Citrix Endpoint Management

Directiva de BitLocker

Windows 10 y Windows 11 incluyen una función de cifrado de disco llamada BitLocker, que proporciona protección adicional a archivos y al sistema frente al acceso no autorizado en un dispositivo Windows extraviado o robado. Para obtener una mayor protección, puede usar BitLocker con chips del Módulo de plataforma segura (TPM), versión 1.2 o posterior. Un chip TPM gestiona las operaciones de cifrado. Asimismo, genera, almacena y limita el uso de claves de cifrado.

A partir de Windows 10, compilación 1703, se puede controlar BitLocker mediante las directivas MDM. En Citrix Endpoint Management, puede usar la directiva de BitLocker para configurar los parámetros disponibles en el asistente de BitLocker en dispositivos con Windows 10 o Windows 11. Por ejemplo, en un dispositivo con BitLocker habilitado, BitLocker pide a los usuarios varias opciones:

  • Cómo desbloquear sus dispositivos tras el arranque
  • Cómo crear copias de seguridad de su clave de recuperación
  • Cómo desbloquear una unidad fija.

Con la directiva de BitLocker, también se puede configurar si:

  • Habilitar BitLocker en dispositivos que no tienen chip TPM.
  • Mostrar opciones de recuperación en la interfaz de BitLocker.
  • Denegar el acceso de escritura en una unidad fija o extraíble cuando BitLocker no está habilitado.
  • Guardar de forma segura una clave de recuperación cifrada de BitLocker para que los usuarios accedan en caso de que la olviden o pierdan. Esta clave se puede encontrar en Self Help Portal.

Nota

Una vez que el cifrado de BitLocker se haya iniciado en un dispositivo, no puede cambiar la configuración de BitLocker con la implementación de una directiva de BitLocker actualizada.

Para agregar o configurar esta directiva, vaya a Configurar > Directivas de dispositivo. Para obtener más información, consulte Directivas de dispositivo.

Requisitos

  • La directiva de BitLocker requiere las ediciones Windows 10 Enterprise o Windows 11 Enterprise.

  • Antes de implementar la directiva de BitLocker, prepare el entorno para BitLocker. Para obtener información detallada de Microsoft, incluidos la configuración y los requisitos del sistema para BitLocker, consulte los artículos en BitLocker.

Parámetros de tabletas y escritorios Windows

Pantalla de configuración Directivas de dispositivo

  • Parámetros de BitLocker

    • Requerir cifrado del dispositivo: Determina si solicitar a los usuarios que habiliten el cifrado de BitLocker en escritorios y tabletas Windows. Si tiene el valor , los dispositivos muestran un mensaje, una vez finalizada la inscripción, que indica que la empresa requiere el cifrado del dispositivo. Si tiene el valor No, el usuario no ve solicitudes y BitLocker usa los parámetros de la directiva. Está desactivado de forma predeterminada.
  • Parámetros de cifrado

    • Configurar métodos de cifrado: Determina los métodos de cifrado que se utilizarán para los tipos concretos de unidades. Si tiene el valor No, el Asistente de BitLocker pregunta al usuario del dispositivo qué método de cifrado se utilizará para el tipo de unidad. El método predeterminado para el cifrado de todas las unidades es XTS-AES de 128 bits. El método predeterminado para el cifrado de las unidades extraíbles es AES-CBC de 128 bits. Si se activa, BitLocker utiliza el método de cifrado especificado en la directiva. Asimismo, si se activa, aparecen los parámetros adicionales Unidad del sistema operativo, Unidad fija y Unidad extraíble. Elija el método predeterminado para el cifrado de cada tipo de unidad. Está desactivado de forma predeterminada.
  • Parámetros de unidad de SO

    • Requerir autenticación adicional al inicio: Especifica la autenticación adicional necesaria durante el inicio del dispositivo. También especifica si permitir que BitLocker esté presente en dispositivos que no tienen chip TPM. Si tiene el valor No, los dispositivos sin TPM no pueden utilizar el cifrado de BitLocker. Para obtener información acerca de TPM, consulte el artículo de Microsoft Información general sobre la tecnología del Módulo de plataforma segura. Si tiene el valor , aparecen los siguientes parámetros adicionales. Está desactivado de forma predeterminada.

    • Bloquear BitLocker en dispositivos sin chip TPM: En un dispositivo sin chip TPM, BitLocker requiere que los usuarios creen una contraseña de desbloqueo o una clave de inicio. La clave de inicio se almacena en una unidad USB que el usuario debe conectar al dispositivo antes de iniciarlo. La contraseña de desbloqueo contiene un mínimo de ocho caracteres. Está desactivado de forma predeterminada.

    • Inicio de TPM: En un dispositivo con TPM, hay cuatro modos de desbloqueo: solo TPM, TPM + PIN, TPM + clave y TPM + PIN + clave. El inicio de TPM es para el modo solo TPM. En este modo, las claves de cifrado se almacenan en el chip TPM. Este modo no requiere que el usuario facilite más datos de desbloqueo. El dispositivo del usuario se desbloquea automáticamente durante el reinicio con la clave de cifrado obtenida del chip TPM. El valor predeterminado es Permitir TPM.

    • PIN de inicio de TPM: Este parámetro es el modo de desbloqueo TPM + PIN. Un PIN puede contener un máximo de 20 dígitos. Use el parámetro Longitud mínima del PIN para especificar la longitud mínima del PIN. El usuario configura un PIN durante la configuración de BitLocker y facilita ese PIN durante el inicio del dispositivo.

    • Clave de inicio de TPM: Este parámetro es el modo de desbloqueo TPM + clave. La clave de inicio se almacena en una unidad USB u otra unidad extraíble que el usuario debe conectar al dispositivo antes de iniciarlo.

    • PIN y clave de inicio de TPM: Este parámetro es el modo de desbloqueo TPM + PIN + clave.

      Si el desbloqueo se realiza correctamente, el sistema operativo empieza a cargarse. De lo contrario, el dispositivo entra en modo de recuperación.

  • Longitud del PIN

    • Longitud mínima del PIN: La longitud mínima que debe tener el PIN para el inicio de TPM. El valor predeterminado es 6.
  • Parámetros de recuperación de contraseña de BitLocker

    • Recuperación de seguridad de BitLocker en Citrix Endpoint Management: Si esta opción está habilitada, los usuarios que deban desbloquear sus dispositivos pueden encontrar su clave de recuperación de BitLocker en Self Help Portal. El administrador de Citrix Endpoint Management no puede ver la clave de recuperación de BitLocker de un usuario. Para obtener más información sobre cómo ver su clave de recuperación de BitLocker, consulte Clave de recuperación de BitLocker.
  • Parámetros de recuperación de la unidad de SO: Configura las opciones de recuperación que tienen los usuarios para una unidad de sistema operativo cifrada con BitLocker.

    • Habilitar la recuperación de la unidad de disco del OS: Si se produce un error en el paso de desbloqueo, BitLocker pide al usuario la clave de recuperación configurada. Este parámetro configura las opciones de recuperación de unidades del sistema operativo disponibles para los usuarios si no tienen la contraseña de desbloqueo o la clave de inicio USB. El valor predeterminado es Desactivado.

    • Permitir agente de recuperación de datos basado en certificado: Especifica si permitir un agente de recuperación de datos basado en certificados. Agregue un agente de recuperación de datos desde las directivas de clave pública, ubicado en la Consola de administración de directivas de grupo (GPMC) o en el Editor de directivas de grupo local. Para obtener más información acerca de los agentes de recuperación de datos, consulte el artículo de Microsoft BitLocker Group Policy settings. El valor predeterminado es Desactivado.

    • Contraseña de recuperación de 48 bits: Especifica si permitir o exigir que los usuarios usen una contraseña de recuperación. BitLocker genera la contraseña y la guarda en un archivo o una cuenta de Microsoft Cloud. El valor predeterminado es Permitir contraseña de 48 bits.

    • Clave de recuperación de 256 bits: Especifica si permitir o exigir que los usuarios usen una clave de recuperación. Una clave de recuperación es un archivo BEK, almacenado en una unidad USB. El valor predeterminado es Permitir clave de recuperación de 256 bits.

    • Ocultar opciones de recuperación de unidad de SO: Especifica si mostrar u ocultar las opciones de recuperación en la interfaz de BitLocker. Si se activa, no aparecen opciones de recuperación en la interfaz de BitLocker. En ese caso, registre los dispositivos en Active Directory, guarde las opciones de recuperación en Active Directory y active la opción Guardar información de recuperación en AD DS. El valor predeterminado es Desactivado.

    • Guardar información de recuperación en Active Directory Domain Services: Especifica si guardar las opciones de recuperación en Active Directory Domain Services. El valor predeterminado es Desactivado.

    • Información de recuperación guardada en Active Directory Domain Services: Especifica si almacenar la contraseña de recuperación de BitLocker o el paquete de claves y la contraseña de recuperación en Active Directory Domain Services. Si almacena el paquete de claves, se admite la recuperación de datos desde una unidad que se haya dañado de físicamente. El valor predeterminado es Contraseña de recuperación de copia de seguridad.

    • Habilitar BitLocker después de almacenar información de recuperación en Active Directory Domain Services: Especifica si impedir que los usuarios habiliten BitLocker a menos que el dispositivo esté conectado por dominio y la copia de seguridad de la información de recuperación de BitLocker en Active Directory se haya realizado correctamente. Si se activa, el dispositivo debe estar unido a un dominio antes de iniciar BitLocker. El valor predeterminado es Desactivado.

    • Mensaje y URL de recuperación de preinicio: Especifica si BitLocker muestra un mensaje y una dirección URL personalizados en la pantalla de recuperación. Si se activa, aparecen los siguientes parámetros adicionales: Usar mensaje y URL de recuperación predeterminados, Usar mensaje y URL de recuperación vacíos, Usar mensaje de recuperación personalizado, Usar URL de recuperación personalizada y Usar URL y mensaje de recuperación de Citrix Endpoint Management. Si se desactiva, aparece la URL y el mensaje de recuperación predeterminados. El valor predeterminado es Desactivado.

  • Parámetros de recuperación de unidades fijas: Configura las opciones de recuperación que tienen los usuarios para unidades fijas cifradas con BitLocker. BitLocker no muestra mensajes a los usuarios acerca del cifrado de la unidad fija. Para desbloquear una unidad durante el inicio, un usuario suministra una contraseña o una tarjeta inteligente. Loa parámetros de desbloqueo de inicio (no incluidos en esta directiva), aparecen en la interfaz de BitLocker cuando un usuario habilita el cifrado de BitLocker en una unidad fija. Para obtener información sobre los parámetros relacionados, consulte la opción Configurar la recuperación de la unidad del SO, ya mencionada en esta lista. El valor predeterminado es Desactivado.

  • Parámetros de unidad fija

    • Bloquear acceso de escritura en unidades fijas que no usen BitLocker: Si se activa, los usuarios solo pueden escribir en las unidades fijas cuando están cifradas con BitLocker. El valor predeterminado es Desactivado.
  • Parámetros de unidad extraíble

  • Bloquear acceso de escritura en unidades extraíbles que no usen BitLocker: Si se activa, los usuarios solo pueden escribir en las unidades extraíbles cuando están cifradas con BitLocker. Configure este parámetro de acuerdo con el acceso de escritura que permite la organización en otras unidades extraíbles de la organización. El valor predeterminado es Desactivado.

  • Bloquear acceso de escritura en otros dispositivos de la organización: Si se activa, los usuarios no pueden escribir en otros dispositivos de su organización, como una unidad de red.

  • Otros parámetros de unidad

  • Pedir otro cifrado de disco: Permite inhabilitar el diálogo de advertencia para otro cifrado de disco en los dispositivos. Está desactivado de forma predeterminada.

Directiva de BitLocker