Directiva de dispositivo BitLocker
Windows 10 y Windows 11 incluyen una función de cifrado de disco llamada BitLocker, que proporciona protecciones adicionales para archivos y sistemas contra el acceso no autorizado a un dispositivo Windows perdido o robado. Para mayor protección, puedes usar BitLocker con chips Trusted Platform Module (TPM), versión 1.2 o posterior. Un chip TPM gestiona las operaciones criptográficas y genera, almacena y limita el uso de claves criptográficas.
-
A partir de Windows 10, compilación 1703, las directivas MDM pueden controlar BitLocker. Utiliza la directiva de dispositivo BitLocker en Citrix Endpoint Management para configurar los ajustes disponibles en el asistente de BitLocker en dispositivos Windows 10 y Windows 11. Por ejemplo, en un dispositivo con BitLocker habilitado, BitLocker te pide varias opciones:
- Cómo quieres desbloquear tu unidad al iniciar
- Cómo hacer una copia de seguridad de tu clave de recuperación
-
Cómo desbloquear una unidad fija.
-
Los ajustes de la directiva de dispositivo BitLocker también configuran si:
- Habilitar BitLocker en dispositivos sin un chip TPM.
- Mostrar opciones de recuperación en la interfaz de BitLocker.
- Denegar el acceso de escritura a una unidad fija o extraíble cuando BitLocker no está habilitado.
-
Guardar de forma segura una clave de recuperación de BitLocker cifrada para que los usuarios puedan acceder a ella en caso de que olviden o extravíen la clave. Esta clave se puede encontrar en el Portal de autoayuda.
-
Nota
Una vez que el cifrado de BitLocker comienza en un dispositivo, no puedes cambiar los ajustes de BitLocker en el dispositivo implementando una directiva de dispositivo BitLocker actualizada.
-
Para agregar o configurar esta directiva, ve a Configurar > Directivas de dispositivo. Para obtener más información, consulta Directivas de dispositivo.
-
Requisitos
- La directiva de dispositivo BitLocker requiere Windows 10 Enterprise o Windows 11 Enterprise edition.
-
- Antes de implementar la directiva de dispositivo BitLocker, prepara tu entorno para el uso de BitLocker. Para obtener información detallada de Microsoft, incluidos los requisitos del sistema de BitLocker y la configuración, consulta los artículos en BitLocker.
Ajustes de Windows Desktop y Tablet
- **Ajustes de BitLocker**
- **Requerir que el dispositivo esté cifrado:** Determina si se te pide que habilites el cifrado de BitLocker en el escritorio o la tableta de Windows. Si está en **Activado**, los dispositivos muestran un mensaje después de completar la inscripción, indicando que la empresa requiere el cifrado del dispositivo. Si está en **Desactivado**, no se te pide y BitLocker utiliza los ajustes de la directiva. El valor predeterminado es **Desactivado**.
- **Ajustes de cifrado**
- **Configurar métodos de cifrado:** Determina los métodos de cifrado que se usarán para tipos de unidad específicos. Si está en **Desactivado**, el asistente de BitLocker te pide el método de cifrado que se usará para un tipo de unidad. El método de cifrado para todas las unidades predetermina a XTS-AES de 128 bits. El método de cifrado para unidades extraíbles predetermina a AES-CBC de 128 bits. Si está en **Activado**, BitLocker utiliza el método de cifrado especificado en la directiva. Si está en **Activado**, aparecen estos ajustes adicionales: **Unidad del sistema operativo**, **Unidad fija** y **Unidad extraíble**. Elige el método de cifrado predeterminado para cada tipo de unidad. El valor predeterminado es **Desactivado**.
- **Ajustes de la unidad del sistema operativo**
- **Requerir autenticación adicional al iniciar:** Especifica la autenticación adicional requerida durante el inicio del dispositivo. También especifica si se permite BitLocker en dispositivos que no tienen un chip TPM. Si está en **Desactivado**, los dispositivos sin TPM no pueden usar el cifrado de BitLocker. Para obtener información sobre TPM, consulta el artículo de Microsoft, [Trusted Platform Module Technology Overview](https://docs.microsoft.com/es-es/windows/device-security/tpm/trusted-platform-module-overview). Si está en **Activado**, aparecen los siguientes ajustes adicionales. El valor predeterminado es **Desactivado**.
- **Bloquear BitLocker en dispositivos sin un chip TPM:** En un dispositivo sin chip TPM, BitLocker te pide que crees una contraseña de desbloqueo o una clave de inicio. La clave de inicio se almacena en una unidad USB, que debes conectar al dispositivo antes de iniciar. La contraseña de desbloqueo tiene un mínimo de ocho caracteres. El valor predeterminado es **Desactivado**.
- **Inicio de TPM:** En un dispositivo con TPM, hay cuatro modos de desbloqueo: solo TPM, TPM + PIN, TPM + clave y TPM + PIN + clave. El inicio de TPM es para el modo solo TPM, en el que las claves de cifrado se almacenan en el chip TPM. Este modo no requiere que proporciones datos de desbloqueo adicionales. El dispositivo se desbloquea automáticamente durante el reinicio, utilizando la clave de cifrado del chip TPM. El valor predeterminado es **Permitir TPM**.
- **PIN de inicio de TPM:** Este ajuste es el modo de desbloqueo TPM + PIN. Un PIN puede tener hasta 20 dígitos. Utiliza el ajuste **Longitud mínima del PIN** para especificar la longitud mínima del PIN. Configuras un PIN durante la configuración de BitLocker y lo proporcionas durante el inicio del dispositivo.
- **Clave de inicio de TPM:** Este ajuste es el modo de desbloqueo TPM + clave. La clave de inicio se almacena en una unidad USB u otra unidad extraíble, que debes conectar al dispositivo antes de iniciar.
- **Clave de inicio de TPM y PIN:** Este ajuste es el modo de desbloqueo TPM + PIN + clave.
Si el desbloqueo se realiza correctamente, el sistema operativo comienza a cargarse. De lo contrario, el dispositivo entra en modo de recuperación.
- **Longitud del PIN**
- **Longitud mínima del PIN:** La longitud mínima del PIN de inicio de TPM. El valor predeterminado es **6**.
- **Configuración de recuperación de contraseña de BitLocker**
- **Copia de seguridad de recuperación de BitLocker en Citrix Endpoint Management:** Si esta opción está habilitada, los usuarios que deben desbloquear sus dispositivos pueden encontrar su clave de recuperación de BitLocker en el Portal de autoayuda. El administrador de Citrix Endpoint Management no puede ver la clave de recuperación de BitLocker de un usuario. Para obtener más información sobre cómo ver tu clave de recuperación de BitLocker, consulta [Clave de recuperación de BitLocker](/es-es/citrix-endpoint-management/device-management/windows/windows-desktop-laptop.html#bitlocker-recovery-key).
- **Configuración de recuperación de la unidad del sistema operativo:** Configura las opciones de recuperación para los usuarios de una unidad del sistema operativo cifrada con BitLocker.
- **Habilitar la recuperación de la unidad del sistema operativo:** Si el paso de desbloqueo falla, BitLocker solicita al usuario la clave de recuperación configurada. Esta configuración configura las opciones de recuperación de la unidad del sistema operativo disponibles para los usuarios si no tienen la contraseña de desbloqueo o la clave de inicio USB. El valor predeterminado es **Desactivado**.
- **Permitir agente de recuperación de datos basado en certificado:** Especifica si se permite un agente de recuperación de datos basado en certificado. Agrega un agente de recuperación de datos desde las Directivas de clave pública, que se encuentra en la Consola de administración de directivas de grupo (GPMC) o en el Editor de directivas de grupo local. Para obtener más información sobre los agentes de recuperación de datos, consulta el artículo de Microsoft, [Configuración de directivas de grupo de BitLocker](https://docs.microsoft.com/es-es/windows/security/information-protection/bitlocker/bitlocker-group-policy-settings). El valor predeterminado es **Desactivado**.
- **Contraseña de recuperación de 48 bits:** Especifica si se permite o se requiere que los usuarios usen una contraseña de recuperación. BitLocker genera la contraseña y la almacena en un archivo o en una cuenta de Microsoft Cloud. El valor predeterminado es **Permitir contraseña de 48 bits**.
- **Clave de recuperación de 256 bits:** Especifica si se permite o se requiere que los usuarios usen una clave de recuperación. Una clave de recuperación es un archivo BEK, que se almacena en una unidad USB. El valor predeterminado es **Permitir clave de recuperación de 256 bits**.
- **Ocultar opciones de recuperación de la unidad del sistema operativo:** Especifica si se muestran u ocultan las opciones de recuperación en la interfaz de BitLocker. Si está **Activado**, no aparecen opciones de recuperación en la interfaz de BitLocker. En ese caso, registra el dispositivo en Active Directory, guarda las opciones de recuperación en Active Directory y establece **Guardar información de recuperación en AD DS** en **Activado**. El valor predeterminado es **Desactivado**.
- **Guardar información de recuperación en Active Directory Domain Services:** Especifica si se guardan las opciones de recuperación en Active Directory Domain Services. El valor predeterminado es **Desactivado**.
- **Información de recuperación almacenada en Active Directory Domain Services:** Especifica si se almacena la contraseña de recuperación de BitLocker o la contraseña de recuperación y el paquete de claves en Active Directory Domain Services. Almacenar el paquete de claves permite recuperar datos de una unidad que está físicamente dañada. El valor predeterminado es **Copia de seguridad de la contraseña de recuperación**.
- **Habilitar BitLocker después de almacenar la información de recuperación en Active Directory Domain Services:** Especifica si se impide que los usuarios habiliten BitLocker a menos que el dispositivo esté conectado al dominio y la copia de seguridad de la información de recuperación de BitLocker en Active Directory se realice correctamente. Si está **Activado**, un dispositivo debe estar unido al dominio antes de iniciar BitLocker. El valor predeterminado es **Desactivado**.
- **Mensaje y URL de recuperación de prearranque:** Especifica si BitLocker muestra un mensaje y una URL personalizados en la pantalla de recuperación. Si está **Activado**, aparecen las siguientes configuraciones adicionales: **Usar mensaje y URL de recuperación predeterminados**, **Usar mensaje y URL de recuperación vacíos**, **Usar mensaje de recuperación personalizado**, **Usar URL de recuperación personalizada** y **Usar mensaje y URL de recuperación de Citrix Endpoint Management**. Si está **Desactivado**, se muestran el mensaje y la URL de recuperación predeterminados. El valor predeterminado es **Desactivado**.
-
Configuración de recuperación de la unidad fija: Configura las opciones de recuperación para los usuarios de una unidad fija cifrada con BitLocker. BitLocker no muestra un mensaje a los usuarios sobre el cifrado de la unidad fija. Para desbloquear una unidad durante el inicio, un usuario proporciona una contraseña o una tarjeta inteligente. Las configuraciones de desbloqueo de inicio, que no están en esta política, aparecen en la interfaz de BitLocker cuando un usuario habilita el cifrado de BitLocker en una unidad fija. Para obtener información sobre las configuraciones relacionadas, consulta Configurar la recuperación de la unidad del sistema operativo, anteriormente en esta lista. El valor predeterminado es Desactivado.
-
Configuración de la unidad fija
- Bloquear el acceso de escritura a unidades fijas que no usan BitLocker: Si está Activado, los usuarios pueden escribir en unidades fijas solo cuando esas unidades están cifradas con BitLocker. El valor predeterminado es Desactivado.
-
Configuración de la unidad extraíble
-
Bloquear el acceso de escritura a unidades extraíbles que no usan BitLocker: Si está Activado, los usuarios pueden escribir en unidades extraíbles solo cuando esas unidades están cifradas con BitLocker. Configura esta opción según si tu organización permite el acceso de escritura en otras unidades extraíbles de la organización. El valor predeterminado es Desactivado.
-
Bloquear el acceso de escritura a otros dispositivos de la organización: Si está Activado, los usuarios no pueden escribir en otros dispositivos dentro de su organización, como una unidad de red.
-
Otras configuraciones de unidad
-
Solicitar otro cifrado de disco: Te permite deshabilitar el aviso de advertencia para otros cifrados de disco en los dispositivos. El valor predeterminado es Desactivado.