48158909 Guia Paso a Paso Del Cifrado de Unidad Bitlocker Win7

GUÍA PASO A PASO DELCIFRADO DE UNIDAD

BITLOCKER PARA WINDOWS 7Actualizado: septiembre de 2009

Se aplica a: Windows 7

Esta guía paso a paso proporciona las instrucciones necesarias para usar el Cifrado de unidad BitLocker™ en un entorno de prueba de Windows® 7. Se recomienda que realice primero los pasos indicados en la presente guía en un entorno de laboratorio de pruebas. Las guías paso a paso no están necesariamente diseñadas para implementar características del sistema operativo Windows 7 sin la documentación correspondiente y se deben usar con discreción como documento independiente.

¿Qué es el Cifrado de unidad BitLocker?

El Cifrado de unidad BitLocker es una característica de seguridad integral del sistema operativo Windows 7 que ayuda a proteger los datos almacenados en unidades de datos fijas y extraíbles y en la unidad del sistema operativo. BitLocker protege de "ataques sin conexión", que son aquéllos que se realizan deshabilitando o evitando el sistema operativo instalado, o bien, quitando físicamente el disco duro para atacar los datos por separado. En el caso de las unidades de datos fijas y extraíbles, BitLocker ayuda a garantizar que los usuarios pueden leer y escribir datos en la unidad solo cuando cuentan con la contraseña correspondiente, con credenciales de tarjeta inteligente o cuando usan la unidad de datos en un equipo protegido con BitLocker que tenga las claves adecuadas. Si en su organización hay equipos que ejecuten versiones anteriores de Windows, se puede usar el Lector de BitLocker To Go para permitir a esos equipos leer las unidades extraíbles protegidas con BitLocker.

La protección de BitLocker en unidades del sistema operativo admite la autenticación de dos factores mediante el uso del Módulo de plataforma segura (TPM) junto con un número de identificación personal (PIN) o clave de inicio, así como la autenticación de un solo factor mediante el almacenamiento de una clave en una unidad flash USB o mediante el uso solo del TPM. El uso de BitLocker con un TPM proporciona una mayor protección a los datos y ayuda a garantizar la integridad del componente de arranque inicial. Esta opción requiere que el equipo disponga de un microchip de TPM y una BIOS compatibles. Un TPM compatible se define como la versión 1.2 del TPM. Una BIOS compatible debe admitir el TPM y la raíz estática de Trust Measurement, tal y como define Trusted Computing Group. Para obtener más información acerca de las

especificaciones del TPM, visite la sección sobre dichas especificaciones del sitio web de Trusted Computing Group (en inglés) (http://go.microsoft.com/fwlink/?LinkId=72757).

El TPM interactúa con la protección de la unidad del sistema operativo de BitLocker para ayudar a proporcionar protección al inicio del sistema. El usuario no puede apreciar esto y el inicio de sesión de usuario no cambia. Sin embargo, si la información de inicio varía, BitLocker pasará al modo de recuperación y se necesitará una contraseña o clave de recuperación para volver a tener acceso a los datos.

En esta guía

El objetivo de esta guía es ayudar a los profesionales de TI a familiarizarse con la característica Cifrado de unidad BitLocker de Windows 7. Estos pasos se incluyen únicamente para fines de prueba. Esta guía no debe ser el único recurso que emplee para implementar las características de Windows Server® 2008 R2 o Windows 7. Revise las siguientes secciones para familiarizarse con la información básica y los procedimientos necesarios para comenzar a configurar e implementar BitLocker en su organización.

1. ESCENARIO 1: ACTIVAR EL CIFRADO DE UNIDAD BITLOCKER EN UNA UNIDAD DEL SISTEMA OPERATIVO (WINDOWS 7)

2. ESCENARIO 2: ACTIVAR EL CIFRADO DE UNIDAD BITLOCKER EN UNA UNIDAD DE DATOS FIJA O EXTRAÍBLE (WINDOWS 7)

3. ESCENARIO 3: ACTUALIZAR UN EQUIPO PROTEGIDO CON BITLOCKER DE WINDOWS VISTA A WINDOWS 7 (WINDOWS 7)

4. ESCENARIO 4: CONFIGURAR EL MODO EN QUE LAS VERSIONES ANTERIORES DE WINDOWS (WINDOWS 7) ADMITEN BITLOCKER

5. ESCENARIO 5: REQUERIR LA PROTECCIÓN DE BITLOCKER EN LAS UNIDADES DE DATOS (WINDOWS 7)

6. ESCENARIO 6: ESPECIFICAR COMO DESBLOQUEAR UNIDADES DEL SISTEMA OPERATIVO PROTEGIDAS CON BITLOCKER (WINDOWS 7)

7. ESCENARIO 7: ESPECIFICAR COMO DESBLOQUEAR UNIDADES DE DATOS EXTRAÍBLES O FIJAS PROTEGIDAS POR BITLOCKER (WINDOWS 7)

8. ESCENARIO 8: ESPECIFICAR COMO SE PUEDEN RECUPERAR LAS UNIDADES PROTEGIDAS POR BITLOCKER (WINDOWS 7)

http://go.microsoft.com/fwlink/?LinkId=72757

9. ESCENARIO 9: CONFIGURAR EL MÉTODO Y LA INTENSIDAD DE CIFRADO (WINDOWS 7)

10.ESCENARIO 10: CONFIGURAR EL CAMPO DE IDENTIFICACIÓN DE BITLOCKER (WINDOWS 7)

11.ESCENARIO 11: RECUPERAR DATOS PROTEGIDOS CON EL CIFRADO DE UNIDAD BITLOCKER (WINDOWS 7)

12.ESCENARIO 12: DESACTIVAR CIFRADO DE UNIDAD BITLOCKER (WINDOWS 7)

13.ESCENARIO 13: BLOQUEAR UNA UNIDAD DE DATOS CON UNA TARJETA INTELIGENTE (WINDOWS 7)

14.ESCENARIO 14: USAR UN AGENTE DE RECUPERACIÓN DE DATOS PARA RECUPERAR UNIDADES PROTEGIDAS POR BITLOCKER (WINDOWS 7)

15.ESCENARIO 15: USAR EL VISOR DE CONTRASEÑAS DE RECUPERACIÓN DE ACTIVE DIRECTORY DE BITLOCKER PARA VER CONTRASEÑAS DE RECUPERACIÓN

16.ESCENARIO 16: USAR LA HERRAMIENTA DE REPARACIÓN DE BITLOCKER PARA RECUPERAR UNA UNIDAD

ESCENARIO 1: ACTIVAR EL CIFRADO DE UNIDAD BITLOCKER EN UNA UNIDAD DEL SISTEMA OPERATIVO (WINDOWS 7)

Actualizado: agosto de 2009


En este escenario, se proporciona el procedimiento para activar la protección de Cifrado de unidad BitLocker en una unidad del sistema operativo de un equipo con un Módulo de plataforma segura (TPM). Una vez que la unidad está cifrada, el usuario inicia sesión en el equipo normalmente.

Antes de empezar

Para completar el procedimiento en este escenario:

• Debe poder proporcionar credenciales administrativas.

• Debe poder configurar una impresora, si desea imprimir la clave de recuperación.

• El equipo debe cumplir con los requisitos de BitLocker. Para obtener más información, vea los requisitos del Cifrado de unidad BitLocker en la Guía paso a paso del Cifrado de unidad BitLocker para Windows 7 .

Para activar el Cifrado de unidad BitLocker en una unidad del sistema operativo

1. Haga clic en Inicio, Panel de control, Sistema y seguridad y, a continuación, en Cifrado de unidad BitLocker.

2. Haga clic en Activar BitLocker para la unidad del sistema operativo. BitLocker examinará el equipo a fin de asegurarse de que cumple con los requisitos del sistema de BitLocker. Si el equipo cumple con los requisitos, BitLocker le informará los próximos pasos que deben realizarse para activar BitLocker, tales como la preparación de la unidad, la activación del TPM y el cifrado de la unidad.

Si cuenta con una sola partición para la unidad del sistema operativo, BitLocker preparará la unidad; para ello, reducirá el tamaño de la unidad del sistema operativo y creará una nueva partición del sistema para usarla para los archivos del sistema que se necesitan para iniciar o recuperar el sistema operativo y que no se pueden cifrar. Esta unidad no tendrá una letra de unidad para evitar que se almacenen archivos de datos en esta unidad sin darse cuenta. Una vez que la unidad está preparada, debe reiniciarse el equipo.

Si el TPM no está inicializado, el asistente para la configuración de BitLocker le indica que debe quitar las unidades USB, los CDs o los DVDs del equipo y reiniciar el equipo para iniciar el proceso de activación del TPM. Se le solicitará que habilite el TPM antes de que arranque el sistema operativo o, en algunos casos, deberá navegar a las opciones BIOS y habilitar el TPM manualmente. Este comportamiento depende del BIOS del equipo. Después de confirmar que desea que el TPM esté habilitado, el sistema operativo se iniciará y aparecerá el indicador de progreso Inicializando el hardware de seguridad de TPM.

Nota

Si configuró las opciones de directiva de grupo de su organización para que se realice una copia de seguridad de la información de

http://technet.microsoft.com/es-es/library/dd835565(WS.10).aspx


recuperación de BitLocker y el TPM en los Servicios de dominio de Active Directory® (AD DS), el equipo debe poder conectarse al dominio para completar este proceso.

3. Una vez que se inicializa el TPM, el asistente para la configuración de BitLocker le solicita que elija cómo desea almacenar la clave de recuperación. Puede elegir entre las opciones siguientes:

○ Guardar la clave de recuperación en una unidad flash USB. Guarda la clave de recuperación en una unidad flash USB.

○ Guardar la clave de recuperación en un archivo. Guarda la clave de recuperación en una unidad de red o en otra ubicación.

○ Imprimir la clave de recuperación. Imprime la clave de recuperación.

Use una o varias de estas opciones para conservar la clave de recuperación. Para cada opción que seleccione, siga los pasos del asistente para establecer la ubicación para guardar o imprimir la clave de recuperación. Cuando haya terminado de guardar la clave de recuperación, haga clic en Siguiente.

Importante

La clave de recuperación es necesaria si se desea mover la unidad cifrada a otro equipo o si se efectúan cambios en la información de inicio del sistema. Esta clave de recuperación es tan importante que se recomienda realizar copias adicionales de la clave y almacenarla en lugares seguros, de modo que pueda encontrarla fácilmente en caso de que necesite recuperar el acceso a la unidad. Si BitLocker cambia a un estado bloqueado, necesitará la clave de recuperación para desbloquear los datos cifrados en la unidad. Esta clave de recuperación es exclusiva para esta unidad en particular. No puede usarla para recuperar los datos cifrados de otras unidades protegidas por BitLocker.

Para mayor seguridad, debe almacenar las claves de recuperación fuera del equipo.

4. El asistente para la configuración de BitLocker le pregunta si está listo para cifrar la unidad. Confirme que la casilla Ejecutar la

comprobación del sistema de BitLocker está activada y, a continuación, haga clic en Continuar.

5. Confirme que desea reiniciar el equipo al hacer clic en Reiniciar ahora. El equipo se reinicia y BitLocker comprueba si el equipo cumple con los requisitos de BitLocker y está preparado para el cifrado. Si no lo está, al iniciar sesión aparecerá un mensaje de error que alerta sobre el problema.

6. Si está preparado para el cifrado, aparecerá la barra de estado Cifrar, que muestra el progreso de cifrado de la unidad. Puede supervisar el estado de finalización en curso del cifrado de la unidad de disco, si mueve el puntero del mouse sobre el icono Cifrado de unidad BitLocker en el área de notificación, en el extremo derecho de la barra de tareas. El cifrado de la unidad puede tardar unos minutos. Puede usar su equipo durante el cifrado, pero el rendimiento será menor. Cuando el cifrado se haya completado, aparecerá un mensaje de finalización.

Al completar este procedimiento, habrá cifrado la unidad del sistema operativo y creado una clave de recuperación única para esta unidad. La próxima vez que inicie sesión, no verá ningún cambio. Si el TPM sufre cambios o no se puede tener acceso a él, si se realizaron cambios en archivos clave del sistema o si alguien intenta iniciar el equipo desde un disco para evitar el sistema operativo, el equipo cambiará al modo de recuperación e impedirá que Windows se inicie.

ESCENARIO 2: ACTIVAR EL CIFRADO DE UNIDAD BITLOCKER EN UNA UNIDAD DE DATOS FIJA O EXTRAÍBLE (WINDOWS 7)



En este escenario se explica el procedimiento para activar la protección de Cifrado de unidad BitLocker en una unidad de datos fija o extraíble en un equipo.

Precaución Durante el cifrado de una unidad extraíble, no quite la unidad de forma repentina. Si necesita quitar una unidad antes de que se complete el cifrado, ponga en pausa el proceso de cifrado y, a continuación, use el icono Quitar hardware de forma segura ubicado en el área de notificación o el comando Expulsar desde el Explorador de Windows para quitar la unidad. Si se quita la unidad durante el proceso de cifrado sin poner en pausa y, de forma intencional, quitar el dispositivo, puede provocar que los datos de la unidad se dañen.

Antes de empezar


• Debe poder proporcionar credenciales administrativas para activar BitLocker para unidades de datos fijas. Las cuentas de usuario estándar pueden activar BitLocker To Go en unidades de datos extraíbles.

• Para imprimir la clave de recuperación, es necesario configurar una impresora.

• El equipo debe cumplir los requisitos de BitLocker. Para obtener más información, vea la sección sobre los requisitos para el Cifrado de unidad BitLocker en Guía paso a paso del Cifrado de unidad BitLocker para Windows 7 .

Para activar el Cifrado de unidad BitLocker en una unidad de datos fija o extraíble

1. Haga clic en Inicio, en Panel de control, en Sistema y seguridad y, a continuación, en Cifrado de unidad BitLocker.

2. Haga clic en Activar BitLocker para la unidad de datos fija o extraíble que desea cifrar.

Nota Si ha configurado la directiva de grupo en la organización para realizar una copia de seguridad de la información de recuperación de BitLocker en los Servicios de dominio de Active Directory (AD DS), el equipo debe poder conectarse al dominio para completar este proceso.

3. El Asistente para la instalación de BitLocker le preguntará cómo desea desbloquear esta unidad. Las unidades de datos fijas se pueden configurar para desbloquearse de forma automática cuando el sistema operativo está cifrado, para desbloquearse después de proporcionar una contraseña o para desbloquearse después de insertar una tarjeta inteligente. Las unidades de datos extraíbles se pueden configurar para desbloquearse después de proporcionar una contraseña o después de insertar una tarjeta inteligente. Si desea que la unidad de datos extraíble se desbloquee de forma automática, puede especificar dicha opción una vez realizado el cifrado; para ello, haga clic en Administrar BitLocker desde el elemento Cifrado de unidad BitLocker del Panel de control, o active la casilla Desbloquear automáticamente en el equipo desde ahora cuando desbloquee la unidad.

4. Antes de que BitLocker cifre la unidad, el Asistente para la instalación de BitLocker le pide que elija cómo almacenar la clave de recuperación. Puede seleccionar entre las opciones siguientes:



○ Guardar la clave de recuperación en una unidad flash USB. Guarda la clave de recuperación en una unidad flash USB. Esta opción no se puede usar con unidades extraíbles.

○ Guardar la clave de recuperación en un archivo. Guarda la clave de recuperación en una unidad de red o en otra ubicación.

○ Imprimir la clave de recuperación. Imprime la clave de recuperación.

Use una o más de estas opciones para conservar la clave de recuperación. Para cada opción que seleccione, siga los pasos del asistente para establecer la ubicación en la que guardar o imprimir la clave de recuperación. Cuando haya finalizado de guardar la clave de recuperación, haga clic en Siguiente.

Importante La clave de recuperación es necesaria cuando una unidad de datos fija protegida con BitLocker configurada para desbloqueo automático se traslada a otro equipo, o si la contraseña o la tarjeta inteligente asociadas con el desbloqueo de la unidad fija o extraíble no están disponibles, como puede suceder cuando se olvida la contraseña o se pierde la tarjeta inteligente. Necesitará la clave de recuperación para desbloquear los datos cifrados en la unidad si BitLocker cambia a un estado de bloqueo. Esta clave de recuperación es única para esta unidad en particular. No se puede usar para recuperar datos cifrados de ninguna otra unidad protegida con BitLocker.Para lograr la máxima seguridad, debería almacenar las claves de recuperación lejos de las unidades con las que están asociadas.

5. El Asistente para la instalación de BitLocker le pregunta si está listo para cifrar la unidad. Haga clic en Iniciar cifrado.

6. Aparece la barra de estado Cifrando. Para supervisar el estado de finalización del cifrado de la unidad en curso, mueva el puntero del mouse sobre el icono Cifrado de unidad BitLocker en el área de notificación, en la esquina derecha de la barra de tareas.

Al completar este procedimiento, habrá cifrado una unidad de datos fija o extraíble, asociado un protector de clave con un método de desbloqueo para la unidad y creado una clave de recuperación que es única para esta unidad.

ESCENARIO 3: ACTUALIZAR UN EQUIPO PROTEGIDO CON BITLOCKER DE WINDOWS VISTA A WINDOWS 7 (WINDOWS 7)



Este escenario describe el proceso de actualización de un equipo protegido por BitLocker de Windows Vista a Windows 7.

Antes de empezar

Para completar el procedimiento de este escenario:

• Debe proporcionar credenciales administrativas.

• La unidad del sistema operativo debe estar protegida con BitLocker.

Para actualizar manualmente el Cifrado de unidad BitLocker

1. En un equipo que ejecute Windows Vista, haga clic en Inicio, en Panel de control, en Seguridad y, finalmente, en Cifrado de unidad BitLocker.

2. Haga clic en Desactivar BitLocker y, a continuación, active la casilla Deshabilitar BitLocker. No descifre la unidad.

3. Instale Windows 7 en la misma unidad.

4. Después de instalar Windows 7, haga clic en Inicio, en Panel de control, en Sistema y seguridad y, finalmente, en Cifrado de unidad BitLocker.

Haga clic en Reanudar protección. Su unidad de sistema operativo está ahora protegida con BitLocker. Si desea usar la nueva opción de protección de claves de recuperación (agentes de recuperación de datos), también debe actualizar la información de la versión de BitLocker almacenada en los metadatos de BitLocker a la versión de Windows 7. Esto se logra con el uso de la herramienta de línea de comandos Manage-bde.exe.

5. Para actualizar los metadatos de BitLocker de forma que pueda usar las nuevas características de BitLocker de Windows 7, haga clic en Inicio, elija Todos los programas, haga clic en Accesorios, haga clic con el botón secundario en Símbolo del sistema y, a continuación, haga clic en Ejecutar como administrador. Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que muestra es la que desea y, a continuación, haga clic en Sí. En una ventana del símbolo del sistema, escriba el comando siguiente, reemplazando Volumen con la unidad de disco apropiada:

manage-bde.exe –upgrade Volumen :

Al completar este procedimiento, habrá actualizado BitLocker de la versión de Windows Vista a la versión de Windows 7.

ESCENARIO 4: CONFIGURAR EL MODO EN QUE LAS VERSIONES ANTERIORES DE WINDOWS (WINDOWS 7) ADMITEN BITLOCKER



Este escenario proporciona procedimientos para utilizar la configuración de Directiva de grupo de Windows 7 con el fin de controlar el uso de BitLocker en equipos que ejecutan Windows Vista o Windows Server 2008.

Antes de comenzar

Para completar los procedimientos que se describen en este escenario:


• Su equipo debe formar parte de un dominio.

Para configurar el modo en que las versiones anteriores de Windows admiten BitLocker

1. Haga clic en Inicio, escriba gpedit.msc en el cuadro Buscar programas y archivos y, a continuación, presione ENTRAR.

2. Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que muestra es la que desea y, a continuación, haga clic en Sí.

3. En el árbol de consola, en Directiva de equipo local\Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker, haga clic en Unidades del sistema operativo.

4. Si desea utilizar métodos de autenticación multifactor o permitir que BitLocker se utilice en equipos sin un TPM (Módulo de plataforma segura), en el panel de detalles, haga doble clic en Requerir autenticación adicional al iniciar (Windows Server 2008 y Windows Vista) para abrir la configuración de directiva.

5. Haga clic en Habilitado y, a continuación, seleccione los métodos de autenticación de inicio que desea que sean compatibles en los equipos de su organización que ejecutan Windows Vista y Windows Server 2008. Esta configuración de directiva proporciona los siguientes métodos de autenticación:

○ Permitir BitLocker sin un TPM compatible. Esta casilla habilita el uso de BitLocker en equipos que no tienen un chip de hardware de TPM. En esta situación, se debe utilizar una unidad flash USB que almacenará la clave de cifrado de la unidad.

○ Configurar opción de clave de inicio del TPM. Esta opción sirve para exigir el uso de una clave de USB además del TPM para proteger la unidad. Para desbloquear la unidad, debe estar presente la clave de USB. Para poder iniciar el sistema operativo, es necesario que el BIOS del equipo pueda leer datos de una unidad USB. Si no desea que los usuarios puedan utilizar claves de USB con BitLocker o si desea que los usuarios escriban un PIN para desbloquear las unidades del sistema operativo protegidas con BitLocker, seleccione No permitir clave de inicio con TPM.

○ Configurar PIN de inicio del TPM. Esta opción sirve para exigir el uso de un PIN además del TPM para proteger la unidad. Para desbloquear la unidad, el usuario debe ingresar el PIN. Si no desea que los usuarios puedan utilizar un PIN con BitLocker o si desea que los usuarios deban insertar claves de USB para desbloquear las unidades del sistema operativo protegidas con BitLocker, seleccione No permitir PIN de inicio con TPM.

Una vez que haya seleccionado las opciones que desee, haga clic en Aplicar para que se aplique la configuración y, a continuación, cierre el cuadro de diálogo.

6. Para configurar opciones de recuperación de Active Directory para equipos de su organización que ejecuten Windows Vista o Windows Server 2008, en el árbol de consola, en Directiva de equipo local\Configuración del equipo\Plantillas administrativas\Componentes de Windows, haga clic en Cifrado de unidad BitLocker para mostrar la configuración de directiva global.

7. Para almacenar la información de recuperación en Servicios de dominio de Active Directory (AD DS), en el panel de detalles, haga doble clic en la configuración de directiva Almacenar información de recuperación de BitLocker en Servicios de dominio de Active Directory (Windows Server 2008 y Windows Vista), haga clic en Habilitado y, a continuación, seleccione la casilla Requerir copia de seguridad de BitLocker en AD DS. Cuando esta casilla esté seleccionada, BitLocker comprobará la presencia de un controlador de dominio antes de cifrar la unidad. Si no se puede encontrar el controlador de dominio, el usuario no podrá activar BitLocker.

Una vez realizada esta selección, deberá seleccionar la información de recuperación para realizar una copia de respaldo. Puede optar por realizar una copia de respaldo solo de las

contraseñas de recuperación o de las contraseñas de recuperación y de los paquetes de claves. Los paquetes de claves son necesarios para recuperar una unidad que se ha dañado de tal forma que la recuperación de BitLocker ya no puede leer la clave de cifrado.


8. Para configurar opciones de recuperación de equipos locales para equipos de su organización que ejecuten Windows Vista o Windows Server 2008, haga doble clic en la configuración de directiva Elegir el modo en el que los usuarios pueden recuperar unidades protegidas con BitLocker (Windows Server 2008 y Windows Vista) y, a continuación, haga clic en Habilitado.

A continuación, podrá configurar si el usuario tiene permiso para seleccionar la contraseña de recuperación de 48 dígitos generada para BitLocker o para seleccionar la clave de recuperación de 256 bits como método de recuperación cuando active BitLocker. De forma predeterminada, ambas opciones están permitidas cuando esta configuración está deshabilitada o no está configurada. La clave de recuperación de BitLocker se guarda como una clave cuando se escribe en una unidad USB o como una contraseña cuando se guarda en un archivo o se imprime. Esta configuración de directiva deberá estar habilitada si desea que resulte obligatorio el uso de un método de recuperación y no se permita el uso de otro método. Si desea que solo los administradores que puedan leer la contraseña de recuperación de AD DS lleven a cabo la recuperación, puede deshabilitar el uso de ambos métodos después de configurada la directiva Almacenar información de recuperación de BitLocker en Servicios de dominio de Active Directory (Windows Server 2008 y Windows Vista).


9. Para controlar si los equipos que ejecutan Windows Server 2008, Windows Vista, Windows XP con Service Pack 3 (SP3) o Windows XP con Service Pack 2 (SP2) podrán tener acceso a unidades extraíbles protegidas con la versión de Windows 7 de BitLocker, en el árbol de consola de Directiva de equipo local\Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker, haga clic en Unidades de datos extraíbles y, a continuación, en el panel de detalles, haga doble clic en la

configuración de directiva Permitir el acceso a las unidades de datos extraíbles protegidas con BitLocker en versiones anteriores de Windows.

De forma predeterminada, cuando una unidad extraíble está protegida con BitLocker, el Lector de BitLocker To Go se copia en la unidad y proporciona acceso de solo lectura cuando se tiene acceso a la unidad desde equipos que ejecutan Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2, si el usuario tiene la contraseña obligatoria para desbloquear la unidad. Para requerir que el equipo que abra la unidad ejecute Windows 7 o tenga instalado el Lector BitLocker To Go, haga clic en Habilitado y, a continuación, seleccione la casilla No instalar el Lector de BitLocker To Go en unidades extraíbles con formato de sistema de archivos FAT. Si no desea que los equipos que ejecutan Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2 se utilicen para leer unidades extraíbles con formato de sistema de archivos FAT protegidas con BitLocker, haga clic en Deshabilitado.


Nota Se encuentra disponible una configuración de directiva similar para utilizar con unidades de datos fijas.

10.Cierre el Editor de directivas de grupo local.

11.Para que la directiva de grupo aplique los cambios inmediatamente, haga clic en Inicio, escriba gpupdate.exe /force en el cuadro Buscar programas y archivos y, a continuación, presione ENTRAR. Espere hasta que se finalice el proceso.

Al completar este procedimiento, habrá establecido una directiva para controlar el uso de BitLocker en equipos de su organización que ejecuten Windows Vista o Windows Server 2008.

ESCENARIO 5: REQUERIR LA PROTECCIÓN DE BITLOCKER EN LAS UNIDADES DE DATOS (WINDOWS 7)



Este escenario describe cómo configurar la directiva de grupo de Windows 7 para que las unidades de datos fijas deban estar protegidas mediante BitLocker y, asimismo, para que se use BitLocker To Go con unidades de datos extraíbles antes de poder escribir datos en la unidad.

Antes de empezar


• Se deben proporcionar credenciales administrativas.

Para requerir que las unidades de datos estén protegidas con BitLocker antes de que los datos se guarden en ellas



3. En el árbol de consola, en Directiva de equipo local\Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker, haga clic en Unidades de datos fijas.

4. Para requerir que las unidades de datos fijas estén protegidas por BitLocker a fin de que los usuarios puedan guardar datos en ellas, haga doble clic en Denegar el acceso de escritura a unidades fijas no protegidas por BitLocker en el panel de detalles para abrir la configuración de directiva.

5. Haga clic en Habilitada y en Aplicar para aplicar la configuración y, a continuación, cierre el cuadro de diálogo.

6. Reinicie el equipo.



9. En el árbol de consola, en Directiva de equipo local\Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker, haga clic en Unidades de datos extraíbles.

10.Para requerir que se use BitLocker To Go en las unidades de datos extraíbles a fin de que los usuarios puedan guardar datos en ellas, haga doble clic en Denegar el acceso de escritura a unidades extraíbles no protegidas por BitLocker en el panel de detalles para abrir la configuración de directiva.

11.Haga clic en Habilitada y en Aplicar para aplicar la configuración y, a continuación, cierre el cuadro de diálogo.

Nota

Si habilita esta directiva de configuración, estará impidiendo el uso de claves de inicio, claves de recuperación o protección de BitLocker de unidades de sistema operativo sin un TPM, porque estas características precisan de una unidad de datos extraíble sin cifrar en la que almacenar la clave de BitLocker.


13.Si hay alguna unidad extraíble conectada al equipo cuando esta configuración de directiva está habilitada, se deberá extraer y volver a insertar para que se le aplique esta configuración de directiva.

Cuando complete este procedimiento, habrá establecido la configuración de la directiva de grupo para que requiera que las unidades de datos fijas deban estar protegidas mediante BitLocker y, asimismo, para que se use BitLocker To Go con unidades de datos extraíbles antes de poder escribir datos en la unidad. Si los usuarios intentan escribir datos en una unidad que no está protegida por BitLocker, se les pedirá que activen BitLocker.

ESCENARIO 6: ESPECIFICAR CÓMO DESBLOQUEAR UNIDADES DEL SISTEMA OPERATIVO PROTEGIDAS CON BITLOCKER (WINDOWS 7)



En este escenario se describe el modo de usar la configuración de la directiva de grupo para controlar qué métodos de desbloqueo se pueden usar con las unidades del sistema operativo de la organización. De manera predeterminada, es necesario disponer de un Módulo de plataforma segura (TPM) para activar BitLocker y no se precisa de ningún otro método de desbloqueo adicional. Si desea usar BitLocker sin TPM u obligar al uso de un método de autenticación adicional con el TPM, siga los pasos de este escenario para establecer la configuración de modo que sea compatible con dichos métodos de desbloqueo.

Antes de empezar


• Se deben proporcionar credenciales administrativas.

Para especificar cómo desbloquear las unidades del sistema operativo protegidas con BitLocker



3. En el árbol de consola, en Directiva de equipo local\Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker, haga clic en Unidades del sistema operativo.

4. Para configurar otros métodos de autenticación aparte de TPM, en el panel de detalles, haga doble clic sobre Requerir autenticación adicional al iniciar para abrir la configuración de directiva y, a continuación, haga clic en Habilitada.

5. Para admitir BitLocker en equipos que ejecutan Windows 7 y que no tienen un TPM, active la casilla Permitir BitLocker sin un TPM compatible.

6. Para configurar las opciones de inicio de la unidad de sistema operativo en equipos con un TPM, hay disponibles las siguientes opciones:

○ Configurar inicio del TPM. Puede optar por permitir, exigir o rechazar el uso del TPM con BitLocker.

○ Configurar PIN de inicio del TPM. Puede optar por permitir, exigir o rechazar el uso del TPM junto con un PIN con BitLocker.

○ Configurar clave de inicio del TPM. Puede optar por permitir, exigir o rechazar el uso del TPM junto con una clave almacenada en un dispositivo extraíble (como una unidad flash USB) con BitLocker.

○ Configurar la clave de inicio y el PIN del TPM. Puede optar por permitir, exigir o rechazar el uso del TPM junto con una clave almacenada en un dispositivo extraíble (como una unidad flash USB) y un PIN con BitLocker.

Nota Si se decanta por exigir una opción de inicio, el resto de opciones de inicio deberá estar deshabilitado.

Nota Si requiere que las unidades extraíbles estén protegidas con BitLocker, no puede usar una clave de inicio con la unidad del sistema operativo.Si requiere el uso de un TPM, una clave de inicio y un PIN para desbloquear la unidad del sistema operativo, debe usar la herramienta de línea de comandos Manage-bde.exe para elegir un método de autenticación y habilitar BitLocker. Use el siguiente comando para agregar el método de autenticación por clave de

inicio, TPM y PIN, donde deberá reemplazar nombreDeVolumen por la letra de la unidad del sistema operativo correspondiente y letraDeUnidadExtraíble por la letra de la unidad extraíble donde va a almacenar la clave de inicio: manage-bde -protectors -add -tpsk nombreDeVolumen: -tsk letraDeUnidadExtraíble:Use el siguiente comando para activar BitLocker y cifrar la unidad, donde deberá reemplazar nombreDeVolumen por la letra de la unidad del sistema operativo:manage-bde -on nombreDeVolumen:

7. Tras elegir las opciones deseadas, haga clic en Aplicar para aplicar la configuración y cerrar el cuadro de diálogo.

8. Si usa números PIN para la autenticación junto con el TPM, puede que desee habilitar el uso de PIN mejorados a fin de aumentar la complejidad de los PIN. Los PIN mejorados permiten el uso de diferentes caracteres, como letras en mayúsculas y minúsculas, símbolos, números y espacios. No todos los equipos son compatibles con estos caracteres antes de que se inicie el sistema operativo, por lo que recomendamos que los usuarios realicen una comprobación del sistema durante la configuración de BitLocker para confirmar que el equipo admite la configuración de BitLocker que ha seleccionado antes de cifrar la unidad. Haga doble clic en el valor de la directiva Permitir los PIN mejorados para el inicio y en Habilitada para que sea posible usar PIN mejorados con unidades del sistema operativo protegidas con BitLocker. Si esta configuración de directiva está deshabilitada o no está configurada, no se podrán usar los PIN mejorados.

9. Tras elegir las opciones deseadas, haga clic en Aplicar para aplicar la configuración y cerrar el cuadro de diálogo.


11.Para hacer que la directiva de grupo aplique los cambios de inmediato, puede hacer clic en Inicio, escribir gpupdate.exe /force en el cuadro Buscar programas y archivos y, a continuación, presionar ENTRAR. Espere a que el proceso finalice.

Con este procedimiento, ha configurado la directiva de grupo para controlar qué métodos de desbloqueo se pueden usar con las unidades del sistema operativo de la organización.

ESCENARIO 7: ESPECIFICAR CÓMO DESBLOQUEAR UNIDADES DE DATOS EXTRAÍBLES O FIJAS PROTEGIDAS POR BITLOCKER (WINDOWS 7)



En este escenario, determinará los métodos de desbloqueo de unidades fijas y extraíbles que se pueden usar mediante la configuración de las opciones apropiadas de la directiva de grupo.

Antes de empezar

Para completar los procedimientos en este escenario:


• Su equipo de prueba debe formar parte de un dominio si desea probar los requisitos de complejidad de contraseñas.

• Debe disponer de unidades de datos fijas y unidades extraíbles por separado.

• Debe arrancar desde una unidad con un sistema operativo protegido con BitLocker para usar el método de desbloqueo automático con unidades de datos fijas.

• Debe haber implementado la arquitectura de infraestructura de clave pública (PKI) para usar con tarjetas inteligentes.

• Su equipo debe cumplir los requisitos de BitLocker. Para obtener más información, vea "Requisitos del Cifrado de unidad BitLocker" en la Guía paso a paso del Cifrado de unidad BitLocker para Windows 7 .

Nota Si BitLocker está habilitado en la unidad del sistema operativo, al activarlo para una unidad de datos fija tendrá la opción de permitir que la unidad se desbloquee automáticamente cuando la unidad del sistema operativo esté desbloqueada. El siguiente procedimiento asume que la unidad de datos fija estaba protegida con BitLocker previamente y que el método de desbloqueo automático no estaba seleccionado. Las unidades de datos extraíbles deben contar con un método de desbloqueo por tarjeta inteligente o por contraseña, además del método de desbloqueo automático. El desbloqueo automático no se puede especificar directamente mediante la configuración de directivas.Para configurar una unidad de datos fija o extraíble protegida con BitLocker para que se desbloquee automáticamente

1. Haga clic en Inicio, haga clic en Equipo y, a continuación, haga clic con el botón secundario en la unidad de datos fija o extraíble protegida con BitLocker que desea desbloquear automáticamente.

2. Haga clic en Administrar BitLocker y, a continuación, en Desbloquear automáticamente esta unidad del equipo.



Para especificar el uso de la contraseña para unidades de datos fijas o extraíbles protegidas con BitLocker



3. En el árbol de consola que se encuentra en Directiva de equipo local\Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker, haga clic en Unidades de datos fijas.

4. De forma predeterminada, las contraseñas pueden usarse con BitLocker para proteger las unidades de datos fijas. Las configuraciones predeterminadas no exigen ningún tipo de requisitos de complejidad de contraseña, pero sí requieren que la misma contenga, al menos, 8 caracteres. Para especificar configuraciones diferentes, haga doble clic en Configurar el uso de contraseñas para unidades de datos fijas en el panel de detalles para abrir la configuración de directiva.

5. Haga clic en Deshabilitado para evitar el uso de contraseñas con unidades de datos fijas, o haga clic en Habilitado y configure las siguientes opciones:

○ Active la casilla Requerir contraseña para unidad de datos fija si desea solicitar que el usuario escriba una contraseña para activar BitLocker en una unidad de datos fija. Si se configuraron otros métodos de desbloqueo para la unidad, cualquiera de ellos puede usarse para desbloquearla.

○ En Configure la complejidad de la contraseña para unidades de datos fijas, puede elegir permitir, solicitar o no permitir la obligatoriedad del uso de la regla de complejidad de contraseñas con las contraseñas para unidades de datos fijas de BitLocker.

Si elige Requerir complejidad de la contraseña, también deberá haber configurado la opción de directiva La contraseña debe cumplir los requisitos de complejidad ubicada en Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de cuenta\Directiva de contraseñas. Además, el equipo debe estar conectado al dominio cuando configure la contraseña de BitLocker para la unidad (como cuando BitLocker está activado o cuando se

modifica una contraseña), para que el controlador de dominio pueda validar que la contraseña especificada para la unidad cumple las reglas de complejidad.

Si elige Permitir complejidad de la contraseña, BitLocker intentará conectarse al controlador de dominio para validar la contraseña, pero si no puede conectarse, aceptará la contraseña y cifrará la unidad con la contraseña, independientemente de si esta cumple o no las reglas de complejidad definidas por la directiva de contraseñas.

Si elige No permitir complejidad de la contraseña, BitLocker no intentará validar si la contraseña especificada es compleja.

○ En Longitud mínima de la contraseña para unidades de datos fijas, puede especificar un número entre 8 y 99 que defina lo larga que debe ser la contraseña especificada para la unidad. Las contraseñas siempre deben contener, al menos, 8 caracteres.

6. Una vez elegidas las opciones, haga clic en Aplicar para aplicar la configuración establecida y, a continuación, cierre el cuadro de diálogo.

7. En el árbol de consola que se encuentra en Directiva de equipo local\Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker haga clic en Unidades de datos extraíbles.

8. De forma predeterminada, las contraseñas pueden usarse con BitLocker para proteger las unidades de datos extraíbles. Las configuraciones predeterminadas no exigen ningún tipo de requisitos de complejidad de contraseña, pero sí requieren que la misma contenga, al menos, 8 caracteres. Para especificar configuraciones diferentes, haga doble clic en Configurar el uso de contraseñas para unidades de datos extraíbles en el panel de detalles para abrir la configuración de directiva.

9. Haga clic en Deshabilitado para evitar el uso de contraseñas con unidades de datos extraíbles, o haga clic en Habilitado y configure las siguientes opciones:

○ Active la casilla Requerir contraseña para unidad de datos extraíble si desea solicitar que el usuario escriba una contraseña para activar BitLocker en una unidad de datos extraíble. Si se configuraron otros métodos de desbloqueo para la unidad, cualquiera de ellos puede usarse para desbloquearla.

○ En Configure la complejidad de la contraseña para unidades de datos extraíbles, puede elegir permitir, solicitar o no permitir la obligatoriedad del uso de la regla de complejidad de contraseñas con las contraseñas para unidades de datos extraíbles de BitLocker.

Si elige Requerir complejidad de la contraseña, también deberá haber configurado la opción de directiva La contraseña debe cumplir los requisitos de complejidad ubicada en Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de cuenta\Directiva de contraseñas, y el equipo deberá estar conectado al dominio cuando BitLocker esté activado, para que el controlador de dominio pueda validar que la contraseña especificada para la unidad cumple las reglas de complejidad.

Si elige Permitir complejidad de la contraseña, BitLocker intentará conectarse al controlador de dominio para validar la contraseña, pero si no puede conectarse, aceptará la contraseña y cifrará la unidad con la contraseña, independientemente de si esta cumple o no las reglas de complejidad definidas por la directiva de contraseñas.

Si elige No permitir complejidad de la contraseña, BitLocker no intentará validar si la contraseña especificada es compleja.

○ En Longitud mínima de la contraseña para unidades de datos fijas, puede especificar un número entre 8 y 99 que defina lo larga que debe ser la contraseña especificada para la unidad. Las contraseñas siempre deben contener, al menos, 8 caracteres.

10.Una vez elegidas las opciones, haga clic en Aplicar para aplicar la configuración establecida y, a continuación, cierre el cuadro de diálogo.


12.Para exigir que la directiva de grupo aplique los cambios inmediatamente, haga clic en Inicio, escriba gpupdate.exe /force en el cuadro Buscar programas y archivos y, a continuación, presione ENTRAR. Espere hasta que se termine el proceso.

Para especificar el uso de la tarjeta inteligente para unidades de datos fijas o extraíbles protegidas con BitLocker




4. De forma predeterminada, las tarjetas inteligentes se pueden usar con BitLocker para proteger las unidades de datos fijas. Para solicitar o impedir el uso de tarjetas inteligentes, haga doble clic en Configurar el uso de tarjetas inteligentes en unidades de datos fijas en el panel de detalles para abrir la configuración de directiva.

5. Haga clic en Deshabilitado para impedir el uso de tarjetas inteligentes con unidades de datos fijas.

6. Haga clic en Habilitado y active la casilla Requerir el uso de tarjetas inteligentes en unidades de datos fijas si desea exigir que el usuario inserte una tarjeta inteligente para activar BitLocker.

Si se configuraron otros métodos de desbloqueo para la unidad, cualquiera de ellos puede usarse para desbloquearla.


8. En el árbol de consola que se encuentra en Directiva de equipo local\Configuración del equipo\Plantillas administrativas\Componentes de Windows haga clic en Cifrado de unidad BitLocker.

9. Si tiene varios certificados de tarjetas inteligentes, puede especificar qué certificados se pueden usar con BitLocker. Para ello, haga doble clic en la configuración de directiva Validar cumplimiento de regla de uso de certificado de tarjeta inteligente en el panel de detalles.

De forma predeterminada, BitLocker usa certificados de tarjetas inteligentes que contienen el atributo de uso mejorado de clave (EKU) equivalente al identificador de objeto BitLocker de 1.3.6.1.4.1.311.67.1.1, pero BitLocker no exige que el atributo EKU esté presente para que se use el certificado con BitLocker. Sin

embargo, puede cambiar la configuración de esta directiva a Habilitado y escribir un valor en Identificador de objeto para solicitar que un certificado cuente con un atributo EKU en particular antes de que se use con BitLocker. Si configura esta directiva como Deshabilitado o No configurado, se usará el identificador de objeto predeterminado.


11.En el árbol de consola que se encuentra en Directiva de equipo local\Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker haga clic en Unidades de datos extraíbles.

12.De forma predeterminada, las tarjetas inteligentes se pueden usar con BitLocker para proteger las unidades de datos extraíbles. Para solicitar o impedir el uso de tarjetas inteligentes, haga doble clic en Configurar el uso de tarjetas inteligentes en unidades de datos extraíbles en el panel de detalles para abrir la configuración de directiva.

13.Haga clic en Deshabilitado para impedir el uso de tarjetas inteligentes con unidades de datos extraíbles.

14.Haga clic en Habilitado y active la casilla Requerir el uso de tarjetas inteligentes en unidades de datos extraíbles si desea exigir que el usuario inserte una tarjeta inteligente para activar BitLocker.



17.Para exigir que la directiva de grupo aplique los cambios inmediatamente, haga clic en Inicio, escriba gpupdate.exe /force en el cuadro Buscar programas y archivos y, a continuación, presione ENTRAR. Espere hasta que se termine el proceso.

Al terminar los procedimientos de este escenario, habrá especificado los métodos que se pueden usar para desbloquear las unidades protegidas con BitLocker. Estas directivas son obligatorias en las unidades al activar BitLocker.

ESCENARIO 8: ESPECIFICAR CÓMO SE PUEDEN RECUPERAR LAS UNIDADES PROTEGIDAS POR BITLOCKER (WINDOWS 7)



Si no se puede implementar un método de desbloqueo, por ejemplo cuando el Módulo de plataforma segura (TPM) detecta un cambio en los componentes de arranque o cuando se olvida una contraseña, los usuarios deberán usar un método de recuperación para tener acceso a sus datos. Antes de realizar el proceso de recuperación, debe comprobar que no se haya alterado la unidad y debe aislar el equipo de la red hasta que se determinen los riesgos que presenta el sistema. Este escenario incluye procedimientos para configurar las opciones de recuperación disponibles para unidades de sistema operativo, y para unidades de datos fijas y extraíbles. Estos procedimientos describen cómo configurar las directivas de grupo adecuadas para que sean compatibles con las opciones de recuperación disponibles para los usuarios de la empresa. Puede solicitar que los usuarios guarden las claves o los archivos de recuperación, permitir el uso de un agente de recuperación de datos, o requerir que se haga una copia de seguridad de toda la información de la recuperación en Servicios de dominio de Active Directory (AD DS) y evitar que los usuarios creen y guarden contraseñas y claves de recuperación.

Nota Si se recupera el acceso a una unidad de sistema operativo mediante la consola de recuperación después de un cambio en la configuración del equipo, suspenda y reanude la protección de BitLocker antes de apagar o poner el equipo en modo de hibernación. De lo contrario, se detectarán de nuevo las condiciones que ocasionaron que BitLocker iniciara la unidad de sistema operativo en modo de recuperación y se requerirá la información de recuperación para iniciar el sistema operativo.

Antes de empezar



• El equipo de prueba debe ser parte de un domino.

Realice los siguientes procedimientos para especificar el método de recuperación para cada tipo de unidad.

Para especificar el modo en el que se pueden recuperar unidades de sistema operativo protegidas por BitLocker



3. En el árbol de consola, en Directiva de equipo local\Configuración del equipo\Plantillas

administrativas\Componentes de Windows\Cifrado de unidad BitLocker, haga clic en Unidades del sistema operativo.

4. Para configurar las opciones de recuperación de las unidades del sistema operativo, en el panel de detalles, haga doble clic en Elegir cómo se pueden recuperar unidades del sistema operativo protegidas por BitLocker para abrir la configuración de la directiva. Si esta directiva está deshabilitada o no se configuró, las opciones de recuperación predeterminadas son compatibles con la recuperación de BitLocker. De manera predeterminada, se permite un agente de recuperación de datos, el usuario puede elegir crear una contraseña o una clave de recuperación al activar BitLocker y no se hacen copias de seguridad de la información de recuperación en AD DS.

5. Para especificar otras opciones de recuperación, haga clic en Habilitada y, a continuación, configure las siguientes opciones según corresponda:

○ Active la casilla Permitir agente de recuperación de datos para permitir el uso de cuentas específicas para recuperar unidades protegidas por BitLocker. Para poder usar un agente de recuperación de datos, la cuenta se debe configurar y agregar a la siguiente ubicación de la directiva de grupo: Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de clave pública\Cifrado de unidad BitLocker. Para obtener más información acerca de la configuración de agentes de recuperación de datos, vea Using Data Recovery Agents with BitLocker. Si no desea permitir el uso de agentes de recuperación de datos con BitLocker, desactive la casilla.

○ En Configurar almacenamiento de usuario de la información de recuperación de BitLocker, puede elegir si desea permitir, requerir o no permitir que un usuario cree una contraseña de recuperación de 48 dígitos o una clave de recuperación de 256 bits al activar BitLocker. Si se requiere una opción de almacenamiento de usuario, se deben desactivar las otras. Si desea brindar a los usuarios la opción de utilizar una contraseña de recuperación o una clave de recuperación, debe seleccionar Permitir contraseña de recuperación de 48 dígitos y Permitir clave de recuperación de 256 bits. Si no desea permitir que los usuarios almacenen o impriman información de recuperación, seleccione No permitir contraseña de recuperación de 48 dígitos y No permitir clave de recuperación de 256 bits.



○ Active la casilla Guardar información de recuperación de BitLocker en AD DS para unidades de sistema operativo y, a continuación, elija si desea Almacenar contraseñas de recuperación y paquetes de claves en AD DS o Almacenar solo contraseñas de recuperación. El almacenamiento de contraseñas de recuperación en AD DS permite que los administradores de sistema proporcionen contraseñas de recuperación a los usuarios o que recuperen unidades protegidas por BitLocker cuando la contraseña o la clave de recuperación almacenada por el usuario no está disponible (por ejemplo, cuando un usuario pierde la copia impresa de la contraseña de recuperación o cuando no se puede tener acceso al archivo de la clave de recuperación almacenado). Almacenar los paquetes de claves, además de las contraseñas de recuperación, permite que los administradores usen la herramienta de la línea de comandos Repair-bde para recuperar una unidad protegida por BitLocker que se dañó de tal manera que no que se puede leer la clave de cifrado desde la unidad.

○ Active la casilla No habilitar BitLocker hasta que la información de recuperación se almacene en AD DS para unidades de sistema operativo para asegurar que la información de recuperación para todas las unidades de sistema operativo protegidas por BitLocker de la organización se almacene en AD DS. La información de recuperación se genera cuando se cifra una unidad por primera vez y no se envía a AD DS de forma automática después del cifrado. Si activa esta casilla, se requerirá que los usuarios estén conectados al dominio cuando activen BitLocker.

○ Active la casilla Omitir opciones de recuperación en el asistente para la configuración de BitLocker si desea que esta configuración de directiva controle la elección del método de recuperación y que las opciones de recuperación no se muestren al usuario. Para habilitar esta opción, seleccione una o las dos opciones de configuración administrativa de recuperación, Guardar información de recuperación de BitLocker en AD DS para unidades de sistema operativo y Permitir agente de recuperación de datos, para asegurarse de poder recuperar la unidad protegida por BitLocker.


7. Para exigir que la directiva de grupo aplique los cambios inmediatamente, haga clic en Inicio, escriba gpupdate.exe /force en el cuadro Buscar programas y archivos y, a continuación, presione ENTRAR. Espere hasta que se termine el proceso.

Para especificar el modo en el que se pueden recuperar unidades de datos fijas protegidas por BitLocker




4. Para configurar las opciones de recuperación de unidades de datos fijas, en el panel de detalles, haga doble clic en Elegir cómo se pueden recuperar unidades fijas protegidas por BitLocker para abrir la configuración de la directiva. Si esta directiva está deshabilitada o no se configuró, las opciones de recuperación predeterminadas son compatibles con la recuperación de BitLocker. De manera predeterminada, se permite un agente de recuperación de datos, el usuario puede elegir crear una contraseña o una clave de recuperación al activar BitLocker y no se hacen copias de seguridad de la información de recuperación en AD DS.


○ Active la casilla Permitir agente de recuperación de datos para permitir el uso de cuentas específicas para recuperar unidades protegidas por BitLocker. Para poder usar un agente de recuperación de datos, la cuenta se debe configurar y agregar a la siguiente ubicación de la directiva de grupo: Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de clave pública\Cifrado de unidad BitLocker. Para obtener más información acerca de la configuración de agentes de recuperación de datos, vea Using Data Recovery Agents with


BitLocker. Si no desea permitir el uso de agentes de recuperación de datos con BitLocker, desactive la casilla Permitir agente de recuperación de datos.

○ En Configurar almacenamiento de usuario de la información de recuperación de BitLocker, puede elegir si desea permitir, requerir o no permitir que un usuario cree una contraseña de recuperación de 48 dígitos o una clave de recuperación de 256 bits al activar BitLocker.

○ Active la casilla Guardar información de recuperación de BitLocker en AD DS para unidades de datos fijas y, a continuación, elija si desea Almacenar contraseñas de recuperación y paquetes de claves en AD DS o Almacenar solo contraseñas de recuperación. El almacenamiento de contraseñas de recuperación en AD DS permite que los administradores de sistema proporcionen contraseñas de recuperación a los usuarios o que recuperen unidades protegidas por BitLocker cuando la contraseña o la clave de recuperación almacenada por el usuario no está disponible (por ejemplo, cuando un usuario pierde la copia impresa de la contraseña de recuperación o cuando no se puede tener acceso al archivo de la clave de recuperación almacenado). Almacenar los paquetes de claves, además de las contraseñas de recuperación, permite que los administradores usen la herramienta de la línea de comandos Repair-bde para recuperar una unidad protegida por BitLocker que se dañó de tal manera que no que se puede leer la clave de cifrado desde la unidad.

○ Active la casilla No habilitar BitLocker hasta la información de recuperación se almacene en AD DS para unidades de datos fijas para asegurar que la información de recuperación para todas las unidades de datos fijas protegidas por BitLocker de la organización se almacene en AD DS. La información de recuperación se genera cuando se cifra una unidad por primera vez y no se envía a AD DS de forma automática después del cifrado. Si activa esta casilla, se requerirá que los usuarios estén conectados al dominio cuando activen BitLocker.

○ Active la casilla Omitir opciones de recuperación en el asistente para la configuración de BitLocker si desea que esta configuración de directiva controle la elección del método de recuperación y que las opciones de recuperación no se muestren al usuario. Para habilitar esta opción,


seleccione una o las dos opciones de configuración administrativa de recuperación, Guardar información de recuperación de BitLocker en AD DS para unidades de datos fijas y Permitir agente de recuperación de datos, para asegurarse de poder recuperar la unidad protegida por BitLocker.



Para especificar el modo en el que se pueden recuperar unidades de datos extraíbles protegidas por BitLocker



3. En el árbol de consola que se encuentra en Directiva de equipo local\Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker haga clic en Unidades de datos extraíbles.

4. Para configurar las opciones de recuperación de unidades de datos extraíbles, en el panel de detalles, haga doble clic en Elegir cómo se pueden recuperar unidades extraíbles protegidas por BitLocker para abrir la configuración de la directiva. Si esta directiva está deshabilitada o no se configuró, las opciones de recuperación predeterminadas son compatibles con la recuperación de BitLocker. De manera predeterminada, se permite un agente de recuperación de datos, el usuario puede elegir crear una contraseña o una clave de recuperación al activar BitLocker y no se hacen copias de seguridad de la información de recuperación en AD DS.


○ Active la casilla Permitir agente de recuperación de datos para permitir el uso de cuentas específicas para recuperar unidades protegidas por BitLocker. Para poder

usar un agente de recuperación de datos, la cuenta se debe configurar y agregar a la siguiente ubicación de la directiva de grupo: Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de clave pública\Cifrado de unidad BitLocker. Para obtener más información acerca de la configuración de agentes de recuperación de datos, vea Using Data Recovery Agents with BitLocker. Si no desea permitir el uso de agentes de recuperación de datos con BitLocker, desactive la casilla.

○ En Configurar almacenamiento de usuario de la información de recuperación de BitLocker, puede elegir si desea permitir, requerir o no permitir que un usuario cree una contraseña de recuperación de 48 dígitos o una clave de recuperación de 256 bits al activar BitLocker. De manera predeterminada, no se usan claves de recuperación con unidades de datos extraíbles.

○ Active la casilla Guardar información de recuperación de BitLocker en AD DS para unidades de datos extraíbles y, a continuación, elija si desea Almacenar contraseñas de recuperación y paquetes de claves en AD DS o Almacenar solo contraseñas de recuperación. El almacenamiento de contraseñas de recuperación en AD DS permite que los administradores de sistema proporcionen contraseñas de recuperación a los usuarios o que recuperen unidades protegidas por BitLocker cuando la contraseña o la clave de recuperación almacenada por el usuario no está disponible (por ejemplo, cuando un usuario pierde la copia impresa de la contraseña de recuperación o cuando no se puede tener acceso al archivo de la clave de recuperación almacenado). Almacenar los paquetes de claves, además de las contraseñas de recuperación, permite que los administradores usen la herramienta de la línea de comandos Repair-bde para recuperar una unidad protegida por BitLocker que se dañó de tal manera que no que se puede leer la clave de cifrado desde la unidad.

○ Active la casilla No habilitar BitLocker hasta que la información de recuperación se almacene en AD DS para unidades de datos extraíbles para asegurar que la información de recuperación para todas las unidades de datos extraíbles protegidas por BitLocker de la organización se almacene en AD DS. La información de recuperación se genera cuando se cifra una unidad por primera vez y no se envía a AD DS de forma automática después del cifrado. Si



activa esta casilla, se requerirá que los usuarios estén conectados al dominio cuando activen BitLocker.

○ Active la casilla Omitir opciones de recuperación en el asistente para la configuración de BitLocker si desea que esta configuración de directiva controle la elección del método de recuperación y que las opciones de recuperación no se muestren al usuario. Para habilitar esta opción, seleccione una o las dos opciones de configuración administrativa de recuperación, Guardar información de recuperación de BitLocker en AD DS para unidades de datos extraíbles y Permitir agente de recuperación de datos, para asegurarse de poder recuperar la unidad protegida por BitLocker.


7. Cierre el Editor de directivas de grupo local.


Al finalizar los procedimientos que incluye este escenario, habrá configurado la directiva de grupo mediante la selección de las opciones de recuperación disponibles para unidades de sistema operativo y para unidades de datos fijas y extraíbles.

ESCENARIO 9: CONFIGURAR EL MÉTODO Y...

ESCENARIO 9: CONFIGURAR EL MÉTODO Y LA INTENSIDAD DE CIFRADO (WINDOWS 7)



En este escenario, se describe cómo modificar el método y la intensidad de cifrado usados por el Cifrado de unidad BitLocker para cifrar unidades del sistema operativo, unidades de datos fijas y unidades de datos extraíbles. BitLocker admite claves de cifrado de 128 bits y de 256 bits. Las claves de cifrado más largas ofrecen un nivel mayor de seguridad y son menos vulnerables a los ataques mediante métodos de "fuerza bruta". Sin embargo, las claves más largas pueden hacer que el cifrado y descifrado de datos sean más lentos. Además, BitLocker admite un algoritmo Difusor para proteger el sistema contra los ataques de

manipulación de texto cifrado, un tipo de ataque en el que se realizan cambios en los datos cifrados, con el objeto de intentar detectar patrones o puntos débiles.

Esta opción de directiva de grupo se aplica cuando se activa BitLocker. El cambio del método de cifrado no tiene efecto si la unidad ya está cifrada o si el cifrado se encuentra en curso. El método de cifrado debe cambiarse antes de cifrar la unidad con BitLocker por el método que seleccionó que se puede usar en la unidad.

De forma predeterminada, BitLocker usa el cifrado Estándar de cifrado avanzado (AES) con claves de cifrado de 128 bits y difusor. La mayoría de las organizaciones no necesitan modificar esta configuración, pero en algunas situaciones, por ejemplo, si la organización cumple con el Estándar federal de procesamiento de información (FIPS), debe modificarse el método de cifrado para que no use el difusor. Si está en un entorno de alto nivel de seguridad, es posible que deba usar el algoritmo de cifrado de 256 bits con el difusor a fin de proporcionar un nivel mayor de cifrado.

Antes de empezar



Para configurar el método y la intensidad de cifrado de BitLocker



3. En el árbol de consola, en Directiva de equipo local\Configuración del equipo\Plantillas administrativas\Componentes de Windows, haga clic en Cifrado de unidad BitLocker.

4. Para cambiar el algoritmo de cifrado predeterminado usado por BitLocker, en el panel de detalles, haga doble clic en Elegir método de cifrado e intensidad de cifrado de unidad para abrir la configuración de la directiva.

5. Si esta configuración está deshabilitada o no está configurada, BitLocker usará el método de cifrado predeterminado de AES 128 bits con difusor. El difusor es un método de cifrado adicional que se aplica cuando se cifra y se descifra la unidad para proporcionar protección adicional a los datos cuando se pasa de texto simple a la forma cifrada.

6. Para cambiar el método y la intensidad de cifrado, haga clic en Habilitada para la configuración de la directiva. En Seleccione el método de cifrado, seleccione AES 256 bits con difusor para elegir un algoritmo de cifrado más seguro. Si su organización tiene requisitos formales para usar únicamente algoritmos de cifrado aprobados por el gobierno, puede seleccionar AES 128 bits o AES 256 bits; de lo contrario, no se recomienda usar estos métodos de cifrado.

7. Después de elegir las opciones, haga clic en Aplicar para aplicar la configuración y, a continuación, cierre el cuadro de diálogo.


9. Para que Directiva de grupo aplique los cambios inmediatamente, haga clic en Inicio, escriba gpupdate.exe /force en el cuadro Buscar programas y archivos y, a continuación, presione Entrar. Espere hasta que finalice el proceso.

Al completar este procedimiento, habrá modificado el método y la intensidad de cifrado usados por BitLocker para cifrar unidades del sistema operativo, unidades de datos fijas y unidades de datos extraíbles.

ESCENARIO 10: CONFIGURAR EL CAMPO DE IDENTIFICACIÓN DE BITLOCKER (WINDOWS 7)



BitLocker en Windows 7 puede usar campos de identificación para determinar si la unidad que protege pertenece a la organización, así como usar un campo de identificación secundario para determinar si dicha unidad pertenece a una organización externa de confianza. Los campos de identificación se validan si los agentes de recuperación de datos están habilitados y BitLocker To Go está activado.

Los agentes de recuperación de datos se actualizarán cuando proceda para garantizar que los usuarios autorizados pueden recuperar la unidad, mientras que la aplicación Lector de BitLocker To Go se actualizará cuando sea necesario en una unidad extraíble. Si el campo de identificación no está configurado, la unidad se considerará como perteneciente a la organización. Si lo está, deberá coincidir con el campo de identificación o el campo de identificación permitido especificado en la directiva para que BitLocker pueda actualizar la información del agente de recuperación de datos o el Lector de BitLocker To Go en la unidad.

Antes de empezar



Para configurar un campo de identificación de BitLocker



3. En el árbol de consola que se encuentra en Directiva de equipo local\Configuración del equipo\Plantillas administrativas\Componentes de Windows haga clic en Cifrado de unidad BitLocker.

4. En el panel de detalles, haga doble clic en la configuración de directiva Proporcionar los identificadores únicos de su organización y, a continuación, haga clic en Habilitada.

○ En Campo de identificación, escriba el identificador único de la organización.

○ En Campo de identificación de BitLocker permitido, escriba los identificadores exclusivos de las organizaciones externas de confianza que puedan tener unidades extraíbles protegidas por BitLocker a las que se obtiene acceso desde los equipos de su organización.

5. Si no desea usar campos de identificación, establezca la directiva en Deshabilitada o No configurada. Una vez elegidas las opciones, haga clic en Aplicar para aplicar la configuración establecida y, a continuación, cierre el cuadro de diálogo.



Nota Los campos de identificación se agregan a las unidades protegidas por BitLocker cuando BitLocker se activa. Si ya ha implementado BitLocker y desea agregar un campo de identificación, puede usar el siguiente comando Manage-bde para asociar un identificador con la unidad, para lo cual deberá reemplazar Volumen por la letra de la unidad:manage-bde -SetIdentifier Volumen:

Cuando complete el procedimiento, habrá configurado el campo de identificación que se va a aplicar a las unidades de la organización cuando BitLocker se active.

ESCENARIO 11: RECUPERAR DATOS PROTEGIDOS CON EL CIFRADO DE UNIDAD BITLOCKER (WINDOWS 7)



En este escenario se describe el proceso necesario para recuperar los datos después de que BitLocker haya entrado en modo de recuperación. BitLocker bloquea el equipo cuando no hay disponible una clave de cifrado del disco. A continuación se muestra una lista de las posibles causas:

• Se produce un error relacionado con la validación de TPM en una unidad del sistema operativo.

• Ha olvidado la contraseña de la unidad de datos fija protegida mediante BitLocker.

• Ha perdido la tarjeta inteligente empleada para bloquear una unidad de datos extraíble.

Cuando es preciso recuperar una unidad, se debe usar la clave de recuperación de una unidad flash USB, escribir una contraseña de recuperación o hacer que un agente de recuperación de datos recupere la unidad. Si necesita recuperar la unidad del sistema operativo, usará una sesión de consola de recuperación que se ejecute desde el BIOS para especificar la información de recuperación. Algunos sistemas usan las teclas de función para escribir los dígitos en este entorno. En este caso, las teclas F1 a F9 representan los dígitos del 1 a 9 y la tecla F10, el 0.

Precaución Cuando se está en una sesión de consola de recuperación de la unidad del sistema operativo, las características de accesibilidad de Windows no están disponibles, de modo que si las necesita, piense en qué haría ante una recuperación. Por ejemplo, podría considerar la idea de contar con agentes de recuperación de datos que admitan la recuperación de unidades, o bien designar a una persona de confianza que conserve la clave de recuperación y pueda proporcionarla en caso necesario.

Antes de empezar



• Debe tener una unidad flash USB con la clave de recuperación.

• Debe tener la contraseña de recuperación.


Para probar la recuperación de datos en una unidad del sistema operativo

1. Haga clic en Inicio, escriba cmd en el cuadro Buscar programas y archivos, haga clic con el botón secundario en cmd.exe y, a continuación, haga clic en Ejecutar como administrador. Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que muestra es la que desea y, a continuación, haga clic en Sí.

2. Escriba bcdedit /debug on para habilitar la depuración del kernel de la unidad del sistema operativo.

3. Cierre todas las ventanas abiertas.

4. Si la unidad flash USB que contiene la clave de recuperación está insertada en el equipo, use el icono Quitar hardware de forma segura del área de notificación para extraerla.

5. Haga clic en Inicio y luego en Apagar para apagar el equipo.

Cuando lo reinicie, se le pedirá la contraseña de recuperación, dado que la configuración de inicio ha cambiado desde que se cifró la unidad.

6. Encienda el equipo.

7. Aparecerá la consola de recuperación de Cifrado de unidad BitLocker.

8. Se le pedirá que inserte la unidad flash USB que contiene la clave de recuperación.

○ Si la tiene, insértela y presione ESC. El equipo se reiniciará automáticamente. No es necesario especificar la contraseña de recuperación manualmente.

○ Si no la tiene, presione ENTRAR. Se le pedirá que escriba la contraseña de recuperación de 48 dígitos. Escríbala y, a continuación, presione ENTRAR.

9. Tras desbloquear la unidad, el sistema operativo se reiniciará. Para restaurar el equipo a su perfil operativo habitual, haga clic en Inicio, escriba cmd en el cuadro Buscar programas y archivos, haga clic con el botón secundario en cmd.exe y, a continuación, haga clic en Ejecutar como administrador. Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que muestra es la que desea y, a continuación, haga clic en



Sí. Escriba bcdedit /debug off para deshabilitar la depuración del kernel de la unidad del sistema operativo.

Para probar la recuperación de datos en una unidad de datos fija protegida con contraseña

1. Haga clic en Inicio y luego en Equipo para mostrar las unidades del equipo.

2. Haga doble clic en una unidad de datos protegida por BitLocker. Se abre el cuadro de diálogo Cifrado de unidad BitLocker, en el que se le insta a escribir la contraseña para desbloquear la unidad.

3. Haga clic en Olvidé la contraseña. Se le pedirá que Desbloquee esta unidad con la clave de recuperación. Seleccione Escribir la clave de recuperación o bien Obtener la clave desde una unidad flash USB, según cuál sea el método de recuperación que se haya configurado para la unidad.

4. Cuando proporcione la clave de recuperación, la unidad se desbloqueará. A continuación, podrá hacer clic en Administrar BitLocker y volver a configurar el método de desbloqueo si procede.

Así, la próxima vez que la unidad se encuentre bloqueada podrá usar el nuevo método elegido para desbloquearla.

Cuando termine los procedimientos de este escenario, habrá usado la recuperación de datos para restablecer el acceso a una unidad protegida por BitLocker.

ESCENARIO 12: DESACTIVAR CIFRADO DE UNIDAD BITLOCKER (WINDOWS 7)



Este escenario describe cómo suspender o desactivar el Cifrado de unidad BitLocker y descifrar la unidad.

Tras cifrar una unidad del sistema operativo, se puede elegir si suspender BitLocker temporalmente o si desactivarlo en la unidad del sistema operativo y descifrar la unidad. Puede suspender BitLocker en una unidad del sistema operativo para realizar cambios en el Módulo de plataforma segura (TPM) y aplicar actualizaciones al sistema operativo. En una unidad de datos, simplemente descifra la unidad. Al descifrar la unidad, ésta se podrá volver a leer y todas las claves se descartarán. Una vez descifrada una unidad, debe generar claves nuevas completando de nuevo el proceso de cifrado.

Antes de empezar

Para completar los procedimientos de este escenario:


• La unidad debe estar protegida con BitLocker.

Realice uno de los procedimientos siguientes.

Para suspender el Cifrado de unidad BitLocker en una unidad del sistema operativo

1. Haga clic en Inicio, Panel de control, Sistema y seguridad y, a continuación, haga clic en Cifrado de unidad BitLocker.

2. Haga clic en Suspender protección para la unidad del sistema operativo.

3. Se mostrará un mensaje que informa de que los datos no estarán protegidos mientras BitLocker esté suspendido y le pregunta si desea suspender el Cifrado de unidad BitLocker. Haga clic en Sí para continuar y suspender BitLocker en la unidad.

Al completar este procedimiento, se suspende la protección de BitLocker en la unidad al cambiar la clave de descifrado por una clave sin cifrado. Para leer los datos de la unidad, la clave sin cifrado se usa para obtener acceso a los archivos. Cuando se suspende BitLocker, no se realiza la validación de TPM ni se aplican otros métodos de autenticación, como el uso de una clave USB o PIN para desbloquear la unidad del sistema operativo. De esta forma, podrá realizar cambios en el sistema, como actualizar el BIOS o reemplazar una unidad de datos. Cuando termine de realizar cambios en el equipo, haga clic en Reanudar protección en el elemento del Panel de control Cifrado de unidad BitLocker para comenzar a usar el Cifrado de unidad BitLocker de nuevo.

Para desactivar el Cifrado de unidad BitLocker

1. Haga clic en Inicio, Panel de control, Sistema y seguridad y, a continuación, haga clic en Cifrado de unidad BitLocker.

2. Busque la unidad en la que desee desactivar el Cifrado de unidad BitLocker y haga clic en Desactivar BitLocker.

3. Se mostrará un mensaje que informa de que la unidad se descifrará y de que el proceso de descifrado puede tardar unos minutos. Haga clic en Descifrar unidad para continuar y desactivar BitLocker en la unidad.

Al realizar este procedimiento, descifra la unidad y quita la protección de BitLocker.

ESCENARIO 13: BLOQUEAR UNA UNIDAD DE DATOS CON UNA TARJETA INTELIGENTE (WINDOWS 7)



En este escenario se describe el modo de usar tarjetas inteligentes con un certificado autofirmado para cifrar una unidad de datos mediante el Cifrado de unidad BitLocker. Al implementar BitLocker junto con las tarjetas inteligentes, es recomendable usar una entidad de certificación. Como procedimiento recomendado, los certificados autofirmados solo se deben usar en escenarios de prueba limitados. De manera predeterminada, BitLocker no se puede usar con certificados autofirmados.

Antes de empezar




Complete los siguientes procedimientos en el orden indicado.

Para habilitar BitLocker para que use certificados autofirmados

1. Haga clic en Inicio, escriba regedit en el cuadro Buscar programas y archivos, haga clic con el botón secundario en regedit.exe y, a continuación, haga clic en Ejecutar como administrador. Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que muestra es la que desea y, a continuación, haga clic en Sí.

2. En el Editor del Registro, navegue a \HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\FVE.

3. En el menú Editor del Registro, haga clic en Edición, seleccione Nuevo y, a continuación, haga clic en Valor de DWORD (32 bits).

4. Escriba SelfSignedCertificates y presione ENTRAR para crear el valor de clave SelfSignedCertificates.

5. Haga clic con el botón secundario en SelfSignedCertificates y, a continuación, haga clic en Modificar.

6. En Información del valor, escriba 1.

De esta forma, BitLocker podrá usar certificados autofirmados.

Para obtener un certificado autofirmado para probar BitLocker y las tarjetas inteligentes

1. Abra un editor de texto (como el Bloc de notas) y pegue la siguiente información en un nuevo archivo:



[NewRequest]

Subject = "CN=BitLocker"

KeyLength = 2048

ProviderName = "Microsoft Smart Card Key Storage Provider"

KeySpec = "AT_KEYEXCHANGE

KeyUsage = "CERT_KEY_ENCIPHERMENT_KEY_USAGE"

KeyUsageProperty = "NCRYPT_ALLOW_DECRYPT_FLAG"

RequestType = Cert

SMIME = FALSE

[EnhancedKeyUsageExtension]

OID=1.3.6.1.4.1.311.67.1.1

2. Guarde el archivo con el nombre blcert.txt.

3. Inserte una tarjeta inteligente en el lector de tarjeta inteligente del equipo.


5. En la ventana Símbolo del sistema, navegue a la ubicación en la que ha guardado el archivo blcert.txt y escriba certreq –new blcert.txt para solicitar un certificado nuevo en función de los parámetros identificados en el archivo. Es probable que se produzca un pequeño retraso mientras la solicitud se procesa y, asimismo, que tenga que escribir el PIN de la tarjeta inteligente.

6. Cuando se le pida que guarde el archivo de solicitud, escriba un nombre de archivo y haga clic en Guardar.

De este modo, dispondrá de un certificado de tarjeta inteligente adecuado para su uso con BitLocker.

Para usar BitLocker con una tarjeta inteligente para proteger una unidad de datos

1. Si desea proteger una unidad extraíble, insértela en el equipo.

2. Haga clic en Inicio y luego en Equipo para mostrar las unidades del equipo.

3. Haga clic con el botón secundario en la unidad que desea proteger y, a continuación, haga clic en Activar BitLocker para iniciar el asistente para la configuración de BitLocker.

4. En la página del asistente Elija cómo desea desbloquear la unidad, haga clic en Usar la tarjeta inteligente para desbloquear la unidad.

5. Inserte la tarjeta inteligente en el lector de tarjeta inteligente y haga clic en Nuevo.

6. En la página del asistente Guardar la clave de recuperación en, seleccione Guardar la clave de recuperación en un archivo para guardar la clave de recuperación en una unidad de red u otra ubicación, o bien seleccione Imprimir la clave de recuperación para imprimir la contraseña de recuperación de 48 dígitos. A continuación, haga clic en Siguiente.

7. En la página ¿Está listo para cifrar esta unidad?, confirme que desea usar una tarjeta inteligente para cifrar la unidad y haga clic en Iniciar cifrado.

8. Cuando la unidad esté preparada para el cifrado, aparecerá la barra de estado Cifrado en curso. Cuando se le informe de que el cifrado ha finalizado, haga clic en Cerrar.

Cuando termine los procedimientos de este escenario, tendrá una unidad protegida por BitLocker y lista para su uso. Cada vez que esa unidad se inserte en un equipo que ejecute Windows 7, un cuadro de diálogo instará a los usuarios a que inserten su tarjeta inteligente y especifiquen el PIN de la tarjeta inteligente correspondiente para desbloquear la unidad.

ESCENARIO 14: USAR UN AGENTE DE RECUPERACIÓN DE DATOS PARA RECUPERAR UNIDADES PROTEGIDAS POR BITLOCKER (WINDOWS 7)



En este escenario se describe cómo usar un agente de recuperación de datos para recuperar datos de una unidad protegida por BitLocker. Los agentes de recuperación de datos son individuos cuyos certificados PKI (infraestructura de clave pública) se usaron para crear un protector de clave de BitLocker, de modo que estos individuos pueden usar sus credenciales para desbloquear unidades protegidas por BitLocker. Los agentes de recuperación de datos se pueden usar para recuperar unidades del sistema operativo, unidades de datos fijas y unidades de datos extraíbles protegidas por BitLocker. No obstante, cuando se usan para recuperar unidades del sistema operativo, la unidad del sistema operativo debe montarse en otro equipo como una unidad de datos para que el agente de recuperación de datos pueda desbloquear la unidad. Los agentes de recuperación de datos se agregan a la unidad cuando se cifra y pueden actualizarse después del cifrado.

Antes de empezar



• El equipo debe cumplir con los requisitos de BitLocker. Para obtener más información, vea los requisitos del Cifrado de unidad BitLocker en la Guía paso a paso del Cifrado de unidad BitLocker para Windows 7 .

Complete los siguientes procedimientos en orden.

Para habilitar BitLocker para que use certificados autofirmados

1. Haga clic en Inicio, escriba regedit en el cuadro Buscar programas y archivos, haga clic con el botón secundario en regedit.exe y, a continuación, haga clic en Ejecutar como administrador. Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que muestra es la que desea y, a continuación, haga clic en Sí.

2. En el Editor del Registro, navegue a \HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\FVE.

3. En el menú Editor del Registro, haga clic en Edición, seleccione Nuevo y, a continuación, haga clic en Valor de DWORD (32 bits).

4. Escriba SelfSignedCertificates y, a continuación, presione Entrar para crear el valor de clave SelfSignedCertificates.

5. Haga clic con el botón secundario en SelfSignedCertificates y, a continuación, haga clic en Modificar.

6. En Información del valor, escriba 1.

BitLocker ahora puede usar certificados autofirmados.

Para obtener un certificado autofirmado para probar BitLocker y los agentes de recuperación de datos

1. Abra un editor de texto como el Bloc de notas y pegue la siguiente información en un archivo nuevo:

[NewRequest]

Subject = "CN=BitLockerDRA"

KeyLength = 2048

ProviderName = "Microsoft Smart Card Key Storage Provider"

KeySpec = "AT_KEYEXCHANGE”

KeyUsage = "CERT_KEY_ENCIPHERMENT_KEY_USAGE"

KeyUsageProperty = "NCRYPT_ALLOW_DECRYPT_FLAG"



RequestType = Cert

SMIME = FALSE

[EnhancedKeyUsageExtension]

OID=1.3.6.1.4.1.311.67.1.2

2. Guarde el archivo con el nombre bldracert.txt.

3. Inserte una tarjeta inteligente en el lector de tarjetas inteligentes del equipo.


5. En la ventana del símbolo del sistema, navegue a la ubicación en la que se guardó el archivo blcert.txt y escriba certreq –new bldracert.txt para solicitar un nuevo certificado en función de los parámetros identificados en el archivo. Puede haber un pequeño retraso mientras se lleva a cabo la solicitud, y es posible que se le solicite que inserte la tarjeta inteligente y escriba su PIN.

6. Cuando se le solicite guardar el archivo de solicitud, escriba un nombre para el archivo y haga clic en Guardar.

Ahora posee un certificado de tarjeta inteligente del agente de recuperación de datos que es adecuado para usar con BitLocker.

Para exportar un certificado del agente de recuperación de datos de BitLocker

1. Haga clic en Inicio y, a continuación, escriba certmgr.msc, para abrir el complemento Certificados.

2. En el árbol de consola, expanda Personal y, a continuación, haga clic en Certificados.

3. Haga doble clic en el certificado BitLockerDRA para mostrar la hoja de propiedades del certificado.

4. Haga clic en la pestaña Detalles y, a continuación, haga clic en Copiar a archivo para iniciar el Asistente para exportación de certificados.

5. En la página Éste es el Asistente para exportación de certificados, haga clic en Siguiente.

6. En la página Exportar la clave privada, compruebe que la opción No exportar la clave privada está seleccionada y, a continuación, haga clic en Siguiente.

7. En la página Formato de archivo de exportación, compruebe que la opción DER binario codificado x.509 (.CER) está seleccionada y, a continuación, haga clic en Siguiente.

8. En la página Archivo que se va a exportar, haga clic en Examinar para ver el cuadro de diálogo Guardar como. En Nombre de archivo, escriba BitLockerDRA. En Tipo, compruebe que la opción DER binario codificado X.509 (.CER) está seleccionada y, a continuación, haga clic en Guardar para volver a la página Archivo que se va a exportar. El cuadro Nombre de archivo de la página del asistente ahora debe mostrar la ruta de acceso al archivo BitLockerDRA.cer en la biblioteca de documentos. Haga clic en Siguiente.

9. En la página Finalización del Asistente para exportación de certificados, compruebe que la información que se muestra es correcta y, a continuación, haga clic en Finalizar.

10.Una vez que se exporta el certificado, aparece el cuadro de diálogo Asistente para exportación de certificados con el mensaje La exportación se realizó correctamente. Haga clic en Cerrar para cerrar el cuadro de diálogo y el asistente.

Para agregar un agente de recuperación de datos de BitLocker y desbloquear una unidad



3. En el árbol de consola en Directiva de equipo local\Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de clave pública, haga clic con el botón secundario en Cifrado de unidad BitLocker y, a continuación, haga clic en Agregar Agente de recuperación de datos para iniciar el Asistente para agregar agente de recuperación.

4. En la página Seleccionar los agentes de recuperación, haga clic en Examinar carpeta para seleccionar el archivo BitLockerDRA.cer que exportó en el procedimiento anterior. Si no necesitaba exportar un certificado porque ya había implementado un PKI con los certificados necesarios, haga clic en Examinar directorio para elegir un certificado de los Servicios de dominio de Active Directory.

5. Si se le solicita que instale el certificado, haga clic en Sí. Puede repetir este proceso, según sea necesario, para agregar varios agentes de recuperación de datos. Después de haber especificado

todos los certificados del agente de recuperación de datos que desea usar, haga clic en Siguiente.

6. En la página Finalización del Asistente para agregar agente de recuperación, haga clic en Finalizar para agregar el agente de recuperación de datos.

7. Si no configuró la opción Directiva de grupo para especificar el campo de identificación de BitLocker, complete el Escenario 10: configurar el campo de identificación de BitLocker (Windows 7) antes de continuar con este escenario.

8. Cifre una unidad de datos tal como se describe en el Escenario 2: activar el Cifrado de unidad BitLocker en una unidad de datos fija o extraíble (Windows 7). Para que un agente de recuperación de datos pueda desbloquear una unidad, el campo de identificación de BitLocker debe estar presente y coincidir con el campo de identificación definido para su organización.

9. Para colocar la unidad en estado bloqueado para poder probar el agente de recuperación de datos, haga clic en Inicio, seleccione Todos los programas, Accesorios, haga clic con el botón secundario en Símbolo del sistema y, a continuación, haga clic en Ejecutar como administrador. Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que muestra es la que desea y, a continuación, haga clic en Sí. Escriba el siguiente comando y reemplace Volumen con la letra de unidad de la unidad protegida por BitLocker que desea bloquear:

Manage-bde –lock Volumen :

No cierre la ventana del símbolo del sistema.

10.Ahora que la unidad está bloqueada, puede desbloquearla mediante el agente de recuperación de datos. En primer lugar, necesita la huella digital de certificado del agente de recuperación de datos. Para encontrarla, en el símbolo del sistema, escriba el siguiente comando y reemplace Volumen con la letra de unidad de la unidad protegida por BitLocker que desea desbloquear:

Manage-bde –protectors –get Volumen :

Se muestran los protectores de claves identificados para la unidad. Busque el protector de clave identificado como Agente de recuperación de datos (basado en certificado) y registre la huella digital de certificado.

11.Para desbloquear la unidad, escriba el siguiente comando y reemplace huellaDigitalDeCertificado con la huella digital de certificado real del agente de recuperación de datos registrado en el paso anterior:

http://technet.microsoft.com/es-es/library/ee424323(WS.10).aspx





Manage-bde –unlock Volumen : -cert –ct huellaDigitalDeCertificado -PIN

12.Escriba el PIN de su tarjeta inteligente cuando se le solicite. La unidad está desbloqueada.

Al completar los procedimientos de este escenario, habrá asignado agentes de recuperación de datos a BitLocker y usado un agente de recuperación de datos para desbloquear una unidad protegida por BitLocker.

ESCENARIO 15: USAR EL VISOR DE CONTRASEÑAS DE RECUPERACIÓN DE ACTIVE DIRECTORY DE BITLOCKER PARA VER CONTRASEÑAS DE RECUPERACIÓN

Actualizado: septiembre de 2009


La herramienta Visor de contraseñas de recuperación de Active Directory de BitLocker es una característica opcional que se incluye en las Herramientas de administración remota del servidor (RSAT) de Windows Server 2008 R2 que se puede instalar por medio del Asistente para agregar características de la consola de administración de RSAT. Esta herramienta permite buscar y ver contraseñas de recuperación de BitLocker que están almacenadas en los Servicios de dominio de Active Directory (AD DS). Esta herramienta sirve para recuperar datos que están almacenados en una unidad que se ha cifrado mediante BitLocker. La herramienta Visor de contraseñas de recuperación de Active Directory de BitLocker es una extensión del complemento Usuarios y equipos de Active Directory de Microsoft Management Console. Por medio de esta herramienta, puede examinar el cuadro de diálogo Propiedades de un objeto de un equipo para ver las correspondientes contraseñas de recuperación de BitLocker. Además, puede hacer clic con el botón secundario en un contendor de dominio y luego buscar una contraseña de recuperación de BitLocker en todos los dominios del bosque de Active Directory. También puede buscar una contraseña mediante el identificador de contraseña.

Antes de empezar

Para completar los procedimientos descritos en este escenario:

• Debe tener credenciales de administrador de dominio.

• Los equipos de prueba deben estar unidos al dominio.

• En los equipos de prueba, se debe activar BitLocker una vez que se haya unido al dominio.

En los procedimientos siguientes se describen las tareas más comunes realizadas mediante el Visor de contraseñas de recuperación de Active Directory de BitLocker.

Para ver las contraseñas de recuperación de un equipo

1. Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio y en Panel de control, haga doble clic en Herramientas administrativas y, a continuación, vuelva a hacer doble clic en Usuarios y equipos de Active Directory. En Usuarios y equipos de Active Directory, busque y haga clic en el contenedor donde se encuentra el equipo.

2. Haga clic con el botón secundario en el objeto del equipo y, a continuación, haga clic en Propiedades.

3. En el cuadro de diálogo Propiedades, haga clic en la ficha Recuperación de BitLocker para ver las contraseñas de recuperación de BitLocker asociadas con el equipo.

Para copiar las contraseñas de recuperación de un equipo

1. Siga los pasos del procedimiento anterior para ver las contraseñas de recuperación de BitLocker.

2. En la ficha Recuperación de BitLocker del cuadro de diálogo Propiedades, haga clic con el botón secundario en la contraseña de recuperación de BitLocker que desee copiar y, a continuación, haga clic en Copiar detalles.

3. Presione CTRL+V para pegar el texto copiado en una ubicación de destino, como un archivo de texto o una hoja de cálculo.

Para buscar una contraseña de recuperación mediante un identificador de contraseña

1. En Usuarios y equipos de Active Directory, haga clic con el botón secundario en el contenedor de dominio y, a continuación, haga clic en Buscar contraseña de recuperación de BitLocker.

2. En el cuadro de diálogo Buscar contraseña de recuperación de BitLocker, escriba los ocho primeros caracteres de la contraseña de recuperación en el cuadro Id. de contraseña (primeros 8 caracteres) y, a continuación, haga clic en Buscar.

Una vez que complete los procedimientos descritos en este escenario, habrá visto y habrá copiado las contraseñas de recuperación de un equipo, además de haber usado un identificador de contraseña para buscar una contraseña de recuperación.

ESCENARIO 16: USAR LA HERRAMIENTA DE REPARACIÓN DE BITLOCKER PARA RECUPERAR UNA UNIDAD

Actualizado: septiembre de 2009


La herramienta de reparación de BitLocker (Repair-bde) es una herramienta de línea de comandos incluida con Windows 7 y Windows Server 2008 R2. Esta herramienta puede usarse para tener acceso a los datos cifrados en un disco duro dañado, si la unidad se cifró mediante el Cifrado de unidad BitLocker. Repair-bde puede reconstruir partes críticas de la unidad y rescatar los datos recuperables, siempre que para descifrar los datos se use una clave de recuperación o una contraseña de recuperación válida. La herramienta de línea de comandos Repair-bde se usa cuando el sistema operativo no se inicia o cuando no se puede iniciar la consola de recuperación de BitLocker. Si se dañó físicamente una unidad, quizás no pueda recuperarse.

Antes de empezar


• El equipo de prueba debe tener una unidad protegida por BitLocker.


• Debe contar con al menos uno de los siguientes elementos:

○ Contraseña de recuperación

○ Ubicación del archivo de clave de recuperación

○ Ubicación del archivo de paquete de recuperación y la contraseña de recuperación correspondiente

○ Ubicación del archivo del paquete de recuperación y ubicación del archivo de clave de recuperación correspondiente

• Debe tener un volumen de salida vacío con un tamaño igual o superior a la unidad protegida por BitLocker (cuyo contenido se sobrescribirá completamente después de la operación de reparación).

El siguiente procedimiento proporciona la sintaxis de línea de comandos para usar cada tipo de información de recuperación con la herramienta Repair-bde. Para este procedimiento, recuperamos el acceso a los datos almacenados en la unidad C: y escribimos los datos recuperados en un volumen de salida en Z: con los parámetros de la tabla siguiente.

Información de Valor

recuperación

Contraseña de recuperación062612-026103-175593-225830-027357-086526-362263-513414

Ubicación del archivo de clave de recuperación

F:\RecoveryKey.bek

Ubicación del archivo de paquete de recuperación

F:\ExportedKeyPackage

Reemplace estos parámetros según sea apropiado para su entorno de prueba.

Para reparar una unidad protegida por BitLocker con Repair-bde

1. Abra una ventana del símbolo del sistema como administrador.

1. Para ello, haga clic en Inicio, escriba cmd en el cuadro Buscar programas y archivos, haga clic con el botón secundario en cmd.exe y, a continuación, haga clic en Ejecutar como administrador.


2. En el símbolo del sistema, escriba uno de los siguientes comandos, según la información de recuperación que desee usar:

1. Para realizar la reparación con una contraseña de recuperación:

repair-bde C: Z: -rp 062612-026103-175593-225830-027357-086526-362263-513414

2. Para realizar la reparación con una clave de recuperación:

repair-bde C: Z: -rk F:\RecoveryKey.bek

3. Para realizar la reparación con un paquete de recuperación y la contraseña de recuperación correspondiente:

repair-bde C: Z: -kp F:\ExportedKeyPackage -rp 062612-026103-175593-225830-027357-086526-362263-513414

4. Para realizar la reparación con un paquete de recuperación y la clave de recuperación correspondiente:

repair-bde C: Z: -kp F:\ExportedKeyPackage -rk F:\RecoveryKey.bek

Nota

Si la ruta de acceso al paquete de claves no está especificada, Repair-bde buscará en la unidad un paquete de claves. Sin embargo, si se dañó la unidad de disco duro, es posible que la herramienta no pueda encontrar el paquete y le solicite que proporcione la ruta de acceso. Se recomienda incluir el paquete de claves en el almacenamiento de claves de Active Directory para poder exportar el paquete de claves, en caso de ser necesario.

Al completar este procedimiento, habrá usado la herramienta de línea de comandos Repair-bde para reparar una unidad protegida por BitLocker dañada.

Documents

48158909 Guia Paso a Paso Del Cifrado de Unidad Bitlocker Win7