Guía de recuperación de BitLockerBitLocker recovery guide

Se aplica a:Applies to:

  • Windows 10Windows 10

En este artículo para profesionales de TI se describe cómo recuperar las claves de BitLocker de AD DS.This article for IT professionals describes how to recover BitLocker keys from AD DS.

Las organizaciones pueden usar la información de recuperación de BitLocker guardada en Active Directory Domain Services (AD DS) para obtener acceso a los datos protegidos con BitLocker.Organizations can use BitLocker recovery information saved in Active Directory Domain Services (AD DS) to access BitLocker-protected data. Se recomienda crear un modelo de recuperación de BitLocker mientras se planea la implementación de BitLocker.Creating a recovery model for BitLocker while you are planning your BitLocker deployment is recommended.

Este artículo supone que sabes cómo configurar AD DS para que realice una copia automática de la información de recuperación de BitLocker y qué tipos de información de recuperación se guardan en AD DS.This article assumes that you understand how to set up AD DS to back up BitLocker recovery information automatically, and what types of recovery information are saved to AD DS.

En este artículo no se explica cómo configurar AD DS para almacenar la información de recuperación de BitLocker.This article does not detail how to configure AD DS to store the BitLocker recovery information.

¿Qué es la recuperación de BitLocker?What is BitLocker recovery?

La recuperación de BitLocker es el proceso por el cual puedes restaurar el acceso a una unidad protegida con BitLocker en caso de no poder desbloquear la unidad normalmente.BitLocker recovery is the process by which you can restore access to a BitLocker-protected drive in the event that you cannot unlock the drive normally. En un escenario de recuperación tienes las siguientes opciones para restaurar el acceso a la unidad:In a recovery scenario, you have the following options to restore access to the drive:

  • El usuario puede proporcionar la contraseña de recuperación.The user can supply the recovery password. Si la organización permite a los usuarios imprimir o guardar las contraseñas de recuperación, el usuario puede escribir la contraseña de recuperación de 48 dígitos que imprime o almacena en una unidad USB o con la cuenta de Microsoft en línea.If your organization allows users to print or store recovery passwords, the user can type in the 48-digit recovery password that they printed or stored on a USB drive or with your Microsoft Account online. (Solo es permitido guardar una contraseña de recuperación con su cuenta de Microsoft en línea cuando se usa BitLocker en un equipo que no sea miembro de un dominio).(Saving a recovery password with your Microsoft Account online is only allowed when BitLocker is used on a PC that is not a member of a domain).
  • Un agente de recuperación de datos puede usar sus credenciales para desbloquear la unidad.A data recovery agent can use their credentials to unlock the drive. Si la unidad es una unidad de sistema operativo, se debe montar la unidad como una unidad de datos en otro equipo para que el agente de recuperación de datos la desbloquee.If the drive is an operating system drive, the drive must be mounted as a data drive on another computer for the data recovery agent to unlock it.
  • Un administrador de dominio puede obtener la contraseña de recuperación de AD DS y usarla para desbloquear la unidad.A domain administrator can obtain the recovery password from AD DS and use it to unlock the drive. Es recomendable almacenar las contraseñas de recuperación en AD DS para proporcionar una forma a los profesionales de TI de poder obtener las contraseñas de recuperación para unidades de su organización, si fuera necesario.Storing recovery passwords in AD DS is recommended to provide a way for IT professionals to be able to obtain recovery passwords for drives in their organization if needed. Este método requiere que haya habilitado este método de recuperación en la configuración de directiva de grupo BitLocker Elige cómo se pueden recuperar las unidades del sistema operativo protegidas con BitLocker ubicadas en Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker\Unidades de sistema operativo en el Editor de directivas de grupo local.This method requires that you have enabled this recovery method in the BitLocker Group Policy setting Choose how BitLocker-protected operating system drives can be recovered located at Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives in the Local Group Policy Editor. Para obtener más información, vea Configuraciones de las directivas de grupo de BitLocker.For more information, see BitLocker Group Policy settings.

¿Qué causa la recuperación de BitLocker?What causes BitLocker recovery?

En la siguiente lista se proporcionan ejemplos de eventos específicos que harán que BitLocker entre en modo de recuperación al intentar iniciar la unidad del sistema operativo:The following list provides examples of specific events that will cause BitLocker to enter recovery mode when attempting to start the operating system drive:

  • En los equipos que usan el Cifrado de unidad BitLocker o en dispositivos como tabletas o teléfonos que solo usan el Cifrado de dispositivo BitLocker, cuando se detecta un ataque, el dispositivo se reiniciará inmediatamente y entrará en el modo de recuperación de BitLocker.On PCs that use BitLocker Drive Encryption, or on devices such as tablets or phones that use BitLocker Device Encryption only, when an attack is detected, the device will immediately reboot and enter into BitLocker recovery mode. Para aprovechar esta funcionalidad, los administradores pueden establecer la configuración de directiva de grupo de inicio de sesión interactivo: umbral de bloqueo de cuenta de equipo ubicada en \Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad en el Editor de directivas de grupo local.To take advantage of this functionality, administrators can set the Interactive logon: Machine account lockout threshold Group Policy setting located in \Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options in the Local Group Policy Editor. O bien, pueden usar la directiva MaxFailedPasswordAttempts de Exchange ActiveSync (también configurable a través de Microsoft Intune),para limitar el número de intentos fallidos de contraseña antes de que el dispositivo entre en bloqueo de dispositivos.Or they can use the MaxFailedPasswordAttempts policy of Exchange ActiveSync (also configurable through Microsoft Intune), to limit the number of failed password attempts before the device goes into Device Lockout.

  • En dispositivos con TPM 1.2, cambiar el orden del dispositivo de inicio de firmware o BIOS provoca la recuperación de BitLocker.On devices with TPM 1.2, changing the BIOS or firmware boot device order causes BitLocker recovery. Sin embargo, los dispositivos con TPM 2.0 no inician la recuperación de BitLocker en este caso.However, devices with TPM 2.0 do not start BitLocker recovery in this case. TPM 2.0 no considera un cambio de firmware en el orden de los dispositivos de inicio como una amenaza a la seguridad porque el cargador de inicio del sistema operativo no está en peligro.TPM 2.0 does not consider a firmware change of boot device order as a security threat because the OS Boot Loader is not compromised.

  • Tener a la unidad de CD o de DVD antes que el disco duro en el orden de arranque del BIOS y después insertar o quitar un CD o DVD.Having the CD or DVD drive before the hard drive in the BIOS boot order and then inserting or removing a CD or DVD.

  • No poder arrancar desde una unidad de red antes de arrancar desde el disco duro.Failing to boot from a network drive before booting from the hard drive.

  • Acoplar o desacoplar un equipo portátil.Docking or undocking a portable computer. En algunos casos (según el fabricante del equipo y el BIOS), la condición de acoplamiento del equipo portátil es parte de la medición del sistema y debe ser coherente para validar el estado del sistema y desbloquear BitLocker.In some instances (depending on the computer manufacturer and the BIOS), the docking condition of the portable computer is part of the system measurement and must be consistent to validate the system status and unlock BitLocker. Por lo tanto, si un equipo portátil está conectado a su base de acoplamiento cuando BitLocker está activado, es posible que también necesite conectarse a la base de acoplamiento cuando esté desbloqueado.So if a portable computer is connected to its docking station when BitLocker is turned on, then it might also need to be connected to the docking station when it is unlocked. Por el contrario, si un equipo portátil no se conecta a su estación de acoplamiento cuando BitLocker está activado, puede que también se deba desconectar de la estación de acoplamiento para desbloquearlo.Conversely, if a portable computer is not connected to its docking station when BitLocker is turned on, then it might need to be disconnected from the docking station when it is unlocked.

  • Cambios en la tabla de partición NTFS en el disco, incluida la creación, eliminación o cambio del tamaño de una partición principal.Changes to the NTFS partition table on the disk including creating, deleting, or resizing a primary partition.

  • Escribir el número de identificación personal (PIN) incorrectamente demasiadas veces, por lo que se activa la lógica de protección contra ataques de repetición (hammering) del TPM.Entering the personal identification number (PIN) incorrectly too many times so that the anti-hammering logic of the TPM is activated. La lógica de protección contra ataques de repetición (hammering) es una serie de métodos de software o hardware que aumentan la dificultad y el costo de un ataque por fuerza bruta contra un PIN al no aceptar entradas de PIN hasta que haya transcurrido una determinada cantidad de tiempo.Anti-hammering logic is software or hardware methods that increase the difficulty and cost of a brute force attack on a PIN by not accepting PIN entries until after a certain amount of time has passed.

  • Desactivar la compatibilidad para leer el dispositivo USB en el entorno de inicio previo desde el firmware UEFI o BIOS si se están usando claves basadas en USB en lugar de un TPM.Turning off the support for reading the USB device in the pre-boot environment from the BIOS or UEFI firmware if you are using USB-based keys instead of a TPM.

  • Desactivar, deshabilitar o borrar el TPM.Turning off, disabling, deactivating, or clearing the TPM.

  • Actualizar los componentes de inicio anticipado críticos, como una actualización de firmware UEFI o BIOS, que cause cambios en las mediciones de inicio relacionadas.Upgrading critical early startup components, such as a BIOS or UEFI firmware upgrade, causing the related boot measurements to change.

  • Olvidar el PIN cuando la autenticación con PIN está habilitada.Forgetting the PIN when PIN authentication has been enabled.

  • Actualizar el firmware de ROM de opción.Updating option ROM firmware.

  • Actualizar el firmware de TPM.Upgrading TPM firmware.

  • Agregar o quitar hardware; por ejemplo, insertar una tarjeta nueva en el equipo, incluidas algunas tarjetas inalámbricas PCMIA.Adding or removing hardware; for example, inserting a new card in the computer, including some PCMIA wireless cards.

  • Quitar, insertar o descargar completamente una batería inteligente de un equipo portátil.Removing, inserting, or completely depleting the charge on a smart battery on a portable computer.

  • Cambios en el registro de inicio principal del disco.Changes to the master boot record on the disk.

  • Cambios en el administrador de inicio del disco.Changes to the boot manager on the disk.

  • Ocultar el TPM del sistema operativo.Hiding the TPM from the operating system. Algunas opciones de configuración de BIOS o UEFI pueden usarse para evitar la enumeración del TPM en el sistema operativo.Some BIOS or UEFI settings can be used to prevent the enumeration of the TPM to the operating system. Cuando se implementa, esta opción puede hacer que se oculte el TPM del sistema operativo.When implemented, this option can make the TPM hidden from the operating system. Cuando el TPM está oculto, se deshabilita el arranque seguro de UEFI y BIOS, y el TPM no responde a los comandos de software.When the TPM is hidden, BIOS and UEFI secure startup are disabled, and the TPM does not respond to commands from any software.

  • Al usar un teclado diferente que no escriba correctamente el PIN o cuyo mapa de teclado no coincida con el mapa de teclado que asume el entorno de inicio previo.Using a different keyboard that does not correctly enter the PIN or whose keyboard map does not match the keyboard map assumed by the pre-boot environment. Este problema puede impedir la entrada de PIN mejorados.This problem can prevent the entry of enhanced PINs.

  • Modificar los registros de configuración de la plataforma (PCR) que usa el perfil de validación del TPM.Modifying the Platform Configuration Registers (PCRs) used by the TPM validation profile. Por ejemplo, incluyendo PCR[1] medición de BitLocker para medir la mayoría de los cambios en la configuración BIOS, causando que BitLocker entre en el modo de recuperación incluso cuando cambian las opciones de configuración de BIOS que no se inicien.For example, including PCR[1] would result in BitLocker measuring most changes to BIOS settings, causing BitLocker to enter recovery mode even when non-boot critical BIOS settings change.

    Nota

    Algunos equipos tienen la configuración de BIOS que omite las medidas a determinados PCR, como PCR[2].Some computers have BIOS settings that skip measurements to certain PCRs, such as PCR[2]. Si se cambia esta configuración en el BIOS, BitLocker entraría en modo de recuperación, ya que la medición del PCR sería diferente.Changing this setting in the BIOS would cause BitLocker to enter recovery mode because the PCR measurement will be different.

  • Mover la unidad protegida con BitLocker a un equipo nuevo.Moving the BitLocker-protected drive into a new computer.

  • Actualizar la placa base a una nueva, con un nuevo TPM.Upgrading the motherboard to a new one with a new TPM.

  • Perder la unidad flash USB que contiene la clave de inicio cuando la autenticación con clave de inicio está habilitada.Losing the USB flash drive containing the startup key when startup key authentication has been enabled.

  • No superar la prueba automática de TPM.Failing the TPM self-test.

  • Tener un BIOS, un firmware de UEFI o un componente de ROM opcional que no sea compatible con los estándares de Trusted Computing Group para un equipo cliente.Having a BIOS, UEFI firmware, or an option ROM component that is not compliant with the relevant Trusted Computing Group standards for a client computer. Por ejemplo, una implementación no compatible puede registrar datos volátiles (como la hora) en las mediciones del TPM, lo que causaría diferentes mediciones en cada inicio y haría que BitLocker se iniciara en modo de recuperación.For example, a non-compliant implementation may record volatile data (such as time) in the TPM measurements, causing different measurements on each startup and causing BitLocker to start in recovery mode.

  • Cambiar la autorización de uso para la clave raíz de almacenamiento del TPM a un valor que no sea cero.Changing the usage authorization for the storage root key of the TPM to a non-zero value.

    Nota

    El proceso de inicialización del TPM de BitLocker establece el valor de autorización de uso en cero, por lo que otro usuario o proceso debe cambiar explícitamente este valor.The BitLocker TPM initialization process sets the usage authorization value to zero, so another user or process must explicitly have changed this value.

  • Deshabilitar la comprobación de integridad del código o habilitar la firma de prueba en el Administrador de inicio de Windows (Bootmgr).Disabling the code integrity check or enabling test signing on Windows Boot Manager (Bootmgr).

  • Presionar la tecla F8 o F10 durante el proceso de inicio.Pressing the F8 or F10 key during the boot process.

  • Agregar o quitar tarjetas de complementos (como tarjetas de vídeo o de red), o actualizar el firmware de las tarjetas de complementos.Adding or removing add-in cards (such as video or network cards), or upgrading firmware on add-in cards.

  • Usar una tecla de acceso rápido de BIOS durante el proceso de inicio para cambiar el orden de inicio a otra unidad que no sea el disco duro.Using a BIOS hot key during the boot process to change the boot order to something other than the hard drive.

Nota

Antes de iniciar la recuperación, te recomendamos determinar qué ha causado la recuperación.Before you begin recovery, we recommend that you determine what caused recovery. Esto puede ayudar a evitar que el problema vuelva a ocurrir en el futuro.This might help prevent the problem from occurring again in the future. Por ejemplo, si determinas que un atacante ha modificado el equipo obteniendo acceso físico, puedes crear nuevas directivas de seguridad para el seguimiento de quién tiene presencia física.For instance, if you determine that an attacker has modified your computer by obtaining physical access, you can create new security policies for tracking who has physical presence. Después de que la contraseña de recuperación se haya usado para recuperar el acceso al equipo, BitLocker cerrará la clave de cifrado con los valores actuales de los componentes medidos.After the recovery password has been used to recover access to the PC, BitLocker will reseal the encryption key to the current values of the measured components.

Para escenarios planeados, como un hardware conocido o actualizaciones de firmware, puedes impedir el inicio de la recuperación suspendiendo temporalmente la protección de BitLocker.For planned scenarios, such as a known hardware or firmware upgrades, you can avoid initiating recovery by temporarily suspending BitLocker protection. Como suspender BitLocker deja la unidad completamente cifrada, el administrador puede reanudar rápidamente la protección de BitLocker una vez completada la tarea planeada.Because suspending BitLocker leaves the drive fully encrypted, the administrator can quickly resume BitLocker protection after the planned task has been completed. Usar la suspensión y reanudación también cierra la clave de cifrado de nuevo sin necesidad de escribir la clave de recuperación.Using suspend and resume also reseals the encryption key without requiring the entry of the recovery key.

Nota

Si se suspende, BitLocker reanudará automáticamente la protección al reiniciar el equipo, a menos que se especifique un recuento de reinicio mediante la herramienta de línea de comandos manage-bde.If suspended BitLocker will automatically resume protection when the PC is rebooted, unless a reboot count is specified using the manage-bde command line tool.

Si el mantenimiento del software requiere que se reinicie el equipo y usa la autenticación de dos factores, puedes habilitar Desbloquear red BitLocker para proporcionar el factor de autenticación secundario cuando los equipos no tienen un usuario local que proporcione el método de autenticación adicional.If software maintenance requires the computer to be restarted and you are using two-factor authentication, you can enable BitLocker Network Unlock to provide the secondary authentication factor when the computers do not have an on-premises user to provide the additional authentication method.

La recuperación se ha descrito en el contexto de un comportamiento imprevisto o no deseado, pero también puedes provocar la recuperación en un escenario de producción previsto, con el fin de administrar el control de acceso.Recovery has been described within the context of unplanned or undesired behavior, but you can also cause recovery as an intended production scenario, in order to manage access control. Por ejemplo, al implementar de nuevo equipos de escritorio o portátiles en otros departamentos o empleados de la empresa, puedes forzar a que BitLocker entre en recuperación antes de que al equipo se le asigne un usuario nuevo.For example, when you redeploy desktop or laptop computers to other departments or employees in your enterprise, you can force BitLocker into recovery before the computer is given to a new user.

Pruebas de recuperaciónTesting recovery

Antes de crear un proceso de recuperación de BitLocker exhaustivo, te recomendamos que pruebes cómo funciona el proceso de recuperación tanto para los usuarios finales (personas que llaman a tu servicio de asistencia para obtener la contraseña de recuperación) como para los administradores (personas que ayudarán al usuario final a obtener la contraseña de recuperación).Before you create a thorough BitLocker recovery process, we recommend that you test how the recovery process works for both end users (people who call your helpdesk for the recovery password) and administrators (people who help the end user get the recovery password). El comando –forcerecovery de manage-bde es una manera sencilla de recorrer el proceso de recuperación antes de que los usuarios se encuentren con una situación de recuperación.The -forcerecovery command of manage-bde is an easy way for you to step through the recovery process before your users encounter a recovery situation.

Para forzar una recuperación del equipo local:To force a recovery for the local computer:

  1. Selecciona el botón Iniciar escribe cmd en el cuadro Iniciar búsqueda haz clic con el botón derecho en cmd.exey, Ejecutar como administrador.Select the Start button, type cmd in the Start Search box, right-click cmd.exe, and then select Run as administrator.
  2. En el símbolo del sistema, escribe el siguiente comando y presionaENTRAR: manage-bde -forcerecovery <BitLockerVolume>At the command prompt, type the following command and then press Enter: manage-bde -forcerecovery <BitLockerVolume>

Para forzar la recuperación de un equipo remoto:To force recovery for a remote computer:

  1. En la pantalla Inicio, escribe cmd.exey a continuación, selecciona Ejecutar como administrador.On the Start screen, type cmd.exe, and then select Run as administrator.

  2. En el símbolo del sistema, escribe el siguiente comando y presiona ENTRAR: manage-bde -ComputerName <RemoteComputerName> -forcerecovery <BitLockerVolume>At the command prompt, type the following command and then press ENTER: manage-bde -ComputerName <RemoteComputerName> -forcerecovery <BitLockerVolume>

    Nota

    La recuperación activada por-forcerecovery persiste durante varios reinicios hasta que se agrega un protector TPM o el usuario suspende la protección.Recovery triggered by -forcerecovery persists for multiple restarts until a TPM protector is added or protection is suspended by the user. Al usar dispositivos con espera moderna (por ejemplo, dispositivos Surface), no se recomienda la opción -forcerecovery porque BitLocker tendrá que desbloquearse y deshabilitarse manualmente desde el entorno de WinRE antes de que el sistema operativo pueda volver a iniciarse.When using Modern Standby devices (such as Surface devices), the -forcerecovery option is not recommended because BitLocker will have to be unlocked and disabled manually from the WinRE environment before the OS can boot up again. Para obtener más información, ve Solución de problemas de BitLocker: Bucle de reinicie continuo con la recuperación de BitLocker en un dispositivo de pizarra.For more information, see BitLocker Troubleshooting: Continuous reboot loop with BitLocker recovery on a slate device.

Cómo planear el proceso de recuperaciónPlanning your recovery process

Al planear el proceso de recuperación de BitLocker, ve primero los procedimientos recomendados actuales de la organización para recuperar información confidencial.When planning the BitLocker recovery process, first consult your organization's current best practices for recovering sensitive information. Por ejemplo: ¿cómo administra tu empresa las contraseñas de Windows perdidas?For example: How does your enterprise handle lost Windows passwords? ¿Cómo realiza tu organización el restablecimiento del PIN de tarjeta inteligente?How does your organization perform smart card PIN resets? Puedes usar estos procedimientos recomendados y los recursos relacionados (personas y herramientas) para ayudar a formular un modelo de recuperación de BitLocker.You can use these best practices and related resources (people and tools) to help formulate a BitLocker recovery model.

Las organizaciones que dependen del cifrado de unidad BitLocker y BitLocker To Go para proteger datos en un gran número de equipos y unidades extraíbles que ejecutan los sistemas operativos Windows 10, Windows 8 o Windows 7 y Windows To Go deben plantearse el uso de la herramienta Microsoft BitLocker Administration and Monitoring (MBAM) versión 2.0, que se incluye en Microsoft Desktop Optimization Pack (MDOP) para Microsoft Software Assurance.Organizations that rely on BitLocker Drive Encryption and BitLocker To Go to protect data on a large number of computers and removable drives running the Windows 10, Windows 8, or Windows 7 operating systems and Windows to Go should consider using the Microsoft BitLocker Administration and Monitoring (MBAM) Tool version 2.0, which is included in the Microsoft Desktop Optimization Pack (MDOP) for Microsoft Software Assurance. MBAM hace más fáciles de implementar y administrar las implementaciones de BitLocker y permite a los administradores proporcionar y supervisar cifrado para unidades fijas y de sistema operativo.MBAM makes BitLocker implementations easier to deploy and manage and allows administrators to provision and monitor encryption for operating system and fixed drives. MBAM pregunta al usuario antes de cifrar las unidades fijas.MBAM prompts the user before encrypting fixed drives. MBAM también administra las claves de recuperación para las unidades fijas y extraíbles, facilitando la administración de la recuperación.MBAM also manages recovery keys for fixed and removable drives, making recovery easier to manage. MBAM puede usarse como parte de una implementación de Microsoft System Center o como una solución independiente.MBAM can be used as part of a Microsoft System Center deployment or as a stand-alone solution. Para obtener más información, ve aAdministración y supervisión de Microsoft BitLocker.For more info, see Microsoft BitLocker Administration and Monitoring.

Después de que se haya iniciado una recuperación de BitLocker, los usuarios pueden usar una contraseña de recuperación para desbloquear el acceso a los datos cifrados.After a BitLocker recovery has been initiated, users can use a recovery password to unlock access to encrypted data. Debes considerar tanto los métodos de recuperación automática y de recuperación de contraseña para tu organización.Consider both self-recovery and recovery password retrieval methods for your organization.

Al determinar el proceso de recuperación, debes:When you determine your recovery process, you should:

Recuperación automáticaSelf-recovery

En algunos casos, los usuarios podrían tener la contraseña de recuperación en una copia impresa o una unidad flash USB y poder realizar la recuperación automática.In some cases, users might have the recovery password in a printout or a USB flash drive and can perform self-recovery. Te recomendamos que la organización cree una directiva de recuperación automática.We recommend that your organization create a policy for self-recovery. Si la recuperación automática incluye el uso de una contraseña o una clave de recuperación almacenada en una unidad flash USB, se debería advertir a los usuarios de que no almacenen la unidad flash USB en el mismo lugar que el equipo, especialmente durante los viajes, por ejemplo, si tanto el equipo PC como los elementos de recuperación están en la misma bolsa, es fácil para un usuario no autorizado tener acceso al equipo.If self-recovery includes using a password or recovery key stored on a USB flash drive, the users should be warned not to store the USB flash drive in the same place as the PC, especially during travel, for example if both the PC and the recovery items are in the same bag, then it's easy for an unauthorized user to access the PC. Otra directiva a tener en cuenta es que los usuarios se pongan en contacto con el servicio de asistencia antes o después de realizar la recuperación automática para que se pueda identificar la causa raíz.Another policy to consider is having users contact the Helpdesk before or after performing self-recovery so that the root cause can be identified.

Recuperación de la contraseña de recuperaciónRecovery password retrieval

Si el usuario no tiene una contraseña de recuperación en una copia impresa o en una unidad flash USB, el usuario tendrá que recuperar la contraseña de recuperación de una fuente en línea.If the user does not have a recovery password in a printout or on a USB flash drive, the user will need to be able to retrieve the recovery password from an online source. Si el equipo es miembro de un dominio, se puede hacer una copia de seguridad de la contraseña de recuperación en AD DS.If the PC is a member of a domain, the recovery password can be backed up to AD DS. Sin embargo, esto no sucede de forma predeterminada.However, this does not happen by default. Debes haber configurado la configuración de directiva de grupo adecuada antes de habilitar BitLocker en el equipo.You must have configured the appropriate Group Policy settings before BitLocker was enabled on the PC. La configuración de directiva de grupo BitLocker puede encontrarse en el Editor de directivas de grupo local o en la Consola de administración de directivas de grupo (GPMC) en Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker.BitLocker Group Policy settings can be found in the Local Group Policy Editor or the Group Policy Management Console (GPMC) under Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption. Las siguientes configuraciones de directiva definen los métodos de recuperación que pueden ser usados para restaurar el acceso a una unidad protegida con BitLocker si se produce un error o no puede usarse un método de autenticación.The following policy settings define the recovery methods that can be used to restore access to a BitLocker-protected drive if an authentication method fails or is unable to be used.

  • Elegir cómo se pueden recuperar unidades del sistema operativo protegidas con BitLockerChoose how BitLocker-protected operating system drives can be recovered
  • Elegir cómo se pueden recuperar unidades fijas protegidas por BitLockerChoose how BitLocker-protected fixed drives can be recovered
  • Elegir cómo se pueden recuperar unidades extraíbles protegidas por BitLockerChoose how BitLocker-protected removable drives can be recovered

En cada una de estas directivas, selecciona Guardar información de recuperación de BitLocker en Active Directory Domain Services y a continuación elige qué información de recuperación de BitLocker almacenar en los servicios de dominio de Active Directory (AD DS).In each of these policies, select Save BitLocker recovery information to Active Directory Domain Services and then choose which BitLocker recovery information to store in Active Directory Domain Services (AD DS). Selecciona la casilla No habilitar BitLocker hasta que la información de recuperación se almacene en AD DS si quieres impedir que los usuarios habiliten BitLocker a menos que el equipo esté conectado al dominio y se realice correctamente la copia de seguridad de la información de recuperación de BitLocker para la unidad en AD DS.Select the Do not enable BitLocker until recovery information is stored in AD DS check box if you want to prevent users from enabling BitLocker unless the computer is connected to the domain and the backup of BitLocker recovery information for the drive to AD DS succeeds.

Nota

Si los equipos forman parte de un grupo de trabajo, se recomienda a los usuarios guardar la contraseña de recuperación de BitLocker con su cuenta Microsoft en línea.If the PCs are part of a workgroup, users should be advised to save their BitLocker recovery password with their Microsoft Account online. Se recomienda tener una copia de la contraseña de recuperación de BitLocker en línea para ayudar a garantizar que no se pierda el acceso a los datos en caso de que sea necesaria la recuperación.Having an online copy of your BitLocker recovery password is recommended to help ensure that you do not lose access to your data in the event that recovery is required.

El Visor de contraseñas de recuperación de BitLocker para la herramienta Usuarios y equipos de Active Directory permite a los administradores de dominio ver las contraseñas de recuperación de BitLocker para objetos de equipo específicos de Active Directory.The BitLocker Recovery Password Viewer for Active Directory Users and Computers tool allows domain administrators to view BitLocker recovery passwords for specific computer objects in Active Directory.

Puedes usar la siguiente lista como plantilla para crear tu propio proceso de recuperación para la obtención de contraseñas de recuperación.You can use the following list as a template for creating your own recovery process for recovery password retrieval. Este proceso de muestra usa el Visor de contraseñas de recuperación de BitLocker para la herramienta Usuarios y equipos de Active Directory.This sample process uses the BitLocker Recovery Password Viewer for Active Directory Users and Computers tool.

Registrar el nombre del equipo del usuarioRecord the name of the user's computer

Puedes usar el nombre del equipo del usuario para localizar la contraseña de recuperación en AD DS.You can use the name of the user's computer to locate the recovery password in AD DS. Si el usuario no conoce el nombre del equipo, pide al usuario que lea la primera palabra de la Etiqueta de unidad en la interfaz de usuario Entrada de contraseña de cifrado de unidad BitLocker.If the user does not know the name of the computer, ask the user to read the first word of the Drive Label in the BitLocker Drive Encryption Password Entry user interface. Este es el nombre del equipo en el momento en que se habilitó BitLocker y probablemente el nombre actual del equipo.This is the computer name when BitLocker was enabled and is probably the current name of the computer.

Comprobar la identidad del usuarioVerify the user's identity

Comprueba que la persona que solicita la contraseña de recuperación es realmente el usuario autorizado de ese equipo.Verify that the person that is asking for the recovery password is truly the authorized user of that computer. También es posible que desees comprobar que el equipo con el nombre que ha proporcionado el usuario pertenece al usuario.You might also want to verify that the computer with the name the user provided belongs to the user.

Buscar la contraseña de recuperación en AD DSLocate the recovery password in AD DS

Busca el objeto de equipo con el mismo nombre en AD DS.Locate the Computer object with the matching name in AD DS. Dado que los nombres de objeto de equipo se enumeran en el catálogo global de AD DS, debes ser capaz de encontrar el objeto incluso si tienes un bosque de varios dominios.Because Computer object names are listed in the AD DS global catalog, you should be able to locate the object even if you have a multi-domain forest.

Varias contraseñas de recuperaciónMultiple recovery passwords

Si se han almacenado varias contraseñas de recuperación en un objeto de equipo en AD DS, el nombre del objeto de información de recuperación de BitLocker incluirá la fecha en que se creó la contraseña.If multiple recovery passwords are stored under a computer object in AD DS, the name of the BitLocker recovery information object includes the date that the password was created.

Si en algún momento no estás seguro de qué contraseña proporcionar, o si crees que puedes proporcionar la contraseña incorrecta, pide al usuario que lea el Id. de contraseña de ocho caracteres que se muestra en la consola de recuperación.If at any time you are unsure what password to provide, or if you think you might be providing the incorrect password, ask the user to read the eight character password ID that is displayed in the recovery console.

Dado que el Id. de contraseña es un valor único que está asociado con cada contraseña de recuperación almacenada en AD DS, la ejecución de una consulta con este Id. encontrará la contraseña correcta para desbloquear el volumen cifrado.Since the password ID is a unique value that is associated with each recovery password stored in AD DS, running a query using this ID will find the correct password to unlock the encrypted volume.

Recopilar información para determinar por qué se ha producido la recuperaciónGather information to determine why recovery occurred

Antes de dar al usuario la contraseña de recuperación, debes reunir toda la información que pueda ayudarte a determinar por qué ha sido necesita la recuperación, con el fin de analizar la causa raíz durante el análisis posterior a la recuperación.Before you give the user the recovery password, you should gather any information that will help determine why the recovery was needed, in order to analyze the root cause during the post-recovery analysis. Para obtener más información sobre el análisis posterior a la recuperación, consulta Análisis posterior a la recuperación.For more info about post-recovery analysis, see Post-recovery analysis.

Dar al usuario la contraseña de recuperaciónGive the user the recovery password

Puesto que la contraseña de recuperación tiene 48 dígitos, puede ser que el usuario tenga que registrar la contraseña escribiéndola o anotándola en un equipo diferente.Because the recovery password is 48 digits long, the user might need to record the password by writing it down or typing it on a different computer. Si estás usando MBAM, se volverá a generar la contraseña de recuperación una vez recuperada de la base de datos MBAM para evitar los riesgos de seguridad asociados con una contraseña no controlada.If you are using MBAM, the recovery password will be regenerated after it is recovered from the MBAM database to avoid the security risks associated with an uncontrolled password.

Nota

Dado que la contraseña de recuperación de 48 dígitos es extensa y contiene una combinación de dígitos, el usuario podría oír o escribir mal la contraseña.Because the 48-digit recovery password is long and contains a combination of digits, the user might mishear or mistype the password. La consola de recuperación de tiempo de inicio usa números de suma de comprobación integrados para detectar errores de entrada de cada bloque de 6 dígitos de la contraseña de recuperación de 48 dígitos, y ofrece al usuario la oportunidad de corregir estos errores.The boot-time recovery console uses built-in checksum numbers to detect input errors in each 6-digit block of the 48-digit recovery password, and offers the user the opportunity to correct such errors.

Análisis posterior a la recuperaciónPost-recovery analysis

Cuando un volumen se desbloquea con una contraseña de recuperación, se escribe un evento en el registro de eventos y las mediciones de validación de la plataforma se restablecen en el TPM para que coincidan con la configuración actual.When a volume is unlocked using a recovery password, an event is written to the event log and the platform validation measurements are reset in the TPM to match the current configuration. Desbloquear el volumen significa que la clave de cifrado se ha liberado y está lista para el cifrado sobre la marcha cuando los datos se escriben en el volumen y el descifrado sobre la marcha cuando se leen los datos del volumen.Unlocking the volume means that the encryption key has been released and is ready for on-the-fly encryption when data is written to the volume, and on-the-fly decryption when data is read from the volume. Después de desbloquear el volumen, BitLocker se comporta del mismo modo, independientemente de cómo se haya otorgado el acceso.After the volume is unlocked, BitLocker behaves the same way, regardless of how the access was granted.

Si observas que un equipo tiene desbloqueadas contraseñas de recuperación repetidas, puedes que quiera que un administrador realice un análisis posterior a la recuperación para determinar la causa raíz de la validación de la plataforma BitLocker y actualizarla para que el usuario ya no necesite escribir una contraseña de recuperación cada vez que se inicie el equipo.If you notice that a computer is having repeated recovery password unlocks, you might want to have an administrator perform post-recovery analysis to determine the root cause of the recovery and refresh BitLocker platform validation so that the user no longer needs to enter a recovery password each time that the computer starts up. Ve:See:

Determinar la causa raíz de la recuperaciónDetermine the root cause of the recovery

Si un usuario ha necesitado recuperar la unidad, es importante determinar la causa raíz que inició la recuperación tan pronto como sea posible.If a user needed to recover the drive, it is important to determine the root cause that initiated the recovery as soon as possible. Analizar el estado del equipo debidamente y detectar alteraciones puede revelar amenazas que tengan implicaciones más amplias para la seguridad de la empresa.Properly analyzing the state of the computer and detecting tampering may reveal threats that have broader implications for enterprise security.

Mientras un administrador investiga de forma remota la causa de la recuperación en algunos casos, el usuario final podría llevar el equipo que contiene la unidad recuperada in situ para analizar aún más la causa raíz.While an administrator can remotely investigate the cause of recovery in some cases, the end user might need to bring the computer that contains the recovered drive on site to analyze the root cause further.

Revisa y responde a las siguientes preguntas para la organización:Review and answer the following questions for your organization:

  1. ¿Qué modo de protección de BitLocker está en vigor (TPM, TPM + PIN, TPM + clave de inicio, solo la clave de inicio)?What BitLocker protection mode is in effect (TPM, TPM + PIN, TPM + startup key, startup key only)? ¿Qué perfil de PCR está en uso en el equipo?Which PCR profile is in use on the PC?
  2. ¿El usuario simplemente ha olvidado el PIN o ha perdido la clave de inicio?Did the user merely forget the PIN or lose the startup key? Si un token se ha perdido, ¿dónde puede estar?If a token was lost, where might the token be?
  3. Si el modo TPM estaba en vigor, ¿ha sido un cambio de archivo de inicio el causante de la recuperación?If TPM mode was in effect, was recovery caused by a boot file change?
  4. Si la recuperación fue causada por un cambio de archivo de inicio, ¿el cambio fue una acción intencionada del usuario prevista (por ejemplo, la actualización del BIOS) o fue causado por software malintencionado?If recovery was caused by a boot file change, was the change an intended user action (for example, BIOS upgrade), or was it caused by malicious software?
  5. ¿Cuándo fue la última vez que el usuario pudo iniciar el equipo correctamente, y qué podría haber ocurrido en el equipo desde entonces?When was the user last able to start the computer successfully, and what might have happened to the computer since then?
  6. ¿Es posible que el usuario haya detectado software malintencionado o dejado el equipo desatendido desde el último inicio correcto?Might the user have encountered malicious software or left the computer unattended since the last successful startup?

Para ayudarte a responder a estas preguntas, usa la herramienta de línea de comandos de BitLocker para ver el modo de protección y la configuración actual (por ejemplo, manage-bde -status).To help you answer these questions, use the BitLocker command-line tool to view the current configuration and protection mode (for example, manage-bde -status). Digitalizar el registro de eventos para buscar eventos que indiquen por qué se inició la recuperación (por ejemplo, si se cambió el archivo de inicio).Scan the event log to find events that help indicate why recovery was initiated (for example, if the boot file changed). Ambas funcionalidades pueden llevarse a cabo de forma remota.Both of these capabilities can be performed remotely.

Resolver la causa raízResolve the root cause

Después de haber identificado qué ha causado la recuperación, puedes restablecer la protección de BitLocker y evitar la recuperación en cada inicio.After you have identified what caused recovery, you can reset BitLocker protection and avoid recovery on every startup.

Los detalles de este restablecimiento pueden variar en función de la causa raíz de la recuperación.The details of this reset can vary according to the root cause of the recovery. Si no puedes determinar la causa raíz, o si un software malintencionado o una raíz podrían haber infectado el equipo, el departamento de soporte técnico tiene que aplicar directivas de virus de procedimiento recomendado para reaccionar de forma correcta.If you cannot determine the root cause, or if malicious software or a rootkit might have infected the computer, Helpdesk should apply best-practice virus policies to react appropriately.

Nota

Puedes realizar un restablecimiento del perfil de validación de BitLocker suspendiendo y reanudando BitLocker.You can perform a BitLocker validation profile reset by suspending and resuming BitLocker.

PIN desconocidoUnknown PIN

Si un usuario ha olvidado el PIN, debes restablecer el PIN mientras estás conectado al equipo para impedir que BitLocker inicie la recuperación cada vez que se reinicie el equipo.If a user has forgotten the PIN, you must reset the PIN while you are logged on to the computer in order to prevent BitLocker from initiating recovery each time the computer is restarted.

Para impedir la recuperación continuada debido a un PIN desconocidoTo prevent continued recovery due to an unknown PIN

  1. Desbloquea el equipo con la contraseña de recuperación.Unlock the computer using the recovery password.
  2. Restablece el PIN:Reset the PIN:
    1. Haz clic con el botón derecho en la unidad y luego seleccionaCambiar PIN.Right-click the drive and then select Change PIN.
    2. En el cuadro de diálogo Cifrado de unidad BitLocker, selecciona Restablecer un PIN olvidado.In the BitLocker Drive Encryption dialog, select Reset a forgotten PIN. Si no has iniciado sesión con una cuenta de administrador, deberás proporcionar las credenciales administrativas en este momento.If you are not logged in with an administrator account, provide administrative credentials at this time.
    3. En el cuadro de diálogo de restablecimiento de PIN, proporciona y confirma el nuevo PIN que usar y a continuación, seleccionar Finalizar.In the PIN reset dialog, provide and confirm the new PIN to use and then select Finish.
  3. Usarás el nuevo PIN la próxima vez que desbloquees la unidad.You will use the new PIN the next time you unlock the drive.

Clave de inicio perdidaLost startup key

Si has perdido la unidad flash USB que contiene la clave de inicio, deberás desbloquear la unidad con la clave de recuperación y a continuación debes crear una nueva clave de inicio.If you have lost the USB flash drive that contains the startup key, then you must unlock the drive by using the recovery key and then create a new startup key.

Para impedir la recuperación continuada debido a una clave de inicio perdidaTo prevent continued recovery due to a lost startup key

  1. Inicia sesión como administrador en el equipo que tiene la clave de inicio perdida.Log on as an administrator to the computer that has the lost startup key.
  2. Abre Administrar BitLocker.Open Manage BitLocker.
  3. Seleccionar Duplicar clave de inicio, inserta la unidad USB limpia en la que vas a escribir la clave y a continuación seleccionarGuardar.Select Duplicate start up key, insert the clean USB drive on which you are going to write the key and then select Save.

Cambios en los archivos de arranqueChanges to boot files

Este error puede ocurrir si has actualizado el firmware.This error might occur if you updated the firmware. Como práctica recomendada, debes suspender BitLocker antes de realizar cambios en el firmware y después reanudar la protección una vez completada la actualización.As a best practice, you should suspend BitLocker before making changes to the firmware and then resume protection after the update has completed. Esta acción evita que el equipo vaya al modo de recuperación.This action prevents the computer from going into recovery mode. Sin embargo, si se realizaron cambios en la protección BitLocker, debes iniciar sesión en el equipo con la contraseña de recuperación y el perfil de validación de plataforma se actualizará para que la recuperación no se produzca la próxima vez.However if changes were made when BitLocker protection was on, then log on to the computer using the recovery password, and the platform validation profile will be updated so that recovery will not occur the next time.

Cifrado de dispositivo BitLocker y Windows REWindows RE and BitLocker Device Encryption

El Entorno de recuperación de Windows (RE) se puede usar para recuperar el acceso a una unidad protegida con BitLocker Device Encryption.Windows Recovery Environment (RE) can be used to recover access to a drive protected by BitLocker Device Encryption. Si un equipo no puede iniciar después de dos errores, se iniciará automáticamente la reparación de inicio.If a PC is unable to boot after two failures, Startup Repair will automatically start. Cuando se inicia la reparación de inicio automáticamente debido a errores de inicio, solo ejecutará las reparaciones del sistema operativo y del controlador, siempre que los registros de inicio o cualquier punto de descarga de bloqueo disponible apunten a un archivo dañado específico.When Startup Repair is launched automatically due to boot failures, it will only execute operating system and driver file repairs, provided that the boot logs or any available crash dump point to a specific corrupted file. En Windows 8.1 y versiones posteriores, los dispositivos que incluyan firmware para admitir medidas DE SSD específicas para PCR[7] el SERVICIO puede validar que Windows RE es un entorno operativo de confianza y desbloqueará cualquier unidad protegida con BitLocker si Windows RE no se ha modificado.In Windows 8.1 and later, devices that include firmware to support specific TPM measurements for PCR[7] the TPM can validate that Windows RE is a trusted operating environment and will unlock any BitLocker-protected drives if Windows RE has not been modified. Si se ha modificado el entorno de Windows RE, por ejemplo se ha deshabilitado el TPM, las unidades permanecerán bloqueadas hasta que se proporcione la clave de recuperación de BitLocker.If the Windows RE environment has been modified, for example the TPM has been disabled, the drives will stay locked until the BitLocker recovery key is provided. Si la reparación de inicio no puede ejecutarse automáticamente desde el equipo PC y, en su lugar, Windows RE se inicia manualmente desde un disco de reparación, debe proporcionarse la clave de recuperación de BitLocker para desbloquear las unidades protegidas de BitLocker.If Startup Repair can't run automatically from the PC and instead Windows RE is manually started from a repair disk, then the BitLocker recovery key must be provided to unlock the BitLocker–protected drives.

Pantalla de recuperación de BitLockerBitLocker recovery screen

Durante la recuperación de BitLocker, Windows puede mostrar un mensaje de recuperación personalizado y sugerencias que identifican desde dónde se puede recuperar una clave.During BitLocker recovery, Windows can display a custom recovery message and hints that identify where a key can be retrieved from. Estas mejoras pueden ayudar a un usuario durante la recuperación de BitLocker.These improvements can help a user during BitLocker recovery.

Mensaje de recuperación personalizadoCustom recovery message

La configuración de la directiva de grupo de BitLocker en Windows 10, versión 1511, te permite configurar un mensaje de recuperación personalizado y una dirección URL en la pantalla de recuperación de BitLocker, que puede incluir la dirección del portal de recuperación de autoservicio de BitLocker, el sitio web interno de TI o un número de teléfono para soporte técnico.BitLocker Group Policy settings in Windows 10, version 1511, let you configure a custom recovery message and URL on the BitLocker recovery screen, which can include the address of the BitLocker self-service recovery portal, the IT internal website, or a phone number for support.

Esta directiva se puede configurar con GPO en las unidades de sistema operativo Configuración del equipo > Plantillas administrativas > Componentes de Windows > Cifrado de unidades BitLocker > Unidades del sistema operativo > Configure el mensaje de recuperación del inicio previo al inicio y la dirección URL.This policy can be configured using GPO under Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption > Operating System Drives > Configure pre-boot recovery message and URL.

También se puede configurar mediante la administración de dispositivos móviles (MDM) de Intune en el CSP de BitLocker: <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage</LocURI>It can also be configured using Intune mobile device management (MDM) in the BitLocker CSP: <LocURI>./Device/Vendor/MSFT/BitLocker/SystemDrivesRecoveryMessage</LocURI>

URL personalizada

Ejemplo de pantalla de recuperación personalizada:Example of customized recovery screen:

Pantalla de recuperación de BitLocker personalizada

Sugerencias de clave de recuperación de BitLockerBitLocker recovery key hints

Los metadatos de BitLocker se han mejorado en Windows 10, versión 1903, para incluir información sobre cuándo y dónde se ha realizado una copia de seguridad de la clave de recuperación de BitLocker.BitLocker metadata has been enhanced in Windows 10, version 1903 to include information about when and where the BitLocker recovery key was backed up. Esta información no se expone a través de la interfaz de usuario o de cualquier API pública.This information is not exposed through the UI or any public API. Se usa solo en la pantalla de recuperación de BitLocker en forma de sugerencias para ayudar a un usuario a localizar la clave de recuperación de un volumen.It is used solely by the BitLocker recovery screen in the form of hints to help a user locate a volume's recovery key. Se muestran sugerencias en la pantalla de recuperación y hacen referencia a la ubicación donde se ha guardado la clave.Hints are displayed on the recovery screen and refer to the location where the key has been saved. Se muestran sugerencias en la pantalla de recuperación moderna (azul) y heredada (negro).Hints are displayed on both the modern (blue) and legacy (black) recovery screen. Esto se aplica tanto a la pantalla de recuperación del administrador de inicio como a la pantalla de desbloqueo de WinRE.This applies to both the boot manager recovery screen and the WinRE unlock screen.

Pantalla de recuperación personalizada de BitLocker

Importante

No recomendamos imprimir las claves de recuperación ni guardarlas en un archivo.We don't recommend printing recovery keys or saving them to a file. En su lugar, usa la copia de seguridad de Active Directory o una copia de seguridad basada en la nube.Instead, use Active Directory backup or a cloud-based backup. La copia de seguridad basada en la nube incluye Azure Active Directory (Azure AD) y la cuenta de Microsoft.Cloud-based backup includes Azure Active Directory (Azure AD) and Microsoft Account.

Hay reglas que rigen qué sugerencia se muestra durante la recuperación (en orden de procesamiento):There are rules governing which hint is shown during the recovery (in order of processing):

  1. Muestra siempre un mensaje de recuperación personalizado si se ha configurado (con GPO o MDM).Always display custom recovery message if it has been configured (using GPO or MDM).
  2. Mostrar siempre una sugerencia genérica: "Para obtener más información, ve a https://aka.ms/recoverykeyfaq ".Always display generic hint: "For more information, go to https://aka.ms/recoverykeyfaq".
  3. Si existen varias claves de recuperación en el volumen, debe establecer prioridades para la última clave de recuperación creada (y se ha realizado una copia de seguridad correctamente).If multiple recovery keys exist on the volume, prioritize the last created (and successfully backed up) recovery key.
  4. Asigna prioridades a las claves con copias de seguridad correctas sobre claves en las que nunca se ha realizado una copia de seguridad.Prioritize keys with successful backup over keys that have never been backed up.
  5. Prioriza las sugerencias de copia de seguridad en el siguiente orden para las ubicaciones de copia de seguridad remotas: Cuenta de Microsoft > Azure AD > Active Directory.Prioritize backup hints in the following order for remote backup locations: Microsoft Account > Azure AD > Active Directory.
  6. Si una clave se ha impreso y guardado en un archivo, muestra una sugerencia combinada, "Buscar una impresión o un archivo de texto con la clave", en lugar de dos sugerencias independientes.If a key has been printed and saved to file, display a combined hint, "Look for a printout or a text file with the key," instead of two separate hints.
  7. Si se han realizado varias copias de seguridad del mismo tipo (quitar frente a local) para la misma clave de recuperación, prioriza la información de la copia de seguridad con la última fecha respaldada.If multiple backups of the same type (remove vs. local) have been performed for the same recovery key, prioritize backup info with latest backed up date.
  8. No hay ninguna sugerencia específica para las claves guardadas en un Active Directory local.There is no specific hint for keys saved to an on-premises Active Directory. En este caso, se mostrará un mensaje personalizado (si está configurado) o un mensaje genérico, "Ponte en contacto con el servicio de ayuda de tu organización".In this case, a custom message (if configured) or a generic message, "Contact your organization's help desk," will be displayed.
  9. Si hay dos claves de recuperación presentes en el disco, pero solo se ha realizado una copia de seguridad correctamente, el sistema pedirá una clave que se haya realizado con una copia de seguridad, incluso si otra clave es más reciente.If two recovery keys are present on the disk, but only one has been successfully backed up, the system will ask for a key that has been backed up, even if another key is newer.

Ejemplo 1 (clave de recuperación única con una sola copia de seguridad)Example 1 (single recovery key with single backup)

URL personalizadaCustom URL Yes
Guardado en una cuenta de MicrosoftSaved to Microsoft Account Yes
Guardado en Azure ADSaved to Azure AD NoNo
Guardado en Active DirectorySaved to Active Directory NoNo
ImpresoPrinted NoNo
Guardado en archivoSaved to file NoNo

Resultado: Se muestra la sugerencia de la cuenta de Microsoft y la dirección URL personalizada.Result: The hint for the Microsoft Account and the custom URL are displayed.

Ejemplo 1 de la pantalla de recuperación BitLocker personalizada

Ejemplo 2 (clave de recuperación única con una sola copia de seguridad)Example 2 (single recovery key with single backup)

URL personalizadaCustom URL Yes
Guardado en una cuenta de MicrosoftSaved to Microsoft Account NoNo
Guardado en Azure ADSaved to Azure AD NoNo
Guardado en Active DirectorySaved to Active Directory Yes
ImpresoPrinted NoNo
Guardado en archivoSaved to file NoNo

Resultado: Solo se muestra la dirección URL personalizada.Result: Only the custom URL is displayed.

Ejemplo 2 de pantalla de recuperación personalizada de BitLocker

Ejemplo 3 (clave de recuperación única con varias copias de seguridad)Example 3 (single recovery key with multiple backups)

URL personalizadaCustom URL NoNo
Guardado en una cuenta de MicrosoftSaved to Microsoft Account Yes
Guardado en Azure ADSaved to Azure AD Yes
Guardado en Active DirectorySaved to Active Directory NoNo
ImpresoPrinted Yes
Guardado en archivoSaved to file Yes

Resultado: Solo se muestra la sugerencia de cuenta de Microsoft.Result: Only the Microsoft Account hint is displayed.

Ejemplo 3 de pantalla de recuperación de BitLocker personalizada

Ejemplo 4 (varias contraseñas de recuperación)Example 4 (multiple recovery passwords)

URL personalizadaCustom URL NoNo
Guardado en una cuenta de MicrosoftSaved to Microsoft Account NoNo
Guardado en Azure ADSaved to Azure AD NoNo
Guardado en Active DirectorySaved to Active Directory NoNo
ImpresoPrinted NoNo
Guardado en archivoSaved to file Yes
Hora de creaciónCreation time 1 p. m.1PM
Id. de claveKey ID A564F193A564F193

      

URL personalizadaCustom URL NoNo
Guardado en una cuenta de MicrosoftSaved to Microsoft Account NoNo
Guardado en Azure ADSaved to Azure AD NoNo
Guardado en Active DirectorySaved to Active Directory NoNo
ImpresoPrinted NoNo
Guardado en archivoSaved to file NoNo
Hora de creaciónCreation time 3PM3PM
Id. de claveKey ID T4521ER5T4521ER5

resultado: Se muestra solo la sugerencia para una clave en la que se ha realizado una copia de seguridad correctamente, aunque no sea la clave más reciente.Result: Only the hint for a successfully backed up key is displayed, even if it isn't the most recent key.

Ejemplo 4 de pantalla de recuperación de BitLocker personalizada

Ejemplo 5 (varias contraseñas de recuperación)Example 5 (multiple recovery passwords)

URL personalizadaCustom URL NoNo
Guardado en una cuenta de MicrosoftSaved to Microsoft Account Yes
Guardado en Azure ADSaved to Azure AD Yes
Guardado en Active DirectorySaved to Active Directory NoNo
ImpresoPrinted NoNo
Guardado en archivoSaved to file NoNo
Hora de creaciónCreation time 1 p. m.1PM
Id. de claveKey ID 99631A3499631A34

      

URL personalizadaCustom URL NoNo
Guardado en una cuenta de MicrosoftSaved to Microsoft Account NoNo
Guardado en Azure ADSaved to Azure AD Yes
Guardado en Active DirectorySaved to Active Directory NoNo
ImpresoPrinted NoNo
Guardado en archivoSaved to file NoNo
Hora de creaciónCreation time 3PM3PM
Id. de claveKey ID 9DF709319DF70931

Resultado: Se muestra la sugerencia de la clave más reciente.Result: The hint for the most recent key is displayed.

Ejemplo 5 de pantalla de recuperación de BitLocker personalizada

Uso de la información de recuperación adicionalUsing additional recovery information

Además de la contraseña de recuperación de BitLocker de 48 dígitos, otros tipos de información de recuperación se almacenan en Active Directory.Besides the 48-digit BitLocker recovery password, other types of recovery information are stored in Active Directory. Esta sección describe cómo se puede usar esta información adicional.This section describes how this additional information can be used.

Paquete de claves de BitLockerBitLocker key package

Si los métodos de recuperación descritos anteriormente en este documento no desbloquean el volumen, puedes usar la herramienta de reparación de BitLocker para descifrar el volumen en el nivel de bloque.If the recovery methods discussed earlier in this document do not unlock the volume, you can use the BitLocker Repair tool to decrypt the volume at the block level. La herramienta usa el paquete de claves de BitLocker para ayudar a recuperar los datos cifrados de las unidades gravemente dañadas.The tool uses the BitLocker key package to help recover encrypted data from severely damaged drives. A continuación, puedes usar estos datos de recuperación para salvar datos cifrados, incluso después de que la contraseña de recuperación correcta no haya conseguido desbloquear el volumen dañado.You can then use this recovered data to salvage encrypted data, even after the correct recovery password has failed to unlock the damaged volume. Te recomendamos que sigas guardando la contraseña de recuperación.We recommend that you still save the recovery password. No se puede usar un paquete de claves sin la contraseña de recuperación correspondiente.A key package cannot be used without the corresponding recovery password.

Nota

Debes usar la herramienta de reparación de BitLocker repair-bde para usar el paquete de claves de BitLocker.You must use the BitLocker Repair tool repair-bde to use the BitLocker key package.

De manera predeterminada, no se guardará el paquete de claves de BitLocker.The BitLocker key package is not saved by default. Para guardar el paquete junto con la contraseña de recuperación de AD DS, debes seleccionar la opción Realizar copia de seguridad de contraseñas de recuperación y paquetes de claves en la configuración de directivas de grupo que controla el método de recuperación.To save the package along with the recovery password in AD DS, you must select the Backup recovery password and key package option in the Group Policy settings that control the recovery method. También puedes exportar el paquete de claves desde un volumen de trabajo.You can also export the key package from a working volume. Para obtener más información sobre cómo exportar los paquetes de claves, ve a Recuperación del paquete de claves de BitLocker.For more details about how to export key packages, see Retrieving the BitLocker Key Package.

Restablecimiento de contraseñas de recuperaciónResetting recovery passwords

Invalidar una contraseña de recuperación una vez que se ha proporcionado y usado.Invalidate a recovery password after it has been provided and used. También debes hacerlo cuando quieras invalidar una contraseña de recuperación existente por cualquier motivo.It should also be done when you intentionally want to invalidate an existing recovery password for any reason.

Puedes restablecer la contraseña de recuperación de dos maneras:You can reset the recovery password in two ways:

  • Usar manage-bde: puedes usar manage-bde para quitar la contraseña de recuperación anterior y agregar una nueva.Use manage-bde: You can use manage-bde to remove the old recovery password and add a new recovery password. El procedimiento identifica el comando y la sintaxis de este método.The procedure identifies the command and the syntax for this method.
  • Ejecutar un script: Puedes ejecutar un script para restablecer la contraseña sin descifrar el volumen.Run a script: You can run a script to reset the password without decrypting the volume. El script de muestra en el procedimiento muestra esta funcionalidad.The sample script in the procedure illustrates this functionality. El script de muestra crea una nueva contraseña de recuperación e invalida las demás contraseñas.The sample script creates a new recovery password and invalidates all other passwords.

Para restablecer una contraseña de recuperación con manage-dbe:To reset a recovery password using manage-bde:

  1. Quita la contraseña de recuperación anteriorRemove the previous recovery password

    Manage-bde –protectors –delete C: –type RecoveryPassword
    
  2. Agrega la nueva contraseña de recuperaciónAdd the new recovery password

    Manage-bde –protectors –add C: -RecoveryPassword
    
  3. Obtén el Id. de la nueva contraseña de recuperación.Get the ID of the new recovery password. En la pantalla, copia el Id. de la contraseña de recuperación.From the screen, copy the ID of the recovery password.

    Manage-bde –protectors –get C: -Type RecoveryPassword
    
  4. Realiza copia de seguridad de la nueva contraseña de recuperación en AD DSBack up the new recovery password to AD DS.

    Manage-bde –protectors –adbackup C: -id {EXAMPLE6-5507-4924-AA9E-AFB2EB003692}
    

    Advertencia

    Debes incluir las llaves en la cadena de Id.You must include the braces in the ID string.

Para ejecutar el script de contraseña de recuperación de ejemplo:To run the sample recovery password script:

  1. Guarda el siguiente script de muestra en un archivo VBScript.Save the following sample script in a VBScript file. Por ejemplo: ResetPassword.vbs.For example: ResetPassword.vbs.

  2. En el símbolo del sistema, escribe un comando similar al siguiente script de ejemplo:At the command prompt, type a command similar to the following sample script:

    cscript ResetPassword.vbscscript ResetPassword.vbs

    Importante

    Este script de muestra está configurado para funcionar solamente para el volumen C.This sample script is configured to work only for the C volume. Debes personalizar el script para que coincida con el volumen en el que quieras probar el restablecimiento de contraseña.You must customize the script to match the volume where you want to test password reset.

Nota

Para administrar un equipo remoto, puedes especificar el nombre del equipo remoto en lugar del nombre del equipo local.To manage a remote computer, you can specify the remote computer name rather than the local computer name.

Puedes usar el siguiente script de muestra para crear un archivo VBScript para restablecer las contraseñas de recuperación:You can use the following sample script to create a VBScript file to reset the recovery passwords:

' Target drive letter
strDriveLetter = "c:"
' Target computer name
' Use "." to connect to the local computer
strComputerName = "."
' --------------------------------------------------------------------------------
' Connect to the BitLocker WMI provider class
' --------------------------------------------------------------------------------
strConnectionStr = "winmgmts:" _
                 & "{impersonationLevel=impersonate,authenticationLevel=pktPrivacy}!\\" _
                 & strComputerName _
                 & "\root\cimv2\Security\MicrosoftVolumeEncryption"


On Error Resume Next 'handle permission errors
Set objWMIService = GetObject(strConnectionStr)
If Err.Number <> 0 Then
     WScript.Echo "Failed to connect to the BitLocker interface (Error 0x" & Hex(Err.Number) & ")."
     Wscript.Echo "Ensure that you are running with administrative privileges."
     WScript.Quit -1
End If
On Error GoTo 0
strQuery = "Select * from Win32_EncryptableVolume where DriveLetter='" & strDriveLetter & "'"
Set colTargetVolumes = objWMIService.ExecQuery(strQuery)
If colTargetVolumes.Count = 0 Then
    WScript.Echo "FAILURE: Unable to find BitLocker-capable drive " &  strDriveLetter & " on computer " & strComputerName & "."
    WScript.Quit -1
End If
' there should only be one volume found
For Each objFoundVolume in colTargetVolumes
    set objVolume = objFoundVolume
Next
' objVolume is now our found BitLocker-capable disk volume
' --------------------------------------------------------------------------------
' Perform BitLocker WMI provider functionality
' --------------------------------------------------------------------------------
' Add a new recovery password, keeping the ID around so it doesn't get deleted later
' ----------------------------------------------------------------------------------
nRC = objVolume.ProtectKeyWithNumericalPassword("Recovery Password Refreshed By Script", , sNewKeyProtectorID)
If nRC <> 0 Then
WScript.Echo "FAILURE: ProtectKeyWithNumericalPassword failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If
' Removes the other, "stale", recovery passwords
' ----------------------------------------------------------------------------------
nKeyProtectorTypeIn = 3 ' type associated with "Numerical Password" protector
nRC = objVolume.GetKeyProtectors(nKeyProtectorTypeIn, aKeyProtectorIDs)
If nRC <> 0 Then
WScript.Echo "FAILURE: GetKeyProtectors failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If
' Delete those key protectors other than the one we just added.
For Each sKeyProtectorID In aKeyProtectorIDs
If sKeyProtectorID <> sNewKeyProtectorID Then
nRC = objVolume.DeleteKeyProtector(sKeyProtectorID)
If nRC <> 0 Then
WScript.Echo "FAILURE: DeleteKeyProtector on ID " & sKeyProtectorID & " failed with return code 0x" & Hex(nRC)
WScript.Quit -1
Else
' no output
'WScript.Echo "SUCCESS: Key protector with ID " & sKeyProtectorID & " deleted"
End If
End If
Next
WScript.Echo "A new recovery password has been added. Old passwords have been removed."
' - some advanced output (hidden)
'WScript.Echo ""
'WScript.Echo "Type ""manage-bde -protectors -get " & strDriveLetter & " -type recoverypassword"" to view existing passwords."

Recuperación del paquete de claves de BitLockerRetrieving the BitLocker key package

Puedes usar dos métodos para recuperar el paquete de claves, tal como se describe en Uso de la información de recuperación adicional:You can use two methods to retrieve the key package, as described in Using Additional Recovery Information:

  • Exportar un paquete de clave guardado anteriormente desde AD DS.Export a previously saved key package from AD DS. Debes tener acceso de lectura a las contraseñas de recuperación de BitLocker que están almacenadas en AD DS.You must have Read access to BitLocker recovery passwords that are stored in AD DS.
  • Exportar un nuevo paquete de claves desde un volumen protegido con BitLocker desbloqueado.Export a new key package from an unlocked, BitLocker-protected volume. Debes tener acceso de administrador local al volumen de trabajo, antes de que se haya producido algún daño.You must have local administrator access to the working volume, before any damage has occurred.

El siguiente script de muestra exporta todos los paquetes de claves guardados previamente desde AD DS.The following sample script exports all previously saved key packages from AD DS.

Para ejecutar el script de recuperación del paquete de claves de ejemplo:To run the sample key package retrieval script:

  1. Guarda el siguiente script de muestra en un archivo VBScript.Save the following sample script in a VBScript file. Por ejemplo: GetBitLockerKeyPackageADDS.vbs.For example: GetBitLockerKeyPackageADDS.vbs.

  2. En el símbolo del sistema, escribe un comando similar al siguiente script de ejemplo:At the command prompt, type a command similar to the following sample script:

    cscript GetBitLockerKeyPackageADDS.vbs -?cscript GetBitLockerKeyPackageADDS.vbs -?

Puedes usar el siguiente script de ejemplo para crear un archivo VBScript para recuperar el paquete de claves de BitLocker de AD DS:You can use the following sample script to create a VBScript file to retrieve the BitLocker key package from AD DS:

' --------------------------------------------------------------------------------
' Usage
' --------------------------------------------------------------------------------
Sub ShowUsage
   Wscript.Echo "USAGE: GetBitLockerKeyPackageADDS [Path To Save Key Package] [Optional Computer Name]"
   Wscript.Echo "If no computer name is specified, the local computer is assumed."
   Wscript.Echo
   Wscript.Echo "Example: GetBitLockerKeyPackageADDS E:\bitlocker-ad-key-package mycomputer"
   WScript.Quit
End Sub
' --------------------------------------------------------------------------------
' Parse Arguments
' --------------------------------------------------------------------------------
Set args = WScript.Arguments
Select Case args.Count
  Case 1
    If args(0) = "/?" Or args(0) = "-?" Then
    ShowUsage
    Else
      strFilePath = args(0)
      ' Get the name of the local computer
      Set objNetwork = CreateObject("WScript.Network")
      strComputerName = objNetwork.ComputerName
    End If

  Case 2
    If args(0) = "/?" Or args(0) = "-?" Then
      ShowUsage
    Else
      strFilePath = args(0)
      strComputerName = args(1)
    End If
  Case Else
    ShowUsage
End Select
' --------------------------------------------------------------------------------
' Get path to Active Directory computer object associated with the computer name
' --------------------------------------------------------------------------------
Function GetStrPathToComputer(strComputerName)
    ' Uses the global catalog to find the computer in the forest
    ' Search also includes deleted computers in the tombstone
    Set objRootLDAP = GetObject("LDAP://rootDSE")
    namingContext = objRootLDAP.Get("defaultNamingContext") ' e.g. string dc=fabrikam,dc=com
    strBase = "<GC://" & namingContext & ">"

    Set objConnection = CreateObject("ADODB.Connection")
    Set objCommand = CreateObject("ADODB.Command")
    objConnection.Provider = "ADsDSOOBject"
    objConnection.Open "Active Directory Provider"
    Set objCommand.ActiveConnection = objConnection
    strFilter = "(&(objectCategory=Computer)(cn=" &  strComputerName & "))"
    strQuery = strBase & ";" & strFilter  & ";distinguishedName;subtree"
    objCommand.CommandText = strQuery
    objCommand.Properties("Page Size") = 100
    objCommand.Properties("Timeout") = 100
    objCommand.Properties("Cache Results") = False
    ' Enumerate all objects found.
    Set objRecordSet = objCommand.Execute
    If objRecordSet.EOF Then
      WScript.echo "The computer name '" &  strComputerName & "' cannot be found."
      WScript.Quit 1
    End If
    ' Found object matching name
    Do Until objRecordSet.EOF
      dnFound = objRecordSet.Fields("distinguishedName")
      GetStrPathToComputer = "LDAP://" & dnFound
      objRecordSet.MoveNext
    Loop
    ' Clean up.
    Set objConnection = Nothing
    Set objCommand = Nothing
    Set objRecordSet = Nothing
End Function
' --------------------------------------------------------------------------------
' Securely access the Active Directory computer object using Kerberos
' --------------------------------------------------------------------------------
Set objDSO = GetObject("LDAP:")
strPathToComputer = GetStrPathToComputer(strComputerName)
WScript.Echo "Accessing object: " + strPathToComputer
Const ADS_SECURE_AUTHENTICATION = 1
Const ADS_USE_SEALING = 64 '0x40
Const ADS_USE_SIGNING = 128 '0x80
' --------------------------------------------------------------------------------
' Get all BitLocker recovery information from the Active Directory computer object
' --------------------------------------------------------------------------------
' Get all the recovery information child objects of the computer object
Set objFveInfos = objDSO.OpenDSObject(strPathToComputer, vbNullString, vbNullString, _
                                   ADS_SECURE_AUTHENTICATION + ADS_USE_SEALING + ADS_USE_SIGNING)
objFveInfos.Filter = Array("msFVE-RecoveryInformation")
' Iterate through each recovery information object and saves any existing key packages
nCount = 1
strFilePathCurrent = strFilePath & nCount
For Each objFveInfo in objFveInfos
   strName = objFveInfo.Get("name")
   strRecoveryPassword = objFveInfo.Get("msFVE-RecoveryPassword")
   strKeyPackage = objFveInfo.Get("msFVE-KeyPackage")
   WScript.echo
   WScript.echo "Recovery Object Name: " + strName
   WScript.echo "Recovery Password: " + strRecoveryPassword
   ' Validate file path
   Set fso = CreateObject("Scripting.FileSystemObject")
   If (fso.FileExists(strFilePathCurrent)) Then
 WScript.Echo "The file " & strFilePathCurrent & " already exists. Please use a different path."
WScript.Quit -1
   End If
   ' Save binary data to the file
   SaveBinaryDataText strFilePathCurrent, strKeyPackage

   WScript.echo "Related key package successfully saved to " + strFilePathCurrent
   ' Update next file path using base name
   nCount = nCount + 1
   strFilePathCurrent = strFilePath & nCount
Next
'----------------------------------------------------------------------------------------
' Utility functions to save binary data
'----------------------------------------------------------------------------------------
Function SaveBinaryDataText(FileName, ByteArray)
  'Create FileSystemObject object
  Dim FS: Set FS = CreateObject("Scripting.FileSystemObject")

  'Create text stream object
  Dim TextStream
  Set TextStream = FS.CreateTextFile(FileName)

  'Convert binary data To text And write them To the file
  TextStream.Write BinaryToString(ByteArray)
End Function
Function BinaryToString(Binary)
  Dim I, S
  For I = 1 To LenB(Binary)
    S = S & Chr(AscB(MidB(Binary, I, 1)))
  Next
  BinaryToString = S
End Function
WScript.Quit

El siguiente ejemplo de script exporta un nuevo paquete de clave de un volumen desbloqueado y cifrado.The following sample script exports a new key package from an unlocked, encrypted volume.

Para ejecutar el script de recuperación del paquete de claves de ejemplo:To run the sample key package retrieval script:

  1. Guarda el siguiente script de muestra en un archivo VBScript.Save the following sample script in a VBScript file. Por ejemplo: GetBitLockerKeyPackage.vbsFor example: GetBitLockerKeyPackage.vbs

  2. Abrir un símbolo del sistema de administrador y escribir un comando similar al siguiente script de ejemplo:Open an administrator command prompt, and then type a command similar to the following sample script:

    cscript GetBitLockerKeyPackage.vbs -?cscript GetBitLockerKeyPackage.vbs -?

' --------------------------------------------------------------------------------
' Usage
' --------------------------------------------------------------------------------
Sub ShowUsage
   Wscript.Echo "USAGE: GetBitLockerKeyPackage [VolumeLetter/DriveLetter:] [Path To Save Key Package]"
   Wscript.Echo
   Wscript.Echo "Example: GetBitLockerKeyPackage C: E:\bitlocker-backup-key-package"
   WScript.Quit
End Sub
' --------------------------------------------------------------------------------
' Parse Arguments
' --------------------------------------------------------------------------------
Set args = WScript.Arguments
Select Case args.Count
  Case 2
    If args(0) = "/?" Or args(0) = "-?" Then
      ShowUsage
    Else
      strDriveLetter = args(0)
      strFilePath = args(1)
    End If
  Case Else
    ShowUsage
End Select
' --------------------------------------------------------------------------------
' Other Inputs
' --------------------------------------------------------------------------------
' Target computer name
' Use "." to connect to the local computer
strComputerName = "."
' Default key protector ID to use. Specify "" to let the script choose.
strDefaultKeyProtectorID = ""
' strDefaultKeyProtectorID = "{001298E0-870E-4BA0-A2FF-FC74758D5720}"  ' sample
' --------------------------------------------------------------------------------
' Connect to the BitLocker WMI provider class
' --------------------------------------------------------------------------------
strConnectionStr = "winmgmts:" _
                 & "{impersonationLevel=impersonate,authenticationLevel=pktPrivacy}!\\" _
                 & strComputerName _
                 & "\root\cimv2\Security\MicrosoftVolumeEncryption"


On Error Resume Next 'handle permission errors
Set objWMIService = GetObject(strConnectionStr)
If Err.Number <> 0 Then
     WScript.Echo "Failed to connect to the BitLocker interface (Error 0x" & Hex(Err.Number) & ")."
     Wscript.Echo "Ensure that you are running with administrative privileges."
     WScript.Quit -1
End If
On Error GoTo 0
strQuery = "Select * from Win32_EncryptableVolume where DriveLetter='" & strDriveLetter & "'"
Set colTargetVolumes = objWMIService.ExecQuery(strQuery)
If colTargetVolumes.Count = 0 Then
    WScript.Echo "FAILURE: Unable to find BitLocker-capable drive " &  strDriveLetter & " on computer " & strComputerName & "."
    WScript.Quit -1
End If
' there should only be one volume found
For Each objFoundVolume in colTargetVolumes
    set objVolume = objFoundVolume
Next
' objVolume is now our found BitLocker-capable disk volume
' --------------------------------------------------------------------------------
' Perform BitLocker WMI provider functionality
' --------------------------------------------------------------------------------
' Collect all possible valid key protector ID's that can be used to get the package
' ----------------------------------------------------------------------------------
nNumericalKeyProtectorType = 3 ' type associated with "Numerical Password" protector
nRC = objVolume.GetKeyProtectors(nNumericalKeyProtectorType, aNumericalKeyProtectorIDs)
If nRC <> 0 Then
WScript.Echo "FAILURE: GetKeyProtectors failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If
nExternalKeyProtectorType = 2 ' type associated with "External Key" protector
nRC = objVolume.GetKeyProtectors(nExternalKeyProtectorType, aExternalKeyProtectorIDs)
If nRC <> 0 Then
WScript.Echo "FAILURE: GetKeyProtectors failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If
' Get first key protector of the type "Numerical Password" or "External Key", if any
' ----------------------------------------------------------------------------------
if strDefaultKeyProtectorID = "" Then
' Save first numerical password, if exists
If UBound(aNumericalKeyProtectorIDs) <> -1 Then
strDefaultKeyProtectorID = aNumericalKeyProtectorIDs(0)
End If
' No numerical passwords exist, save the first external key
If strDefaultKeyProtectorID = "" and UBound(aExternalKeyProtectorIDs) <> -1 Then
strDefaultKeyProtectorID = aExternalKeyProtectorIDs(0)
End If
' Fail case: no recovery key protectors exist.
If strDefaultKeyProtectorID = "" Then
WScript.Echo "FAILURE: Cannot create backup key package because no recovery passwords or recovery keys exist. Check that BitLocker protection is on for this drive."
WScript.Echo "For help adding recovery passwords or recovery keys, type ""manage-bde -protectors -add -?""."
WScript.Quit -1
End If
End If
' Get some information about the chosen key protector ID
' ----------------------------------------------------------------------------------
' is the type valid?
nRC = objVolume.GetKeyProtectorType(strDefaultKeyProtectorID, nDefaultKeyProtectorType)
If Hex(nRC) = "80070057" Then
WScript.Echo "The key protector ID " & strDefaultKeyProtectorID & " is not valid."
WScript.Echo "This ID value may have been provided by the script writer."
ElseIf nRC <> 0 Then
WScript.Echo "FAILURE: GetKeyProtectorType failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If
' what's a string that can be used to describe it?
strDefaultKeyProtectorType = ""
Select Case nDefaultKeyProtectorType
  Case nNumericalKeyProtectorType
      strDefaultKeyProtectorType = "recovery password"
  Case nExternalKeyProtectorType
      strDefaultKeyProtectorType = "recovery key"
  Case Else
      WScript.Echo "The key protector ID " & strDefaultKeyProtectorID & " does not refer to a valid recovery password or recovery key."
      WScript.Echo "This ID value may have been provided by the script writer."
End Select
' Save the backup key package using the chosen key protector ID
' ----------------------------------------------------------------------------------
nRC = objVolume.GetKeyPackage(strDefaultKeyProtectorID, oKeyPackage)
If nRC <> 0 Then
WScript.Echo "FAILURE: GetKeyPackage failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If
' Validate file path
Set fso = CreateObject("Scripting.FileSystemObject")
If (fso.FileExists(strFilePath)) Then
WScript.Echo "The file " & strFilePath & " already exists. Please use a different path."
WScript.Quit -1
End If
Dim oKeyPackageByte, bKeyPackage
For Each oKeyPackageByte in oKeyPackage
  'WScript.echo "key package byte: " & oKeyPackageByte
  bKeyPackage = bKeyPackage & ChrB(oKeyPackageByte)
Next
' Save binary data to the file
SaveBinaryDataText strFilePath, bKeyPackage
' Display helpful information
' ----------------------------------------------------------------------------------
WScript.Echo "The backup key package has been saved to " & strFilePath & "."
WScript.Echo "IMPORTANT: To use this key package, the " & strDefaultKeyProtectorType & " must also be saved."
' Display the recovery password or a note about saving the recovery key file
If nDefaultKeyProtectorType = nNumericalKeyProtectorType Then
nRC = objVolume.GetKeyProtectorNumericalPassword(strDefaultKeyProtectorID, sNumericalPassword)
If nRC <> 0 Then
WScript.Echo "FAILURE: GetKeyProtectorNumericalPassword failed with return code 0x" & Hex(nRC)
WScript.Quit -1
End If
WScript.Echo "Save this recovery password: " & sNumericalPassword
ElseIf nDefaultKeyProtectorType = nExternalKeyProtectorType Then
WScript.Echo "The saved key file is named " & strDefaultKeyProtectorID & ".BEK"
WScript.Echo "For help re-saving this external key file, type ""manage-bde -protectors -get -?"""
End If
'----------------------------------------------------------------------------------------
' Utility functions to save binary data
'----------------------------------------------------------------------------------------
Function SaveBinaryDataText(FileName, ByteArray)
  'Create FileSystemObject object
  Dim FS: Set FS = CreateObject("Scripting.FileSystemObject")

  'Create text stream object
  Dim TextStream
  Set TextStream = FS.CreateTextFile(FileName)

  'Convert binary data To text And write them To the file
  TextStream.Write BinaryToString(ByteArray)
End Function
Function BinaryToString(Binary)
  Dim I, S
  For I = 1 To LenB(Binary)
    S = S & Chr(AscB(MidB(Binary, I, 1)))
  Next
  BinaryToString = S
End Function

Ver tambiénSee also