Directiva de BitLocker

Windows 10 incluye una función de cifrado de disco llamada BitLocker, que proporciona protección adicional a archivos y al sistema frente al acceso no autorizado en un dispositivo Windows extraviado o robado. Para obtener una mayor protección, puede usar BitLocker con chips del Módulo de plataforma segura (TPM), versión 1.2 o posterior. Un chip TPM gestiona las operaciones de cifrado. Asimismo, genera, almacena y limita el uso de claves de cifrado.

A partir de Windows 10, compilación 1703, se puede controlar BitLocker mediante las directivas MDM. En Endpoint Management, puede usar la directiva de BitLocker para configurar los parámetros disponibles en el asistente de BitLocker en dispositivos Windows 10. Por ejemplo, en un dispositivo con BitLocker habilitado, BitLocker pide a los usuarios varias opciones:

  • Cómo desbloquear sus dispositivos tras el arranque
  • Cómo crear copias de seguridad de su clave de recuperación
  • Cómo desbloquear una unidad fija.

Con la directiva de BitLocker, también se puede configurar si:

  • Habilitar BitLocker en dispositivos que no tienen chip TPM.
  • Mostrar opciones de recuperación en la interfaz de BitLocker.
  • Denegar el acceso de escritura en una unidad fija o extraíble cuando BitLocker no está habilitado.
  • Guardar de forma segura una clave de recuperación cifrada de BitLocker para que los usuarios accedan en caso de que la olviden o pierdan. Esta clave se puede encontrar en Self-Help Portal.

Nota

Una vez que el cifrado de BitLocker se haya iniciado en un dispositivo, no puede cambiar la configuración de BitLocker con la implementación de una directiva de BitLocker actualizada.

Para agregar o configurar esta directiva, vaya a Configurar > Directivas de dispositivo. Para obtener más información, consulte Directivas de dispositivo.

Requisitos

  • La directiva de BitLocker requiere la edición Windows 10 Enterprise.

  • Antes de implementar la directiva de BitLocker, prepare el entorno para BitLocker. Para obtener información detallada de Microsoft, incluidos la configuración y los requisitos del sistema para BitLocker, consulte BitLocker y los artículos de ese nodo.

Parámetros de Windows Phone

Pantalla de configuración Directivas de dispositivo

  • Requerir cifrado del dispositivo: Determina si solicitar a los usuarios que habiliten el cifrado de BitLocker en una tarjeta del sistema Windows Phone. Si tiene el valor , los dispositivos muestran un mensaje, una vez finalizada la inscripción, que indica que la empresa requiere el cifrado del dispositivo. Si el usuario opta por no cifrar el dispositivo, no se le concede acceso de escritura en la tarjeta del sistema. Si tiene el valor No, el usuario no ve solicitudes y la directiva de BitLocker determina si el dispositivo se cifra o no. El valor predeterminado es No.

  • Requerir cifrado de tarjeta de almacenamiento: Determina si solicitar a los usuarios que habiliten el cifrado de BitLocker en una tarjeta de almacenamiento Windows Phone. Si tiene el valor , se requiere el cifrado de las tarjetas de almacenamiento para obtener el permiso de escritura en la tarjeta. El valor predeterminado es No.

Parámetros de tabletas y escritorios Windows

Pantalla de configuración Directivas de dispositivo

  • Parámetros de BitLocker

    • Requerir cifrado del dispositivo: Determina si solicitar a los usuarios que habiliten el cifrado de BitLocker en escritorios y tabletas Windows. Si tiene el valor , los dispositivos muestran un mensaje, una vez finalizada la inscripción, que indica que la empresa requiere el cifrado del dispositivo. Si tiene el valor No, el usuario no ve solicitudes y BitLocker usa los parámetros de la directiva. El valor predeterminado es No.
  • Parámetros de cifrado

    • Configurar métodos de cifrado: Determina los métodos de cifrado que se utilizarán para los tipos concretos de unidades. Si tiene el valor No, el Asistente de BitLocker pregunta al usuario del dispositivo qué método de cifrado se utilizará para el tipo de unidad. El método predeterminado para el cifrado de todas las unidades es XTS-AES de 128 bits. El método predeterminado para el cifrado de las unidades extraíbles es AES-CBC de 128 bits. Si se activa, BitLocker utiliza el método de cifrado especificado en la directiva. Asimismo, si se activa, aparecen los parámetros adicionales Unidad del sistema operativo, Unidad fija y Unidad extraíble. Elija el método predeterminado para el cifrado de cada tipo de unidad. El valor predeterminado es No.
  • Parámetros de unidad de SO

    • Requerir autenticación adicional al inicio: Especifica la autenticación adicional necesaria durante el inicio del dispositivo. También especifica si permitir que BitLocker esté presente en dispositivos que no tienen chip TPM. Si tiene el valor No, los dispositivos sin TPM no pueden utilizar el cifrado de BitLocker. Para obtener información sobre TPM, consulte el artículo de Microsoft Descripción general de la tecnología Módulo de plataforma segura. Si tiene el valor , aparecen los siguientes parámetros adicionales. El valor predeterminado es No.

    • Bloquear BitLocker en dispositivos sin chip TPM: En un dispositivo sin chip TPM, BitLocker requiere que los usuarios creen una contraseña de desbloqueo o una clave de inicio. La clave de inicio se almacena en una unidad USB que el usuario debe conectar al dispositivo antes de iniciarlo. La contraseña de desbloqueo contiene un mínimo de ocho caracteres. El valor predeterminado es No.

    • Inicio de TPM: En un dispositivo con TPM, hay cuatro modos de desbloqueo: solo TPM, TPM + PIN, TPM + clave y TPM + PIN + clave. El inicio de TPM es para el modo solo TPM. En este modo, las claves de cifrado se almacenan en el chip TPM. Este modo no requiere que el usuario facilite más datos de desbloqueo. El dispositivo del usuario se desbloquea automáticamente durante el reinicio con la clave de cifrado obtenida del chip TPM. El valor predeterminado es Permitir TPM.

    • PIN de inicio de TPM: Este parámetro es el modo de desbloqueo TPM + PIN. Un PIN puede contener un máximo de 20 dígitos. Use el parámetro Longitud mínima del PIN para especificar la longitud mínima del PIN. El usuario configura un PIN durante la configuración de BitLocker y facilita ese PIN durante el inicio del dispositivo.

    • Clave de inicio de TPM: Este parámetro es el modo de desbloqueo TPM + clave. La clave de inicio se almacena en una unidad USB u otra unidad extraíble que el usuario debe conectar al dispositivo antes de iniciarlo.

    • PIN y clave de inicio de TPM: Este parámetro es el modo de desbloqueo TPM + PIN + clave.

      Si el desbloqueo se realiza correctamente, el sistema operativo empieza a cargarse. De lo contrario, el dispositivo entra en modo de recuperación.

  • Longitud del PIN

    • Longitud mínima del PIN: La longitud mínima que debe tener el PIN para el inicio de TPM. El valor predeterminado es 6.
  • Parámetros de recuperación de contraseña de BitLocker

    • Recuperación de seguridad de BitLocker en Endpoint Management: Si esta opción está habilitada, los usuarios que deban desbloquear sus dispositivos pueden encontrar su clave de recuperación de BitLocker en Self-Help Portal. El administrador de Endpoint Management no puede ver la clave de recuperación de BitLocker de un usuario. Para obtener más información sobre cómo ver la clave de recuperación de BitLocker, consulte Clave de recuperación de BitLocker.
  • Parámetros de recuperación de la unidad de SO: Configura las opciones de recuperación que tienen los usuarios para una unidad de sistema operativo cifrada con BitLocker.

    • Habilitar la recuperación de la unidad de disco del OS: Si se produce un error en el paso de desbloqueo, BitLocker pide al usuario la clave de recuperación configurada. Este parámetro configura las opciones de recuperación de unidades del sistema operativo disponibles para los usuarios si no tienen la contraseña de desbloqueo o la clave de inicio USB. El valor predeterminado es No.

    • Permitir agente de recuperación de datos basado en certificado: Especifica si permitir un agente de recuperación de datos basado en certificados. Agregue un agente de recuperación de datos desde las directivas de clave pública, ubicado en la Consola de administración de directivas de grupo (GPMC) o en el Editor de directivas de grupo local. Para obtener más información acerca de los agentes de recuperación de datos, consulte el artículo de Microsoft Configuración de directivas de grupo de BitLocker. El valor predeterminado es No.

    • Contraseña de recuperación de 48 bits: Especifica si permitir o exigir que los usuarios usen una contraseña de recuperación. BitLocker genera la contraseña y la guarda en un archivo o una cuenta de Microsoft Cloud. El valor predeterminado es Permitir contraseña de 48 bits.

    • Clave de recuperación de 256 bits: Especifica si permitir o exigir que los usuarios usen una clave de recuperación. Una clave de recuperación es un archivo BEK, almacenado en una unidad USB. El valor predeterminado es Permitir clave de recuperación de 256 bits.

    • Ocultar opciones de recuperación de unidad de SO: Especifica si mostrar u ocultar las opciones de recuperación en la interfaz de BitLocker. Si se activa, no aparecen opciones de recuperación en la interfaz de BitLocker. En ese caso, registre los dispositivos en Active Directory, guarde las opciones de recuperación en Active Directory y active la opción Guardar información de recuperación en AD DS. El valor predeterminado es No.

    • Guardar información de recuperación en Active Directory Domain Services: Especifica si guardar las opciones de recuperación en Active Directory Domain Services. El valor predeterminado es No.

    • Información de recuperación guardada en Active Directory Domain Services: Especifica si almacenar la contraseña de recuperación de BitLocker o el paquete de claves y la contraseña de recuperación en Active Directory Domain Services. Si almacena el paquete de claves, se admite la recuperación de datos desde una unidad que se haya dañado de físicamente. El valor predeterminado es Contraseña de recuperación de copia de seguridad.

    • Habilitar BitLocker después de almacenar información de recuperación en Active Directory Domain Services: Especifica si impedir que los usuarios habiliten BitLocker a menos que el dispositivo esté conectado por dominio y la copia de seguridad de la información de recuperación de BitLocker en Active Directory se haya realizado correctamente. Si se activa, el dispositivo debe estar unido a un dominio antes de iniciar BitLocker. El valor predeterminado es No.

    • Mensaje y URL de recuperación de preinicio: Especifica si BitLocker muestra un mensaje y una dirección URL personalizados en la pantalla de recuperación. Si se activa, aparecen los siguientes parámetros adicionales: Usar mensaje y URL de recuperación predeterminados, Usar mensaje y URL de recuperación vacíos, Usar mensaje de recuperación personalizado, Usar URL de recuperación personalizada y Usar URL y mensaje de recuperación de Endpoint Management. Si se desactiva, aparece la URL y el mensaje de recuperación predeterminados. El valor predeterminado es No.

  • Parámetros de recuperación de unidades fijas: Configura las opciones de recuperación que tienen los usuarios para unidades fijas cifradas con BitLocker. BitLocker no muestra mensajes a los usuarios acerca del cifrado de la unidad fija. Para desbloquear una unidad durante el inicio, un usuario suministra una contraseña o una tarjeta inteligente. Loa parámetros de desbloqueo de inicio (no incluidos en esta directiva), aparecen en la interfaz de BitLocker cuando un usuario habilita el cifrado de BitLocker en una unidad fija. Para obtener información sobre los parámetros relacionados, consulte la opción Configurar la recuperación de la unidad del SO, ya mencionada en esta lista. El valor predeterminado es No.

  • Parámetros de unidad fija

    • Bloquear acceso de escritura en unidades fijas que no usen BitLocker: Si se activa, los usuarios solo pueden escribir en las unidades fijas cuando están cifradas con BitLocker. El valor predeterminado es No.
  • Parámetros de unidad extraíble

  • Bloquear acceso de escritura en unidades extraíbles que no usen BitLocker: Si se activa, los usuarios solo pueden escribir en las unidades extraíbles cuando están cifradas con BitLocker. Configure este parámetro de acuerdo con el acceso de escritura que permite la organización en otras unidades extraíbles de la organización. El valor predeterminado es No.

  • Bloquear acceso de escritura en otros dispositivos de la organización: Si se activa, los usuarios no pueden escribir en otros dispositivos de su organización, como una unidad de red.

  • Otros parámetros de unidad

  • Pedir otro cifrado de disco: Permite inhabilitar el diálogo de advertencia para otro cifrado de disco en los dispositivos. El valor predeterminado es No.