped as it would be for a drive that is using Full Encryption. El usuario podría borrar el espacio libre en una unidad de solo espacio usado mediante el siguiente comando: manage-bde -w.The user could wipe the free space on a Used Space Only drive by using the following command: manage-bde -w. Si el volumen se encoge, no se toma ninguna acción para el nuevo espacio libre.If the volume is shrunk, no action is taken for the new free space.

Para obtener más información acerca de la herramienta para administrar BitLocker, vea Manage-bde.For more information about the tool to manage BitLocker, see Manage-bde.

Elegir cómo se pueden recuperar unidades del sistema operativo protegidas con BitLockerChoose how BitLocker-protected operating system drives can be recovered

Esta configuración de directiva se usa para configurar métodos de recuperación para unidades del sistema operativo.This policy setting is used to configure recovery methods for operating system drives.

Descripción de la directivaPolicy description Con esta configuración de directiva, puedes controlar cómo se recuperan las unidades del sistema operativo protegidas por BitLocker en ausencia de la información de clave de inicio necesaria.With this policy setting, you can control how BitLocker-protected operating system drives are recovered in the absence of the required startup key information.
IntroducidoIntroduced Windows Server 2008 R2 y Windows 7Windows Server 2008 R2 and Windows 7
Tipo de unidadDrive type Unidades del sistema operativoOperating system drives
Ruta de la directivaPolicy path Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades del sistema operativoComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives
ConflictosConflicts Debe no permitir el uso de claves de recuperación si la configuración de directiva Denegar acceso de escritura a unidades extraíbles no protegidas por BitLocker está habilitada.You must disallow the use of recovery keys if the Deny write access to removable drives not protected by BitLocker policy setting is enabled.

Al usar agentes de recuperación de datos, debe habilitar la configuración Proporcionar los identificadores únicos de la directiva de la organización.When using data recovery agents, you must enable the Provide the unique identifiers for your organization policy setting.

Cuando está habilitadoWhen enabled Puedes controlar los métodos que están disponibles para que los usuarios recuperen datos de unidades del sistema operativo protegidas por BitLocker.You can control the methods that are available to users to recover data from BitLocker-protected operating system drives.
Cuando está deshabilitado o no está configuradoWhen disabled or not configured Las opciones de recuperación predeterminadas son compatibles con la recuperación de BitLocker.The default recovery options are supported for BitLocker recovery. De forma predeterminada, se permite un agente de recuperación de datos, el usuario puede especificar las opciones de recuperación (incluida la contraseña de recuperación y la clave de recuperación) y la información de recuperación no se copia de seguridad en AD DS.By default, a data recovery agent is allowed, the recovery options can be specified by the user (including the recovery password and recovery key), and recovery information is not backed up to AD DS.

ReferenciaReference

Esta configuración de directiva se aplica al activar BitLocker.This policy setting is applied when you turn on BitLocker.

La casilla Permitir agente de recuperación de datos se usa para especificar si se puede usar un agente de recuperación de datos con unidades del sistema operativo protegidas por BitLocker.The Allow data recovery agent check box is used to specify whether a data recovery agent can be used with BitLocker-protected operating system drives. Para poder usar un agente de recuperación de datos, debe agregarse desde Directivasde clave pública , que se encuentra en la Consola de administración de directivas de grupo (GPMC) o en el Editor de directivas de grupo local.Before a data recovery agent can be used, it must be added from Public Key Policies, which is located in the Group Policy Management Console (GPMC) or in the Local Group Policy Editor.

Para obtener más información acerca de cómo agregar agentes de recuperación de datos, consulta Implementación básica de BitLocker.For more information about adding data recovery agents, see BitLocker basic deployment.

En Configurar el almacenamiento de usuario de la información de recuperación de BitLocker, seleccione si los usuarios pueden, requieren o no generar una contraseña de recuperación de 48 dígitos.In Configure user storage of BitLocker recovery information, select whether users are allowed, required, or not allowed to generate a 48-digit recovery password.

Selecciona Omitir opciones de recuperación del Asistente para la instalación de BitLocker para evitar que los usuarios especifiquen opciones de recuperación cuando habiliten BitLocker en una unidad.Select Omit recovery options from the BitLocker setup wizard to prevent users from specifying recovery options when they enable BitLocker on a drive. Esto significa que no podrás especificar qué opción de recuperación usar al habilitar BitLocker.This means that you will not be able to specify which recovery option to use when you enable BitLocker. En su lugar, las opciones de recuperación de BitLocker para la unidad están determinadas por la configuración de directiva.Instead, BitLocker recovery options for the drive are determined by the policy setting.

En Guardar información de recuperaciónde BitLocker en Servicios de dominio de Active Directory, elige qué información de recuperación de BitLocker almacenar en Servicios de dominio de Active Directory (AD DS) para unidades del sistema operativo.In Save BitLocker recovery information to Active Directory Domain Services, choose which BitLocker recovery information to store in Active Directory Domain Services (AD DS) for operating system drives. Si seleccionas Almacenar contraseña de recuperacióny paquetes de claves, la contraseña de recuperación de BitLocker y el paquete de claves se almacenan en AD DS.If you select Store recovery password and key packages, the BitLocker recovery password and the key package are stored in AD DS. El almacenamiento del paquete clave admite la recuperación de datos de una unidad que está físicamente dañada.Storing the key package supports recovering data from a drive that is physically corrupted. Si seleccionas Solo contraseña de recuperación de la Tienda, solo la contraseña de recuperación se almacena en AD DS.If you select Store recovery password only, only the recovery password is stored in AD DS.

Active la casilla No habilitar BitLocker hasta que la información de recuperación se almacene en AD DS para unidades del sistema operativo si desea impedir que los usuarios habiliten BitLocker a menos que el equipo esté conectado al dominio y la copia de seguridad de la información de recuperación de BitLocker en AD DS se realice correctamente.Select the Do not enable BitLocker until recovery information is stored in AD DS for operating system drives check box if you want to prevent users from enabling BitLocker unless the computer is connected to the domain and the backup of BitLocker recovery information to AD DS succeeds.

Nota

Si la casilla No habilitar BitLocker hasta que la información de recuperación se almacene en AD DS para unidades del sistema operativo está activada, se generará automáticamente una contraseña de recuperación.If the Do not enable BitLocker until recovery information is stored in AD DS for operating system drives check box is selected, a recovery password is automatically generated.

Elegir cómo los usuarios pueden recuperar unidades protegidas por BitLocker (Windows Server 2008 y Windows Vista)Choose how users can recover BitLocker-protected drives (Windows Server 2008 and Windows Vista)

Esta configuración de directiva se usa para configurar métodos de recuperación para unidades protegidas con BitLocker en equipos que ejecutan Windows Server 2008 o Windows Vista.This policy setting is used to configure recovery methods for BitLocker-protected drives on computers running Windows Server 2008 or Windows Vista.

Descripción de la directivaPolicy description Con esta configuración de directiva, puedes controlar si el Asistente para configuración de BitLocker puede mostrar y especificar opciones de recuperación de BitLocker.With this policy setting, you can control whether the BitLocker Setup Wizard can display and specify BitLocker recovery options.
IntroducidoIntroduced Windows Server 2008 y Windows VistaWindows Server 2008 and Windows Vista
Tipo de unidadDrive type Unidades del sistema operativo y unidades de datos fijas en equipos que ejecutan Windows Server 2008 y Windows VistaOperating system drives and fixed data drives on computers running Windows Server 2008 and Windows Vista
Ruta de la directivaPolicy path Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLockerComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption
ConflictosConflicts Esta configuración de directiva proporciona un método administrativo de recuperación de datos cifrados por BitLocker para evitar la pérdida de datos debido a la falta de información clave.This policy setting provides an administrative method of recovering data that is encrypted by BitLocker to prevent data loss due to lack of key information. Si eliges **** la opción No permitir para ambas opciones de recuperación de usuarios, debes habilitar la configuración de la información de recuperación de BitLocker de la Tienda en servicios de dominio de Active Directory (Windows Server 2008 y Windows Vista) para evitar un error de directiva.If you choose the Do not allow option for both user recovery options, you must enable the Store BitLocker recovery information in Active Directory Domain Services (Windows Server 2008 and Windows Vista) policy setting to prevent a policy error.
Cuando está habilitadoWhen enabled Puedes configurar las opciones que el Asistente para la instalación de Bitlocker muestra a los usuarios para recuperar datos cifrados de BitLocker.You can configure the options that the Bitlocker Setup Wizard displays to users for recovering BitLocker encrypted data.
Cuando está deshabilitado o no está configuradoWhen disabled or not configured El Asistente para la instalación de BitLocker presenta a los usuarios formas de almacenar opciones de recuperación.The BitLocker Setup Wizard presents users with ways to store recovery options.

ReferenciaReference

Esta directiva solo se aplica a los equipos que ejecutan Windows Server 2008 o Windows Vista.This policy is only applicable to computers running Windows Server 2008 or Windows Vista. Esta configuración de directiva se aplica al activar BitLocker.This policy setting is applied when you turn on BitLocker.

Se pueden usar dos opciones de recuperación para desbloquear datos cifrados por BitLocker en ausencia de la información de clave de inicio necesaria.Two recovery options can be used to unlock BitLocker-encrypted data in the absence of the required startup key information. Los usuarios pueden escribir una contraseña de recuperación numérica de 48 dígitos o pueden insertar una unidad USB que contenga una clave de recuperación de 256 bits.Users can type a 48-digit numerical recovery password, or they can insert a USB drive that contains a 256-bit recovery key.

Guardar la contraseña de recuperación en una unidad USB almacena la contraseña de recuperación de 48 dígitos como un archivo de texto y la clave de recuperación de 256 bits como un archivo oculto.Saving the recovery password to a USB drive stores the 48-digit recovery password as a text file and the 256-bit recovery key as a hidden file. Al guardarlo en una carpeta, se almacena la contraseña de recuperación de 48 dígitos como un archivo de texto.Saving it to a folder stores the 48-digit recovery password as a text file. Al imprimirla, se envía la contraseña de recuperación de 48 dígitos a la impresora predeterminada.Printing it sends the 48-digit recovery password to the default printer. Por ejemplo, no permitir la contraseña de recuperación de 48 dígitos impide que los usuarios impriman o guarden información de recuperación en una carpeta.For example, not allowing the 48-digit recovery password prevents users from printing or saving recovery information to a folder.

Importante

Si la inicialización del TPM se realiza durante la instalación de BitLocker, la información del propietario del TPM se guarda o se imprime con la información de recuperación de BitLocker.If TPM initialization is performed during the BitLocker setup, TPM owner information is saved or printed with the BitLocker recovery information. La contraseña de recuperación de 48 dígitos no está disponible en modo de cumplimiento fips.The 48-digit recovery password is not available in FIPS-compliance mode.

Importante

Para evitar la pérdida de datos, debes tener una forma de recuperar las claves de cifrado de BitLocker.To prevent data loss, you must have a way to recover BitLocker encryption keys. Si no permites ambas opciones de recuperación, debes habilitar la copia de seguridad de la información de recuperación de BitLocker en AD DS.If you do not allow both recovery options, you must enable the backup of BitLocker recovery information to AD DS. De lo contrario, se produce un error de directiva.Otherwise, a policy error occurs.

Almacenar información de recuperación de BitLocker en Servicios de dominio de Active Directory (Windows Server 2008 y Windows Vista)Store BitLocker recovery information in Active Directory Domain Services (Windows Server 2008 and Windows Vista)

Esta configuración de directiva se usa para configurar el almacenamiento de la información de recuperación de BitLocker en AD DS.This policy setting is used to configure the storage of BitLocker recovery information in AD DS. Esto proporciona un método administrativo de recuperación de datos cifrados por BitLocker para evitar la pérdida de datos debido a la falta de información clave.This provides an administrative method of recovering data that is encrypted by BitLocker to prevent data loss due to lack of key information.

Descripción de la directivaPolicy description Con esta configuración de directiva, puedes administrar la copia de seguridad de AD DS de la información de recuperación de cifrado de unidad BitLocker.With this policy setting, you can manage the AD DS backup of BitLocker Drive Encryption recovery information.
IntroducidoIntroduced Windows Server 2008 y Windows VistaWindows Server 2008 and Windows Vista
Tipo de unidadDrive type Unidades de sistema operativo y unidades de datos fijas en equipos que ejecutan Windows Server 2008 y Windows Vista.Operating system drives and fixed data drives on computers running Windows Server 2008 and Windows Vista.
Ruta de la directivaPolicy path Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLockerComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption
ConflictosConflicts NingunoNone
Cuando está habilitadoWhen enabled La información de recuperación de BitLocker se realiza de forma automática y silenciosa en AD DS cuando BitLocker está activado para un equipo.BitLocker recovery information is automatically and silently backed up to AD DS when BitLocker is turned on for a computer.
Cuando está deshabilitado o no está configuradoWhen disabled or not configured La información de recuperación de BitLocker no se copia de seguridad en AD DS.BitLocker recovery information is not backed up to AD DS.

ReferenciaReference

Esta directiva solo se aplica a los equipos que ejecutan Windows Server 2008 o Windows Vista.This policy is only applicable to computers running Windows Server 2008 or Windows Vista.

Esta configuración de directiva se aplica al activar BitLocker.This policy setting is applied when you turn on BitLocker.

La información de recuperación de BitLocker incluye la contraseña de recuperación y los datos de identificador único.BitLocker recovery information includes the recovery password and unique identifier data. También puedes incluir un paquete que contenga una clave de cifrado para una unidad protegida por BitLocker.You can also include a package that contains an encryption key for a BitLocker-protected drive. Este paquete clave está protegido por una o más contraseñas de recuperación y puede ayudar a realizar una recuperación especializada cuando el disco está dañado o dañado.This key package is secured by one or more recovery passwords, and it can help perform specialized recovery when the disk is damaged or corrupted.

Si selecciona Requerir copia de seguridad de BitLocker en AD DS, BitLocker no se puede activar a menos que el equipo esté conectado al dominio y la copia de seguridad de la información de recuperación de BitLocker en AD DS se realice correctamente.If you select Require BitLocker backup to AD DS, BitLocker cannot be turned on unless the computer is connected to the domain and the backup of BitLocker recovery information to AD DS succeeds. Esta opción está seleccionada de forma predeterminada para garantizar que la recuperación de BitLocker sea posible.This option is selected by default to help ensure that BitLocker recovery is possible.

Una contraseña de recuperación es un número de 48 dígitos que desbloquea el acceso a una unidad protegida por BitLocker.A recovery password is a 48-digit number that unlocks access to a BitLocker-protected drive. Un paquete de clave contiene la clave de cifrado bitLocker de una unidad, que está protegida por una o más contraseñas de recuperación.A key package contains a drive’s BitLocker encryption key, which is secured by one or more recovery passwords. Los paquetes clave pueden ayudar a realizar una recuperación especializada cuando el disco está dañado o dañado.Key packages may help perform specialized recovery when the disk is damaged or corrupted.

Si la opción Requerir copia de seguridad de BitLocker en AD DS no está seleccionada, se intenta realizar una copia de seguridad de AD DS, pero los errores de red u otros errores de copia de seguridad no impiden la instalación de BitLocker.If the Require BitLocker backup to AD DS option is not selected, AD DS backup is attempted, but network or other backup failures do not prevent the BitLocker setup. El proceso de copia de seguridad no se vuelve a procesar automáticamente y es posible que la contraseña de recuperación no se almacene en AD DS durante la instalación de BitLocker.The Backup process is not automatically retried, and the recovery password might not be stored in AD DS during BitLocker setup. La inicialización de TPM puede ser necesaria durante la instalación de BitLocker.TPM initialization might be needed during the BitLocker setup. Habilite la configuración de directiva Activar copia de seguridad de TPM en Servicios de dominio de Active Directory en Configuración del equipo\Plantillas administrativas\Sistema\Servicios de módulo de plataforma de confianza para garantizar que también se realice una copia de seguridad de la información del TPM.Enable the Turn on TPM backup to Active Directory Domain Services policy setting in Computer Configuration\Administrative Templates\System\Trusted Platform Module Services to ensure that TPM information is also backed up.

Para obtener más información acerca de esta configuración, consulta Configuración de directiva de grupo de TPM.For more information about this setting, see TPM Group Policy settings.

Elegir carpeta predeterminada para la contraseña de recuperaciónChoose default folder for recovery password

Esta configuración de directiva se usa para configurar la carpeta predeterminada para las contraseñas de recuperación.This policy setting is used to configure the default folder for recovery passwords.

Descripción de la directivaPolicy description Con esta configuración de directiva, puedes especificar la ruta de acceso predeterminada que se muestra cuando el Asistente para configuración de BitLocker solicita al usuario que escriba la ubicación de una carpeta en la que guardar la contraseña de recuperación.With this policy setting, you can specify the default path that is displayed when the BitLocker Setup Wizard prompts the user to enter the location of a folder in which to save the recovery password.
IntroducidoIntroduced Windows VistaWindows Vista
Tipo de unidadDrive type Todas las unidadesAll drives
Ruta de la directivaPolicy path Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLockerComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption
ConflictosConflicts NingunoNone
Cuando está habilitadoWhen enabled Puede especificar la ruta de acceso que se usará como ubicación predeterminada de la carpeta cuando el usuario elija la opción para guardar la contraseña de recuperación en una carpeta.You can specify the path that will be used as the default folder location when the user chooses the option to save the recovery password in a folder. Puede especificar una ruta de acceso completa o incluir las variables de entorno del equipo de destino en la ruta de acceso.You can specify a fully qualified path or include the target computer's environment variables in the path. Si la ruta de acceso no es válida, el Asistente para la instalación de BitLocker muestra la vista de carpeta de nivel superior del equipo.If the path is not valid, the BitLocker Setup Wizard displays the computer's top-level folder view.
Cuando está deshabilitado o no está configuradoWhen disabled or not configured El Asistente para la instalación de BitLocker muestra la vista de carpeta de nivel superior del equipo cuando el usuario elige la opción para guardar la contraseña de recuperación en una carpeta.The BitLocker Setup Wizard displays the computer's top-level folder view when the user chooses the option to save the recovery password in a folder.

ReferenciaReference

Esta configuración de directiva se aplica al activar BitLocker.This policy setting is applied when you turn on BitLocker.

Nota

Esta configuración de directiva no impide que el usuario guarde la contraseña de recuperación en otra carpeta.This policy setting does not prevent the user from saving the recovery password in another folder.

Elegir cómo se pueden recuperar unidades fijas protegidas por BitLockerChoose how BitLocker-protected fixed drives can be recovered

Esta configuración de directiva se usa para configurar métodos de recuperación para unidades de datos fijas.This policy setting is used to configure recovery methods for fixed data drives.

Descripción de la directivaPolicy description Con esta configuración de directiva, puedes controlar cómo se recuperan las unidades de datos fijas protegidas por BitLocker en ausencia de las credenciales necesarias.With this policy setting, you can control how BitLocker-protected fixed data drives are recovered in the absence of the required credentials.
IntroducidoIntroduced Windows Server 2008 R2 y Windows 7Windows Server 2008 R2 and Windows 7
Tipo de unidadDrive type Unidades de datos fijasFixed data drives
Ruta de la directivaPolicy path Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades de datos fijasComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Fixed Data Drives
ConflictosConflicts Debe no permitir el uso de claves de recuperación si la configuración de directiva Denegar acceso de escritura a unidades extraíbles no protegidas por BitLocker está habilitada.You must disallow the use of recovery keys if the Deny write access to removable drives not protected by BitLocker policy setting is enabled.

Al usar agentes de recuperación de datos, debe habilitar y configurar la opción Proporcionar los identificadores únicos para la configuración de directiva de la organización.When using data recovery agents, you must enable and configure the Provide the unique identifiers for your organization policy setting.

Cuando está habilitadoWhen enabled Puedes controlar los métodos que están disponibles para que los usuarios recuperen datos de unidades de datos fijas protegidas por BitLocker.You can control the methods that are available to users to recover data from BitLocker-protected fixed data drives.
Cuando está deshabilitado o no está configuradoWhen disabled or not configured Las opciones de recuperación predeterminadas son compatibles con la recuperación de BitLocker.The default recovery options are supported for BitLocker recovery. De forma predeterminada, se permite un agente de recuperación de datos, el usuario puede especificar las opciones de recuperación (incluida la contraseña de recuperación y la clave de recuperación) y la información de recuperación no se copia de seguridad en AD DS.By default, a data recovery agent is allowed, the recovery options can be specified by the user (including the recovery password and recovery key), and recovery information is not backed up to AD DS.

ReferenciaReference

Esta configuración de directiva se aplica al activar BitLocker.This policy setting is applied when you turn on BitLocker.

La casilla Permitir agente de recuperación de datos se usa para especificar si se puede usar un agente de recuperación de datos con unidades de datos fijas protegidas por BitLocker.The Allow data recovery agent check box is used to specify whether a data recovery agent can be used with BitLocker-protected fixed data drives. Para poder usar un agente de recuperación de datos, debe agregarse desde Directivasde clave pública , que se encuentra en la Consola de administración de directivas de grupo (GPMC) o en el Editor de directivas de grupo local.Before a data recovery agent can be used, it must be added from Public Key Policies, which is located in the Group Policy Management Console (GPMC) or in the Local Group Policy Editor.

En Configurar el almacenamiento de usuario de la información de recuperación de BitLocker, seleccione si los usuarios tienen permiso, requisito o no para generar una contraseña de recuperación de 48 dígitos o una clave de recuperación de 256 bits.In Configure user storage of BitLocker recovery information, select whether users are allowed, required, or not allowed to generate a 48-digit recovery password or a 256-bit recovery key.

Selecciona Omitir opciones de recuperación del Asistente para la instalación de BitLocker para evitar que los usuarios especifiquen opciones de recuperación cuando habiliten BitLocker en una unidad.Select Omit recovery options from the BitLocker setup wizard to prevent users from specifying recovery options when they enable BitLocker on a drive. Esto significa que no puedes especificar qué opción de recuperación usar al habilitar BitLocker.This means that you cannot specify which recovery option to use when you enable BitLocker. En su lugar, las opciones de recuperación de BitLocker para la unidad están determinadas por la configuración de directiva.Instead, BitLocker recovery options for the drive are determined by the policy setting.

En Guardar información de recuperación de BitLockeren Servicios de dominio de Active Directory, elige qué información de recuperación de BitLocker almacenar en AD DS para unidades de datos fijas.In Save BitLocker recovery information to Active Directory Domain Services, choose which BitLocker recovery information to store in AD DS for fixed data drives. Si selecciona Contraseña de recuperación decopia de seguridad y paquete de claves, la contraseña de recuperación de BitLocker y el paquete de claves se almacenan en AD DS.If you select Backup recovery password and key package, the BitLocker recovery password and the key package are stored in AD DS. El almacenamiento del paquete clave admite la recuperación de datos de una unidad que se ha dañado físicamente.Storing the key package supports recovering data from a drive that has been physically corrupted. Para recuperar estos datos, puede usar la herramienta de línea de comandos Repair-bde.To recover this data, you can use the Repair-bde command-line tool. Si selecciona Solo contraseña de recuperación de copia deseguridad, solo la contraseña de recuperación se almacena en AD DS.If you select Backup recovery password only, only the recovery password is stored in AD DS.

Para obtener más información acerca de la herramienta de reparación de BitLocker, vea Repair-bde.For more information about the BitLocker repair tool, see Repair-bde.

Active la casilla No habilitar BitLocker hasta que la información de recuperación se almacene en AD DS para unidades de datos fijas si desea impedir que los usuarios habiliten BitLocker a menos que el equipo esté conectado al dominio y la copia de seguridad de la información de recuperación de BitLocker en AD DS se realice correctamente.Select the Do not enable BitLocker until recovery information is stored in AD DS for fixed data drives check box if you want to prevent users from enabling BitLocker unless the computer is connected to the domain and the backup of BitLocker recovery information to AD DS succeeds.

Nota

Si la casilla No habilitar BitLocker hasta que la información de recuperación se almacene en AD DS para unidades de datos fijas está activada, se generará automáticamente una contraseña de recuperación.If the Do not enable BitLocker until recovery information is stored in AD DS for fixed data drives check box is selected, a recovery password is automatically generated.

Elegir cómo se pueden recuperar unidades extraíbles protegidas por BitLockerChoose how BitLocker-protected removable drives can be recovered

Esta configuración de directiva se usa para configurar métodos de recuperación para unidades de datos extraíbles.This policy setting is used to configure recovery methods for removable data drives.

Descripción de la directivaPolicy description Con esta configuración de directiva, puedes controlar cómo se recuperan las unidades de datos extraíbles protegidas por BitLocker en ausencia de las credenciales necesarias.With this policy setting, you can control how BitLocker-protected removable data drives are recovered in the absence of the required credentials.
IntroducidoIntroduced Windows Server 2008 R2 y Windows 7Windows Server 2008 R2 and Windows 7
Tipo de unidadDrive type Unidades de datos extraíblesRemovable data drives
Ruta de la directivaPolicy path Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades de datos extraíblesComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Removable Data Drives
ConflictosConflicts Debe no permitir el uso de claves de recuperación si la configuración de directiva Denegar acceso de escritura a unidades extraíbles no protegidas por BitLocker está habilitada.You must disallow the use of recovery keys if the Deny write access to removable drives not protected by BitLocker policy setting is enabled.
Al usar agentes de recuperación de datos, debe habilitar y configurar la opción Proporcionar los identificadores únicos para la configuración de directiva de la organización.When using data recovery agents, you must enable and configure the Provide the unique identifiers for your organization policy setting.
Cuando está habilitadoWhen enabled Puedes controlar los métodos que están disponibles para que los usuarios recuperen datos de unidades de datos extraíbles protegidas por BitLocker.You can control the methods that are available to users to recover data from BitLocker-protected removable data drives.
Cuando está deshabilitado o no está configuradoWhen disabled or not configured Las opciones de recuperación predeterminadas son compatibles con la recuperación de BitLocker.The default recovery options are supported for BitLocker recovery. De forma predeterminada, se permite un agente de recuperación de datos, el usuario puede especificar las opciones de recuperación (incluida la contraseña de recuperación y la clave de recuperación) y la información de recuperación no se copia de seguridad en AD DS.By default, a data recovery agent is allowed, the recovery options can be specified by the user (including the recovery password and recovery key), and recovery information is not backed up to AD DS.

ReferenciaReference

Esta configuración de directiva se aplica al activar BitLocker.This policy setting is applied when you turn on BitLocker.

La casilla Permitir agente de recuperación de datos se usa para especificar si se puede usar un agente de recuperación de datos con unidades de datos extraíbles protegidas por BitLocker.The Allow data recovery agent check box is used to specify whether a data recovery agent can be used with BitLocker-protected removable data drives. Para poder usar un agente de recuperación de datos, debe agregarse desde directivas de clave pública , a la que se tiene acceso mediante la GPMC o el Editor de directivas de grupo local.Before a data recovery agent can be used, it must be added from Public Key Policies , which is accessed using the GPMC or the Local Group Policy Editor.

En Configurar el almacenamiento de usuario de la información de recuperación de BitLocker, seleccione si los usuarios pueden, requieren o no generar una contraseña de recuperación de 48 dígitos.In Configure user storage of BitLocker recovery information, select whether users are allowed, required, or not allowed to generate a 48-digit recovery password.

Selecciona Omitir opciones de recuperación del Asistente para la instalación de BitLocker para evitar que los usuarios especifiquen opciones de recuperación cuando habiliten BitLocker en una unidad.Select Omit recovery options from the BitLocker setup wizard to prevent users from specifying recovery options when they enable BitLocker on a drive. Esto significa que no puedes especificar qué opción de recuperación usar al habilitar BitLocker.This means that you cannot specify which recovery option to use when you enable BitLocker. En su lugar, las opciones de recuperación de BitLocker para la unidad están determinadas por la configuración de directiva.Instead, BitLocker recovery options for the drive are determined by the policy setting.

En Guardar información de recuperación de BitLockeren Servicios de dominio de Active Directory, elige qué información de recuperación de BitLocker almacenar en AD DS para unidades de datos extraíbles.In Save BitLocker recovery information to Active Directory Domain Services, choose which BitLocker recovery information to store in AD DS for removable data drives. Si selecciona Contraseña de recuperación decopia de seguridad y paquete de claves, la contraseña de recuperación de BitLocker y el paquete de claves se almacenan en AD DS.If you select Backup recovery password and key package, the BitLocker recovery password and the key package are stored in AD DS. Si selecciona Solo contraseña de recuperación de copia deseguridad, solo la contraseña de recuperación se almacena en AD DS.If you select Backup recovery password only, only the recovery password is stored in AD DS.

Active la casilla No habilitar BitLocker hasta que la información de recuperación se almacene en AD DS para unidades de datos extraíbles si desea impedir que los usuarios habiliten BitLocker a menos que el equipo esté conectado al dominio y la copia de seguridad de la información de recuperación de BitLocker en AD DS se realice correctamente.Select the Do not enable BitLocker until recovery information is stored in AD DS for removable data drives check box if you want to prevent users from enabling BitLocker unless the computer is connected to the domain and the backup of BitLocker recovery information to AD DS succeeds.

Nota

Si la casilla No habilitar BitLocker hasta que la información de recuperación se almacene en AD DS para unidades de datos fijas está activada, se generará automáticamente una contraseña de recuperación.If the Do not enable BitLocker until recovery information is stored in AD DS for fixed data drives check box is selected, a recovery password is automatically generated.

Configurar el mensaje de recuperación previa al arranque y la dirección URLConfigure the pre-boot recovery message and URL

Esta configuración de directiva se usa para configurar todo el mensaje de recuperación y para reemplazar la dirección URL existente que se muestra en la pantalla de recuperación previa al arranque cuando la unidad del sistema operativo está bloqueada.This policy setting is used to configure the entire recovery message and to replace the existing URL that is displayed on the pre-boot recovery screen when the operating system drive is locked.

Descripción de la directivaPolicy description Con esta configuración de directiva, puedes configurar la pantalla de recuperación de BitLocker para mostrar un mensaje personalizado y una dirección URL.With this policy setting, you can configure the BitLocker recovery screen to display a customized message and URL.
IntroducidoIntroduced Windows 10Windows 10
Tipo de unidadDrive type Unidades del sistema operativoOperating system drives
Ruta de la directivaPolicy path Configuración del equipo \ Plantillas administrativas \ Componentes de Windows \ Cifrado de unidad BitLocker \ Unidades del sistema operativo \ Configurar el mensaje de recuperación previa al arranque y la dirección URLComputer Configuration \ Administrative Templates \ Windows Components \ BitLocker Drive Encryption \ Operating System Drives \ Configure pre-boot recovery message and URL
ConflictosConflicts NingunoNone
Cuando está habilitadoWhen enabled El mensaje personalizado y la dirección URL se muestran en la pantalla de recuperación previa al arranque.The customized message and URL are displayed on the pre-boot recovery screen. Si ha habilitado previamente un mensaje de recuperación personalizado y una dirección URL y desea volver al mensaje y la dirección URL predeterminados, debe mantener habilitada la configuración de directiva y seleccionar la opción Usar el mensaje de recuperación predeterminado y la dirección URL.If you have previously enabled a custom recovery message and URL and want to revert to the default message and URL, you must keep the policy setting enabled and select the Use default recovery message and URL option.
Cuando está deshabilitado o no está configuradoWhen disabled or not configured Si la configuración no se ha habilitado previamente, se muestra la pantalla predeterminada de recuperación previa al arranque para la recuperación de BitLocker.If the setting has not been previously enabled the default pre-boot recovery screen is displayed for BitLocker recovery. Si la configuración anteriormente estaba habilitada y posteriormente se deshabilita, se muestra el último mensaje de Datos de configuración de arranque (BCD) si se trataba del mensaje de recuperación predeterminado o el mensaje personalizado.If the setting previously was enabled and is subsequently disabled the last message in Boot Configuration Data (BCD) is displayed whether it was the default recovery message or the custom message.

ReferenciaReference

Al habilitar la opción Configurar el mensaje de recuperación previa al arranque y la directiva de dirección URL, puede personalizar el mensaje de pantalla de recuperación predeterminado y la dirección URL para ayudar a los clientes a recuperar su clave.Enabling the Configure the pre-boot recovery message and URL policy setting allows you to customize the default recovery screen message and URL to assist customers in recovering their key.

Una vez que habilite la configuración, tendrá tres opciones:Once you enable the setting you have three options:

  • Si seleccionas la opción Usar el mensaje de recuperación predeterminado y la dirección URL, el mensaje de recuperación de BitLocker predeterminado y la dirección URL se mostrarán en la pantalla de recuperación previa al arranque.If you select the Use default recovery message and URL option, the default BitLocker recovery message and URL will be displayed on the pre-boot recovery screen.
  • Si selecciona la opción Usar mensaje de recuperación personalizado, escriba el mensaje personalizado en el cuadro de texto Opción de mensaje de recuperación personalizada.If you select the Use custom recovery message option, type the custom message in the Custom recovery message option text box. El mensaje que escriba en el cuadro de texto Opción de mensaje de recuperación personalizada se mostrará en la pantalla de recuperación previa al arranque.The message that you type in the Custom recovery message option text box will be displayed on the pre-boot recovery screen. Si hay una dirección URL de recuperación disponible, inscólala en el mensaje.If a recovery URL is available, include it in the message.
  • Si selecciona la opción Usar dirección URL de recuperación personalizada, escriba la dirección URL del mensaje personalizado en el cuadro de texto Dirección URL de recuperación personalizada.If you select the Use custom recovery URL option, type the custom message URL in the Custom recovery URL option text box. La dirección URL que escriba en el cuadro de texto De la opción Dirección URL de recuperación personalizada reemplaza la dirección URL predeterminada en el mensaje de recuperación predeterminado, que se mostrará en la pantalla de recuperación previa al arranque.The URL that you type in the Custom recovery URL option text box replaces the default URL in the default recovery message, which will be displayed on the pre-boot recovery screen.

Importante

No todos los caracteres e idiomas son compatibles con el entorno previo al arranque.Not all characters and languages are supported in the pre-boot environment. Le recomendamos encarecidamente que compruebe la apariencia correcta de los caracteres que usa para el mensaje personalizado y la dirección URL en la pantalla de recuperación previa al arranque.We strongly recommended that you verify the correct appearance of the characters that you use for the custom message and URL on the pre-boot recovery screen.

Importante

Dado que puede modificar manualmente los comandos BCDEdit antes de establecer la configuración de directiva de **** grupo, no puede devolver la configuración de directiva a la configuración predeterminada seleccionando la opción No configurado después de configurar esta configuración de directiva.Because you can alter the BCDEdit commands manually before you have set Group Policy settings, you cannot return the policy setting to the default setting by selecting the Not Configured option after you have configured this policy setting. Para volver a la pantalla predeterminada de recuperación previa **** al arranque, **** deje la configuración de directiva habilitada y seleccione la opción Usar opciones de mensaje predeterminadas en el cuadro de lista desplegable Elegir una opción para el mensaje de recuperación previa al arranque.To return to the default pre-boot recovery screen leave the policy setting enabled and select the Use default message options from the Choose an option for the pre-boot recovery message drop-down list box.

Permitir el arranque seguro para la validación de integridadAllow Secure Boot for integrity validation

Esta directiva controla cómo se controlan los volúmenes del sistema habilitados para BitLocker junto con la característica de arranque seguro.This policy controls how BitLocker-enabled system volumes are handled in conjunction with the Secure Boot feature. La habilitación de esta característica fuerza la validación de arranque seguro durante el proceso de arranque y comprueba la configuración de datos de configuración de arranque (BCD) de acuerdo con la directiva de arranque seguro.Enabling this feature forces Secure Boot validation during the boot process and verifies Boot Configuration Data (BCD) settings according to the Secure Boot policy.

Descripción de la directivaPolicy description Con esta configuración de directiva, puedes configurar si se permitirá el arranque seguro como proveedor de integridad de plataforma para las unidades del sistema operativo BitLocker.With this policy setting, you can configure whether Secure Boot will be allowed as the platform integrity provider for BitLocker operating system drives.
IntroducidoIntroduced Windows Server 2012 y Windows 8Windows Server 2012 and Windows 8
Tipo de unidadDrive type Todas las unidadesAll drives
Ruta de la directivaPolicy path Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades del sistema operativoComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives
ConflictosConflicts Si habilita Permitir el arranque seguro para la validación de integridad, asegúrese de que la configuración de directiva de grupo Configurar el perfil de validación de la plataforma TPM para configuraciones de firmware UEFI nativas no esté habilitada o incluya PCR 7 para permitir que BitLocker use el arranque seguro para la validación de integridad de la plataforma o BCD.If you enable Allow Secure Boot for integrity validation, make sure the Configure TPM platform validation profile for native UEFI firmware configurations Group Policy setting is not enabled or include PCR 7 to allow BitLocker to use Secure Boot for platform or BCD integrity validation.

Para obtener más información acerca de PCR 7, vea Registro de configuración de plataforma (PCR) en este tema.For more information about PCR 7, see Platform Configuration Register (PCR) in this topic.

Cuando está habilitado o no está configuradoWhen enabled or not configured BitLocker usa el arranque seguro para la integridad de la plataforma si la plataforma es capaz de validar la integridad basada en arranque seguro.BitLocker uses Secure Boot for platform integrity if the platform is capable of Secure Boot-based integrity validation.
Cuando está deshabilitadoWhen disabled BitLocker usa la validación de integridad de plataforma heredada, incluso en sistemas que son capaces de validar la integridad basada en arranque seguro.BitLocker uses legacy platform integrity validation, even on systems that are capable of Secure Boot-based integrity validation.

ReferenciaReference

El arranque seguro garantiza que el entorno de inicio previo del equipo cargue solo el firmware firmado digitalmente por los editores de software autorizados.Secure Boot ensures that the computer's preboot environment loads only firmware that is digitally signed by authorized software publishers. El arranque seguro también proporciona más flexibilidad para administrar configuraciones de inicio previo que las comprobaciones de integridad de BitLocker anteriores a Windows Server 2012 y Windows 8.Secure Boot also provides more flexibility for managing preboot configurations than BitLocker integrity checks prior to Windows Server 2012 and Windows 8. Cuando esta directiva está habilitada y el hardware es capaz de **** usar el arranque seguro para escenarios de BitLocker, se omite la configuración De directiva de grupo Usar perfil de validación de datos de configuración de arranque mejorada y El arranque seguro comprueba la configuración BCD de acuerdo con la configuración de directiva de arranque seguro, que se configura por separado de BitLocker.When this policy is enabled and the hardware is capable of using Secure Boot for BitLocker scenarios, the Use enhanced Boot Configuration Data validation profile Group Policy setting is ignored, and Secure Boot verifies BCD settings according to the Secure Boot policy setting, which is configured separately from BitLocker.

Advertencia

Deshabilitar esta directiva puede provocar la recuperación de BitLocker cuando se actualiza el firmware específico del fabricante.Disabling this policy might result in BitLocker recovery when manufacturer-specific firmware is updated. Si deshabilitas esta directiva, suspende BitLocker antes de aplicar actualizaciones de firmware.If you disable this policy, suspend BitLocker prior to applying firmware updates.

Proporcionar los identificadores únicos de la organizaciónProvide the unique identifiers for your organization

Esta configuración de directiva se usa para establecer un identificador que se aplica a todas las unidades cifradas en la organización.This policy setting is used to establish an identifier that is applied to all drives that are encrypted in your organization.

Descripción de la directivaPolicy description Con esta configuración de directiva, puedes asociar identificadores de organización únicos a una nueva unidad habilitada con BitLocker.With this policy setting, you can associate unique organizational identifiers to a new drive that is enabled with BitLocker.
IntroducidoIntroduced Windows Server 2008 R2 y Windows 7Windows Server 2008 R2 and Windows 7
Tipo de unidadDrive type Todas las unidadesAll drives
Ruta de la directivaPolicy path Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLockerComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption
ConflictosConflicts Los campos de identificación son necesarios para administrar agentes de recuperación de datos basados en certificados en unidades protegidas con BitLocker.Identification fields are required to manage certificate-based data recovery agents on BitLocker-protected drives. BitLocker administra y actualiza agentes de recuperación de datos basados en certificados solo cuando el campo de identificación está presente en una unidad y es idéntico al valor configurado en el equipo.BitLocker manages and updates certificate-based data recovery agents only when the identification field is present on a drive and it is identical to the value that is configured on the computer.
Cuando está habilitadoWhen enabled Puedes configurar el campo de identificación en la unidad protegida por BitLocker y cualquier campo de identificación permitido que utilice la organización.You can configure the identification field on the BitLocker-protected drive and any allowed identification field that is used by your organization.
Cuando está deshabilitado o no está configuradoWhen disabled or not configured El campo de identificación no es necesario.The identification field is not required.

ReferenciaReference

Estos identificadores se almacenan como el campo de identificación y el campo de identificación permitido.These identifiers are stored as the identification field and the allowed identification field. El campo de identificación te permite asociar un identificador de organización único a unidades protegidas por BitLocker.The identification field allows you to associate a unique organizational identifier to BitLocker-protected drives. Este identificador se agrega automáticamente a las nuevas unidades protegidas por BitLocker y se puede actualizar en las unidades protegidas por BitLocker existentes mediante la herramienta de línea de comandos Manage-bde.This identifier is automatically added to new BitLocker-protected drives, and it can be updated on existing BitLocker-protected drives by using the Manage-bde command-line tool.

Se requiere un campo de identificación para administrar agentes de recuperación de datos basados en certificados en unidades protegidas por BitLocker y para posibles actualizaciones del Lector de BitLocker To Go.An identification field is required to manage certificate-based data recovery agents on BitLocker-protected drives and for potential updates to the BitLocker To Go Reader. BitLocker administra y actualiza los agentes de recuperación de datos solo cuando el campo de identificación de la unidad coincide con el valor configurado en el campo de identificación.BitLocker manages and updates data recovery agents only when the identification field on the drive matches the value that is configured in the identification field. De forma similar, BitLocker actualiza el Lector de BitLocker To Go solo cuando el campo de identificación de la unidad coincide con el valor configurado para el campo de identificación.In a similar manner, BitLocker updates the BitLocker To Go Reader only when the identification field on the drive matches the value that is configured for the identification field.

Para obtener más información acerca de la herramienta para administrar BitLocker, vea Manage-bde.For more information about the tool to manage BitLocker, see Manage-bde.

El campo de identificación permitido se usa en combinación con la opción Denegar acceso de escritura a unidades extraíbles no protegidas por la configuración de directiva de BitLocker para ayudar a controlar el uso de unidades extraíbles en la organización.The allowed identification field is used in combination with the Deny write access to removable drives not protected by BitLocker policy setting to help control the use of removable drives in your organization. Es una lista separada por comas de campos de identificación de su organización o organizaciones externas.It is a comma-separated list of identification fields from your organization or external organizations.

Puede configurar los campos de identificación en las unidades existentes mediante la herramienta de línea de comandos Manage-bde.You can configure the identification fields on existing drives by using the Manage-bde command-line tool.

Cuando una unidad protegida con BitLocker se monta en otro equipo habilitado para BitLocker, el campo de identificación y el campo de identificación permitido se usan para determinar si la unidad es de una organización externa.When a BitLocker-protected drive is mounted on another BitLocker-enabled computer, the identification field and the allowed identification field are used to determine whether the drive is from an outside organization.

Se pueden especificar varios valores separados por comas en los campos de identificación y de identificación permitidos.Multiple values separated by commas can be entered in the identification and allowed identification fields. El campo de identificación puede ser cualquier valor de hasta 260 caracteres.The identification field can be any value up to 260 characters.

Impedir la sobrescritura de memoria al reiniciarPrevent memory overwrite on restart

Esta configuración de directiva se usa para controlar si la memoria del equipo se sobrescribirá la próxima vez que se reinicie el equipo.This policy setting is used to control whether the computer's memory will be overwritten the next time the computer is restarted.

Descripción de la directivaPolicy description Con esta configuración de directiva, puedes controlar el rendimiento del reinicio del equipo con el riesgo de exponer secretos de BitLocker.With this policy setting, you can control computer restart performance at the risk of exposing BitLocker secrets.
IntroducidoIntroduced Windows VistaWindows Vista
Tipo de unidadDrive type Todas las unidadesAll drives
Ruta de la directivaPolicy path Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLockerComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption
ConflictosConflicts NingunoNone
Cuando está habilitadoWhen enabled El equipo no sobrescribirá la memoria cuando se reinicie.The computer will not overwrite memory when it restarts. Impedir la sobrescritura de memoria puede mejorar el rendimiento del reinicio, pero aumenta el riesgo de exponer secretos de BitLocker.Preventing memory overwrite may improve restart performance, but it increases the risk of exposing BitLocker secrets.
Cuando está deshabilitado o no está configuradoWhen disabled or not configured Los secretos de BitLocker se quitan de la memoria cuando se reinicia el equipo.BitLocker secrets are removed from memory when the computer restarts.

ReferenciaReference

Esta configuración de directiva se aplica al activar BitLocker.This policy setting is applied when you turn on BitLocker. Los secretos de BitLocker incluyen material de clave que se usa para cifrar datos.BitLocker secrets include key material that is used to encrypt data. Esta configuración de directiva solo se aplica cuando la protección de BitLocker está habilitada.This policy setting applies only when BitLocker protection is enabled.

Configurar el perfil de validación de plataforma TPM para configuraciones de firmware basadas en BIOSConfigure TPM platform validation profile for BIOS-based firmware configurations

Esta configuración de directiva determina qué valores mide el TPM cuando valida los componentes de arranque anticipado antes de desbloquear una unidad del sistema operativo en un equipo con una configuración de BIOS o con el firmware UEFI que tiene habilitado el Módulo de compatibilidad (CSM).This policy setting determines what values the TPM measures when it validates early boot components before it unlocks an operating system drive on a computer with a BIOS configuration or with UEFI firmware that has the Compatibility Support Module (CSM) enabled.

Descripción de la directivaPolicy description Con esta configuración de directiva, puedes configurar cómo el hardware de seguridad tpm del equipo protege la clave de cifrado de BitLocker.With this policy setting, you can configure how the computer's TPM security hardware secures the BitLocker encryption key.
IntroducidoIntroduced Windows Server 2012 y Windows 8Windows Server 2012 and Windows 8
Tipo de unidadDrive type Unidades del sistema operativoOperating system drives
Ruta de la directivaPolicy path Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades del sistema operativoComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives
ConflictosConflicts NingunoNone
Cuando está habilitadoWhen enabled Puedes configurar los componentes de arranque que valida el TPM antes de desbloquear el acceso a la unidad del sistema operativo cifrado por BitLocker.You can configure the boot components that the TPM validates before unlocking access to the BitLocker-encrypted operating system drive. Si alguno de estos componentes cambia mientras la protección de BitLocker está en vigor, el TPM no libera la clave de cifrado para desbloquear la unidad.If any of these components change while BitLocker protection is in effect, the TPM does not release the encryption key to unlock the drive. En su lugar, el equipo muestra la consola de recuperación de BitLocker y requiere que se proporciona la contraseña de recuperación o la clave de recuperación para desbloquear la unidad.Instead, the computer displays the BitLocker Recovery console and requires that the recovery password or the recovery key is provided to unlock the drive.
Cuando está deshabilitado o no está configuradoWhen disabled or not configured El TPM usa el perfil de validación de plataforma predeterminado o el perfil de validación de plataforma especificado por el script de instalación.The TPM uses the default platform validation profile or the platform validation profile that is specified by the setup script.

ReferenciaReference

Esta configuración de directiva no se aplica si el equipo no tiene un TPM compatible o si BitLocker ya se ha activado con la protección de TPM.This policy setting does not apply if the computer does not have a compatible TPM or if BitLocker has already been turned on with TPM protection.

Importante

Esta configuración de directiva de grupo solo se aplica a equipos con configuraciones de BIOS o a equipos con firmware UEFI con el CSM habilitado.This Group Policy setting only applies to computers with BIOS configurations or to computers with UEFI firmware with the CSM enabled. Los equipos que usan una configuración de firmware UEFI nativa almacenan valores diferentes en los registros de configuración de plataforma (PCR).Computers that use a native UEFI firmware configuration store different values in the Platform Configuration Registers (PCRs). Use la configuración de directiva de grupo Configurar el perfil de validación de plataforma TPM para configuraciones de firmware UEFI nativas para configurar el perfil PCR tpm para equipos que usan firmware UEFI nativo.Use the Configure TPM platform validation profile for native UEFI firmware configurations Group Policy setting to configure the TPM PCR profile for computers that use native UEFI firmware.

Un perfil de validación de plataforma consta de un conjunto de índices de PCR que oscilan entre 0 y 23.A platform validation profile consists of a set of PCR indices that range from 0 to 23. El perfil de validación de plataforma predeterminado protege la clave de cifrado frente a los cambios realizados a continuación:The default platform validation profile secures the encryption key against changes to the following:

  • Raíz principal de confianza de medida (CRTM), BIOS y extensiones de plataforma (PCR 0)Core Root of Trust of Measurement (CRTM), BIOS, and Platform Extensions (PCR 0)
  • Código rom de opción (PCR 2)Option ROM Code (PCR 2)
  • Código de registro de arranque maestro (MBR) (PCR 4)Master Boot Record (MBR) Code (PCR 4)
  • Sector de arranque NTFS (PCR 8)NTFS Boot Sector (PCR 8)
  • Bloque de arranque NTFS (PCR 9)NTFS Boot Block (PCR 9)
  • Administrador de arranque (PCR 10)Boot Manager (PCR 10)
  • Control de acceso de BitLocker (PCR 11)BitLocker Access Control (PCR 11)

Nota

Cambiar desde el perfil de validación de plataforma predeterminado afecta a la seguridad y capacidad de administración del equipo.Changing from the default platform validation profile affects the security and manageability of your computer. La sensibilidad de BitLocker a las modificaciones de plataforma (malintencionadas o autorizadas) aumenta o disminuye en función de la inclusión o exclusión (respectivamente) de los PCR.BitLocker’s sensitivity to platform modifications (malicious or authorized) is increased or decreased depending on inclusion or exclusion (respectively) of the PCRs.

La siguiente lista identifica todos los PCR disponibles:The following list identifies all of the PCRs available:

  • PCR 0: Raíz de confianza principal para extensiones de medida, BIOS y plataformaPCR 0: Core root-of-trust for measurement, BIOS, and Platform extensions
  • PCR 1: Configuración y datos de plataforma y placa base.PCR 1: Platform and motherboard configuration and data.
  • PCR 2: Código rom de opciónPCR 2: Option ROM code
  • PCR 3: Configuración y datos de ROM de opciónPCR 3: Option ROM data and configuration
  • PCR 4: código de registro de arranque maestro (MBR)PCR 4: Master Boot Record (MBR) code
  • PCR 5: tabla de particiones de registro de arranque maestro (MBR)PCR 5: Master Boot Record (MBR) partition table
  • PCR 6: Eventos de activación y transición de estadoPCR 6: State transition and wake events
  • PCR 7: específico del fabricante del equipoPCR 7: Computer manufacturer-specific
  • PCR 8: sector de arranque NTFSPCR 8: NTFS boot sector
  • PCR 9: bloque de arranque NTFSPCR 9: NTFS boot block
  • PCR 10: Administrador de arranquePCR 10: Boot manager
  • PCR 11: control de acceso de BitLockerPCR 11: BitLocker access control
  • PCR 12-23: Reservado para uso futuroPCR 12-23: Reserved for future use

Configurar el perfil de validación de plataforma TPM (Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2)Configure TPM platform validation profile (Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2)

Esta configuración de directiva determina qué valores mide el TPM cuando valida los componentes de arranque anticipado antes de desbloquear una unidad en un equipo que ejecuta Windows Vista, Windows Server 2008 o Windows 7.This policy setting determines what values the TPM measures when it validates early boot components before unlocking a drive on a computer running Windows Vista, Windows Server 2008, or Windows 7.

Descripción de la directivaPolicy description Con esta configuración de directiva, puedes configurar cómo el hardware de seguridad tpm del equipo protege la clave de cifrado de BitLocker.With this policy setting, you can configure how the computer's TPM security hardware secures the BitLocker encryption key.
IntroducidoIntroduced Windows Server 2008 y Windows VistaWindows Server 2008 and Windows Vista
Tipo de unidadDrive type Unidades del sistema operativoOperating system drives
Ruta de la directivaPolicy path Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades del sistema operativoComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives
ConflictosConflicts NingunoNone
Cuando está habilitadoWhen enabled Puedes configurar los componentes de arranque que valida el TPM antes de desbloquear el acceso a la unidad del sistema operativo cifrado por BitLocker.You can configure the boot components that the TPM validates before unlocking access to the BitLocker-encrypted operating system drive. Si alguno de estos componentes cambia mientras la protección de BitLocker está en vigor, el TPM no libera la clave de cifrado para desbloquear la unidad.If any of these components change while BitLocker protection is in effect, the TPM does not release the encryption key to unlock the drive. En su lugar, el equipo muestra la consola de recuperación de BitLocker y requiere que se proporciona la contraseña de recuperación o la clave de recuperación para desbloquear la unidad.Instead, the computer displays the BitLocker Recovery console and requires that the recovery password or the recovery key is provided to unlock the drive.
Cuando está deshabilitado o no está configuradoWhen disabled or not configured El TPM usa el perfil de validación de plataforma predeterminado o el perfil de validación de plataforma especificado por el script de instalación.The TPM uses the default platform validation profile or the platform validation profile that is specified by the setup script.

ReferenciaReference

Esta configuración de directiva no se aplica si el equipo no tiene un TPM compatible o si BitLocker ya está activado con la protección de TPM.This policy setting does not apply if the computer does not have a compatible TPM or if BitLocker is already turned on with TPM protection.

Un perfil de validación de plataforma consta de un conjunto de índices de PCR que oscilan entre 0 y 23.A platform validation profile consists of a set of PCR indices that range from 0 to 23. El perfil de validación de plataforma predeterminado protege la clave de cifrado frente a los cambios realizados a continuación:The default platform validation profile secures the encryption key against changes to the following:

  • Raíz principal de confianza de medida (CRTM), BIOS y extensiones de plataforma (PCR 0)Core Root of Trust of Measurement (CRTM), BIOS, and Platform Extensions (PCR 0)
  • Código rom de opción (PCR 2)Option ROM Code (PCR 2)
  • Código de registro de arranque maestro (MBR) (PCR 4)Master Boot Record (MBR) Code (PCR 4)
  • Sector de arranque NTFS (PCR 8)NTFS Boot Sector (PCR 8)
  • Bloque de arranque NTFS (PCR 9)NTFS Boot Block (PCR 9)
  • Administrador de arranque (PCR 10)Boot Manager (PCR 10)
  • Control de acceso de BitLocker (PCR 11)BitLocker Access Control (PCR 11)

Nota

La configuración predeterminada del PCR de perfil de validación de TPM para equipos que usan una interfaz de firmware extensible (EFI) son solo los PCR 0, 2, 4 y 11.The default TPM validation profile PCR settings for computers that use an Extensible Firmware Interface (EFI) are the PCRs 0, 2, 4, and 11 only.

La siguiente lista identifica todos los PCR disponibles:The following list identifies all of the PCRs available:

  • PCR 0: raíz de confianza principal para los servicios de medición, arranque EFI y tiempo de ejecución, controladores EFI incrustados en la ROM del sistema, tablas estáticas ACPI, código SMM incrustado y código BIOSPCR 0: Core root-of-trust for measurement, EFI boot and run-time services, EFI drivers embedded in system ROM, ACPI static tables, embedded SMM code, and BIOS code
  • PCR 1: Configuración y datos de plataforma y placa base.PCR 1: Platform and motherboard configuration and data. Tablas de entrega y variables de EFI que afectan a la configuración del sistemaHand-off tables and EFI variables that affect system configuration
  • PCR 2: Código rom de opciónPCR 2: Option ROM code
  • PCR 3: Configuración y datos de ROM de opciónPCR 3: Option ROM data and configuration
  • PCR 4: código o código de registro de arranque maestro (MBR) de otros dispositivos de arranquePCR 4: Master Boot Record (MBR) code or code from other boot devices
  • PCR 5: tabla de partición de registro de arranque maestro (MBR).PCR 5: Master Boot Record (MBR) partition table. Varias variables EFI y la tabla GPTVarious EFI variables and the GPT table
  • PCR 6: Eventos de activación y transición de estadoPCR 6: State transition and wake events
  • PCR 7: específico del fabricante del equipoPCR 7: Computer manufacturer-specific
  • PCR 8: sector de arranque NTFSPCR 8: NTFS boot sector
  • PCR 9: bloque de arranque NTFSPCR 9: NTFS boot block
  • PCR 10: Administrador de arranquePCR 10: Boot manager
  • PCR 11: control de acceso de BitLockerPCR 11: BitLocker access control
  • PCR 12 - 23: Reservado para uso futuroPCR 12 - 23: Reserved for future use

Advertencia

Cambiar desde el perfil de validación de plataforma predeterminado afecta a la seguridad y capacidad de administración del equipo.Changing from the default platform validation profile affects the security and manageability of your computer. La sensibilidad de BitLocker a las modificaciones de plataforma (malintencionadas o autorizadas) aumenta o disminuye en función de la inclusión o exclusión (respectivamente) de los PCR.BitLocker's sensitivity to platform modifications (malicious or authorized) is increased or decreased depending on inclusion or exclusion (respectively) of the PCRs.

Configurar el perfil de validación de plataforma TPM para configuraciones nativas de firmware UEFIConfigure TPM platform validation profile for native UEFI firmware configurations

Esta configuración de directiva determina qué valores mide el TPM cuando valida los componentes de arranque anticipado antes de desbloquear una unidad del sistema operativo en un equipo con configuraciones de firmware UEFI nativas.This policy setting determines what values the TPM measures when it validates early boot components before unlocking an operating system drive on a computer with native UEFI firmware configurations.

Descripción de la directivaPolicy description Con esta configuración de directiva, puedes configurar cómo el hardware de seguridad del Módulo de plataforma segura (TPM) del equipo protege la clave de cifrado de BitLocker.With this policy setting, you can configure how the computer's Trusted Platform Module (TPM) security hardware secures the BitLocker encryption key.
IntroducidoIntroduced Windows Server 2012 y Windows 8Windows Server 2012 and Windows 8
Tipo de unidadDrive type Unidades del sistema operativoOperating system drives
Ruta de la directivaPolicy path Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades del sistema operativoComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives
ConflictosConflicts Si se omite esta directiva con PCR **** 7, se invalida la configuración permitir el arranque seguro para la validación de integridad de la directiva de grupo y se impide que BitLocker use el arranque seguro para la validación de integridad de datos de configuración de arranque (BCD) o plataforma,Setting this policy with PCR 7 omitted, overrides the Allow Secure Boot for integrity validation Group Policy setting, and it prevents BitLocker from using Secure Boot for platform or Boot Configuration Data (BCD) integrity validation,

Si los entornos usan tpm y arranque seguro para las comprobaciones de integridad de la plataforma, esta directiva no debe configurarse.If your environments use TPM and Secure Boot for platform integrity checks, this policy should not be configured.

Para obtener más información acerca de PCR 7, vea Registro de configuración de plataforma (PCR) en este tema.For more information about PCR 7, see Platform Configuration Register (PCR) in this topic.

Cuando está habilitadoWhen enabled Antes de activar BitLocker, puedes configurar los componentes de arranque que valida el TPM antes de desbloquear el acceso a la unidad del sistema operativo cifrada por BitLocker.Before you turn on BitLocker, you can configure the boot components that the TPM validates before it unlocks access to the BitLocker-encrypted operating system drive. Si alguno de estos componentes cambia mientras la protección de BitLocker está en vigor, el TPM no libera la clave de cifrado para desbloquear la unidad.If any of these components change while BitLocker protection is in effect, the TPM does not release the encryption key to unlock the drive. En su lugar, el equipo muestra la consola de recuperación de BitLocker y requiere que se proporciona la contraseña de recuperación o la clave de recuperación para desbloquear la unidad.Instead, the computer displays the BitLocker Recovery console and requires that the recovery password or the recovery key is provided to unlock the drive.
Cuando está deshabilitado o no está configuradoWhen disabled or not configured BitLocker usa el perfil de validación de plataforma predeterminado o el perfil de validación de plataforma especificado por el script de instalación.BitLocker uses the default platform validation profile or the platform validation profile that is specified by the setup script.

ReferenciaReference

Esta configuración de directiva no se aplica si el equipo no tiene un TPM compatible o si BitLocker ya está activado con la protección de TPM.This policy setting does not apply if the computer does not have a compatible TPM or if BitLocker is already turned on with TPM protection.

Importante

Esta configuración de directiva de grupo solo se aplica a equipos con una configuración de firmware UEFI nativa.This Group Policy setting only applies to computers with a native UEFI firmware configuration. Los equipos con firmware BIOS o UEFI con un módulo de compatibilidad (CSM) habilitado almacenan diferentes valores en los registros de configuración de plataforma (PCR).Computers with BIOS or UEFI firmware with a Compatibility Support Module (CSM) enabled store different values in the Platform Configuration Registers (PCRs). Use la configuración configurar el perfil de validación de plataforma TPM para configuraciones de firmware basadas en BIOS para configurar el perfil de TPM PCR para equipos con configuraciones de BIOS o para equipos con firmware UEFI con un CSM habilitado.Use the Configure TPM platform validation profile for BIOS-based firmware configurations Group Policy setting to configure the TPM PCR profile for computers with BIOS configurations or for computers with UEFI firmware with a CSM enabled.

Un perfil de validación de plataforma consta de un conjunto de índices de registro de configuración de plataforma (PCR) que van de 0 a 23.A platform validation profile consists of a set of Platform Configuration Register (PCR) indices ranging from 0 to 23. El perfil de validación de plataforma predeterminado protege la clave de cifrado contra los cambios en el código ejecutable del firmware del sistema principal (PCR 0), el código ejecutable extendido o conectable (PCR 2), el administrador de arranque (PCR 4) y el control de acceso de BitLocker (PCR 11).The default platform validation profile secures the encryption key against changes to the core system firmware executable code (PCR 0), extended or pluggable executable code (PCR 2), boot manager (PCR 4), and the BitLocker access control (PCR 11).

La siguiente lista identifica todos los PCR disponibles:The following list identifies all of the PCRs available:

  • PCR 0: Código ejecutable del firmware del sistema principalPCR 0: Core System Firmware executable code

  • PCR 1: Datos principales del firmware del sistemaPCR 1: Core System Firmware data

  • PCR 2: Código ejecutable extendido o conectablePCR 2: Extended or pluggable executable code

  • PCR 3: Datos de firmware extendidos o conectablesPCR 3: Extended or pluggable firmware data

  • PCR 4: Administrador de arranquePCR 4: Boot Manager

  • PCR 5: GPT/Tabla de particionesPCR 5: GPT/Partition Table

  • PCR 6: Reanudar desde eventos S4 y S5 Power StatePCR 6: Resume from S4 and S5 Power State Events

  • PCR 7: Estado de arranque seguroPCR 7: Secure Boot State

    Para obtener más información acerca de este PCR, vea Registro de configuración de plataforma (PCR) en este tema.For more information about this PCR, see Platform Configuration Register (PCR) in this topic.

  • PCR 8: Inicializado en 0 sin extensiones (reservado para uso futuro)PCR 8: Initialized to 0 with no Extends (reserved for future use)

  • PCR 9: Inicializado en 0 sin extensiones (reservado para uso futuro)PCR 9: Initialized to 0 with no Extends (reserved for future use)

  • PCR 10: Inicializado en 0 sin extensiones (reservado para uso futuro)PCR 10: Initialized to 0 with no Extends (reserved for future use)

  • PCR 11: control de acceso de BitLockerPCR 11: BitLocker access control

  • PCR 12: Eventos de datos y eventos altamente volátilesPCR 12: Data events and highly volatile events

  • PCR 13: Detalles del módulo de arranquePCR 13: Boot Module Details

  • PCR 14: Autoridades de arranquePCR 14: Boot Authorities

  • PCR 15 – 23: Reservado para uso futuroPCR 15 – 23: Reserved for future use

Advertencia

Cambiar desde el perfil de validación de plataforma predeterminado afecta a la seguridad y capacidad de administración del equipo.Changing from the default platform validation profile affects the security and manageability of your computer. La sensibilidad de BitLocker a las modificaciones de plataforma (malintencionadas o autorizadas) aumenta o disminuye en función de la inclusión o exclusión (respectivamente) de los PCR.BitLocker's sensitivity to platform modifications (malicious or authorized) is increased or decreased depending on inclusion or exclusion (respectively) of the PCRs.

Restablecer los datos de validación de la plataforma después de la recuperación de BitLockerReset platform validation data after BitLocker recovery

Esta configuración de directiva determina si quieres que los datos de validación de la plataforma se actualicen cuando Windows se inicia después de una recuperación de BitLocker.This policy setting determines if you want platform validation data to refresh when Windows is started following a BitLocker recovery. Un perfil de datos de validación de plataforma consta de los valores de un conjunto de índices de registro de configuración de plataforma (PCR) que oscilan entre 0 y 23.A platform validation data profile consists of the values in a set of Platform Configuration Register (PCR) indices that range from 0 to 23.

Descripción de la directivaPolicy description Con esta configuración de directiva, puedes controlar si los datos de validación de la plataforma se actualizan cuando Windows se inicia después de una recuperación de BitLocker.With this policy setting, you can control whether platform validation data is refreshed when Windows is started following a BitLocker recovery.
IntroducidoIntroduced Windows Server 2012 y Windows 8Windows Server 2012 and Windows 8
Tipo de unidadDrive type Unidades del sistema operativoOperating system drives
Ruta de la directivaPolicy path Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades del sistema operativoComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives
ConflictosConflicts NingunoNone
Cuando está habilitadoWhen enabled Los datos de validación de la plataforma se actualizan cuando Windows se inicia después de una recuperación de BitLocker.Platform validation data is refreshed when Windows is started following a BitLocker recovery.
Cuando está deshabilitadoWhen disabled Los datos de validación de la plataforma no se actualizan cuando Windows se inicia después de una recuperación de BitLocker.Platform validation data is not refreshed when Windows is started following a BitLocker recovery.
Cuando no está configuradoWhen not configured Los datos de validación de la plataforma se actualizan cuando Windows se inicia después de una recuperación de BitLocker.Platform validation data is refreshed when Windows is started following a BitLocker recovery.

ReferenciaReference

Para obtener más información sobre el proceso de recuperación, consulta la guía de recuperación de BitLocker.For more information about the recovery process, see the BitLocker recovery guide.

Usar perfil de validación de datos de configuración de arranque mejoradoUse enhanced Boot Configuration Data validation profile

Esta configuración de directiva determina la configuración de datos de configuración de arranque (BCD) específicas para comprobar durante la validación de la plataforma.This policy setting determines specific Boot Configuration Data (BCD) settings to verify during platform validation. Una validación de plataforma usa los datos del perfil de validación de la plataforma, que consta de un conjunto de índices del Registro de configuración de plataforma (PCR) que van de 0 a 23.A platform validation uses the data in the platform validation profile, which consists of a set of Platform Configuration Register (PCR) indices that range from 0 to 23.

Descripción de la directivaPolicy description Con esta configuración de directiva, puede especificar la configuración de datos de configuración de arranque (BCD) para comprobarla durante la validación de la plataforma.With this policy setting, you can specify Boot Configuration Data (BCD) settings to verify during platform validation.
IntroducidoIntroduced Windows Server 2012 y Windows 8Windows Server 2012 and Windows 8
Tipo de unidadDrive type Unidades del sistema operativoOperating system drives
Ruta de la directivaPolicy path Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades del sistema operativoComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives
ConflictosConflicts Cuando BitLocker usa el arranque seguro para la **** validación de integridad de datos de configuración de arranque y **** plataforma, se omite la configuración de directiva de grupo Usar perfil de validación de datos de configuración de arranque mejorado (tal como se define en la configuración Permitir el arranque seguro para la validación de integridad de la directiva de grupo).When BitLocker is using Secure Boot for platform and Boot Configuration Data integrity validation, the Use enhanced Boot Configuration Data validation profile Group Policy setting is ignored (as defined by the Allow Secure Boot for integrity validation Group Policy setting).
Cuando está habilitadoWhen enabled Puede agregar configuraciones BCD adicionales, excluir la configuración de BCD que especifique o combinar listas de inclusión y exclusión para crear un perfil de validación BCD personalizado, lo que le permite comprobar dicha configuración de BCD.You can add additional BCD settings, exclude the BCD settings you specify, or combine inclusion and exclusion lists to create a customized BCD validation profile, which gives you the ability to verify those BCD settings.
Cuando está deshabilitadoWhen disabled El equipo vuelve a una validación de perfil BCD similar al perfil BCD predeterminado que usa Windows 7.The computer reverts to a BCD profile validation similar to the default BCD profile that is used by Windows 7.
Cuando no está configuradoWhen not configured El equipo comprueba la configuración predeterminada de BCD en Windows.The computer verifies the default BCD settings in Windows.

ReferenciaReference

Nota

La configuración que controla la depuración de arranque (0x16000010) siempre se valida y no tiene ningún efecto si se incluye en la lista de inclusión o exclusión.The setting that controls boot debugging (0x16000010) is always validated, and it has no effect if it is included in the inclusion or the exclusion list.

Permitir el acceso a unidades de datos fijas protegidas por BitLocker desde versiones anteriores de WindowsAllow access to BitLocker-protected fixed data drives from earlier versions of Windows

Esta configuración de directiva se usa para controlar si se permite el acceso a las unidades mediante el lector de BitLocker To Go y si la aplicación está instalada en la unidad.This policy setting is used to control whether access to drives is allowed by using the BitLocker To Go Reader, and if the application is installed on the drive.

Descripción de la directivaPolicy description Con esta configuración de directiva, puedes configurar si las unidades de datos fijas que tienen formato con el sistema de archivos FAT se pueden desbloquear y ver en equipos que ejecutan Windows Vista, Windows XP con Service Pack 3 (SP3) o Windows XP con Service Pack 2 (SP2).With this policy setting, you can configure whether fixed data drives that are formatted with the FAT file system can be unlocked and viewed on computers running Windows Vista, Windows XP with Service Pack 3 (SP3), or Windows XP with Service Pack 2 (SP2).
IntroducidoIntroduced Windows Server 2008 R2 y Windows 7Windows Server 2008 R2 and Windows 7
Tipo de unidadDrive type Unidades de datos fijasFixed data drives
Ruta de la directivaPolicy path Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades de datos fijasComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Fixed Data Drives
ConflictosConflicts NingunoNone
Cuando está habilitado y Cuando no está configuradoWhen enabled and When not configured Las unidades de datos fijas que tienen formato con el sistema de archivos FAT se pueden desbloquear en equipos que ejecutan Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2 y su contenido se puede ver.Fixed data drives that are formatted with the FAT file system can be unlocked on computers running Windows Server 2008, Windows Vista, Windows XP with SP3, or Windows XP with SP2, and their content can be viewed. Estos sistemas operativos tienen acceso de solo lectura a unidades protegidas por BitLocker.These operating systems have Read-only access to BitLocker-protected drives.
Cuando está deshabilitadoWhen disabled Las unidades de datos fijas que tienen formato con el sistema de archivos FAT y están protegidas con BitLocker no se pueden desbloquear en equipos que ejecutan Windows Vista, Windows XP con SP3 o Windows XP con SP2.Fixed data drives that are formatted with the FAT file system and are BitLocker-protected cannot be unlocked on computers running Windows Vista, Windows XP with SP3, or Windows XP with SP2. BitLocker To Go Reader (bitlockertogo.exe) no está instalado.BitLocker To Go Reader (bitlockertogo.exe) is not installed.

ReferenciaReference

Nota

Esta configuración de directiva no se aplica a las unidades con formato con el sistema de archivos NTFS.This policy setting does not apply to drives that are formatted with the NTFS file system.

Cuando esta configuración de directiva esté habilitada, active la casilla No instalar BitLocker To Go Reader en unidades fijas con formato FAT para ayudar a evitar que los usuarios ejecuten BitLocker To Go Reader desde sus unidades fijas.When this policy setting is enabled, select the Do not install BitLocker To Go Reader on FAT formatted fixed drives check box to help prevent users from running BitLocker To Go Reader from their fixed drives. Si BitLocker To Go Reader (bitlockertogo.exe) está presente en una unidad que no tiene un campo de identificación especificado, o si la unidad tiene el mismo campo de identificación especificado en la configuración Proporcionar identificadores únicos para la directiva de la organización, se pedirá al usuario que actualice BitLocker y bitLocker para ir al lector se elimina de la unidad.If BitLocker To Go Reader (bitlockertogo.exe) is present on a drive that does not have an identification field specified, or if the drive has the same identification field as specified in the Provide unique identifiers for your organization policy setting, the user is prompted to update BitLocker, and BitLocker To Go Reader is deleted from the drive. En esta situación, para que la unidad fija se desbloquee en equipos que ejecutan Windows Vista, Windows XP con SP3 o Windows XP con SP2, BitLocker To Go Reader debe estar instalado en el equipo.In this situation, for the fixed drive to be unlocked on computers running Windows Vista, Windows XP with SP3, or Windows XP with SP2, BitLocker To Go Reader must be installed on the computer. Si esta casilla no está activada, BitLocker To Go Reader se instalará en la unidad fija para permitir a los usuarios desbloquear la unidad en equipos que ejecutan Windows Vista, Windows XP con SP3 o Windows XP con SP2.If this check box is not selected, BitLocker To Go Reader will be installed on the fixed drive to enable users to unlock the drive on computers running Windows Vista, Windows XP with SP3, or Windows XP with SP2.

Permitir el acceso a unidades de datos extraíbles protegidas por BitLocker desde versiones anteriores de WindowsAllow access to BitLocker-protected removable data drives from earlier versions of Windows

Esta configuración de directiva controla el acceso a unidades de datos extraíbles que usan el lector BitLocker To Go y si el lector de BitLocker To Go se puede instalar en la unidad.This policy setting controls access to removable data drives that are using the BitLocker To Go Reader and whether the BitLocker To Go Reader can be installed on the drive.

Descripción de la directivaPolicy description Con esta configuración de directiva, puedes configurar si las unidades de datos extraíbles que tienen formato con el sistema de archivos FAT se pueden desbloquear y ver en equipos que ejecutan Windows Vista, Windows XP con SP3 o Windows XP con SP2.With this policy setting, you can configure whether removable data drives that are formatted with the FAT file system can be unlocked and viewed on computers running Windows Vista, Windows XP with SP3, or Windows XP with SP2.
IntroducidoIntroduced Windows Server 2008 R2 y Windows 7Windows Server 2008 R2 and Windows 7
Tipo de unidadDrive type Unidades de datos extraíblesRemovable data drives
Ruta de la directivaPolicy path Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades de datos extraíblesComputer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Removable Data Drives
ConflictosConflicts NingunoNone
Cuando está habilitado y Cuando no está configuradoWhen enabled and When not configured Las unidades de datos extraíbles con formato con el sistema de archivos FAT se pueden desbloquear en equipos que ejecutan Windows Vista, Windows XP con SP3 o Windows XP con SP2 y su contenido se puede ver.Removable data drives that are formatted with the FAT file system can be unlocked on computers running Windows Vista, Windows XP with SP3, or Windows XP with SP2, and their content can be viewed. Estos sistemas operativos tienen acceso de solo lectura a unidades protegidas por BitLocker.These operating systems have Read-only access to BitLocker-protected drives.
Cuando está deshabilitadoWhen disabled Las unidades de datos extraíbles con formato con el sistema de archivos FAT protegidos por BitLocker no se pueden desbloquear en equipos que ejecutan Windows Vista, Windows XP con SP3 o Windows XP con SP2.Removable data drives that are formatted with the FAT file system that are BitLocker-protected cannot be unlocked on computers running Windows Vista, Windows XP with SP3, or Windows XP with SP2. BitLocker To Go Reader (bitlockertogo.exe) no está instalado.BitLocker To Go Reader (bitlockertogo.exe) is not installed.

ReferenciaReference

Nota

Esta configuración de directiva no se aplica a las unidades con formato con el sistema de archivos NTFS.This policy setting does not apply to drives that are formatted with the NTFS file system.

Cuando esta configuración de directiva esté habilitada, active la casilla No instalar BitLocker To Go Reader en unidades extraíbles con formato FAT para ayudar a evitar que los usuarios ejecuten BitLocker To Go Reader desde sus unidades extraíbles.When this policy setting is enabled, select the Do not install BitLocker To Go Reader on FAT formatted removable drives check box to help prevent users from running BitLocker To Go Reader from their removable drives. Si BitLocker To Go Reader (bitlockertogo.exe) está presente en una unidad que no tiene un campo de identificación especificado, o si la unidad tiene el mismo campo de identificación especificado en la configuración Proporcionar identificadores únicos para la directiva de la organización, se pedirá al usuario que actualice BitLocker y bitLocker para ir al lector se eliminará de la unidad.If BitLocker To Go Reader (bitlockertogo.exe) is present on a drive that does not have an identification field specified, or if the drive has the same identification field as specified in the Provide unique identifiers for your organization policy setting, the user will be prompted to update BitLocker, and BitLocker To Go Reader is deleted from the drive. En esta situación, para que la unidad extraíble se desbloquee en equipos que ejecutan Windows Vista, Windows XP con SP3 o Windows XP con SP2, BitLocker To Go Reader debe estar instalado en el equipo.In this situation, for the removable drive to be unlocked on computers running Windows Vista, Windows XP with SP3, or Windows XP with SP2, BitLocker To Go Reader must be installed on the computer. Si esta casilla no está activada, bitLocker to go reader se instalará en la unidad extraíble para permitir a los usuarios desbloquear la unidad en equipos que ejecutan Windows Vista, Windows XP con SP3 o Windows XP con SP2 que no tienen instalado bitLocker To Go Reader.If this check box is not selected, BitLocker To Go Reader will be installed on the removable drive to enable users to unlock the drive on computers running Windows Vista, Windows XP with SP3, or Windows XP with SP2 that do not have BitLocker To Go Reader installed.

Configuración fipsFIPS setting

Puede configurar la configuración del Estándar federal de procesamiento de información (FIPS) para el cumplimiento de FIPS.You can configure the Federal Information Processing Standard (FIPS) setting for FIPS compliance. Como efecto del cumplimiento de FIPS, los usuarios no pueden crear ni guardar una contraseña de BitLocker para su recuperación o como protector de clave.As an effect of FIPS compliance, users cannot create or save a BitLocker password for recovery or as a key protector. Se permite el uso de una clave de recuperación.The use of a recovery key is permitted.

Descripción de la directivaPolicy description NotasNotes
IntroducidoIntroduced Windows Server 2003 con SP1Windows Server 2003 with SP1
Tipo de unidadDrive type Todo el sistemaSystem-wide
Ruta de la directivaPolicy path Directivas locales\Opciones de seguridad\Criptografía del sistema: usar algoritmos compatibles con FIPS para cifrado, hash y firmaLocal Policies\Security Options\System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing
ConflictosConflicts Algunas aplicaciones, como Terminal Services, no admiten FIPS-140 en todos los sistemas operativos.Some applications, such as Terminal Services, do not support FIPS-140 on all operating systems.
Cuando está habilitadoWhen enabled Los usuarios no podrán guardar una contraseña de recuperación en ninguna ubicación.Users will be unable to save a recovery password to any location. Esto incluye AD DS y carpetas de red.This includes AD DS and network folders. Además, no puedes usar WMI ni el Asistente para configurar el cifrado de unidad BitLocker para crear una contraseña de recuperación.In addition, you cannot use WMI or the BitLocker Drive Encryption Setup wizard to create a recovery password.
Cuando está deshabilitado o no está configuradoWhen disabled or not configured No se genera ninguna clave de cifrado de BitLockerNo BitLocker encryption key is generated

ReferenciaReference

Esta directiva debe habilitarse antes de que se genere cualquier clave de cifrado para BitLocker.This policy needs to be enabled before any encryption key is generated for BitLocker. Tenga en cuenta que cuando esta directiva está habilitada, BitLocker impide crear o usar contraseñas de recuperación, por lo que las claves de recuperación deben usarse en su lugar.Note that when this policy is enabled, BitLocker prevents creating or using recovery passwords, so recovery keys should be used instead.

Puedes guardar la clave de recuperación opcional en una unidad USB.You can save the optional recovery key to a USB drive. Dado que las contraseñas de recuperación no se pueden guardar en AD DS cuando FIPS está habilitada, se produce un error si la directiva de grupo requiere la copia de seguridad de AD DS.Because recovery passwords cannot be saved to AD DS when FIPS is enabled, an error is caused if AD DS backup is required by Group Policy.

Puedes editar la configuración de FIPS mediante el Editor de directivas de seguridad (Secpol.msc) o editando el Registro de Windows.You can edit the FIPS setting by using the Security Policy Editor (Secpol.msc) or by editing the Windows registry. Debe ser administrador para realizar estos procedimientos.You must be an administrator to perform these procedures.

Para obtener más información acerca de la configuración de esta directiva, vea Criptografía del sistema: Usar algoritmos compatibles con FIPS para cifrado, hash y firma.For more information about setting this policy, see System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing.

Configuración de directiva de grupo de administración de energía: suspensión e hibernaciónPower management Group Policy settings: Sleep and Hibernate

La configuración de energía predeterminada de un equipo hará que el equipo entre en modo de suspensión con frecuencia para conservar la energía cuando está inactivo y para ayudar a extender la duración de la batería del sistema.PCs default power settings for a computer will cause the computer to enter Sleep mode frequently to conserve power when idle and to help extend the system’s battery life. Cuando un equipo pasa a Suspensión, los programas y documentos abiertos se conservan en la memoria.When a computer transitions to Sleep, open programs and documents are persisted in memory. Cuando un equipo se reanuda desde Suspensión, no es necesario que los usuarios vuelvan a autenticarse con un PIN o una clave de inicio USB para obtener acceso a datos cifrados.When a computer resumes from Sleep, users are not required to re-authenticate with a PIN or USB startup key to access encrypted data. Esto puede provocar condiciones en las que la seguridad de los datos está en peligro.This might lead to conditions where data security is compromised.

Sin embargo, cuando un equipo hiberna la unidad está bloqueada y cuando se reanuda desde la hibernación, la unidad se desbloquea, lo que significa que los usuarios tendrán que proporcionar un PIN o una clave de inicio si usan la autenticación multifactor con BitLocker.However, when a computer hibernates the drive is locked, and when it resumes from hibernation the drive is unlocked, which means that users will need to provide a PIN or a startup key if using multifactor authentication with BitLocker. Por lo tanto, es posible que las organizaciones que usan BitLocker quieran usar Hibernate en lugar de Sleep para mejorar la seguridad.Therefore, organizations that use BitLocker may want to use Hibernate instead of Sleep for improved security. Esta configuración no tiene un impacto en el modo de solo TPM, ya que proporciona una experiencia de usuario transparente al inicio y al reanudar desde los estados hibernados.This setting does not have an impact on TPM-only mode, because it provides a transparent user experience at startup and when resuming from the Hibernate states.

Puede deshabilitar la siguiente configuración de directiva de grupo, que se encuentra en Configuración del equipo\Plantillas administrativas\Sistema\Administración de energía para deshabilitar todos los estados de suspensión disponibles:You can use disable the following Group Policy settings, which are located in Computer Configuration\Administrative Templates\System\Power Management to disable all available sleep states:

  • Permitir estados de espera (S1-S3) al dormir (conectado)Allow Standby States (S1-S3) When Sleeping (Plugged In)
  • Permitir estados de espera (S1-S3) al dormir (batería)Allow Standby States (S1-S3) When Sleeping (Battery)

Acerca del Registro de configuración de plataforma (PCR)About the Platform Configuration Register (PCR)

Un perfil de validación de plataforma consta de un conjunto de índices de PCR que oscilan entre 0 y 23.A platform validation profile consists of a set of PCR indices that range from 0 to 23. El ámbito de los valores puede ser específico de la versión del sistema operativo.The scope of the values can be specific to the version of the operating system.

Cambiar desde el perfil de validación de plataforma predeterminado afecta a la seguridad y capacidad de administración del equipo.Changing from the default platform validation profile affects the security and manageability of your computer. La sensibilidad de BitLocker a las modificaciones de plataforma (malintencionadas o autorizadas) aumenta o disminuye en función de la inclusión o exclusión (respectivamente) de los PCR.BitLocker’s sensitivity to platform modifications (malicious or authorized) is increased or decreased depending on inclusion or exclusion (respectively) of the PCRs.

Acerca de PCR 7About PCR 7

PCR 7 mide el estado de arranque seguro.PCR 7 measures the state of Secure Boot. Con PCR 7, BitLocker puede aprovechar el arranque seguro para la validación de integridad.With PCR 7, BitLocker can leverage Secure Boot for integrity validation. El arranque seguro garantiza que el entorno de inicio previo del equipo cargue solo el firmware firmado digitalmente por los editores de software autorizados.Secure Boot ensures that the computer's preboot environment loads only firmware that is digitally signed by authorized software publishers. Las medidas de PCR 7 indican si el arranque seguro está en y qué claves son de confianza en la plataforma.PCR 7 measurements indicate whether Secure Boot is on and which keys are trusted on the platform. Si el arranque seguro está en funcionamiento y el firmware mide PCR 7 correctamente según la especificación UEFI, BitLocker puede enlazarse a esta información en lugar de a los PCR 0, 2 y 4 que tienen las medidas del firmware exacto y las imágenes bootmgr cargadas.If Secure Boot is on and the firmware measures PCR 7 correctly per the UEFI specification, BitLocker can bind to this information rather than to PCRs 0, 2, and 4 which have the measurements of the exact firmware and Bootmgr images loaded. Esto reduce la probabilidad de que BitLocker comience en modo de recuperación como resultado de las actualizaciones de firmware y de imagen, y proporciona una mayor flexibilidad para administrar la configuración de inicio previo.This reduces the likelihood of BitLocker starting in recovery mode as a result of firmware and image updates, and it provides you with greater flexibility to manage the preboot configuration.

Las medidas de PCR 7 deben seguir las instrucciones que se describen en el apéndice A Trusted Execution Environment EFI Protocol.PCR 7 measurements must follow the guidance that is described in Appendix A Trusted Execution Environment EFI Protocol.

Las medidas de PCR 7 son un requisito obligatorio de logotipo para sistemas que admiten el modo de espera moderno (también conocido como Equipos siempre conectados), como Microsoft Surface RT.PCR 7 measurements are a mandatory logo requirement for systems that support Modern Standby (also known as Always On, Always Connected PCs), such as the Microsoft Surface RT. En estos sistemas, si el TPM con la medida pcr 7 y el arranque seguro están configurados correctamente, BitLocker se enlaza a PCR 7 y PCR 11 de forma predeterminada.On such systems, if the TPM with PCR 7 measurement and Secure Boot are correctly configured, BitLocker binds to PCR 7 and PCR 11 by default.

Consulte tambiénSee also