BitLockerBitLocker

Se aplica aApplies to

  • Windows10Windows 10

Este tema proporciona una descripción general de alto nivel de BitLocker, incluida una lista de requisitos del sistema, aplicaciones prácticas y características en desuso.This topic provides a high-level overview of BitLocker, including a list of system requirements, practical applications, and deprecated features.

Introducción a BitLockerBitLocker overview

Cifrado de unidad BitLocker es una característica de protección de datos que se integra en el sistema operativo y soluciona las amenazas de robo o exposición de datos de equipos perdidos, sustraídos o retirados inadecuadamente.BitLocker Drive Encryption is a data protection feature that integrates with the operating system and addresses the threats of data theft or exposure from lost, stolen, or inappropriately decommissioned computers.

BitLocker ofrece la máxima protección cuando se usa con un módulo de plataforma segura (TPM) 1.2 o posterior.BitLocker provides the most protection when used with a Trusted Platform Module (TPM) version 1.2 or later. El TPM es un componente de hardware instalado en muchos equipos nuevos por los fabricantes de equipos.The TPM is a hardware component installed in many newer computers by the computer manufacturers. Funciona con BitLocker para ayudar a proteger los datos de usuario y para garantizar que un equipo no se haya manipulado mientras el sistema estaba sin conexión.It works with BitLocker to help protect user data and to ensure that a computer has not been tampered with while the system was offline.

En los equipos que no tienen un TPM versión 1.2 o posterior, todavía puede usar BitLocker para cifrar la unidad del sistema operativo Windows.On computers that do not have a TPM version 1.2 or later, you can still use BitLocker to encrypt the Windows operating system drive. Sin embargo, esta implementación requerirá que el usuario inserte una clave de inicio USB para iniciar el equipo o reanudarlo del modo de hibernación.However, this implementation will require the user to insert a USB startup key to start the computer or resume from hibernation. A partir de Windows 8, puedes usar una contraseña de volumen del sistema operativo para proteger el volumen del sistema operativo en un equipo sin TPM.Starting with Windows 8, you can use an operating system volume password to protect the operating system volume on a computer without TPM. Ambas opciones no proporcionan la comprobación de integridad del sistema previa al inicio ofrecida por BitLocker con un TPM.Both options do not provide the pre-startup system integrity verification offered by BitLocker with a TPM.

Además del TPM, BitLocker ofrece la opción de bloquear el proceso de inicio normal hasta que el usuario proporcione un número de identificación personal (PIN) o inserte un dispositivo extraíble, como una unidad flash USB, que contenga una clave de inicio.In addition to the TPM, BitLocker offers the option to lock the normal startup process until the user supplies a personal identification number (PIN) or inserts a removable device, such as a USB flash drive, that contains a startup key. Estas medidas de seguridad adicionales proporcionan autenticación multifactor y la garantía de que el equipo no se inicia o reanuda desde la hibernación hasta que se ofrezca el PIN o la clave de inicio correctos.These additional security measures provide multifactor authentication and assurance that the computer will not start or resume from hibernation until the correct PIN or startup key is presented.

Aplicaciones prácticasPractical applications

Los datos de un equipo perdido o robado son vulnerables a un acceso no autorizado, mediante la ejecución de una herramienta de ataques de software contra ellos o mediante la transferencia del disco duro del equipo a otro equipo.Data on a lost or stolen computer is vulnerable to unauthorized access, either by running a software-attack tool against it or by transferring the computer's hard disk to a different computer. BitLocker ayuda a mitigar el acceso a datos no autorizados mejorando las protecciones de archivo y de sistema.BitLocker helps mitigate unauthorized data access by enhancing file and system protections. BitLocker también ayuda a convertir los datos en inaccesibles cuando se retiran o reciclan equipos protegidos con BitLocker.BitLocker also helps render data inaccessible when BitLocker-protected computers are decommissioned or recycled.

Hay dos herramientas adicionales en las herramientas de administración remota del servidor, que puedes usar para administrar BitLocker.There are two additional tools in the Remote Server Administration Tools, which you can use to manage BitLocker.

  • Visor de contraseñas de recuperación de BitLocker.BitLocker Recovery Password Viewer. El Visor de contraseñas de recuperación de BitLocker te permite buscar y ver las contraseñas de recuperación de cifrado de unidad BitLocker a las que se haya hecho una copia de seguridad en los servicios de dominio de Active Directory (AD DS).The BitLocker Recovery Password Viewer enables you to locate and view BitLocker Drive Encryption recovery passwords that have been backed up to Active Directory Domain Services (AD DS). Puedes usar esta herramienta para ayudar a recuperar datos que están almacenados en una unidad cifrada mediante el uso de BitLocker.You can use this tool to help recover data that is stored on a drive that has been encrypted by using BitLocker. La herramienta Visor de contraseñas de recuperación de BitLocker es una extensión del complemento Microsoft Management Console (MMC) de Usuarios y equipos de Active Directory.The BitLocker Recovery Password Viewer tool is an extension for the Active Directory Users and Computers Microsoft Management Console (MMC) snap-in. Con esta herramienta, puedes examinar el cuadro de diálogo Propiedades de un objeto del equipo para ver las contraseñas de recuperación de BitLocker correspondientes.By using this tool, you can examine a computer object's Properties dialog box to view the corresponding BitLocker recovery passwords. Además, puedes hacer clic con el botón derecho en un contenedor de dominio y, a continuación, buscar una contraseña de recuperación de BitLocker en todos los dominios del bosque de Active Directory.Additionally, you can right-click a domain container and then search for a BitLocker recovery password across all the domains in the Active Directory forest. Para ver las contraseñas de recuperación, debes ser un administrador de dominio o debes tener delegados los permisos de administrador de dominio.To view recovery passwords, you must be a domain administrator, or you must have been delegated permissions by a domain administrator.

  • Herramientas de cifrado de unidad de BitLocker.BitLocker Drive Encryption Tools. Las herramientas de cifrado de unidad BitLocker incluyen las herramientas de línea de comandos manage-bde y repair-bde, y los cmdlets de BitLocker para Windows PowerShell.BitLocker Drive Encryption Tools include the command-line tools, manage-bde and repair-bde, and the BitLocker cmdlets for Windows PowerShell. Tanto manage-bde como los cmdlets de BitLocker pueden usarse para realizar cualquier tarea procesable a través del panel de control de BitLocker y son adecuados para implementaciones automatizadas y otros escenarios de scripts.Both manage-bde and the BitLocker cmdlets can be used to perform any task that can be accomplished through the BitLocker control panel, and they are appropriate to use for automated deployments and other scripting scenarios. Repair-bde se proporciona para escenarios de recuperación ante desastres en los que una unidad protegida con BitLocker no se puede desbloquear con normalidad o mediante la consola de recuperación.Repair-bde is provided for disaster recovery scenarios in which a BitLocker protected drive cannot be unlocked normally or by using the recovery console.

Funcionalidad nueva y modificadaNew and changed functionality

Para obtener información sobre las novedades de BitLocker para Windows 10, como la compatibilidad con el algoritmo de cifrado XTS-AES, consulte la sección de BitLocker en "Novedades de Windows 10".To find out what's new in BitLocker for Windows 10, such as support for the XTS-AES encryption algorithm, see the BitLocker section in "What's new in Windows 10."

Requisitos del sistemaSystem requirements

BitLocker presenta los siguientes requisitos de hardware:BitLocker has the following hardware requirements:

Para que BitLocker use la comprobación de integridad del sistema proporcionada por un módulo de plataforma segura (TPM), el equipo debe tener TPM 1.2 o posterior.For BitLocker to use the system integrity check provided by a Trusted Platform Module (TPM), the computer must have TPM 1.2 or later. Si el equipo no tiene un TPM, la habilitación de BitLocker requiere que guardes una clave de inicio en un dispositivo extraíble, como una unidad flash USB.If your computer does not have a TPM, enabling BitLocker requires that you save a startup key on a removable device, such as a USB flash drive.

Un equipo con un TPM también debe tener un firmware de BIOS o UEFI compatible con Trusted Computing Group (TCG).A computer with a TPM must also have a Trusted Computing Group (TCG)-compliant BIOS or UEFI firmware. El firmware de BIOS o UEFI establece una cadena de confianza para el inicio del sistema preoperativo, y debe incluir compatibilidad con la raíz estática de Trust Measurement especificada por TCG.The BIOS or UEFI firmware establishes a chain of trust for the pre-operating system startup, and it must include support for TCG-specified Static Root of Trust Measurement. Un equipo sin un TPM no requiere firmware compatible con TCG.A computer without a TPM does not require TCG-compliant firmware.

El firmware de BIOS o UEFI del sistema (para equipos TPM y no TPM) debe admitir la clase de dispositivo de almacenamiento masivo USB, lo que incluye la lectura de pequeños archivos de una unidad flash USB en el entorno de sistema preoperativo.The system BIOS or UEFI firmware (for TPM and non-TPM computers) must support the USB mass storage device class, including reading small files on a USB flash drive in the pre-operating system environment.

Importante

Desde Windows 7, puede cifrar una unidad de SO sin un TPM y una unidad flash USB.From Windows 7, you can encrypt an OS drive without a TPM and USB flash drive. Para este procedimiento, vea sugerencia del día: BitLocker sin TPM o USB.For this procedure, see Tip of the Day: Bitlocker without TPM or USB.

Nota

El TPM 2,0 no es compatible con los modos heredado y CSM del BIOS.TPM 2.0 is not supported in Legacy and CSM Modes of the BIOS. Los dispositivos con TPM 2,0 deben tener el modo de BIOS configurado solo con UEFI nativo.Devices with TPM 2.0 must have their BIOS mode configured as Native UEFI only. Las opciones de Legacy and Compatibility support Module (CSM) deben estar deshabilitadas.The Legacy and Compatibility Support Module (CSM) options must be disabled. Para una mayor seguridad, habilita la característica de arranque seguro.For added security Enable the Secure Boot feature.

El sistema operativo instalado en hardware en modo heredado impedirá que el sistema operativo se arranque cuando el modo de BIOS se cambie a UEFI.Installed Operating System on hardware in legacy mode will stop the OS from booting when the BIOS mode is changed to UEFI. Use la herramienta MBR2GPT antes de cambiar el modo de BIOS, que preparará el sistema operativo y el disco para admitir UEFI.Use the tool MBR2GPT before changing the BIOS mode which will prepare the OS and the disk to support UEFI.

El disco duro debe particionarse con al menos dos unidades:The hard disk must be partitioned with at least two drives:

  • La unidad del sistema operativo (o la unidad de arranque) contiene el sistema operativo y sus archivos de compatibilidad.The operating system drive (or boot drive) contains the operating system and its support files. Debe estar formateada con el sistema de archivos NTFS.It must be formatted with the NTFS file system.
  • La unidad del sistema contiene los archivos que son necesarios para cargar Windows después de que el firmware haya preparado el hardware del sistema.The system drive contains the files that are needed to load Windows after the firmware has prepared the system hardware. BitLocker no está habilitado en esta unidad.BitLocker is not enabled on this drive. Para que funcione BitLocker, la unidad del sistema no debe estar cifrada, debe ser diferente de la unidad del sistema operativo y debe estar formateada con el sistema de archivos FAT32 en equipos que usan firmware basado en UEFI o con el sistema de archivos NTFS en equipos que usan firmware BIOS.For BitLocker to work, the system drive must not be encrypted, must differ from the operating system drive, and must be formatted with the FAT32 file system on computers that use UEFI-based firmware or with the NTFS file system on computers that use BIOS firmware. Recomendamos que la unidad del sistema tenga un tamaño aproximado de 350 MB.We recommend that system drive be approximately 350 MB in size. Una vez activado BitLocker, debe tener aproximadamente 250 MB de espacio libre.After BitLocker is turned on it should have approximately 250 MB of free space.

Un volumen de datos fijo o un volumen de datos extraíbles no se pueden marcar como una partición activa.A fixed data volume or removable data volume cannot be marked as an active partition.

Cuando se instala en un equipo nuevo, Windows crea automáticamente las particiones que son necesarias para BitLocker.When installed on a new computer, Windows will automatically create the partitions that are required for BitLocker.

Cuando se instala el componente opcional de BitLocker en un servidor, también deberás instalar la característica de almacenamiento mejorado, que se usa para admitir unidades cifradas de hardware.When installing the BitLocker optional component on a server you will also need to install the Enhanced Storage feature, which is used to support hardware encrypted drives.

En esta secciónIn this section

TemaTopic DescripciónDescription
Descripción general del cifrado de dispositivo de BitLocker en Windows 10Overview of BitLocker Device Encryption in Windows 10 Este tema para los profesionales de TI ofrece información general acerca de las formas que en que el cifrado de dispositivo de BitLocker puede ayudar a proteger los datos de dispositivos que ejecutan Windows 10.This topic for the IT professional provides an overview of the ways that BitLocker Device Encryption can help protect data on devices running Windows 10.
Preguntas más frecuentes (P+F) de BitLockerBitLocker frequently asked questions (FAQ) En este tema para profesionales de TI se responden preguntas frecuentes relativas a los requisitos de uso, actualización, implementación y administración, así como directivas de administración de claves de BitLocker.This topic for the IT professional answers frequently asked questions concerning the requirements to use, upgrade, deploy and administer, and key management policies for BitLocker.
Prepara tu organización para BitLocker: planeación y directivasPrepare your organization for BitLocker: Planning and policies En este tema para profesionales de TI se explica cómo puedes planear la implementación de BitLocker.This topic for the IT professional explains how can you plan your BitLocker deployment.
Implementación básica de BitLockerBitLocker basic deployment En este tema para profesionales de TI se explica cómo se pueden usar las características de BitLocker para proteger los datos mediante el cifrado de unidad.This topic for the IT professional explains how BitLocker features can be used to protect your data through drive encryption.
BitLocker: cómo implementar en Windows ServerBitLocker: How to deploy on Windows Server Este tema para el profesional de ti explica cómo implementar BitLocker en Windows Server.This topic for the IT professional explains how to deploy BitLocker on Windows Server.
BitLocker: Cómo habilitar el desbloqueo en redBitLocker: How to enable Network Unlock En este tema para profesionales de TI se describe cómo funciona el desbloqueo de BitLocker en red y cómo configurarlo.This topic for the IT professional describes how BitLocker Network Unlock works and how to configure it.
BitLocker: Usar herramientas de cifrado de unidad BitLocker para administrar BitLockerBitLocker: Use BitLocker Drive Encryption Tools to manage BitLocker En este tema para profesionales de TI se describe cómo usar las herramientas para administrar BitLocker.This topic for the IT professional describes how to use tools to manage BitLocker.
BitLocker: Usar el Visor de contraseñas de recuperación de BitLockerBitLocker: Use BitLocker Recovery Password Viewer En este tema para profesionales de TI se describe cómo usar el Visor de contraseñas de recuperación de BitLocker.This topic for the IT professional describes how to use the BitLocker Recovery Password Viewer.
Configuración de las directivas de grupo de BitLockerBitLocker Group Policy settings Este tema para profesionales de TI describe el funcionamiento, la ubicación y el efecto de cada configuración de directivas de grupo que se usa para administrar BitLocker.This topic for IT professionals describes the function, location, and effect of each Group Policy setting that is used to manage BitLocker.
Configuraciones de BCD y BitLockerBCD settings and BitLocker En este tema para profesionales de TI se describe la configuración de BCD que usa BitLocker.This topic for IT professionals describes the BCD settings that are used by BitLocker.
Guía de recuperación de BitLockerBitLocker Recovery Guide En este tema para profesionales de TI se describe cómo recuperar las claves de BitLocker de AD DS.This topic for IT professionals describes how to recover BitLocker keys from AD DS.
Proteger BitLocker frente a ataques de prearranqueProtect BitLocker from pre-boot attacks Esta guía detallada te ayudará a comprender las circunstancias en las que se recomienda el uso de autenticación de prearranque para dispositivos que ejecutan Windows10, Windows8.1, Windows8 o Windows7; y cuándo se puede omitir de forma segura a través de la configuración de un dispositivo.This detailed guide will help you understand the circumstances under which the use of pre-boot authentication is recommended for devices running Windows 10, Windows 8.1, Windows 8, or Windows 7; and when it can be safely omitted from a device’s configuration.
Solucionar problemas de BitLockerTroubleshoot BitLocker Esta guía describe los recursos que pueden ayudarle a solucionar problemas de BitLocker y ofrece soluciones para varios problemas comunes de BitLocker.This guide describes the resources that can help you troubleshoot BitLocker issues, and provides solutions for several common BitLocker issues.
Protección de volúmenes compartidos de clúster y redes de área de almacenamiento con BitLockerProtecting cluster shared volumes and storage area networks with BitLocker En este tema para profesionales de TI se describe cómo proteger archivos CSV y SAN con BitLocker.This topic for IT pros describes how to protect CSVs and SANs with BitLocker.
Habilitar el arranque seguro y el cifrado de dispositivo de BitLocker en Windows 10 IoT CoreEnabling Secure Boot and BitLocker Device Encryption on Windows 10 IoT Core En este tema se explica cómo usar BitLocker con Windows 10 IoT CoreThis topic covers how to use BitLocker with Windows 10 IoT Core