Guia Paso A Paso Del Cifrado de Unidad Bitlocker Win7

GUA PASO A PASO DEL CIFRADO DE UNIDAD BITLOCKER PARA WINDOWS 7
Actualizado: septiembre de 2009 Se aplica a: Windows 7 Esta gua paso a paso proporciona las instrucciones necesarias para usar el Cifrado de unidad BitLocker en un entorno de prueba de Windows 7. Se recomienda que realice primero los pasos indicados en la presente gua en un entorno de laboratorio de pruebas. Las guas paso a paso no estn necesariamente diseadas para implementar caractersticas del sistema operativo Windows 7 sin la documentacin correspondiente y se deben usar con discrecin como documento independiente. Qu es el Cifrado de unidad BitLocker? El Cifrado de unidad BitLocker es una caracterstica de seguridad integral del sistema operativo Windows 7 que ayuda a proteger los datos almacenados en unidades de datos fijas y extrables y en la unidad del sistema operativo. BitLocker protege de "ataques sin conexin", que son aqullos que se realizan deshabilitando o evitando el sistema operativo instalado, o bien, quitando fsicamente el disco duro para atacar los datos por separado. En el caso de las unidades de datos fijas y extrables, BitLocker ayuda a garantizar que los usuarios pueden leer y escribir datos en la unidad solo cuando cuentan con la contrasea correspondiente, con credenciales de tarjeta inteligente o cuando usan la unidad de datos en un equipo protegido con BitLocker que tenga las claves adecuadas. Si en su organizacin hay equipos que ejecuten versiones anteriores de Windows, se puede usar el Lector de BitLocker To Go para permitir a esos equipos leer las unidades extrables protegidas con BitLocker. La proteccin de BitLocker en unidades del sistema operativo admite la autenticacin de dos factores mediante el uso del Mdulo de plataforma segura (TPM) junto con un nmero de identificacin personal (PIN) o clave de inicio, as como la autenticacin de un solo factor mediante el almacenamiento de una clave en una unidad flash USB o mediante el uso solo del TPM. El uso de BitLocker con un TPM proporciona una mayor proteccin a los datos y ayuda a garantizar la integridad del componente de arranque inicial. Esta opcin requiere que el equipo disponga de un microchip de TPM y una BIOS compatibles. Un TPM compatible se define como la versin 1.2 del TPM. Una BIOS compatible debe admitir el TPM y la raz esttica de Trust Measurement, tal y como define Trusted Computing Group. Para obtener ms informacin acerca de las
especificaciones del TPM, visite la seccin sobre dichas especificaciones del sitio web de Trusted Computing Group (en ingls) (http://go.microsoft.com/fwlink/?LinkId=72757). El TPM interacta con la proteccin de la unidad del sistema operativo de BitLocker para ayudar a proporcionar proteccin al inicio del sistema. El usuario no puede apreciar esto y el inicio de sesin de usuario no cambia. Sin embargo, si la informacin de inicio vara, BitLocker pasar al modo de recuperacin y se necesitar una contrasea o clave de recuperacin para volver a tener acceso a los datos. En esta gua El objetivo de esta gua es ayudar a los profesionales de TI a familiarizarse con la caracterstica Cifrado de unidad BitLocker de Windows 7. Estos pasos se incluyen nicamente para fines de prueba. Esta gua no debe ser el nico recurso que emplee para implementar las caractersticas de Windows Server 2008 R2 o Windows 7. Revise las siguientes secciones para familiarizarse con la informacin bsica y los procedimientos necesarios para comenzar a configurar e implementar BitLocker en su organizacin. 1. ESCENARIO 1: ACTIVAR EL CIFRADO DE UNIDAD BITLOCKER EN UNA UNIDAD DEL SISTEMA OPERATIVO (WINDOWS 7) 2. ESCENARIO 2: ACTIVAR EL CIFRADO DE UNIDAD BITLOCKER EN UNA UNIDAD DE DATOS FIJA O EXTRABLE (WINDOWS 7) 3. ESCENARIO 3: ACTUALIZAR UN EQUIPO PROTEGIDO CON BITLOCKER DE WINDOWS VISTA A WINDOWS 7 (WINDOWS 7) 4. ESCENARIO 4: CONFIGURAR EL MODO EN QUE LAS VERSIONES ANTERIORES DE WINDOWS (WINDOWS 7) ADMITEN BITLOCKER 5. ESCENARIO 5: REQUERIR LA PROTECCIN DE BITLOCKER EN LAS UNIDADES DE DATOS (WINDOWS 7) 6. ESCENARIO 6: ESPECIFICAR COMO DESBLOQUEAR UNIDADES DEL SISTEMA OPERATIVO PROTEGIDAS CON BITLOCKER (WINDOWS 7) 7. ESCENARIO 7: ESPECIFICAR COMO DESBLOQUEAR UNIDADES DE DATOS EXTRABLES O FIJAS PROTEGIDAS POR BITLOCKER (WINDOWS 7) 8. ESCENARIO 8: ESPECIFICAR COMO SE PUEDEN RECUPERAR LAS UNIDADES PROTEGIDAS POR BITLOCKER (WINDOWS 7)
9. ESCENARIO 9: CONFIGURAR EL MTODO Y LA INTENSIDAD DE
CIFRADO (WINDOWS 7)
10. ESCENARIO 10: CONFIGURAR EL CAMPO DE IDENTIFICACIN
DE BITLOCKER (WINDOWS 7) 11.ESCENARIO 11: RECUPERAR DATOS PROTEGIDOS CON EL CIFRADO DE UNIDAD BITLOCKER (WINDOWS 7) 12.ESCENARIO 12: DESACTIVAR CIFRADO DE UNIDAD BITLOCKER (WINDOWS 7) 13.ESCENARIO 13: BLOQUEAR UNA UNIDAD DE DATOS CON UNA TARJETA INTELIGENTE (WINDOWS 7)
14. ESCENARIO 14: USAR UN AGENTE DE RECUPERACIN DE
DATOS PARA RECUPERAR BITLOCKER (WINDOWS 7)
UNIDADES
PROTEGIDAS
POR
15.ESCENARIO 15: USAR EL VISOR DE CONTRASEAS DE RECUPERACIN DE ACTIVE DIRECTORY DE BITLOCKER PARA VER CONTRASEAS DE RECUPERACIN 16.ESCENARIO 16: USAR LA HERRAMIENTA DE REPARACIN DE BITLOCKER PARA RECUPERAR UNA UNIDAD
ESCENARIO 1: ACTIVAR EL CIFRADO DE UNIDAD BITLOCKER EN UNA UNIDAD DEL SISTEMA OPERATIVO (WINDOWS 7) Actualizado: agosto de 2009 Se aplica a: Windows 7 En este escenario, se proporciona el procedimiento para activar la proteccin de Cifrado de unidad BitLocker en una unidad del sistema operativo de un equipo con un Mdulo de plataforma segura (TPM). Una vez que la unidad est cifrada, el usuario inicia sesin en el equipo normalmente. Antes de empezar Para completar el procedimiento en este escenario: Debe poder proporcionar credenciales administrativas.
Debe poder configurar una impresora, si desea imprimir la clave de recuperacin. El equipo debe cumplir con los requisitos de BitLocker. Para obtener ms informacin, vea los requisitos del Cifrado de unidad BitLocker en la Gua paso a paso del Cifrado de unidad BitLocker para Windows 7.
Para activar el Cifrado de unidad BitLocker en una unidad del sistema operativo 1. Haga clic en Inicio, Panel de control, Sistema y seguridad y, a continuacin, en Cifrado de unidad BitLocker. 2. Haga clic en Activar BitLocker para la unidad del sistema operativo. BitLocker examinar el equipo a fin de asegurarse de que cumple con los requisitos del sistema de BitLocker. Si el equipo cumple con los requisitos, BitLocker le informar los prximos pasos que deben realizarse para activar BitLocker, tales como la preparacin de la unidad, la activacin del TPM y el cifrado de la unidad. Si cuenta con una sola particin para la unidad del sistema operativo, BitLocker preparar la unidad; para ello, reducir el tamao de la unidad del sistema operativo y crear una nueva particin del sistema para usarla para los archivos del sistema que se necesitan para iniciar o recuperar el sistema operativo y que no se pueden cifrar. Esta unidad no tendr una letra de unidad para evitar que se almacenen archivos de datos en esta unidad sin darse cuenta. Una vez que la unidad est preparada, debe reiniciarse el equipo. Si el TPM no est inicializado, el asistente para la configuracin de BitLocker le indica que debe quitar las unidades USB, los CDs o los DVDs del equipo y reiniciar el equipo para iniciar el proceso de activacin del TPM. Se le solicitar que habilite el TPM antes de que arranque el sistema operativo o, en algunos casos, deber navegar a las opciones BIOS y habilitar el TPM manualmente. Este comportamiento depende del BIOS del equipo. Despus de confirmar que desea que el TPM est habilitado, el sistema operativo se iniciar y aparecer el indicador de progreso Inicializando el hardware de seguridad de TPM. Nota Si configur las opciones de directiva de grupo de su organizacin para que se realice una copia de seguridad de la informacin de
recuperacin de BitLocker y el TPM en los Servicios de dominio de Active Directory (AD DS), el equipo debe poder conectarse al dominio para completar este proceso. 3. Una vez que se inicializa el TPM, el asistente para la configuracin de BitLocker le solicita que elija cmo desea almacenar la clave de recuperacin. Puede elegir entre las opciones siguientes:
Guardar la clave de recuperacin en una unidad flash USB. Guarda la clave de recuperacin en una unidad flash USB. Guardar la clave de recuperacin en un archivo. Guarda la clave de recuperacin en una unidad de red o en otra ubicacin. Imprimir la clave de recuperacin. Imprime la clave de recuperacin.
Use una o varias de estas opciones para conservar la clave de recuperacin. Para cada opcin que seleccione, siga los pasos del asistente para establecer la ubicacin para guardar o imprimir la clave de recuperacin. Cuando haya terminado de guardar la clave de recuperacin, haga clic en Siguiente. Importante La clave de recuperacin es necesaria si se desea mover la unidad cifrada a otro equipo o si se efectan cambios en la informacin de inicio del sistema. Esta clave de recuperacin es tan importante que se recomienda realizar copias adicionales de la clave y almacenarla en lugares seguros, de modo que pueda encontrarla fcilmente en caso de que necesite recuperar el acceso a la unidad. Si BitLocker cambia a un estado bloqueado, necesitar la clave de recuperacin para desbloquear los datos cifrados en la unidad. Esta clave de recuperacin es exclusiva para esta unidad en particular. No puede usarla para recuperar los datos cifrados de otras unidades protegidas por BitLocker. Para mayor seguridad, debe almacenar las claves de recuperacin fuera del equipo. 4. El asistente para la configuracin de BitLocker le pregunta si est listo para cifrar la unidad. Confirme que la casilla Ejecutar la
comprobacin del sistema de BitLocker est activada y, a continuacin, haga clic en Continuar. 5. Confirme que desea reiniciar el equipo al hacer clic en Reiniciar ahora. El equipo se reinicia y BitLocker comprueba si el equipo cumple con los requisitos de BitLocker y est preparado para el cifrado. Si no lo est, al iniciar sesin aparecer un mensaje de error que alerta sobre el problema. 6. Si est preparado para el cifrado, aparecer la barra de estado Cifrar, que muestra el progreso de cifrado de la unidad. Puede supervisar el estado de finalizacin en curso del cifrado de la unidad de disco, si mueve el puntero del mouse sobre el icono Cifrado de unidad BitLocker en el rea de notificacin, en el extremo derecho de la barra de tareas. El cifrado de la unidad puede tardar unos minutos. Puede usar su equipo durante el cifrado, pero el rendimiento ser menor. Cuando el cifrado se haya completado, aparecer un mensaje de finalizacin. Al completar este procedimiento, habr cifrado la unidad del sistema operativo y creado una clave de recuperacin nica para esta unidad. La prxima vez que inicie sesin, no ver ningn cambio. Si el TPM sufre cambios o no se puede tener acceso a l, si se realizaron cambios en archivos clave del sistema o si alguien intenta iniciar el equipo desde un disco para evitar el sistema operativo, el equipo cambiar al modo de recuperacin e impedir que Windows se inicie.
ESCENARIO 2: ACTIVAR EL CIFRADO DE UNIDAD BITLOCKER EN UNA UNIDAD DE DATOS FIJA O EXTRABLE (WINDOWS 7) Actualizado: agosto de 2009 Se aplica a: Windows 7 En este escenario se explica el procedimiento para activar la proteccin de Cifrado de unidad BitLocker en una unidad de datos fija o extrable en un equipo. Precaucin Durante el cifrado de una unidad extrable, no quite la unidad de forma repentina. Si necesita quitar una unidad antes de que se complete el cifrado, ponga en pausa el proceso de cifrado y, a continuacin, use el icono Quitar hardware de forma segura ubicado en el rea de notificacin o el comando Expulsar desde el Explorador de Windows para quitar la unidad. Si se quita la unidad durante el proceso de cifrado sin poner en pausa y, de forma intencional, quitar el dispositivo, puede provocar que los datos de la unidad se daen. Antes de empezar
Para completar el procedimiento en este escenario:
Debe poder proporcionar credenciales administrativas para activar BitLocker para unidades de datos fijas. Las cuentas de usuario estndar pueden activar BitLocker To Go en unidades de datos extrables. Para imprimir la clave de recuperacin, es necesario configurar una impresora. El equipo debe cumplir los requisitos de BitLocker. Para obtener ms informacin, vea la seccin sobre los requisitos para el Cifrado de unidad BitLocker en Gua paso a paso del Cifrado de unidad BitLocker para Windows 7.
Para activar el Cifrado de unidad BitLocker en una unidad de datos fija o extrable
1. Haga clic en Inicio, en Panel de control, en Sistema y
seguridad y, a continuacin, en Cifrado de unidad BitLocker.

2. Haga clic en Activar BitLocker para la unidad de datos fija o
extrable que desea cifrar. Nota Si ha configurado la directiva de grupo en la organizacin para realizar una copia de seguridad de la informacin de recuperacin de BitLocker en los Servicios de dominio de Active Directory (AD DS), el equipo debe poder conectarse al dominio para completar este proceso.
3. El Asistente para la instalacin de BitLocker le preguntar cmo
desea desbloquear esta unidad. Las unidades de datos fijas se pueden configurar para desbloquearse de forma automtica cuando el sistema operativo est cifrado, para desbloquearse despus de proporcionar una contrasea o para desbloquearse despus de insertar una tarjeta inteligente. Las unidades de datos extrables se pueden configurar para desbloquearse despus de proporcionar una contrasea o despus de insertar una tarjeta inteligente. Si desea que la unidad de datos extrable se desbloquee de forma automtica, puede especificar dicha opcin una vez realizado el cifrado; para ello, haga clic en Administrar BitLocker desde el elemento Cifrado de unidad BitLocker del Panel de control, o active la casilla Desbloquear automticamente en el equipo desde ahora cuando desbloquee la unidad. 4. Antes de que BitLocker cifre la unidad, el Asistente para la instalacin de BitLocker le pide que elija cmo almacenar la clave de recuperacin. Puede seleccionar entre las opciones siguientes:
Guardar la clave de recuperacin en una unidad flash USB. Guarda la clave de recuperacin en una unidad flash USB. Esta opcin no se puede usar con unidades extrables. Guardar la clave de recuperacin en un archivo. Guarda la clave de recuperacin en una unidad de red o en otra ubicacin. Imprimir la clave de recuperacin. Imprime la clave de recuperacin.
Use una o ms de estas opciones para conservar la clave de recuperacin. Para cada opcin que seleccione, siga los pasos del asistente para establecer la ubicacin en la que guardar o imprimir la clave de recuperacin. Cuando haya finalizado de guardar la clave de recuperacin, haga clic en Siguiente. Importante La clave de recuperacin es necesaria cuando una unidad de datos fija protegida con BitLocker configurada para desbloqueo automtico se traslada a otro equipo, o si la contrasea o la tarjeta inteligente asociadas con el desbloqueo de la unidad fija o extrable no estn disponibles, como puede suceder cuando se olvida la contrasea o se pierde la tarjeta inteligente. Necesitar la clave de recuperacin para desbloquear los datos cifrados en la unidad si BitLocker cambia a un estado de bloqueo. Esta clave de recuperacin es nica para esta unidad en particular. No se puede usar para recuperar datos cifrados de ninguna otra unidad protegida con BitLocker. Para lograr la mxima seguridad, debera almacenar las claves de recuperacin lejos de las unidades con las que estn asociadas.
5. El Asistente para la instalacin de BitLocker le pregunta si est
listo para cifrar la unidad. Haga clic en Iniciar cifrado.

6. Aparece la barra de estado Cifrando. Para supervisar el estado de
finalizacin del cifrado de la unidad en curso, mueva el puntero del mouse sobre el icono Cifrado de unidad BitLocker en el rea de notificacin, en la esquina derecha de la barra de tareas. Al completar este procedimiento, habr cifrado una unidad de datos fija o extrable, asociado un protector de clave con un mtodo de desbloqueo para la unidad y creado una clave de recuperacin que es nica para esta unidad. ESCENARIO 3: ACTUALIZAR UN EQUIPO PROTEGIDO CON BITLOCKER DE WINDOWS VISTA A WINDOWS 7 (WINDOWS 7)
Actualizado: agosto de 2009 Se aplica a: Windows 7 Este escenario describe el proceso de actualizacin de un equipo protegido por BitLocker de Windows Vista a Windows 7. Antes de empezar Para completar el procedimiento de este escenario: Debe proporcionar credenciales administrativas. La unidad del sistema operativo debe estar protegida con BitLocker.
Para actualizar manualmente el Cifrado de unidad BitLocker

1. En un equipo que ejecute Windows Vista, haga clic en Inicio, en
Panel de control, en Seguridad y, finalmente, en Cifrado de unidad BitLocker.

2. Haga clic en Desactivar BitLocker y, a continuacin, active la
casilla Deshabilitar BitLocker. No descifre la unidad. 3. Instale Windows 7 en la misma unidad.

4. Despus de instalar Windows 7, haga clic en Inicio, en Panel de
control, en Sistema y seguridad y, finalmente, en Cifrado de unidad BitLocker. Haga clic en Reanudar proteccin. Su unidad de sistema operativo est ahora protegida con BitLocker. Si desea usar la nueva opcin de proteccin de claves de recuperacin (agentes de recuperacin de datos), tambin debe actualizar la informacin de la versin de BitLocker almacenada en los metadatos de BitLocker a la versin de Windows 7. Esto se logra con el uso de la herramienta de lnea de comandos Manage-bde.exe.
5. Para actualizar los metadatos de BitLocker de forma que pueda
usar las nuevas caractersticas de BitLocker de Windows 7, haga clic en Inicio, elija Todos los programas, haga clic en Accesorios, haga clic con el botn secundario en Smbolo del sistema y, a continuacin, haga clic en Ejecutar como administrador. Si aparece el cuadro de dilogo Control de cuentas de usuario, confirme que la accin que muestra es la que desea y, a continuacin, haga clic en S. En una ventana del smbolo del sistema, escriba el comando siguiente, reemplazando Volumen con la unidad de disco apropiada: manage-bde.exe upgrade Volumen : Al completar este procedimiento, habr actualizado BitLocker de la versin de Windows Vista a la versin de Windows 7.
ESCENARIO 4: CONFIGURAR EL MODO EN QUE LAS VERSIONES ANTERIORES DE WINDOWS (WINDOWS 7) ADMITEN BITLOCKER Actualizado: agosto de 2009 Se aplica a: Windows 7 Este escenario proporciona procedimientos para utilizar la configuracin de Directiva de grupo de Windows 7 con el fin de controlar el uso de BitLocker en equipos que ejecutan Windows Vista o Windows Server 2008. Antes de comenzar Para completar los procedimientos que se describen en este escenario: Debe proporcionar credenciales administrativas. Su equipo debe formar parte de un dominio.
Para configurar el modo en que las versiones anteriores de Windows admiten BitLocker
1. Haga clic en Inicio, escriba gpedit.msc en el cuadro Buscar
programas y archivos y, a continuacin, presione ENTRAR.

2. Si aparece el cuadro de dilogo Control de cuentas de usuario,
confirme que la accin que muestra es la que desea y, a continuacin, haga clic en S.
3. En
el rbol de consola, en Directiva de equipo local\Configuracin del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker, haga clic en Unidades del sistema operativo. que BitLocker se utilice en equipos sin un TPM (Mdulo de plataforma segura), en el panel de detalles, haga doble clic en Requerir autenticacin adicional al iniciar (Windows Server 2008 y Windows Vista) para abrir la configuracin de directiva.
4. Si desea utilizar mtodos de autenticacin multifactor o permitir
5. Haga clic en Habilitado y, a continuacin, seleccione los mtodos
de autenticacin de inicio que desea que sean compatibles en los equipos de su organizacin que ejecutan Windows Vista y Windows Server 2008. Esta configuracin de directiva proporciona los siguientes mtodos de autenticacin:
Permitir BitLocker sin un TPM compatible. Esta casilla habilita el uso de BitLocker en equipos que no tienen un chip de hardware de TPM. En esta situacin, se debe utilizar una unidad flash USB que almacenar la clave de cifrado de la unidad.
Configurar opcin de clave de inicio del TPM. Esta opcin sirve para exigir el uso de una clave de USB adems del TPM para proteger la unidad. Para desbloquear la unidad, debe estar presente la clave de USB. Para poder iniciar el sistema operativo, es necesario que el BIOS del equipo pueda leer datos de una unidad USB. Si no desea que los usuarios puedan utilizar claves de USB con BitLocker o si desea que los usuarios escriban un PIN para desbloquear las unidades del sistema operativo protegidas con BitLocker, seleccione No permitir clave de inicio con TPM. Configurar PIN de inicio del TPM. Esta opcin sirve para exigir el uso de un PIN adems del TPM para proteger la unidad. Para desbloquear la unidad, el usuario debe ingresar el PIN. Si no desea que los usuarios puedan utilizar un PIN con BitLocker o si desea que los usuarios deban insertar claves de USB para desbloquear las unidades del sistema operativo protegidas con BitLocker, seleccione No permitir PIN de inicio con TPM. Una vez que haya seleccionado las opciones que desee, haga clic en Aplicar para que se aplique la configuracin y, a continuacin, cierre el cuadro de dilogo.
6. Para configurar opciones de recuperacin de Active Directory para
equipos de su organizacin que ejecuten Windows Vista o Windows Server 2008, en el rbol de consola, en Directiva de equipo local\Configuracin del equipo\Plantillas administrativas\Componentes de Windows, haga clic en Cifrado de unidad BitLocker para mostrar la configuracin de directiva global.
7. Para almacenar la informacin de recuperacin en Servicios de
dominio de Active Directory (AD DS), en el panel de detalles, haga doble clic en la configuracin de directiva Almacenar informacin de recuperacin de BitLocker en Servicios de dominio de Active Directory (Windows Server 2008 y Windows Vista), haga clic en Habilitado y, a continuacin, seleccione la casilla Requerir copia de seguridad de BitLocker en AD DS. Cuando esta casilla est seleccionada, BitLocker comprobar la presencia de un controlador de dominio antes de cifrar la unidad. Si no se puede encontrar el controlador de dominio, el usuario no podr activar BitLocker. Una vez realizada esta seleccin, deber seleccionar la informacin de recuperacin para realizar una copia de respaldo. Puede optar por realizar una copia de respaldo solo de las
contraseas de recuperacin o de las contraseas de recuperacin y de los paquetes de claves. Los paquetes de claves son necesarios para recuperar una unidad que se ha daado de tal forma que la recuperacin de BitLocker ya no puede leer la clave de cifrado. Una vez que haya seleccionado las opciones que desee, haga clic en Aplicar para que se aplique la configuracin y, a continuacin, cierre el cuadro de dilogo.
8. Para configurar opciones de recuperacin de equipos locales para
equipos de su organizacin que ejecuten Windows Vista o Windows Server 2008, haga doble clic en la configuracin de directiva Elegir el modo en el que los usuarios pueden recuperar unidades protegidas con BitLocker (Windows Server 2008 y Windows Vista) y, a continuacin, haga clic en Habilitado. A continuacin, podr configurar si el usuario tiene permiso para seleccionar la contrasea de recuperacin de 48 dgitos generada para BitLocker o para seleccionar la clave de recuperacin de 256 bits como mtodo de recuperacin cuando active BitLocker. De forma predeterminada, ambas opciones estn permitidas cuando esta configuracin est deshabilitada o no est configurada. La clave de recuperacin de BitLocker se guarda como una clave cuando se escribe en una unidad USB o como una contrasea cuando se guarda en un archivo o se imprime. Esta configuracin de directiva deber estar habilitada si desea que resulte obligatorio el uso de un mtodo de recuperacin y no se permita el uso de otro mtodo. Si desea que solo los administradores que puedan leer la contrasea de recuperacin de AD DS lleven a cabo la recuperacin, puede deshabilitar el uso de ambos mtodos despus de configurada la directiva Almacenar informacin de recuperacin de BitLocker en Servicios de dominio de Active Directory (Windows Server 2008 y Windows Vista). Una vez que haya seleccionado las opciones que desee, haga clic en Aplicar para que se aplique la configuracin y, a continuacin, cierre el cuadro de dilogo.
9. Para controlar si los equipos que ejecutan Windows Server 2008,
Windows Vista, Windows XP con Service Pack 3 (SP3) o Windows XP con Service Pack 2 (SP2) podrn tener acceso a unidades extrables protegidas con la versin de Windows 7 de BitLocker, en el rbol de consola de Directiva de equipo local\Configuracin del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker, haga clic en Unidades de datos extrables y, a continuacin, en el panel de detalles, haga doble clic en la
configuracin de directiva Permitir el acceso a las unidades de datos extrables protegidas con BitLocker en versiones anteriores de Windows. De forma predeterminada, cuando una unidad extrable est protegida con BitLocker, el Lector de BitLocker To Go se copia en la unidad y proporciona acceso de solo lectura cuando se tiene acceso a la unidad desde equipos que ejecutan Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2, si el usuario tiene la contrasea obligatoria para desbloquear la unidad. Para requerir que el equipo que abra la unidad ejecute Windows 7 o tenga instalado el Lector BitLocker To Go, haga clic en Habilitado y, a continuacin, seleccione la casilla No instalar el Lector de BitLocker To Go en unidades extrables con formato de sistema de archivos FAT. Si no desea que los equipos que ejecutan Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2 se utilicen para leer unidades extrables con formato de sistema de archivos FAT protegidas con BitLocker, haga clic en Deshabilitado. Una vez que haya seleccionado las opciones que desee, haga clic en Aplicar para que se aplique la configuracin y, a continuacin, cierre el cuadro de dilogo. Nota Se encuentra disponible una configuracin de directiva similar para utilizar con unidades de datos fijas. 10.Cierre el Editor de directivas de grupo local.
11. Para
que la directiva de grupo aplique los cambios inmediatamente, haga clic en Inicio, escriba gpupdate.exe /force en el cuadro Buscar programas y archivos y, a continuacin, presione ENTRAR. Espere hasta que se finalice el proceso.
Al completar este procedimiento, habr establecido una directiva para controlar el uso de BitLocker en equipos de su organizacin que ejecuten Windows Vista o Windows Server 2008. ESCENARIO 5: REQUERIR LA PROTECCIN DE BITLOCKER EN LAS UNIDADES DE DATOS (WINDOWS 7) Actualizado: agosto de 2009 Se aplica a: Windows 7 Este escenario describe cmo configurar la directiva de grupo de Windows 7 para que las unidades de datos fijas deban estar protegidas mediante BitLocker y, asimismo, para que se use BitLocker To Go con unidades de datos extrables antes de poder escribir datos en la unidad.
Antes de empezar Para completar el procedimiento de este escenario: Se deben proporcionar credenciales administrativas.
Para requerir que las unidades de datos estn protegidas con BitLocker antes de que los datos se guarden en ellas

3. En
el rbol de consola, en Directiva de equipo local\Configuracin del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker, haga clic en Unidades de datos fijas. BitLocker a fin de que los usuarios puedan guardar datos en ellas, haga doble clic en Denegar el acceso de escritura a unidades fijas no protegidas por BitLocker en el panel de detalles para abrir la configuracin de directiva.
4. Para requerir que las unidades de datos fijas estn protegidas por
5. Haga clic en Habilitada y en Aplicar para aplicar la configuracin
y, a continuacin, cierre el cuadro de dilogo. 6. Reinicie el equipo.


9. En
el rbol de consola, en Directiva de equipo local\Configuracin del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker, haga clic en Unidades de datos extrables. extrables a fin de que los usuarios puedan guardar datos en ellas, haga doble clic en Denegar el acceso de escritura a unidades extrables no protegidas por BitLocker en el panel de detalles para abrir la configuracin de directiva.
10. Para requerir que se use BitLocker To Go en las unidades de datos
11. Haga clic en Habilitada y en Aplicar para aplicar la configuracin
y, a continuacin, cierre el cuadro de dilogo. Nota
Si habilita esta directiva de configuracin, estar impidiendo el uso de claves de inicio, claves de recuperacin o proteccin de BitLocker de unidades de sistema operativo sin un TPM, porque estas caractersticas precisan de una unidad de datos extrable sin cifrar en la que almacenar la clave de BitLocker. 12.Cierre el Editor de directivas de grupo local. 13.Si hay alguna unidad extrable conectada al equipo cuando esta configuracin de directiva est habilitada, se deber extraer y volver a insertar para que se le aplique esta configuracin de directiva. Cuando complete este procedimiento, habr establecido la configuracin de la directiva de grupo para que requiera que las unidades de datos fijas deban estar protegidas mediante BitLocker y, asimismo, para que se use BitLocker To Go con unidades de datos extrables antes de poder escribir datos en la unidad. Si los usuarios intentan escribir datos en una unidad que no est protegida por BitLocker, se les pedir que activen BitLocker. ESCENARIO 6: ESPECIFICAR CMO DESBLOQUEAR UNIDADES DEL SISTEMA OPERATIVO PROTEGIDAS CON BITLOCKER (WINDOWS 7) Actualizado: agosto de 2008 Se aplica a: Windows 7 En este escenario se describe el modo de usar la configuracin de la directiva de grupo para controlar qu mtodos de desbloqueo se pueden usar con las unidades del sistema operativo de la organizacin. De manera predeterminada, es necesario disponer de un Mdulo de plataforma segura (TPM) para activar BitLocker y no se precisa de ningn otro mtodo de desbloqueo adicional. Si desea usar BitLocker sin TPM u obligar al uso de un mtodo de autenticacin adicional con el TPM, siga los pasos de este escenario para establecer la configuracin de modo que sea compatible con dichos mtodos de desbloqueo. Antes de empezar Para completar el procedimiento de este escenario: Se deben proporcionar credenciales administrativas.
Para especificar cmo desbloquear las unidades del sistema operativo protegidas con BitLocker

3. En
el rbol de consola, en Directiva de equipo local\Configuracin del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker, haga clic en Unidades del sistema operativo. el panel de detalles, haga doble clic sobre Requerir autenticacin adicional al iniciar para abrir la configuracin de directiva y, a continuacin, haga clic en Habilitada.
4. Para configurar otros mtodos de autenticacin aparte de TPM, en
5. Para admitir BitLocker en equipos que ejecutan Windows 7 y que
no tienen un TPM, active la casilla Permitir BitLocker sin un TPM compatible. 6. Para configurar las opciones de inicio de la unidad de sistema operativo en equipos con un TPM, hay disponibles las siguientes opciones:
Configurar inicio del TPM. Puede optar por permitir, exigir o rechazar el uso del TPM con BitLocker. Configurar PIN de inicio del TPM. Puede optar por permitir, exigir o rechazar el uso del TPM junto con un PIN con BitLocker. Configurar clave de inicio del TPM. Puede optar por permitir, exigir o rechazar el uso del TPM junto con una clave almacenada en un dispositivo extrable (como una unidad flash USB) con BitLocker. Configurar la clave de inicio y el PIN del TPM. Puede optar por permitir, exigir o rechazar el uso del TPM junto con una clave almacenada en un dispositivo extrable (como una unidad flash USB) y un PIN con BitLocker.
Nota Si se decanta por exigir una opcin de inicio, el resto de opciones de inicio deber estar deshabilitado. Nota Si requiere que las unidades extrables estn protegidas con BitLocker, no puede usar una clave de inicio con la unidad del sistema operativo. Si requiere el uso de un TPM, una clave de inicio y un PIN para desbloquear la unidad del sistema operativo, debe usar la herramienta de lnea de comandos Manage-bde.exe para elegir un mtodo de autenticacin y habilitar BitLocker. Use el siguiente comando para agregar el mtodo de autenticacin por clave de
inicio, TPM y PIN, donde deber reemplazar nombreDeVolumen por la letra de la unidad del sistema operativo correspondiente y letraDeUnidadExtrable por la letra de la unidad extrable donde va a almacenar la clave de inicio: manage-bde -protectors -add -tpsk nombreDeVolumen: -tsk letraDeUnidadExtrable: Use el siguiente comando para activar BitLocker y cifrar la unidad, donde deber reemplazar nombreDeVolumen por la letra de la unidad del sistema operativo: manage-bde -on nombreDeVolumen:
7. Tras elegir las opciones deseadas, haga clic en Aplicar para
aplicar la configuracin y cerrar el cuadro de dilogo.

8. Si usa nmeros PIN para la autenticacin junto con el TPM, puede
que desee habilitar el uso de PIN mejorados a fin de aumentar la complejidad de los PIN. Los PIN mejorados permiten el uso de diferentes caracteres, como letras en maysculas y minsculas, smbolos, nmeros y espacios. No todos los equipos son compatibles con estos caracteres antes de que se inicie el sistema operativo, por lo que recomendamos que los usuarios realicen una comprobacin del sistema durante la configuracin de BitLocker para confirmar que el equipo admite la configuracin de BitLocker que ha seleccionado antes de cifrar la unidad. Haga doble clic en el valor de la directiva Permitir los PIN mejorados para el inicio y en Habilitada para que sea posible usar PIN mejorados con unidades del sistema operativo protegidas con BitLocker. Si esta configuracin de directiva est deshabilitada o no est configurada, no se podrn usar los PIN mejorados.
9. Tras elegir las opciones deseadas, haga clic en Aplicar para
aplicar la configuracin y cerrar el cuadro de dilogo. 10.Cierre el Editor de directivas de grupo local.
11. Para hacer que la directiva de grupo aplique los cambios de
inmediato, puede hacer clic en Inicio, escribir gpupdate.exe /force en el cuadro Buscar programas y archivos y, a continuacin, presionar ENTRAR. Espere a que el proceso finalice. Con este procedimiento, ha configurado la directiva de grupo para controlar qu mtodos de desbloqueo se pueden usar con las unidades del sistema operativo de la organizacin. ESCENARIO 7: ESPECIFICAR CMO DESBLOQUEAR UNIDADES DE DATOS EXTRABLES O FIJAS PROTEGIDAS POR BITLOCKER (WINDOWS 7) Actualizado: agosto de 2009 Se aplica a: Windows 7
En este escenario, determinar los mtodos de desbloqueo de unidades fijas y extrables que se pueden usar mediante la configuracin de las opciones apropiadas de la directiva de grupo. Antes de empezar Para completar los procedimientos en este escenario: Debe proporcionar credenciales administrativas. Su equipo de prueba debe formar parte de un dominio si desea probar los requisitos de complejidad de contraseas. Debe disponer de unidades de datos fijas y unidades extrables por separado. Debe arrancar desde una unidad con un sistema operativo protegido con BitLocker para usar el mtodo de desbloqueo automtico con unidades de datos fijas. Debe haber implementado la arquitectura de infraestructura de clave pblica (PKI) para usar con tarjetas inteligentes. Su equipo debe cumplir los requisitos de BitLocker. Para obtener ms informacin, vea "Requisitos del Cifrado de unidad BitLocker" en la Gua paso a paso del Cifrado de unidad BitLocker para Windows 7.
Nota Si BitLocker est habilitado en la unidad del sistema operativo, al activarlo para una unidad de datos fija tendr la opcin de permitir que la unidad se desbloquee automticamente cuando la unidad del sistema operativo est desbloqueada. El siguiente procedimiento asume que la unidad de datos fija estaba protegida con BitLocker previamente y que el mtodo de desbloqueo automtico no estaba seleccionado. Las unidades de datos extrables deben contar con un mtodo de desbloqueo por tarjeta inteligente o por contrasea, adems del mtodo de desbloqueo automtico. El desbloqueo automtico no se puede especificar directamente mediante la configuracin de directivas. Para configurar una unidad de datos fija o extrable protegida con BitLocker para que se desbloquee automticamente
1. Haga clic en Inicio, haga clic en Equipo y, a continuacin, haga
clic con el botn secundario en la unidad de datos fija o extrable protegida con BitLocker que desea desbloquear automticamente.
2. Haga clic en Administrar BitLocker y, a continuacin, en
Desbloquear automticamente esta unidad del equipo.
Para especificar el uso de la contrasea para unidades de datos fijas o extrables protegidas con BitLocker

3. En el rbol de consola que se encuentra en Directiva de equipo
local\Configuracin del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker, haga clic en Unidades de datos fijas.
4. De forma predeterminada, las contraseas pueden usarse con
BitLocker para proteger las unidades de datos fijas. Las configuraciones predeterminadas no exigen ningn tipo de requisitos de complejidad de contrasea, pero s requieren que la misma contenga, al menos, 8 caracteres. Para especificar configuraciones diferentes, haga doble clic en Configurar el uso de contraseas para unidades de datos fijas en el panel de detalles para abrir la configuracin de directiva.
5. Haga clic en Deshabilitado para evitar el uso de contraseas con
unidades de datos fijas, o haga clic en Habilitado y configure las siguientes opciones:
Active la casilla Requerir contrasea para unidad de datos fija si desea solicitar que el usuario escriba una contrasea para activar BitLocker en una unidad de datos fija. Si se configuraron otros mtodos de desbloqueo para la unidad, cualquiera de ellos puede usarse para desbloquearla. En Configure la complejidad de la contrasea para unidades de datos fijas, puede elegir permitir, solicitar o no permitir la obligatoriedad del uso de la regla de complejidad de contraseas con las contraseas para unidades de datos fijas de BitLocker. Si elige Requerir complejidad de la contrasea, tambin deber haber configurado la opcin de directiva La contrasea debe cumplir los requisitos de complejidad ubicada en Configuracin del equipo\Configuracin de Windows\Configuracin de seguridad\Directivas de cuenta\Directiva de contraseas. Adems, el equipo debe estar conectado al dominio cuando configure la contrasea de BitLocker para la unidad (como cuando BitLocker est activado o cuando se
modifica una contrasea), para que el controlador de dominio pueda validar que la contrasea especificada para la unidad cumple las reglas de complejidad. Si elige Permitir complejidad de la contrasea, BitLocker intentar conectarse al controlador de dominio para validar la contrasea, pero si no puede conectarse, aceptar la contrasea y cifrar la unidad con la contrasea, independientemente de si esta cumple o no las reglas de complejidad definidas por la directiva de contraseas. Si elige No permitir complejidad de la contrasea, BitLocker no intentar validar si la contrasea especificada es compleja.
En Longitud mnima de la contrasea para unidades de datos fijas, puede especificar un nmero entre 8 y 99 que defina lo larga que debe ser la contrasea especificada para la unidad. Las contraseas siempre deben contener, al menos, 8 caracteres.
6. Una vez elegidas las opciones, haga clic en Aplicar para aplicar la
configuracin establecida y, a continuacin, cierre el cuadro de dilogo.

local\Configuracin del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker haga clic en Unidades de datos extrables.
8. De forma predeterminada, las contraseas pueden usarse con
BitLocker para proteger las unidades de datos extrables. Las configuraciones predeterminadas no exigen ningn tipo de requisitos de complejidad de contrasea, pero s requieren que la misma contenga, al menos, 8 caracteres. Para especificar configuraciones diferentes, haga doble clic en Configurar el uso de contraseas para unidades de datos extrables en el panel de detalles para abrir la configuracin de directiva.
9. Haga clic en Deshabilitado para evitar el uso de contraseas con
unidades de datos extrables, o haga clic en Habilitado y configure las siguientes opciones:
Active la casilla Requerir contrasea para unidad de datos extrable si desea solicitar que el usuario escriba una contrasea para activar BitLocker en una unidad de datos extrable. Si se configuraron otros mtodos de desbloqueo para la unidad, cualquiera de ellos puede usarse para desbloquearla.
En Configure la complejidad de la contrasea para unidades de datos extrables, puede elegir permitir, solicitar o no permitir la obligatoriedad del uso de la regla de complejidad de contraseas con las contraseas para unidades de datos extrables de BitLocker. Si elige Requerir complejidad de la contrasea, tambin deber haber configurado la opcin de directiva La contrasea debe cumplir los requisitos de complejidad ubicada en Configuracin del equipo\Configuracin de Windows\Configuracin de seguridad\Directivas de cuenta\Directiva de contraseas, y el equipo deber estar conectado al dominio cuando BitLocker est activado, para que el controlador de dominio pueda validar que la contrasea especificada para la unidad cumple las reglas de complejidad. Si elige Permitir complejidad de la contrasea, BitLocker intentar conectarse al controlador de dominio para validar la contrasea, pero si no puede conectarse, aceptar la contrasea y cifrar la unidad con la contrasea, independientemente de si esta cumple o no las reglas de complejidad definidas por la directiva de contraseas. Si elige No permitir complejidad de la contrasea, BitLocker no intentar validar si la contrasea especificada es compleja.
En Longitud mnima de la contrasea para unidades de datos fijas, puede especificar un nmero entre 8 y 99 que defina lo larga que debe ser la contrasea especificada para la unidad. Las contraseas siempre deben contener, al menos, 8 caracteres.
configuracin establecida y, a continuacin, cierre el cuadro de dilogo. 11.Cierre el Editor de directivas de grupo local.
12. Para
exigir que la directiva de grupo aplique los cambios inmediatamente, haga clic en Inicio, escriba gpupdate.exe /force en el cuadro Buscar programas y archivos y, a continuacin, presione ENTRAR. Espere hasta que se termine el proceso.
Para especificar el uso de la tarjeta inteligente para unidades de datos fijas o extrables protegidas con BitLocker

4. De forma predeterminada, las tarjetas inteligentes se pueden usar
con BitLocker para proteger las unidades de datos fijas. Para solicitar o impedir el uso de tarjetas inteligentes, haga doble clic en Configurar el uso de tarjetas inteligentes en unidades de datos fijas en el panel de detalles para abrir la configuracin de directiva.
5. Haga clic en Deshabilitado para impedir el uso de tarjetas
inteligentes con unidades de datos fijas.

6. Haga clic en Habilitado y active la casilla Requerir el uso de
tarjetas inteligentes en unidades de datos fijas si desea exigir que el usuario inserte una tarjeta inteligente para activar BitLocker. Si se configuraron otros mtodos de desbloqueo para la unidad, cualquiera de ellos puede usarse para desbloquearla.

local\Configuracin del administrativas\Componentes de Cifrado de unidad BitLocker.

9. Si
equipo\Plantillas Windows haga clic en
tiene varios certificados de tarjetas inteligentes, puede especificar qu certificados se pueden usar con BitLocker. Para ello, haga doble clic en la configuracin de directiva Validar cumplimiento de regla de uso de certificado de tarjeta inteligente en el panel de detalles. De forma predeterminada, BitLocker usa certificados de tarjetas inteligentes que contienen el atributo de uso mejorado de clave (EKU) equivalente al identificador de objeto BitLocker de 1.3.6.1.4.1.311.67.1.1, pero BitLocker no exige que el atributo EKU est presente para que se use el certificado con BitLocker. Sin
embargo, puede cambiar la configuracin de esta directiva a Habilitado y escribir un valor en Identificador de objeto para solicitar que un certificado cuente con un atributo EKU en particular antes de que se use con BitLocker. Si configura esta directiva como Deshabilitado o No configurado, se usar el identificador de objeto predeterminado.

12. De forma predeterminada, las tarjetas inteligentes se pueden usar
con BitLocker para proteger las unidades de datos extrables. Para solicitar o impedir el uso de tarjetas inteligentes, haga doble clic en Configurar el uso de tarjetas inteligentes en unidades de datos extrables en el panel de detalles para abrir la configuracin de directiva.
13. Haga clic en Deshabilitado para impedir el uso de tarjetas
inteligentes con unidades de datos extrables.

14. Haga clic en Habilitado y active la casilla Requerir el uso de
tarjetas inteligentes en unidades de datos extrables si desea exigir que el usuario inserte una tarjeta inteligente para activar BitLocker.
configuracin establecida y, a continuacin, cierre el cuadro de dilogo. 16.Cierre el Editor de directivas de grupo local.
17. Para
Al terminar los procedimientos de este escenario, habr especificado los mtodos que se pueden usar para desbloquear las unidades protegidas con BitLocker. Estas directivas son obligatorias en las unidades al activar BitLocker. ESCENARIO 8: ESPECIFICAR CMO SE PUEDEN RECUPERAR LAS UNIDADES PROTEGIDAS POR BITLOCKER (WINDOWS 7) Actualizado: agosto de 2009 Se aplica a: Windows 7
Si no se puede implementar un mtodo de desbloqueo, por ejemplo cuando el Mdulo de plataforma segura (TPM) detecta un cambio en los componentes de arranque o cuando se olvida una contrasea, los usuarios debern usar un mtodo de recuperacin para tener acceso a sus datos. Antes de realizar el proceso de recuperacin, debe comprobar que no se haya alterado la unidad y debe aislar el equipo de la red hasta que se determinen los riesgos que presenta el sistema. Este escenario incluye procedimientos para configurar las opciones de recuperacin disponibles para unidades de sistema operativo, y para unidades de datos fijas y extrables. Estos procedimientos describen cmo configurar las directivas de grupo adecuadas para que sean compatibles con las opciones de recuperacin disponibles para los usuarios de la empresa. Puede solicitar que los usuarios guarden las claves o los archivos de recuperacin, permitir el uso de un agente de recuperacin de datos, o requerir que se haga una copia de seguridad de toda la informacin de la recuperacin en Servicios de dominio de Active Directory (AD DS) y evitar que los usuarios creen y guarden contraseas y claves de recuperacin. Nota Si se recupera el acceso a una unidad de sistema operativo mediante la consola de recuperacin despus de un cambio en la configuracin del equipo, suspenda y reanude la proteccin de BitLocker antes de apagar o poner el equipo en modo de hibernacin. De lo contrario, se detectarn de nuevo las condiciones que ocasionaron que BitLocker iniciara la unidad de sistema operativo en modo de recuperacin y se requerir la informacin de recuperacin para iniciar el sistema operativo. Antes de empezar Para completar los procedimientos en este escenario: Debe proporcionar credenciales administrativas. El equipo de prueba debe ser parte de un domino.
Realice los siguientes procedimientos para especificar el mtodo de recuperacin para cada tipo de unidad. Para especificar el modo en el que se pueden recuperar unidades de sistema operativo protegidas por BitLocker

3. En
el rbol de local\Configuracin
consola,
en del
Directiva de equipo equipo\Plantillas
administrativas\Componentes unidad BitLocker, haga clic operativo.
de Windows\Cifrado de en Unidades del sistema
4. Para configurar las opciones de recuperacin de las unidades del
sistema operativo, en el panel de detalles, haga doble clic en Elegir cmo se pueden recuperar unidades del sistema operativo protegidas por BitLocker para abrir la configuracin de la directiva. Si esta directiva est deshabilitada o no se configur, las opciones de recuperacin predeterminadas son compatibles con la recuperacin de BitLocker. De manera predeterminada, se permite un agente de recuperacin de datos, el usuario puede elegir crear una contrasea o una clave de recuperacin al activar BitLocker y no se hacen copias de seguridad de la informacin de recuperacin en AD DS.
5. Para especificar otras opciones de recuperacin, haga clic en
Habilitada y, a continuacin, configure las siguientes opciones segn corresponda:
Active la casilla Permitir agente de recuperacin de datos para permitir el uso de cuentas especficas para recuperar unidades protegidas por BitLocker. Para poder usar un agente de recuperacin de datos, la cuenta se debe configurar y agregar a la siguiente ubicacin de la directiva de grupo: Configuracin del equipo\Configuracin de Windows\Configuracin de seguridad\Directivas de clave pblica\Cifrado de unidad BitLocker. Para obtener ms informacin acerca de la configuracin de agentes de recuperacin de datos, vea Using Data Recovery Agents with BitLocker. Si no desea permitir el uso de agentes de recuperacin de datos con BitLocker, desactive la casilla. En Configurar almacenamiento de usuario de la informacin de recuperacin de BitLocker, puede elegir si desea permitir, requerir o no permitir que un usuario cree una contrasea de recuperacin de 48 dgitos o una clave de recuperacin de 256 bits al activar BitLocker. Si se requiere una opcin de almacenamiento de usuario, se deben desactivar las otras. Si desea brindar a los usuarios la opcin de utilizar una contrasea de recuperacin o una clave de recuperacin, debe seleccionar Permitir contrasea de recuperacin de 48 dgitos y Permitir clave de recuperacin de 256 bits. Si no desea permitir que los usuarios almacenen o impriman informacin de recuperacin, seleccione No permitir contrasea de recuperacin de 48 dgitos y No permitir clave de recuperacin de 256 bits.
Active la casilla Guardar informacin de recuperacin de BitLocker en AD DS para unidades de sistema operativo y, a continuacin, elija si desea Almacenar contraseas de recuperacin y paquetes de claves en AD DS o Almacenar solo contraseas de recuperacin. El almacenamiento de contraseas de recuperacin en AD DS permite que los administradores de sistema proporcionen contraseas de recuperacin a los usuarios o que recuperen unidades protegidas por BitLocker cuando la contrasea o la clave de recuperacin almacenada por el usuario no est disponible (por ejemplo, cuando un usuario pierde la copia impresa de la contrasea de recuperacin o cuando no se puede tener acceso al archivo de la clave de recuperacin almacenado). Almacenar los paquetes de claves, adems de las contraseas de recuperacin, permite que los administradores usen la herramienta de la lnea de comandos Repair-bde para recuperar una unidad protegida por BitLocker que se da de tal manera que no que se puede leer la clave de cifrado desde la unidad. Active la casilla No habilitar BitLocker hasta que la informacin de recuperacin se almacene en AD DS para unidades de sistema operativo para asegurar que la informacin de recuperacin para todas las unidades de sistema operativo protegidas por BitLocker de la organizacin se almacene en AD DS. La informacin de recuperacin se genera cuando se cifra una unidad por primera vez y no se enva a AD DS de forma automtica despus del cifrado. Si activa esta casilla, se requerir que los usuarios estn conectados al dominio cuando activen BitLocker. Active la casilla Omitir opciones de recuperacin en el asistente para la configuracin de BitLocker si desea que esta configuracin de directiva controle la eleccin del mtodo de recuperacin y que las opciones de recuperacin no se muestren al usuario. Para habilitar esta opcin, seleccione una o las dos opciones de configuracin administrativa de recuperacin, Guardar informacin de recuperacin de BitLocker en AD DS para unidades de sistema operativo y Permitir agente de recuperacin de datos, para asegurarse de poder recuperar la unidad protegida por BitLocker.

7. Para
Para especificar el modo en el que se pueden recuperar unidades de datos fijas protegidas por BitLocker

4. Para configurar las opciones de recuperacin de unidades de datos
fijas, en el panel de detalles, haga doble clic en Elegir cmo se pueden recuperar unidades fijas protegidas por BitLocker para abrir la configuracin de la directiva. Si esta directiva est deshabilitada o no se configur, las opciones de recuperacin predeterminadas son compatibles con la recuperacin de BitLocker. De manera predeterminada, se permite un agente de recuperacin de datos, el usuario puede elegir crear una contrasea o una clave de recuperacin al activar BitLocker y no se hacen copias de seguridad de la informacin de recuperacin en AD DS.
Active la casilla Permitir agente de recuperacin de datos para permitir el uso de cuentas especficas para recuperar unidades protegidas por BitLocker. Para poder usar un agente de recuperacin de datos, la cuenta se debe configurar y agregar a la siguiente ubicacin de la directiva de grupo: Configuracin del equipo\Configuracin de Windows\Configuracin de seguridad\Directivas de clave pblica\Cifrado de unidad BitLocker. Para obtener ms informacin acerca de la configuracin de agentes de recuperacin de datos, vea Using Data Recovery Agents with
BitLocker. Si no desea permitir el uso de agentes de recuperacin de datos con BitLocker, desactive la casilla Permitir agente de recuperacin de datos.
En Configurar almacenamiento de usuario de la informacin de recuperacin de BitLocker, puede elegir si desea permitir, requerir o no permitir que un usuario cree una contrasea de recuperacin de 48 dgitos o una clave de recuperacin de 256 bits al activar BitLocker. Active la casilla Guardar informacin de recuperacin de BitLocker en AD DS para unidades de datos fijas y, a continuacin, elija si desea Almacenar contraseas de recuperacin y paquetes de claves en AD DS o Almacenar solo contraseas de recuperacin. El almacenamiento de contraseas de recuperacin en AD DS permite que los administradores de sistema proporcionen contraseas de recuperacin a los usuarios o que recuperen unidades protegidas por BitLocker cuando la contrasea o la clave de recuperacin almacenada por el usuario no est disponible (por ejemplo, cuando un usuario pierde la copia impresa de la contrasea de recuperacin o cuando no se puede tener acceso al archivo de la clave de recuperacin almacenado). Almacenar los paquetes de claves, adems de las contraseas de recuperacin, permite que los administradores usen la herramienta de la lnea de comandos Repair-bde para recuperar una unidad protegida por BitLocker que se da de tal manera que no que se puede leer la clave de cifrado desde la unidad. Active la casilla No habilitar BitLocker hasta la informacin de recuperacin se almacene en AD DS para unidades de datos fijas para asegurar que la informacin de recuperacin para todas las unidades de datos fijas protegidas por BitLocker de la organizacin se almacene en AD DS. La informacin de recuperacin se genera cuando se cifra una unidad por primera vez y no se enva a AD DS de forma automtica despus del cifrado. Si activa esta casilla, se requerir que los usuarios estn conectados al dominio cuando activen BitLocker. Active la casilla Omitir opciones de recuperacin en el asistente para la configuracin de BitLocker si desea que esta configuracin de directiva controle la eleccin del mtodo de recuperacin y que las opciones de recuperacin no se muestren al usuario. Para habilitar esta opcin,
seleccione una o las dos opciones de configuracin administrativa de recuperacin, Guardar informacin de recuperacin de BitLocker en AD DS para unidades de datos fijas y Permitir agente de recuperacin de datos, para asegurarse de poder recuperar la unidad protegida por BitLocker.

7. Para
Para especificar el modo en el que se pueden recuperar unidades de datos extrables protegidas por BitLocker

4. Para configurar las opciones de recuperacin de unidades de datos
extrables, en el panel de detalles, haga doble clic en Elegir cmo se pueden recuperar unidades extrables protegidas por BitLocker para abrir la configuracin de la directiva. Si esta directiva est deshabilitada o no se configur, las opciones de recuperacin predeterminadas son compatibles con la recuperacin de BitLocker. De manera predeterminada, se permite un agente de recuperacin de datos, el usuario puede elegir crear una contrasea o una clave de recuperacin al activar BitLocker y no se hacen copias de seguridad de la informacin de recuperacin en AD DS.
Active la casilla Permitir agente de recuperacin de datos para permitir el uso de cuentas especficas para recuperar unidades protegidas por BitLocker. Para poder
usar un agente de recuperacin de datos, la cuenta se debe configurar y agregar a la siguiente ubicacin de la directiva de grupo: Configuracin del equipo\Configuracin de Windows\Configuracin de seguridad\Directivas de clave pblica\Cifrado de unidad BitLocker. Para obtener ms informacin acerca de la configuracin de agentes de recuperacin de datos, vea Using Data Recovery Agents with BitLocker. Si no desea permitir el uso de agentes de recuperacin de datos con BitLocker, desactive la casilla.
En Configurar almacenamiento de usuario de la informacin de recuperacin de BitLocker, puede elegir si desea permitir, requerir o no permitir que un usuario cree una contrasea de recuperacin de 48 dgitos o una clave de recuperacin de 256 bits al activar BitLocker. De manera predeterminada, no se usan claves de recuperacin con unidades de datos extrables. Active la casilla Guardar informacin de recuperacin de BitLocker en AD DS para unidades de datos extrables y, a continuacin, elija si desea Almacenar contraseas de recuperacin y paquetes de claves en AD DS o Almacenar solo contraseas de recuperacin. El almacenamiento de contraseas de recuperacin en AD DS permite que los administradores de sistema proporcionen contraseas de recuperacin a los usuarios o que recuperen unidades protegidas por BitLocker cuando la contrasea o la clave de recuperacin almacenada por el usuario no est disponible (por ejemplo, cuando un usuario pierde la copia impresa de la contrasea de recuperacin o cuando no se puede tener acceso al archivo de la clave de recuperacin almacenado). Almacenar los paquetes de claves, adems de las contraseas de recuperacin, permite que los administradores usen la herramienta de la lnea de comandos Repair-bde para recuperar una unidad protegida por BitLocker que se da de tal manera que no que se puede leer la clave de cifrado desde la unidad. Active la casilla No habilitar BitLocker hasta que la informacin de recuperacin se almacene en AD DS para unidades de datos extrables para asegurar que la informacin de recuperacin para todas las unidades de datos extrables protegidas por BitLocker de la organizacin se almacene en AD DS. La informacin de recuperacin se genera cuando se cifra una unidad por primera vez y no se enva a AD DS de forma automtica despus del cifrado. Si
activa esta casilla, se requerir que los usuarios estn conectados al dominio cuando activen BitLocker.
Active la casilla Omitir opciones de recuperacin en el asistente para la configuracin de BitLocker si desea que esta configuracin de directiva controle la eleccin del mtodo de recuperacin y que las opciones de recuperacin no se muestren al usuario. Para habilitar esta opcin, seleccione una o las dos opciones de configuracin administrativa de recuperacin, Guardar informacin de recuperacin de BitLocker en AD DS para unidades de datos extrables y Permitir agente de recuperacin de datos, para asegurarse de poder recuperar la unidad protegida por BitLocker.
configuracin establecida y, a continuacin, cierre el cuadro de dilogo. 7. Cierre el Editor de directivas de grupo local.
8. Para
Al finalizar los procedimientos que incluye este escenario, habr configurado la directiva de grupo mediante la seleccin de las opciones de recuperacin disponibles para unidades de sistema operativo y para unidades de datos fijas y extrables. ESCENARIO 9: CONFIGURAR EL MTODO Y... ESCENARIO 9: CONFIGURAR EL MTODO Y LA INTENSIDAD DE CIFRADO (WINDOWS 7) Actualizado: agosto de 2009 Se aplica a: Windows 7 En este escenario, se describe cmo modificar el mtodo y la intensidad de cifrado usados por el Cifrado de unidad BitLocker para cifrar unidades del sistema operativo, unidades de datos fijas y unidades de datos extrables. BitLocker admite claves de cifrado de 128 bits y de 256 bits. Las claves de cifrado ms largas ofrecen un nivel mayor de seguridad y son menos vulnerables a los ataques mediante mtodos de "fuerza bruta". Sin embargo, las claves ms largas pueden hacer que el cifrado y descifrado de datos sean ms lentos. Adems, BitLocker admite un algoritmo Difusor para proteger el sistema contra los ataques de
manipulacin de texto cifrado, un tipo de ataque en el que se realizan cambios en los datos cifrados, con el objeto de intentar detectar patrones o puntos dbiles. Esta opcin de directiva de grupo se aplica cuando se activa BitLocker. El cambio del mtodo de cifrado no tiene efecto si la unidad ya est cifrada o si el cifrado se encuentra en curso. El mtodo de cifrado debe cambiarse antes de cifrar la unidad con BitLocker por el mtodo que seleccion que se puede usar en la unidad. De forma predeterminada, BitLocker usa el cifrado Estndar de cifrado avanzado (AES) con claves de cifrado de 128 bits y difusor. La mayora de las organizaciones no necesitan modificar esta configuracin, pero en algunas situaciones, por ejemplo, si la organizacin cumple con el Estndar federal de procesamiento de informacin (FIPS), debe modificarse el mtodo de cifrado para que no use el difusor. Si est en un entorno de alto nivel de seguridad, es posible que deba usar el algoritmo de cifrado de 256 bits con el difusor a fin de proporcionar un nivel mayor de cifrado. Antes de empezar Para completar el procedimiento en este escenario: Debe poder proporcionar credenciales administrativas.
Para configurar el mtodo y la intensidad de cifrado de BitLocker


3. En
el rbol de consola, en Directiva de equipo local\Configuracin del equipo\Plantillas administrativas\Componentes de Windows, haga clic en Cifrado de unidad BitLocker. BitLocker, en el panel de detalles, haga doble clic en Elegir mtodo de cifrado e intensidad de cifrado de unidad para abrir la configuracin de la directiva.
4. Para cambiar el algoritmo de cifrado predeterminado usado por
5. Si esta configuracin est deshabilitada o no est configurada, BitLocker usar el mtodo de cifrado predeterminado de AES 128 bits con difusor. El difusor es un mtodo de cifrado adicional que se aplica cuando se cifra y se descifra la unidad para proporcionar proteccin adicional a los datos cuando se pasa de texto simple a la forma cifrada.
6. Para cambiar el mtodo y la intensidad de cifrado, haga clic en
Habilitada para la configuracin de la directiva. En Seleccione el mtodo de cifrado, seleccione AES 256 bits con difusor para elegir un algoritmo de cifrado ms seguro. Si su organizacin tiene requisitos formales para usar nicamente algoritmos de cifrado aprobados por el gobierno, puede seleccionar AES 128 bits o AES 256 bits; de lo contrario, no se recomienda usar estos mtodos de cifrado.
7. Despus de elegir las opciones, haga clic en Aplicar para aplicar
la configuracin y, a continuacin, cierre el cuadro de dilogo. 8. Cierre el Editor de directivas de grupo local.
9. Para que Directiva de grupo aplique los cambios inmediatamente,
haga clic en Inicio, escriba gpupdate.exe /force en el cuadro Buscar programas y archivos y, a continuacin, presione Entrar. Espere hasta que finalice el proceso. Al completar este procedimiento, habr modificado el mtodo y la intensidad de cifrado usados por BitLocker para cifrar unidades del sistema operativo, unidades de datos fijas y unidades de datos extrables. ESCENARIO 10: CONFIGURAR EL CAMPO DE IDENTIFICACIN DE BITLOCKER (WINDOWS 7) Actualizado: agosto de 2009 Se aplica a: Windows 7 BitLocker en Windows 7 puede usar campos de identificacin para determinar si la unidad que protege pertenece a la organizacin, as como usar un campo de identificacin secundario para determinar si dicha unidad pertenece a una organizacin externa de confianza. Los campos de identificacin se validan si los agentes de recuperacin de datos estn habilitados y BitLocker To Go est activado. Los agentes de recuperacin de datos se actualizarn cuando proceda para garantizar que los usuarios autorizados pueden recuperar la unidad, mientras que la aplicacin Lector de BitLocker To Go se actualizar cuando sea necesario en una unidad extrable. Si el campo de identificacin no est configurado, la unidad se considerar como perteneciente a la organizacin. Si lo est, deber coincidir con el campo de identificacin o el campo de identificacin permitido especificado en la directiva para que BitLocker pueda actualizar la informacin del agente de recuperacin de datos o el Lector de BitLocker To Go en la unidad. Antes de empezar Para completar el procedimiento de este escenario: Debe proporcionar credenciales administrativas.
Para configurar un campo de identificacin de BitLocker


local\Configuracin del administrativas\Componentes de Cifrado de unidad BitLocker.
equipo\Plantillas Windows haga clic en
4. En el panel de detalles, haga doble clic en la configuracin de
directiva Proporcionar los identificadores nicos de su organizacin y, a continuacin, haga clic en Habilitada.
En Campo de identificacin, escriba el identificador nico de la organizacin. En Campo de identificacin de BitLocker permitido, escriba los identificadores exclusivos de las organizaciones externas de confianza que puedan tener unidades extrables protegidas por BitLocker a las que se obtiene acceso desde los equipos de su organizacin.
5. Si no desea usar campos de identificacin, establezca la directiva
en Deshabilitada o No configurada. Una vez elegidas las opciones, haga clic en Aplicar para aplicar la configuracin establecida y, a continuacin, cierre el cuadro de dilogo. 6. Cierre el Editor de directivas de grupo local.
7. Para
Nota Los campos de identificacin se agregan a las unidades protegidas por BitLocker cuando BitLocker se activa. Si ya ha implementado BitLocker y desea agregar un campo de identificacin, puede usar el siguiente comando Manage-bde para asociar un identificador con la unidad, para lo cual deber reemplazar Volumen por la letra de la unidad: manage-bde -SetIdentifier Volumen: Cuando complete el procedimiento, habr configurado el campo de identificacin que se va a aplicar a las unidades de la organizacin cuando BitLocker se active.
ESCENARIO 11: RECUPERAR DATOS PROTEGIDOS CIFRADO DE UNIDAD BITLOCKER (WINDOWS 7) Actualizado: agosto de 2009 Se aplica a: Windows 7
CON
EL
En este escenario se describe el proceso necesario para recuperar los datos despus de que BitLocker haya entrado en modo de recuperacin. BitLocker bloquea el equipo cuando no hay disponible una clave de cifrado del disco. A continuacin se muestra una lista de las posibles causas: Se produce un error relacionado con la validacin de TPM en una unidad del sistema operativo. Ha olvidado la contrasea de la unidad de datos fija protegida mediante BitLocker. Ha perdido la tarjeta inteligente empleada para bloquear una unidad de datos extrable.
Cuando es preciso recuperar una unidad, se debe usar la clave de recuperacin de una unidad flash USB, escribir una contrasea de recuperacin o hacer que un agente de recuperacin de datos recupere la unidad. Si necesita recuperar la unidad del sistema operativo, usar una sesin de consola de recuperacin que se ejecute desde el BIOS para especificar la informacin de recuperacin. Algunos sistemas usan las teclas de funcin para escribir los dgitos en este entorno. En este caso, las teclas F1 a F9 representan los dgitos del 1 a 9 y la tecla F10, el 0. Precaucin Cuando se est en una sesin de consola de recuperacin de la unidad del sistema operativo, las caractersticas de accesibilidad de Windows no estn disponibles, de modo que si las necesita, piense en qu hara ante una recuperacin. Por ejemplo, podra considerar la idea de contar con agentes de recuperacin de datos que admitan la recuperacin de unidades, o bien designar a una persona de confianza que conserve la clave de recuperacin y pueda proporcionarla en caso necesario. Antes de empezar Para completar los procedimientos en este escenario: Debe proporcionar credenciales administrativas. Debe tener una unidad flash USB con la clave de recuperacin. Debe tener la contrasea de recuperacin.
Su equipo debe cumplir los requisitos de BitLocker. Para obtener ms informacin, vea "Requisitos del Cifrado de unidad BitLocker" en la Gua paso a paso del Cifrado de unidad BitLocker para Windows 7.
Para probar la recuperacin de datos en una unidad del sistema operativo

1. Haga clic en Inicio, escriba cmd en el cuadro Buscar programas
y archivos, haga clic con el botn secundario en cmd.exe y, a continuacin, haga clic en Ejecutar como administrador. Si aparece el cuadro de dilogo Control de cuentas de usuario, confirme que la accin que muestra es la que desea y, a continuacin, haga clic en S.
2. Escriba bcdedit /debug on para habilitar la depuracin del kernel
de la unidad del sistema operativo. 3. Cierre todas las ventanas abiertas.

4. Si la unidad flash USB que contiene la clave de recuperacin est
insertada en el equipo, use el icono Quitar hardware de forma segura del rea de notificacin para extraerla.
5. Haga clic en Inicio y luego en Apagar para apagar el equipo.
Cuando lo reinicie, se le pedir la contrasea de recuperacin, dado que la configuracin de inicio ha cambiado desde que se cifr la unidad. 6. Encienda el equipo.
7. Aparecer la consola de recuperacin de Cifrado de unidad
BitLocker. 8. Se le pedir que inserte la unidad flash USB que contiene la clave de recuperacin. Si la tiene, insrtela y presione ESC. El equipo se reiniciar automticamente. No es necesario especificar la contrasea de recuperacin manualmente. Si no la tiene, presione ENTRAR. Se le pedir que escriba la contrasea de recuperacin de 48 dgitos. Escrbala y, a continuacin, presione ENTRAR.
9. Tras desbloquear la unidad, el sistema operativo se reiniciar. Para
restaurar el equipo a su perfil operativo habitual, haga clic en Inicio, escriba cmd en el cuadro Buscar programas y archivos, haga clic con el botn secundario en cmd.exe y, a continuacin, haga clic en Ejecutar como administrador. Si aparece el cuadro de dilogo Control de cuentas de usuario, confirme que la accin que muestra es la que desea y, a continuacin, haga clic en
S. Escriba bcdedit /debug off para deshabilitar la depuracin del kernel de la unidad del sistema operativo. Para probar la recuperacin de datos en una unidad de datos fija protegida con contrasea
1. Haga clic en Inicio y luego en Equipo para mostrar las unidades
del equipo.
2. Haga doble clic en una unidad de datos protegida por BitLocker.
Se abre el cuadro de dilogo Cifrado de unidad BitLocker, en el que se le insta a escribir la contrasea para desbloquear la unidad.
3. Haga clic en Olvid la contrasea. Se le pedir que Desbloquee
esta unidad con la clave de recuperacin . Seleccione Escribir la clave de recuperacin o bien Obtener la clave desde una unidad flash USB, segn cul sea el mtodo de recuperacin que se haya configurado para la unidad.
4. Cuando proporcione la clave de recuperacin, la unidad se
desbloquear. A continuacin, podr hacer clic en Administrar BitLocker y volver a configurar el mtodo de desbloqueo si procede. As, la prxima vez que la unidad se encuentre bloqueada podr usar el nuevo mtodo elegido para desbloquearla. Cuando termine los procedimientos de este escenario, habr usado la recuperacin de datos para restablecer el acceso a una unidad protegida por BitLocker. ESCENARIO 12: DESACTIVAR CIFRADO DE UNIDAD BITLOCKER (WINDOWS 7) Actualizado: agosto de 2009 Se aplica a: Windows 7 Este escenario describe cmo suspender o desactivar el Cifrado de unidad BitLocker y descifrar la unidad. Tras cifrar una unidad del sistema operativo, se puede elegir si suspender BitLocker temporalmente o si desactivarlo en la unidad del sistema operativo y descifrar la unidad. Puede suspender BitLocker en una unidad del sistema operativo para realizar cambios en el Mdulo de plataforma segura (TPM) y aplicar actualizaciones al sistema operativo. En una unidad de datos, simplemente descifra la unidad. Al descifrar la unidad, sta se podr volver a leer y todas las claves se descartarn. Una vez descifrada una unidad, debe generar claves nuevas completando de nuevo el proceso de cifrado. Antes de empezar Para completar los procedimientos de este escenario: Debe poder proporcionar credenciales administrativas.
La unidad debe estar protegida con BitLocker.
Realice uno de los procedimientos siguientes. Para suspender el Cifrado de unidad BitLocker en una unidad del sistema operativo
1. Haga clic en Inicio, Panel de control, Sistema y seguridad y, a
continuacin, haga clic en Cifrado de unidad BitLocker.

2. Haga clic en Suspender proteccin para la unidad del sistema
operativo.
3. Se mostrar un mensaje que informa de que los datos no estarn
protegidos mientras BitLocker est suspendido y le pregunta si desea suspender el Cifrado de unidad BitLocker. Haga clic en S para continuar y suspender BitLocker en la unidad. Al completar este procedimiento, se suspende la proteccin de BitLocker en la unidad al cambiar la clave de descifrado por una clave sin cifrado. Para leer los datos de la unidad, la clave sin cifrado se usa para obtener acceso a los archivos. Cuando se suspende BitLocker, no se realiza la validacin de TPM ni se aplican otros mtodos de autenticacin, como el uso de una clave USB o PIN para desbloquear la unidad del sistema operativo. De esta forma, podr realizar cambios en el sistema, como actualizar el BIOS o reemplazar una unidad de datos. Cuando termine de realizar cambios en el equipo, haga clic en Reanudar proteccin en el elemento del Panel de control Cifrado de unidad BitLocker para comenzar a usar el Cifrado de unidad BitLocker de nuevo. Para desactivar el Cifrado de unidad BitLocker
1. Haga clic en Inicio, Panel de control, Sistema y seguridad y, a
continuacin, haga clic en Cifrado de unidad BitLocker.

2. Busque la unidad en la que desee desactivar el Cifrado de unidad
BitLocker y haga clic en Desactivar BitLocker.

3. Se mostrar un mensaje que informa de que la unidad se
descifrar y de que el proceso de descifrado puede tardar unos minutos. Haga clic en Descifrar unidad para continuar y desactivar BitLocker en la unidad. Al realizar este procedimiento, descifra la unidad y quita la proteccin de BitLocker.
ESCENARIO 13: BLOQUEAR UNA UNIDAD DE DATOS CON UNA TARJETA INTELIGENTE (WINDOWS 7) Actualizado: agosto de 2009
Se aplica a: Windows 7 En este escenario se describe el modo de usar tarjetas inteligentes con un certificado autofirmado para cifrar una unidad de datos mediante el Cifrado de unidad BitLocker. Al implementar BitLocker junto con las tarjetas inteligentes, es recomendable usar una entidad de certificacin. Como procedimiento recomendado, los certificados autofirmados solo se deben usar en escenarios de prueba limitados. De manera predeterminada, BitLocker no se puede usar con certificados autofirmados. Antes de empezar Para completar los procedimientos en este escenario:
Debe proporcionar credenciales administrativas. Su equipo debe cumplir los requisitos de BitLocker. Para obtener ms informacin, vea "Requisitos del Cifrado de unidad BitLocker" en la Gua paso a paso del Cifrado de unidad BitLocker para Windows 7.
Complete los siguientes procedimientos en el orden indicado. Para habilitar BitLocker para que use certificados autofirmados
1. Haga clic en Inicio, escriba regedit en el cuadro Buscar
programas y archivos, haga clic con el botn secundario en regedit.exe y, a continuacin, haga clic en Ejecutar como administrador. Si aparece el cuadro de dilogo Control de cuentas de usuario, confirme que la accin que muestra es la que desea y, a continuacin, haga clic en S.
2. En
el Editor del Registro, navegue \HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\FVE.
3. En el men Editor del Registro, haga clic en Edicin, seleccione
Nuevo y, a continuacin, haga clic en Valor de DWORD (32 bits).

4. Escriba SelfSignedCertificates y presione ENTRAR para crear el
valor de clave SelfSignedCertificates.

5. Haga clic con el botn secundario en SelfSignedCertificates y, a
continuacin, haga clic en Modificar.

6. En Informacin del valor, escriba 1.
De esta forma, BitLocker podr usar certificados autofirmados. Para obtener un certificado autofirmado para probar BitLocker y las tarjetas inteligentes 1. Abra un editor de texto (como el Bloc de notas) y pegue la siguiente informacin en un nuevo archivo:
[NewRequest] Subject = "CN=BitLocker" KeyLength = 2048 ProviderName = "Microsoft Smart Card Key Storage Provider" KeySpec = "AT_KEYEXCHANGE KeyUsage = "CERT_KEY_ENCIPHERMENT_KEY_USAGE" KeyUsageProperty = "NCRYPT_ALLOW_DECRYPT_FLAG" RequestType = Cert SMIME = FALSE [EnhancedKeyUsageExtension] OID=1.3.6.1.4.1.311.67.1.1
2. Guarde el archivo con el nombre blcert.txt.
3. Inserte una tarjeta inteligente en el lector de tarjeta inteligente del equipo.

5. En la ventana Smbolo del sistema, navegue a la ubicacin en la
que ha guardado el archivo blcert.txt y escriba certreq new blcert.txt para solicitar un certificado nuevo en funcin de los parmetros identificados en el archivo. Es probable que se produzca un pequeo retraso mientras la solicitud se procesa y, asimismo, que tenga que escribir el PIN de la tarjeta inteligente.
6. Cuando se le pida que guarde el archivo de solicitud, escriba un
nombre de archivo y haga clic en Guardar. De este modo, dispondr de un certificado de tarjeta inteligente adecuado para su uso con BitLocker. Para usar BitLocker con una tarjeta inteligente para proteger una unidad de datos 1. Si desea proteger una unidad extrable, insrtela en el equipo.
2. Haga clic en Inicio y luego en Equipo para mostrar las unidades
del equipo.
3. Haga clic con el botn secundario en la unidad que desea proteger
y, a continuacin, haga clic en Activar BitLocker para iniciar el asistente para la configuracin de BitLocker.
4. En la pgina del asistente Elija cmo desea desbloquear la
unidad, haga clic en Usar desbloquear la unidad. haga clic en Nuevo.
la
tarjeta
inteligente
para
5. Inserte la tarjeta inteligente en el lector de tarjeta inteligente y 6. En la pgina del asistente Guardar la clave de recuperacin
en, seleccione Guardar la clave de recuperacin en un archivo para guardar la clave de recuperacin en una unidad de red u otra ubicacin, o bien seleccione Imprimir la clave de recuperacin para imprimir la contrasea de recuperacin de 48 dgitos. A continuacin, haga clic en Siguiente.
7. En la pgina Est listo para cifrar esta unidad?, confirme que
desea usar una tarjeta inteligente para cifrar la unidad y haga clic en Iniciar cifrado.
8. Cuando la unidad est preparada para el cifrado, aparecer la
barra de estado Cifrado en curso. Cuando se le informe de que el cifrado ha finalizado, haga clic en Cerrar. Cuando termine los procedimientos de este escenario, tendr una unidad protegida por BitLocker y lista para su uso. Cada vez que esa unidad se inserte en un equipo que ejecute Windows 7, un cuadro de dilogo instar a los usuarios a que inserten su tarjeta inteligente y especifiquen el PIN de la tarjeta inteligente correspondiente para desbloquear la unidad. ESCENARIO 14: USAR UN AGENTE DE RECUPERACIN DE DATOS PARA RECUPERAR UNIDADES PROTEGIDAS POR BITLOCKER (WINDOWS 7) Actualizado: agosto de 2009 Se aplica a: Windows 7 En este escenario se describe cmo usar un agente de recuperacin de datos para recuperar datos de una unidad protegida por BitLocker. Los agentes de recuperacin de datos son individuos cuyos certificados PKI (infraestructura de clave pblica) se usaron para crear un protector de clave de BitLocker, de modo que estos individuos pueden usar sus credenciales para desbloquear unidades protegidas por BitLocker. Los agentes de recuperacin de datos se pueden usar para recuperar unidades del sistema operativo, unidades de datos fijas y unidades de datos extrables protegidas por BitLocker. No obstante, cuando se usan para recuperar unidades del sistema operativo, la unidad del sistema operativo debe montarse en otro equipo como una unidad de datos para que el agente de recuperacin de datos pueda desbloquear la unidad. Los agentes de recuperacin de datos se agregan a la unidad cuando se cifra y pueden actualizarse despus del cifrado.
Antes de empezar Para completar los procedimientos en este escenario:
Debe poder proporcionar credenciales administrativas. El equipo debe cumplir con los requisitos de BitLocker. Para obtener ms informacin, vea los requisitos del Cifrado de unidad BitLocker en la Gua paso a paso del Cifrado de unidad BitLocker para Windows 7.
Complete los siguientes procedimientos en orden. Para habilitar BitLocker para que use certificados autofirmados
1. Haga clic en Inicio, escriba regedit en el cuadro Buscar
programas y archivos, haga clic con el botn secundario en regedit.exe y, a continuacin, haga clic en Ejecutar como administrador. Si aparece el cuadro de dilogo Control de cuentas de usuario, confirme que la accin que muestra es la que desea y, a continuacin, haga clic en S.
2. En
el Editor del Registro, navegue \HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\FVE.
3. En el men Editor del Registro, haga clic en Edicin, seleccione
Nuevo y, a continuacin, haga clic en Valor de DWORD (32 bits).

4. Escriba SelfSignedCertificates y, a continuacin, presione Entrar
para crear el valor de clave SelfSignedCertificates.

5. Haga clic con el botn secundario en SelfSignedCertificates y, a
continuacin, haga clic en Modificar.

6. En Informacin del valor, escriba 1.
BitLocker ahora puede usar certificados autofirmados. Para obtener un certificado autofirmado para probar BitLocker y los agentes de recuperacin de datos 1. Abra un editor de texto como el Bloc de notas y pegue la siguiente informacin en un archivo nuevo: [NewRequest] Subject = "CN=BitLockerDRA" KeyLength = 2048 ProviderName = "Microsoft Smart Card Key Storage Provider" KeySpec = "AT_KEYEXCHANGE KeyUsage = "CERT_KEY_ENCIPHERMENT_KEY_USAGE" KeyUsageProperty = "NCRYPT_ALLOW_DECRYPT_FLAG"
RequestType = Cert SMIME = FALSE [EnhancedKeyUsageExtension] OID=1.3.6.1.4.1.311.67.1.2

2. Guarde el archivo con el nombre bldracert.txt.
3. Inserte una tarjeta inteligente en el lector de tarjetas inteligentes del equipo.

5. En la ventana del smbolo del sistema, navegue a la ubicacin en
la que se guard el archivo blcert.txt y escriba certreq new bldracert.txt para solicitar un nuevo certificado en funcin de los parmetros identificados en el archivo. Puede haber un pequeo retraso mientras se lleva a cabo la solicitud, y es posible que se le solicite que inserte la tarjeta inteligente y escriba su PIN.
6. Cuando se le solicite guardar el archivo de solicitud, escriba un
nombre para el archivo y haga clic en Guardar. Ahora posee un certificado de tarjeta inteligente del agente de recuperacin de datos que es adecuado para usar con BitLocker. Para exportar un certificado del agente de recuperacin de datos de BitLocker
1. Haga clic en Inicio y, a continuacin, escriba certmgr.msc, para
abrir el complemento Certificados.

2. En el rbol de consola, expanda Personal y, a continuacin, haga
clic en Certificados.
3. Haga doble clic en el certificado BitLockerDRA para mostrar la
hoja de propiedades del certificado.

4. Haga clic en la pestaa Detalles y, a continuacin, haga clic en
Copiar a archivo para iniciar el Asistente para exportacin de certificados.

5. En la pgina ste es el Asistente para exportacin de
certificados, haga clic en Siguiente.

6. En la pgina Exportar la clave privada, compruebe que la
opcin No exportar la clave privada est seleccionada y, a continuacin, haga clic en Siguiente.
7. En la pgina Formato de archivo de exportacin, compruebe
que la opcin DER binario codificado x.509 (.CER) est seleccionada y, a continuacin, haga clic en Siguiente.
8. En la pgina Archivo que se va a exportar, haga clic en
Examinar para ver el cuadro de dilogo Guardar como. En Nombre de archivo, escriba BitLockerDRA. En Tipo, compruebe que la opcin DER binario codificado X.509 (.CER) est seleccionada y, a continuacin, haga clic en Guardar para volver a la pgina Archivo que se va a exportar. El cuadro Nombre de archivo de la pgina del asistente ahora debe mostrar la ruta de acceso al archivo BitLockerDRA.cer en la biblioteca de documentos. Haga clic en Siguiente.
9. En la pgina Finalizacin del Asistente para exportacin de
certificados, compruebe que la informacin que se muestra es correcta y, a continuacin, haga clic en Finalizar.
10. Una vez que se exporta el certificado, aparece el cuadro de
dilogo Asistente para exportacin de certificados con el mensaje La exportacin se realiz correctamente. Haga clic en Cerrar para cerrar el cuadro de dilogo y el asistente. Para agregar un agente de recuperacin de datos de BitLocker y desbloquear una unidad

3. En
el rbol de consola en Directiva de equipo local\Configuracin del equipo\Configuracin de Windows\Configuracin de seguridad\Directivas de clave pblica, haga clic con el botn secundario en Cifrado de unidad BitLocker y, a continuacin, haga clic en Agregar Agente de recuperacin de datos para iniciar el Asistente para agregar agente de recuperacin. clic en Examinar carpeta para seleccionar el archivo BitLockerDRA.cer que export en el procedimiento anterior. Si no necesitaba exportar un certificado porque ya haba implementado un PKI con los certificados necesarios, haga clic en Examinar directorio para elegir un certificado de los Servicios de dominio de Active Directory.
4. En la pgina Seleccionar los agentes de recuperacin, haga
5. Si se le solicita que instale el certificado, haga clic en S. Puede
repetir este proceso, segn sea necesario, para agregar varios agentes de recuperacin de datos. Despus de haber especificado
todos los certificados del agente de recuperacin de datos que desea usar, haga clic en Siguiente.
6. En la pgina Finalizacin del Asistente para agregar agente
de recuperacin, haga clic en Finalizar para agregar el agente de recuperacin de datos.

7. Si no configur la opcin Directiva de grupo para especificar el
campo de identificacin de BitLocker, complete el Escenario 10: configurar el campo de identificacin de BitLocker (Windows 7) antes de continuar con este escenario.
8. Cifre una unidad de datos tal como se describe en el Escenario 2:
activar el Cifrado de unidad BitLocker en una unidad de datos fija o extrable (Windows 7). Para que un agente de recuperacin de datos pueda desbloquear una unidad, el campo de identificacin de BitLocker debe estar presente y coincidir con el campo de identificacin definido para su organizacin.
9. Para colocar la unidad en estado bloqueado para poder probar el
agente de recuperacin de datos, haga clic en Inicio, seleccione Todos los programas, Accesorios, haga clic con el botn secundario en Smbolo del sistema y, a continuacin, haga clic en Ejecutar como administrador. Si aparece el cuadro de dilogo Control de cuentas de usuario, confirme que la accin que muestra es la que desea y, a continuacin, haga clic en S. Escriba el siguiente comando y reemplace Volumen con la letra de unidad de la unidad protegida por BitLocker que desea bloquear: Manage-bde lock Volumen : No cierre la ventana del smbolo del sistema.
10. Ahora
que la unidad est bloqueada, puede desbloquearla mediante el agente de recuperacin de datos. En primer lugar, necesita la huella digital de certificado del agente de recuperacin de datos. Para encontrarla, en el smbolo del sistema, escriba el siguiente comando y reemplace Volumen con la letra de unidad de la unidad protegida por BitLocker que desea desbloquear: Manage-bde protectors get Volumen : Se muestran los protectores de claves identificados para la unidad. Busque el protector de clave identificado como Agente de recuperacin de datos (basado en certificado) y registre la huella digital de certificado.
11. Para desbloquear la unidad, escriba el siguiente comando y
reemplace huellaDigitalDeCertificado con la huella digital de certificado real del agente de recuperacin de datos registrado en el paso anterior:
Manage-bde unlock Volumen huellaDigitalDeCertificado -PIN
-cert
ct
12.Escriba el PIN de su tarjeta inteligente cuando se le solicite. La unidad est desbloqueada. Al completar los procedimientos de este escenario, habr asignado agentes de recuperacin de datos a BitLocker y usado un agente de recuperacin de datos para desbloquear una unidad protegida por BitLocker. ESCENARIO 15: USAR EL VISOR DE CONTRASEAS DE RECUPERACIN DE ACTIVE DIRECTORY DE BITLOCKER PARA VER CONTRASEAS DE RECUPERACIN Actualizado: septiembre de 2009 Se aplica a: Windows 7 La herramienta Visor de contraseas de recuperacin de Active Directory de BitLocker es una caracterstica opcional que se incluye en las Herramientas de administracin remota del servidor (RSAT) de Windows Server 2008 R2 que se puede instalar por medio del Asistente para agregar caractersticas de la consola de administracin de RSAT. Esta herramienta permite buscar y ver contraseas de recuperacin de BitLocker que estn almacenadas en los Servicios de dominio de Active Directory (AD DS). Esta herramienta sirve para recuperar datos que estn almacenados en una unidad que se ha cifrado mediante BitLocker. La herramienta Visor de contraseas de recuperacin de Active Directory de BitLocker es una extensin del complemento Usuarios y equipos de Active Directory de Microsoft Management Console. Por medio de esta herramienta, puede examinar el cuadro de dilogo Propiedades de un objeto de un equipo para ver las correspondientes contraseas de recuperacin de BitLocker. Adems, puede hacer clic con el botn secundario en un contendor de dominio y luego buscar una contrasea de recuperacin de BitLocker en todos los dominios del bosque de Active Directory. Tambin puede buscar una contrasea mediante el identificador de contrasea. Antes de empezar Para completar los procedimientos descritos en este escenario: Debe tener credenciales de administrador de dominio. Los equipos de prueba deben estar unidos al dominio. En los equipos de prueba, se debe activar BitLocker una vez que se haya unido al dominio.
En los procedimientos siguientes se describen las tareas ms comunes realizadas mediante el Visor de contraseas de recuperacin de Active Directory de BitLocker. Para ver las contraseas de recuperacin de un equipo
1. Para abrir Usuarios y equipos de Active Directory, haga clic en
Inicio y en Panel de control, haga doble clic en Herramientas administrativas y, a continuacin, vuelva a hacer doble clic en Usuarios y equipos de Active Directory. En Usuarios y equipos de Active Directory, busque y haga clic en el contenedor donde se encuentra el equipo.
2. Haga clic con el botn secundario en el objeto del equipo y, a
continuacin, haga clic en Propiedades.

3. En el cuadro de dilogo Propiedades, haga clic en la ficha
Recuperacin de BitLocker para ver las contraseas de recuperacin de BitLocker asociadas con el equipo. Para copiar las contraseas de recuperacin de un equipo 1. Siga los pasos del procedimiento anterior para ver las contraseas de recuperacin de BitLocker.
2. En la ficha Recuperacin de BitLocker del cuadro de dilogo
Propiedades, haga clic con el botn secundario en la contrasea de recuperacin de BitLocker que desee copiar y, a continuacin, haga clic en Copiar detalles. 3. Presione CTRL+V para pegar el texto copiado en una ubicacin de destino, como un archivo de texto o una hoja de clculo. Para buscar una contrasea de recuperacin mediante un identificador de contrasea
1. En Usuarios y equipos de Active Directory, haga clic con el botn
secundario en el contenedor de dominio y, a continuacin, haga clic en Buscar contrasea de recuperacin de BitLocker.
2. En el cuadro de dilogo Buscar contrasea de recuperacin de
BitLocker, escriba los ocho primeros caracteres de la contrasea de recuperacin en el cuadro Id. de contrasea (primeros 8 caracteres) y, a continuacin, haga clic en Buscar. Una vez que complete los procedimientos descritos en este escenario, habr visto y habr copiado las contraseas de recuperacin de un equipo, adems de haber usado un identificador de contrasea para buscar una contrasea de recuperacin. ESCENARIO 16: USAR LA HERRAMIENTA DE REPARACIN DE BITLOCKER PARA RECUPERAR UNA UNIDAD Actualizado: septiembre de 2009
Se aplica a: Windows 7 La herramienta de reparacin de BitLocker (Repair-bde) es una herramienta de lnea de comandos incluida con Windows 7 y Windows Server 2008 R2. Esta herramienta puede usarse para tener acceso a los datos cifrados en un disco duro daado, si la unidad se cifr mediante el Cifrado de unidad BitLocker. Repair-bde puede reconstruir partes crticas de la unidad y rescatar los datos recuperables, siempre que para descifrar los datos se use una clave de recuperacin o una contrasea de recuperacin vlida. La herramienta de lnea de comandos Repairbde se usa cuando el sistema operativo no se inicia o cuando no se puede iniciar la consola de recuperacin de BitLocker. Si se da fsicamente una unidad, quizs no pueda recuperarse. Antes de empezar Para completar el procedimiento en este escenario: El equipo de prueba debe tener una unidad protegida por BitLocker. Debe poder proporcionar credenciales administrativas. Debe contar con al menos uno de los siguientes elementos: Contrasea de recuperacin Ubicacin del archivo de clave de recuperacin Ubicacin del archivo de paquete de recuperacin y la contrasea de recuperacin correspondiente Ubicacin del archivo del paquete de recuperacin y ubicacin del archivo de clave de recuperacin correspondiente Debe tener un volumen de salida vaco con un tamao igual o superior a la unidad protegida por BitLocker (cuyo contenido se sobrescribir completamente despus de la operacin de reparacin).
El siguiente procedimiento proporciona la sintaxis de lnea de comandos para usar cada tipo de informacin de recuperacin con la herramienta Repair-bde. Para este procedimiento, recuperamos el acceso a los datos almacenados en la unidad C: y escribimos los datos recuperados en un volumen de salida en Z: con los parmetros de la tabla siguiente. Informacin de Valor
recuperacin Contrasea de recuperacin 062612-026103-175593-225830-027357086526-362263-513414
Ubicacin del archivo de clave F:\RecoveryKey.bek de recuperacin Ubicacin del archivo paquete de recuperacin de F:\ExportedKeyPackage
Reemplace estos parmetros segn sea apropiado para su entorno de prueba. Para reparar una unidad protegida por BitLocker con Repair-bde 1. Abra una ventana del smbolo del sistema como administrador.
1. Para ello, haga clic en Inicio, escriba cmd en el cuadro
Buscar programas y archivos, haga clic con el botn secundario en cmd.exe y, a continuacin, haga clic en Ejecutar como administrador.
2. Si aparece el cuadro de dilogo Control de cuentas de
usuario, confirme que la accin que muestra es la que desea y, a continuacin, haga clic en S. 2. En el smbolo del sistema, escriba uno de los siguientes comandos, segn la informacin de recuperacin que desee usar:
1. Para
realizar recuperacin:
la
reparacin
con
una
contrasea
de
repair-bde C: Z: -rp 062612-026103-175593-225830027357-086526-362263-513414

2. Para realizar la reparacin con una clave de recuperacin:
repair-bde C: Z: -rk F:\RecoveryKey.bek

3. Para realizar la reparacin con un paquete de recuperacin y
la contrasea de recuperacin correspondiente: repair-bde C: Z: -kp F:\ExportedKeyPackage 062612-026103-175593-225830-027357-086526362263-513414 la clave de recuperacin correspondiente: -rp
4. Para realizar la reparacin con un paquete de recuperacin y
repair-bde C: Z: -kp F:\RecoveryKey.bek Nota
F:\ExportedKeyPackage
-rk
Si la ruta de acceso al paquete de claves no est especificada, Repair-bde buscar en la unidad un paquete de claves. Sin embargo, si se da la unidad de disco duro, es posible que la herramienta no pueda encontrar el paquete y le solicite que proporcione la ruta de acceso. Se recomienda incluir el paquete de claves en el almacenamiento de claves de Active Directory para poder exportar el paquete de claves, en caso de ser necesario. Al completar este procedimiento, habr usado la herramienta de lnea de comandos Repair-bde para reparar una unidad protegida por BitLocker daada.

Guia Paso A Paso Del Cifrado de Unidad Bitlocker Win7

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Guia Paso A Paso Del Cifrado de Unidad Bitlocker Win7

Caricato da

Copyright:

Formati disponibili

GUA PASO A PASO DEL CIFRADO DE UNIDAD BITLOCKER PARA WINDOWS 7

9. ESCENARIO 9: CONFIGURAR EL MTODO Y LA INTENSIDAD DE

DATOS PARA RECUPERAR BITLOCKER (WINDOWS 7)

Para completar el procedimiento en este escenario:

seguridad y, a continuacin, en Cifrado de unidad BitLocker.

listo para cifrar la unidad. Haga clic en Iniciar cifrado.

Para actualizar manualmente el Cifrado de unidad BitLocker

Panel de control, en Seguridad y, finalmente, en Cifrado de unidad BitLocker.

casilla Deshabilitar BitLocker. No descifre la unidad. 3. Instale Windows 7 en la misma unidad.

programas y archivos y, a continuacin, presione ENTRAR.

4. Si desea utilizar mtodos de autenticacin multifactor o permitir

5. Haga clic en Habilitado y, a continuacin, seleccione los mtodos

6. Para configurar opciones de recuperacin de Active Directory para

programas y archivos y, a continuacin, presione ENTRAR.

5. Haga clic en Habilitada y en Aplicar para aplicar la configuracin

y, a continuacin, cierre el cuadro de dilogo. 6. Reinicie el equipo.

programas y archivos y, a continuacin, presione ENTRAR.

10. Para requerir que se use BitLocker To Go en las unidades de datos

11. Haga clic en Habilitada y en Aplicar para aplicar la configuracin

y, a continuacin, cierre el cuadro de dilogo. Nota

programas y archivos y, a continuacin, presione ENTRAR.

4. Para configurar otros mtodos de autenticacin aparte de TPM, en

5. Para admitir BitLocker en equipos que ejecutan Windows 7 y que

aplicar la configuracin y cerrar el cuadro de dilogo.

Desbloquear automticamente esta unidad del equipo.

programas y archivos y, a continuacin, presione ENTRAR.

configuracin establecida y, a continuacin, cierre el cuadro de dilogo.

programas y archivos y, a continuacin, presione ENTRAR.

inteligentes con unidades de datos fijas.

configuracin establecida y, a continuacin, cierre el cuadro de dilogo.

local\Configuracin del administrativas\Componentes de Cifrado de unidad BitLocker.

equipo\Plantillas Windows haga clic en

configuracin establecida y, a continuacin, cierre el cuadro de dilogo.

inteligentes con unidades de datos extrables.

programas y archivos y, a continuacin, presione ENTRAR.

Directiva de equipo equipo\Plantillas

administrativas\Componentes unidad BitLocker, haga clic operativo.

de Windows\Cifrado de en Unidades del sistema

4. Para configurar las opciones de recuperacin de las unidades del

Habilitada y, a continuacin, configure las siguientes opciones segn corresponda:

configuracin establecida y, a continuacin, cierre el cuadro de dilogo.

programas y archivos y, a continuacin, presione ENTRAR.

Habilitada y, a continuacin, configure las siguientes opciones segn corresponda:

configuracin establecida y, a continuacin, cierre el cuadro de dilogo.

programas y archivos y, a continuacin, presione ENTRAR.

Habilitada y, a continuacin, configure las siguientes opciones segn corresponda:

Para configurar el mtodo y la intensidad de cifrado de BitLocker

programas y archivos y, a continuacin, presione ENTRAR.

4. Para cambiar el algoritmo de cifrado predeterminado usado por

6. Para cambiar el mtodo y la intensidad de cifrado, haga clic en

Para configurar un campo de identificacin de BitLocker

programas y archivos y, a continuacin, presione ENTRAR.

local\Configuracin del administrativas\Componentes de Cifrado de unidad BitLocker.

equipo\Plantillas Windows haga clic en

4. En el panel de detalles, haga doble clic en la configuracin de

5. Si no desea usar campos de identificacin, establezca la directiva

Para probar la recuperacin de datos en una unidad del sistema operativo

de la unidad del sistema operativo. 3. Cierre todas las ventanas abiertas.

La unidad debe estar protegida con BitLocker.

continuacin, haga clic en Cifrado de unidad BitLocker.

continuacin, haga clic en Cifrado de unidad BitLocker.

BitLocker y haga clic en Desactivar BitLocker.

el Editor del Registro, navegue \HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\FVE.