Directiva de BitLocker
Windows 10 y Windows 11 incluyen una función de cifrado de disco llamada BitLocker, que proporciona protección adicional a archivos y al sistema frente al acceso no autorizado en un dispositivo Windows extraviado o robado. Para obtener una mayor protección, puede usar BitLocker con chips del Módulo de plataforma segura (TPM), versión 1.2 o posterior. Un chip TPM gestiona las operaciones de cifrado. Asimismo, genera, almacena y limita el uso de claves de cifrado.
A partir de Windows 10, compilación 1703, se puede controlar BitLocker mediante las directivas MDM. En XenMobile, puede usar la directiva BitLocker para configurar los parámetros disponibles en el Asistente de BitLocker en dispositivos con Windows 10 y Windows 11. Por ejemplo, en un dispositivo con BitLocker habilitado, BitLocker puede pedir a los usuarios cómo quieren desbloquear sus unidades de disco durante el inicio del sistema, cómo quieren crear copias de seguridad de su clave de recuperación y cómo quieren desbloquear una unidad fija. Con la directiva de BitLocker, también se puede configurar si:
- Habilitar BitLocker en dispositivos que no tienen chip TPM.
- Mostrar opciones de recuperación en la interfaz de BitLocker.
- Denegar el acceso de escritura en una unidad fija o extraíble cuando BitLocker no está habilitado.
Nota:
Una vez que el cifrado de BitLocker se haya iniciado en un dispositivo, no puede cambiar la configuración de BitLocker con la implementación de una directiva de BitLocker actualizada.
Para agregar o configurar esta directiva, vaya a Configurar > Directivas de dispositivo. Para obtener más información, consulte Directivas de dispositivo.
Requisitos
-
La directiva de BitLocker requiere las ediciones Enterprise de Windows 10 o Windows 11.
-
Antes de implementar la directiva de BitLocker, prepare el entorno para BitLocker. Para obtener información detallada de Microsoft, incluidos la configuración y los requisitos del sistema para BitLocker, consulte BitLocker y los artículos de ese nodo.
Parámetros de tabletas y escritorios Windows
-
Requerir cifrado del dispositivo: Determina si solicitar a los usuarios que habiliten el cifrado de BitLocker en escritorios y tabletas Windows. Si tiene el valor Sí, los dispositivos muestran un mensaje, una vez finalizada la inscripción, que indica que la empresa requiere el cifrado del dispositivo. Si tiene el valor No, el usuario no ve solicitudes y BitLocker usa los parámetros de la directiva. Está desactivado de forma predeterminada.
-
Configurar métodos de cifrado: Determina los métodos de cifrado que se utilizarán para los tipos concretos de unidades. Si tiene el valor No, el Asistente de BitLocker pide al usuario el método de cifrado que se utilizará para el tipo de unidad. El método predeterminado para el cifrado de todas las unidades es XTS-AES de 128 bits. El método predeterminado para el cifrado de las unidades extraíbles es AES-CBC de 128 bits. Si se activa, BitLocker utiliza el método de cifrado especificado en la directiva. Asimismo, si se activa, aparecen los parámetros adicionales Unidad del sistema operativo, Unidad fija y Unidad extraíble. Elija el método predeterminado para el cifrado de cada tipo de unidad. Está desactivado de forma predeterminada.
-
Requerir autenticación adicional al inicio: Especifica la autenticación adicional necesaria durante el inicio del dispositivo. También especifica si permitir que BitLocker esté presente en dispositivos que no tienen chip TPM. Si tiene el valor No, los dispositivos sin TPM no pueden utilizar el cifrado de BitLocker. Para obtener información acerca de TPM, consulte el artículo de Microsoft Información general sobre la tecnología del Módulo de plataforma segura. Si tiene el valor Sí, aparecen los siguientes parámetros adicionales. Está desactivado de forma predeterminada.
-
Bloquear BitLocker en dispositivos sin chip TPM: En un dispositivo sin chip TPM, BitLocker requiere que los usuarios creen una contraseña de desbloqueo o una clave de inicio. La clave de inicio se almacena en una unidad USB que el usuario debe conectar al dispositivo antes de iniciarlo. La contraseña de desbloqueo contiene un mínimo de ocho caracteres. Está desactivado de forma predeterminada.
-
Inicio de TPM: En un dispositivo con TPM, hay cuatro modos de desbloqueo: solo TPM, TPM + PIN, TPM + clave y TPM + PIN + clave. El inicio de TPM es para el modo solo TPM. En este modo, las claves de cifrado se almacenan en el chip TPM. Este modo no requiere que el usuario facilite más datos de desbloqueo. El dispositivo del usuario se desbloquea automáticamente durante el reinicio con la clave de cifrado obtenida del chip TPM. El valor predeterminado es Permitir TPM.
-
PIN de inicio de TPM: Este parámetro es el modo de desbloqueo TPM + PIN. Un PIN puede contener un máximo de 20 dígitos. Use el parámetro Longitud mínima del PIN para especificar la longitud mínima del PIN. El usuario configura un PIN durante la configuración de BitLocker y facilita ese PIN durante el inicio del dispositivo.
-
Clave de inicio de TPM: Este parámetro es el modo de desbloqueo TPM + clave. La clave de inicio se almacena en una unidad USB u otra unidad extraíble que el usuario debe conectar al dispositivo antes de iniciarlo.
-
PIN y clave de inicio de TPM: Este parámetro es el modo de desbloqueo TPM + PIN + clave.
Si el desbloqueo se realiza correctamente, el sistema operativo empieza a cargarse. Si el desbloqueo falla, el dispositivo entra en el modo de recuperación.
-
-
Longitud mínima del PIN: La longitud mínima que debe tener el PIN para el inicio de TPM. El valor predeterminado es 6.
-
Configurar la recuperación de la unidad del SO: Si se produce un error en el paso de desbloqueo, BitLocker pide al usuario la clave de recuperación configurada. Este parámetro configura las opciones de recuperación de unidades del sistema operativo disponibles para los usuarios si no tienen la contraseña de desbloqueo o la clave de inicio USB. El valor predeterminado es desactivado.
-
Permitir agente de recuperación de datos basado en certificado: Especifica si permitir un agente de recuperación de datos basado en certificados. Agregue un agente de recuperación de datos desde las directivas de clave pública, ubicado en la Consola de administración de directivas de grupo (GPMC) o en el Editor de directivas de grupo local. Para obtener más información acerca de los agentes de recuperación de datos, consulte el artículo de Microsoft BitLocker Group Policy settings. El valor predeterminado es desactivado.
-
Crear contraseña de 48 bits para la recuperación de la unidad del SO: Especifica si permitir o exigir que los usuarios usen una contraseña de recuperación. BitLocker genera la contraseña y la guarda en un archivo o una cuenta de Microsoft Cloud. El valor predeterminado es Permitir contraseña de 48 bits.
-
Crear clave de recuperación de 256 bits: Especifica si permitir o exigir que los usuarios usen una clave de recuperación. Una clave de recuperación es un archivo BEK, almacenado en una unidad USB. El valor predeterminado es Permitir clave de recuperación de 256 bits.
-
Ocultar opciones de recuperación de unidad de SO: Especifica si mostrar u ocultar las opciones de recuperación en la interfaz de BitLocker. Si se activa, no aparecen opciones de recuperación en la interfaz de BitLocker. En ese caso, registre los dispositivos en Active Directory, guarde las opciones de recuperación en Active Directory y active la opción Guardar información de recuperación en AD DS. El valor predeterminado es desactivado.
-
Guardar información de recuperación en AD DS: Especifica si guardar las opciones de recuperación en Active Directory Domain Services. El valor predeterminado es desactivado.
-
Configurar información de recuperación guardada en AD DS: Especifica si almacenar la contraseña de recuperación de BitLocker o el paquete de claves y la contraseña de recuperación en Active Directory Domain Services. Si almacena el paquete de claves, se admite la recuperación de datos desde una unidad que se haya dañado de físicamente. El valor predeterminado es Contraseña de recuperación de copia de seguridad.
-
Enable BitLocker after storing recovery info in AD DS: Specifies whether to prevent users from enabling BitLocker unless the device is domain-connected and the backup of BitLocker recovery information to the Active Directory succeeds. Si se activa, el dispositivo debe estar unido a un dominio antes de iniciar BitLocker. El valor predeterminado es desactivado.
-
-
Personalizar mensaje y URL de recuperación de preinicio: Especifica si BitLocker muestra un mensaje y una dirección URL personalizados en la pantalla de recuperación. Si se activa, aparecen los siguientes parámetros adicionales: Usar mensaje y URL de recuperación predeterminados, Usar mensaje y URL de recuperación vacíos, Usar mensaje de recuperación personalizado y Usar URL de recuperación personalizada. Si se desactiva, aparece la URL y el mensaje de recuperación predeterminados. El valor predeterminado es desactivado.
-
Configurar la recuperación de unidades fijas: Configura las opciones de recuperación que tienen los usuarios para unidades fijas cifradas con BitLocker. BitLocker no muestra mensajes a los usuarios acerca del cifrado de la unidad fija. Para desbloquear una unidad durante el inicio, un usuario suministra una contraseña o una tarjeta inteligente. Loa parámetros de desbloqueo de inicio (no incluidos en esta directiva), aparecen en la interfaz de BitLocker cuando un usuario habilita el cifrado de BitLocker en una unidad fija. Para obtener información sobre los parámetros relacionados, consulte la opción Configurar la recuperación de la unidad del SO, ya mencionada en esta lista. El valor predeterminado es desactivado.
-
Bloquear acceso de escritura en unidades fijas que no usen BitLocker: Si se activa, los usuarios solo pueden escribir en las unidades fijas cuando están cifradas con BitLocker. El valor predeterminado es desactivado.
-
Bloquear acceso de escritura en unidades extraíbles que no usen BitLocker: Si se activa, los usuarios solo pueden escribir en las unidades extraíbles cuando están cifradas con BitLocker. Configure este parámetro de acuerdo con el acceso de escritura que permite la organización en otras unidades extraíbles de la organización. El valor predeterminado es desactivado.
-
Pedir otro cifrado de disco: Permite inhabilitar el diálogo de advertencia para otro cifrado de disco en los dispositivos. Está desactivado de forma predeterminada.