BitLocker

Se aplica a

  • Windows 10

Este tema proporciona una descripción general de alto nivel de BitLocker, incluida una lista de requisitos del sistema, aplicaciones prácticas y características en desuso.

Información general de BitLocker

Cifrado de unidad BitLocker es una característica de protección de datos que se integra en el sistema operativo y soluciona las amenazas de robo o exposición de datos de equipos perdidos, sustraídos o retirados inadecuadamente.

BitLocker ofrece la máxima protección cuando se usa con un módulo de plataforma segura (TPM) 1.2 o posterior. El TPM es un componente de hardware instalado en muchos equipos nuevos por los fabricantes de equipos. Funciona con BitLocker para ayudar a proteger los datos de usuario y para garantizar que un equipo no se haya manipulado mientras el sistema estaba sin conexión.

En los equipos que no tienen un TPM versión 1.2 o posterior, todavía puede usar BitLocker para cifrar la unidad del sistema operativo Windows. Sin embargo, esta implementación requerirá que el usuario inserte una clave de inicio USB para iniciar el equipo o reanudarlo del modo de hibernación. A partir de Windows 8, puedes usar una contraseña de volumen del sistema operativo para proteger el volumen del sistema operativo en un equipo sin TPM. Ambas opciones no proporcionan la comprobación de integridad del sistema previa al inicio ofrecida por BitLocker con un TPM.

Además del TPM, BitLocker ofrece la opción de bloquear el proceso de inicio normal hasta que el usuario proporcione un número de identificación personal (PIN) o inserte un dispositivo extraíble, como una unidad flash USB, que contenga una clave de inicio. Estas medidas de seguridad adicionales proporcionan autenticación multifactor y la garantía de que el equipo no se inicia o reanuda desde la hibernación hasta que se ofrezca el PIN o la clave de inicio correctos.

Aplicaciones prácticas

Los datos de un equipo perdido o robado son vulnerables a un acceso no autorizado, mediante la ejecución de una herramienta de ataques de software contra ellos o mediante la transferencia del disco duro del equipo a otro equipo. BitLocker ayuda a mitigar el acceso a datos no autorizados mejorando las protecciones de archivo y de sistema. BitLocker también ayuda a convertir los datos en inaccesibles cuando se retiran o reciclan equipos protegidos con BitLocker.

Hay dos herramientas adicionales en las herramientas de administración remota del servidor, que puedes usar para administrar BitLocker.

  • Visor de contraseñas de recuperación de BitLocker. El Visor de contraseñas de recuperación de BitLocker te permite buscar y ver las contraseñas de recuperación de cifrado de unidad BitLocker a las que se haya hecho una copia de seguridad en los servicios de dominio de Active Directory (AD DS). Puedes usar esta herramienta para ayudar a recuperar datos que están almacenados en una unidad cifrada mediante el uso de BitLocker. La herramienta Visor de contraseñas de recuperación de BitLocker es una extensión del complemento Microsoft Management Console (MMC) de Usuarios y equipos de Active Directory. Con esta herramienta, puedes examinar el cuadro de diálogo Propiedades de un objeto del equipo para ver las contraseñas de recuperación de BitLocker correspondientes. Además, puedes hacer clic con el botón derecho en un contenedor de dominio y, a continuación, buscar una contraseña de recuperación de BitLocker en todos los dominios del bosque de Active Directory. Para ver las contraseñas de recuperación, debes ser un administrador de dominio o debes tener delegados los permisos de administrador de dominio.

  • Herramientas de cifrado de unidad de BitLocker. Las herramientas de cifrado de unidad BitLocker incluyen las herramientas de línea de comandos manage-bde y repair-bde, y los cmdlets de BitLocker para Windows PowerShell. Tanto manage-bde como los cmdlets de BitLocker pueden usarse para realizar cualquier tarea procesable a través del panel de control de BitLocker y son adecuados para implementaciones automatizadas y otros escenarios de scripts. Repair-bde se proporciona para escenarios de recuperación ante desastres en los que una unidad protegida con BitLocker no se puede desbloquear con normalidad o mediante la consola de recuperación.

Funcionalidad nueva y modificada

Para obtener información sobre las novedades de BitLocker para Windows10, como la compatibilidad con el algoritmo de cifrado XTS-AES, consulte la sección " novedades de Windows 10".

Requisitos del sistema

BitLocker presenta los siguientes requisitos de hardware:

Para que BitLocker use la comprobación de integridad del sistema proporcionada por un módulo de plataforma segura (TPM), el equipo debe tener TPM 1.2 o posterior. Si el equipo no tiene un TPM, la habilitación de BitLocker requiere que guardes una clave de inicio en un dispositivo extraíble, como una unidad flash USB.

Un equipo con un TPM también debe tener un firmware de BIOS o UEFI compatible con Trusted Computing Group (TCG). El firmware de BIOS o UEFI establece una cadena de confianza para el inicio del sistema preoperativo, y debe incluir compatibilidad con la raíz estática de Trust Measurement especificada por TCG. Un equipo sin un TPM no requiere firmware compatible con TCG.

El firmware de BIOS o UEFI del sistema (para equipos TPM y no TPM) debe admitir la clase de dispositivo de almacenamiento masivo USB, lo que incluye la lectura de pequeños archivos de una unidad flash USB en el entorno de sistema preoperativo.

Nota

El TPM 2,0 no es compatible con los modos heredado y CSM del BIOS. Los dispositivos con TPM 2,0 deben tener el modo de BIOS configurado solo con UEFI nativo. Las opciones de Legacy and Compatibility support Module (CSM) deben estar deshabilitadas. Para una mayor seguridad, habilita la característica de arranque seguro.

El sistema operativo instalado en hardware en modo heredado impedirá que el sistema operativo se arranque cuando el modo de BIOS se cambie a UEFI. Use la herramienta MBR2GPT antes de cambiar el modo de BIOS, que preparará el sistema operativo y el disco para admitir UEFI.

El disco duro debe particionarse con al menos dos unidades:

  • La unidad del sistema operativo (o la unidad de arranque) contiene el sistema operativo y sus archivos de compatibilidad. Debe estar formateada con el sistema de archivos NTFS.
  • La unidad del sistema contiene los archivos que son necesarios para cargar Windows después de que el firmware haya preparado el hardware del sistema. BitLocker no está habilitado en esta unidad. Para que funcione BitLocker, la unidad del sistema no debe estar cifrada, debe ser diferente de la unidad del sistema operativo y debe estar formateada con el sistema de archivos FAT32 en equipos que usan firmware basado en UEFI o con el sistema de archivos NTFS en equipos que usan firmware BIOS. Recomendamos que la unidad del sistema tenga un tamaño aproximado de 350 MB. Una vez activado BitLocker, debe tener aproximadamente 250 MB de espacio libre.

Cuando se instala en un equipo nuevo, Windows crea automáticamente las particiones que son necesarias para BitLocker.

Cuando se instala el componente opcional de BitLocker en un servidor, también deberás instalar la característica de almacenamiento mejorado, que se usa para admitir unidades cifradas de hardware.

En esta sección

Tema Descripción
Descripción general del cifrado de dispositivo de BitLocker en Windows 10 Este tema para los profesionales de TI ofrece información general acerca de las formas que en que el cifrado de dispositivo de BitLocker puede ayudar a proteger los datos de dispositivos que ejecutan Windows 10.
Preguntas más frecuentes (P+F) de BitLocker En este tema para profesionales de TI se responden preguntas frecuentes relativas a los requisitos de uso, actualización, implementación y administración, así como directivas de administración de claves de BitLocker.
Prepara tu organización para BitLocker: planeación y directivas En este tema para profesionales de TI se explica cómo puedes planear la implementación de BitLocker.
Implementación básica de BitLocker En este tema para profesionales de TI se explica cómo se pueden usar las características de BitLocker para proteger los datos mediante el cifrado de unidad.
BitLocker: cómo implementar en Windows Server Este tema para el profesional de ti explica cómo implementar BitLocker en Windows Server.
BitLocker: Cómo habilitar el desbloqueo en red En este tema para profesionales de TI se describe cómo funciona el desbloqueo de BitLocker en red y cómo configurarlo.
BitLocker: Usar herramientas de cifrado de unidad BitLocker para administrar BitLocker En este tema para profesionales de TI se describe cómo usar las herramientas para administrar BitLocker.
BitLocker: Usar el Visor de contraseñas de recuperación de BitLocker En este tema para profesionales de TI se describe cómo usar el Visor de contraseñas de recuperación de BitLocker.
Configuración de las directivas de grupo de BitLocker Este tema para profesionales de TI describe el funcionamiento, la ubicación y el efecto de cada configuración de directivas de grupo que se usa para administrar BitLocker.
Configuraciones de BCD y BitLocker En este tema para profesionales de TI se describe la configuración de BCD que usa BitLocker.
Guía de recuperación de BitLocker En este tema para profesionales de TI se describe cómo recuperar las claves de BitLocker de AD DS.
Proteger BitLocker frente a ataques de prearranque Esta guía detallada le ayudará a comprender las circunstancias en las que se recomienda el uso de la autenticación preiniciada para los dispositivos con Windows 8,1, Windows 8 o Windows 7; y cuándo se puede omitir de forma segura en la configuración de un dispositivo.
Protección de volúmenes compartidos de clúster y redes de área de almacenamiento con BitLocker En este tema para profesionales de TI se describe cómo proteger archivos CSV y SAN con BitLocker.
Habilitar el arranque seguro y el cifrado de dispositivo de BitLocker en Windows 10 IoT Core En este tema se explica cómo usar BitLocker con Windows 10 IoT Core