GUÍA PASO A PASO DEL

CIFRADO DE UNIDAD
BITLOCKER PARA WINDOWS 7
Actualizado: septiembre de 2009
Se aplica a: Windows 7
Esta guía paso a paso proporciona las instrucciones necesarias para usar
el Cifrado de unidad BitLocker™ en un entorno de prueba de
Windows® 7. Se recomienda que realice primero los pasos indicados en
la presente guía en un entorno de laboratorio de pruebas. Las guías
paso a paso no están necesariamente diseñadas para implementar
características del sistema operativo Windows 7 sin la documentación
correspondiente y se deben usar con discreción como documento
independiente.
¿Qué es el Cifrado de unidad BitLocker?
El Cifrado de unidad BitLocker es una característica de seguridad
integral del sistema operativo Windows 7 que ayuda a proteger los datos
almacenados en unidades de datos fijas y extraíbles y en la unidad del
sistema operativo. BitLocker protege de "ataques sin conexión", que son
aquéllos que se realizan deshabilitando o evitando el sistema operativo
instalado, o bien, quitando físicamente el disco duro para atacar los
datos por separado. En el caso de las unidades de datos fijas y
extraíbles, BitLocker ayuda a garantizar que los usuarios pueden leer y
escribir datos en la unidad solo cuando cuentan con la contraseña
correspondiente, con credenciales de tarjeta inteligente o cuando usan
la unidad de datos en un equipo protegido con BitLocker que tenga las
claves adecuadas. Si en su organización hay equipos que ejecuten
versiones anteriores de Windows, se puede usar el Lector de BitLocker
To Go para permitir a esos equipos leer las unidades extraíbles
protegidas con BitLocker.
La protección de BitLocker en unidades del sistema operativo admite la
autenticación de dos factores mediante el uso del Módulo de plataforma
segura (TPM) junto con un número de identificación personal (PIN) o
clave de inicio, así como la autenticación de un solo factor mediante el
almacenamiento de una clave en una unidad flash USB o mediante el
uso solo del TPM. El uso de BitLocker con un TPM proporciona una mayor
protección a los datos y ayuda a garantizar la integridad del componente
de arranque inicial. Esta opción requiere que el equipo disponga de un
microchip de TPM y una BIOS compatibles. Un TPM compatible se define
como la versión 1.2 del TPM. Una BIOS compatible debe admitir el TPM y
la raíz estática de Trust Measurement, tal y como define Trusted
Computing Group. Para obtener más información acerca de las
especificaciones del TPM, visite la sección sobre dichas especificaciones
del sitio web de Trusted Computing Group (en inglés)
(http://go.microsoft.com/fwlink/?LinkId=72757).
El TPM interactúa con la protección de la unidad del sistema operativo
de BitLocker para ayudar a proporcionar protección al inicio del sistema.
El usuario no puede apreciar esto y el inicio de sesión de usuario no
cambia. Sin embargo, si la información de inicio varía, BitLocker pasará
al modo de recuperación y se necesitará una contraseña o clave de
recuperación para volver a tener acceso a los datos.
En esta guía
El objetivo de esta guía es ayudar a los profesionales de TI a
familiarizarse con la característica Cifrado de unidad BitLocker de
Windows 7. Estos pasos se incluyen únicamente para fines de prueba.
Esta guía no debe ser el único recurso que emplee para implementar las
características de Windows Server® 2008 R2 o Windows 7. Revise las
siguientes secciones para familiarizarse con la información básica y los
procedimientos necesarios para comenzar a configurar e implementar
BitLocker en su organización.
1. ESCENARIO 1: ACTIVAR EL CIFRADO DE UNIDAD BITLOCKER EN
UNA UNIDAD DEL SISTEMA OPERATIVO (WINDOWS 7)

2. ESCENARIO 2: ACTIVAR EL CIFRADO DE UNIDAD BITLOCKER EN

UNA UNIDAD DE DATOS FIJA O EXTRAÍBLE (WINDOWS 7)

3. ESCENARIO 3: ACTUALIZAR UN EQUIPO PROTEGIDO CON

BITLOCKER DE WINDOWS VISTA A WINDOWS 7 (WINDOWS 7)

4. ESCENARIO 4: CONFIGURAR EL MODO EN QUE LAS VERSIONES

ANTERIORES DE WINDOWS (WINDOWS 7) ADMITEN
BITLOCKER

5. ESCENARIO 5: REQUERIR LA PROTECCIÓN DE BITLOCKER EN

LAS UNIDADES DE DATOS (WINDOWS 7)

6. ESCENARIO 6: ESPECIFICAR COMO DESBLOQUEAR UNIDADES

DEL SISTEMA OPERATIVO PROTEGIDAS CON BITLOCKER
(WINDOWS 7)

7. ESCENARIO 7: ESPECIFICAR COMO DESBLOQUEAR UNIDADES

DE DATOS EXTRAÍBLES O FIJAS PROTEGIDAS POR BITLOCKER
(WINDOWS 7)

8. ESCENARIO 8: ESPECIFICAR COMO SE PUEDEN RECUPERAR

LAS UNIDADES PROTEGIDAS POR BITLOCKER (WINDOWS 7)
9. ESCENARIO 9: CONFIGURAR EL MÉTODO Y LA INTENSIDAD DE
CIFRADO (WINDOWS 7)

10. ESCENARIO 10: CONFIGURAR EL CAMPO DE IDENTIFICACIÓN

DE BITLOCKER (WINDOWS 7)

11.ESCENARIO 11: RECUPERAR DATOS PROTEGIDOS CON EL

CIFRADO DE UNIDAD BITLOCKER (WINDOWS 7)

12.ESCENARIO 12: DESACTIVAR CIFRADO DE UNIDAD BITLOCKER

(WINDOWS 7)

13.ESCENARIO 13: BLOQUEAR UNA UNIDAD DE DATOS CON UNA

TARJETA INTELIGENTE (WINDOWS 7)

14. ESCENARIO 14: USAR UN AGENTE DE RECUPERACIÓN DE

DATOS PARA RECUPERAR UNIDADES PROTEGIDAS POR
BITLOCKER (WINDOWS 7)

15.ESCENARIO 15: USAR EL VISOR DE CONTRASEÑAS DE

RECUPERACIÓN DE ACTIVE DIRECTORY DE BITLOCKER PARA
VER CONTRASEÑAS DE RECUPERACIÓN

16.ESCENARIO 16: USAR LA HERRAMIENTA DE REPARACIÓN DE

BITLOCKER PARA RECUPERAR UNA UNIDAD

ESCENARIO 1: ACTIVAR EL CIFRADO DE UNIDAD BITLOCKER EN

UNA UNIDAD DEL SISTEMA OPERATIVO (WINDOWS 7)

Actualizado: agosto de 2009

Se aplica a: Windows 7
En este escenario, se proporciona el procedimiento para activar la
protección de Cifrado de unidad BitLocker en una unidad del sistema
operativo de un equipo con un Módulo de plataforma segura (TPM). Una
vez que la unidad está cifrada, el usuario inicia sesión en el equipo
normalmente.
Antes de empezar
Para completar el procedimiento en este escenario:
• Debe poder proporcionar credenciales administrativas.
 • Debe poder configurar una impresora, si desea imprimir la clave
de recuperación.

• El equipo debe cumplir con los requisitos de BitLocker. Para

obtener más información, vea los requisitos del Cifrado de unidad
BitLocker en la Guía paso a paso del Cifrado de unidad BitLocker
para Windows 7.

Para activar el Cifrado de unidad BitLocker en una unidad del

sistema operativo
1. Haga clic en Inicio, Panel de control, Sistema y seguridad y, a
continuación, en Cifrado de unidad BitLocker.
2. Haga clic en Activar BitLocker para la unidad del sistema
operativo. BitLocker examinará el equipo a fin de asegurarse de
que cumple con los requisitos del sistema de BitLocker. Si el
equipo cumple con los requisitos, BitLocker le informará los
próximos pasos que deben realizarse para activar BitLocker, tales
como la preparación de la unidad, la activación del TPM y el
cifrado de la unidad.
Si cuenta con una sola partición para la unidad del sistema
operativo, BitLocker preparará la unidad; para ello, reducirá el
tamaño de la unidad del sistema operativo y creará una nueva
partición del sistema para usarla para los archivos del sistema que
se necesitan para iniciar o recuperar el sistema operativo y que no
se pueden cifrar. Esta unidad no tendrá una letra de unidad para
evitar que se almacenen archivos de datos en esta unidad sin
darse cuenta. Una vez que la unidad está preparada, debe
reiniciarse el equipo.
Si el TPM no está inicializado, el asistente para la configuración de
BitLocker le indica que debe quitar las unidades USB, los CDs o los
DVDs del equipo y reiniciar el equipo para iniciar el proceso de
activación del TPM. Se le solicitará que habilite el TPM antes de
que arranque el sistema operativo o, en algunos casos, deberá
navegar a las opciones BIOS y habilitar el TPM manualmente. Este
comportamiento depende del BIOS del equipo. Después de
confirmar que desea que el TPM esté habilitado, el sistema
operativo se iniciará y aparecerá el indicador de progreso
Inicializando el hardware de seguridad de TPM.

Nota

Si configuró las opciones de directiva de grupo de su organización

para que se realice una copia de seguridad de la información de
 recuperación de BitLocker y el TPM en los Servicios de dominio de
Active Directory® (AD DS), el equipo debe poder conectarse al
dominio para completar este proceso.

3. Una vez que se inicializa el TPM, el asistente para la configuración

de BitLocker le solicita que elija cómo desea almacenar la clave de
recuperación. Puede elegir entre las opciones siguientes:
○ Guardar la clave de recuperación en una unidad flash
USB. Guarda la clave de recuperación en una unidad flash
USB.

○ Guardar la clave de recuperación en un archivo.

Guarda la clave de recuperación en una unidad de red o en
otra ubicación.

○ Imprimir la clave de recuperación. Imprime la clave de

recuperación.

Use una o varias de estas opciones para conservar la clave de

recuperación. Para cada opción que seleccione, siga los pasos del
asistente para establecer la ubicación para guardar o imprimir la
clave de recuperación. Cuando haya terminado de guardar la clave
de recuperación, haga clic en Siguiente.

Importante

La clave de recuperación es necesaria si se desea mover la unidad

cifrada a otro equipo o si se efectúan cambios en la información de
inicio del sistema. Esta clave de recuperación es tan importante
que se recomienda realizar copias adicionales de la clave y
almacenarla en lugares seguros, de modo que pueda encontrarla
fácilmente en caso de que necesite recuperar el acceso a la
unidad. Si BitLocker cambia a un estado bloqueado, necesitará la
clave de recuperación para desbloquear los datos cifrados en la
unidad. Esta clave de recuperación es exclusiva para esta unidad
en particular. No puede usarla para recuperar los datos cifrados de
otras unidades protegidas por BitLocker.

Para mayor seguridad, debe almacenar las claves de recuperación

fuera del equipo.

4. El asistente para la configuración de BitLocker le pregunta si está

listo para cifrar la unidad. Confirme que la casilla Ejecutar la
 comprobación del sistema de BitLocker está activada y, a
continuación, haga clic en Continuar.
5. Confirme que desea reiniciar el equipo al hacer clic en Reiniciar
ahora. El equipo se reinicia y BitLocker comprueba si el equipo
cumple con los requisitos de BitLocker y está preparado para el
cifrado. Si no lo está, al iniciar sesión aparecerá un mensaje de
error que alerta sobre el problema.
6. Si está preparado para el cifrado, aparecerá la barra de estado
Cifrar, que muestra el progreso de cifrado de la unidad. Puede
supervisar el estado de finalización en curso del cifrado de la
unidad de disco, si mueve el puntero del mouse sobre el icono
Cifrado de unidad BitLocker en el área de notificación, en el
extremo derecho de la barra de tareas. El cifrado de la unidad
puede tardar unos minutos. Puede usar su equipo durante el
cifrado, pero el rendimiento será menor. Cuando el cifrado se haya
completado, aparecerá un mensaje de finalización.
Al completar este procedimiento, habrá cifrado la unidad del sistema
operativo y creado una clave de recuperación única para esta unidad. La
próxima vez que inicie sesión, no verá ningún cambio. Si el TPM sufre
cambios o no se puede tener acceso a él, si se realizaron cambios en
archivos clave del sistema o si alguien intenta iniciar el equipo desde un
disco para evitar el sistema operativo, el equipo cambiará al modo de
recuperación e impedirá que Windows se inicie.

ESCENARIO 2: ACTIVAR EL CIFRADO DE UNIDAD BITLOCKER EN

UNA UNIDAD DE DATOS FIJA O EXTRAÍBLE (WINDOWS 7)
Actualizado: agosto de 2009
Se aplica a: Windows 7
En este escenario se explica el procedimiento para activar la protección
de Cifrado de unidad BitLocker en una unidad de datos fija o extraíble en
un equipo.

Precaución
Durante el cifrado de una unidad extraíble, no quite la unidad de forma
repentina. Si necesita quitar una unidad antes de que se complete el
cifrado, ponga en pausa el proceso de cifrado y, a continuación, use el
icono Quitar hardware de forma segura ubicado en el área de
notificación o el comando Expulsar desde el Explorador de Windows
para quitar la unidad. Si se quita la unidad durante el proceso de cifrado
sin poner en pausa y, de forma intencional, quitar el dispositivo, puede
provocar que los datos de la unidad se dañen.
Antes de empezar
Para completar el procedimiento en este escenario:
• Debe poder proporcionar credenciales administrativas para activar
BitLocker para unidades de datos fijas. Las cuentas de usuario
estándar pueden activar BitLocker To Go en unidades de datos
extraíbles.

• Para imprimir la clave de recuperación, es necesario configurar

una impresora.

• El equipo debe cumplir los requisitos de BitLocker. Para obtener

más información, vea la sección sobre los requisitos para el
Cifrado de unidad BitLocker en Guía paso a paso del Cifrado de
unidad BitLocker para Windows 7.

Para activar el Cifrado de unidad BitLocker en una unidad de

datos fija o extraíble
1. Haga clic en Inicio, en Panel de control, en Sistema y
seguridad y, a continuación, en Cifrado de unidad BitLocker.
2. Haga clic en Activar BitLocker para la unidad de datos fija o
extraíble que desea cifrar.

Nota
Si ha configurado la directiva de grupo en la organización para
realizar una copia de seguridad de la información de recuperación
de BitLocker en los Servicios de dominio de Active Directory
(AD DS), el equipo debe poder conectarse al dominio para
completar este proceso.
3. El Asistente para la instalación de BitLocker le preguntará cómo
desea desbloquear esta unidad. Las unidades de datos fijas se
pueden configurar para desbloquearse de forma automática
cuando el sistema operativo está cifrado, para desbloquearse
después de proporcionar una contraseña o para desbloquearse
después de insertar una tarjeta inteligente. Las unidades de datos
extraíbles se pueden configurar para desbloquearse después de
proporcionar una contraseña o después de insertar una tarjeta
inteligente. Si desea que la unidad de datos extraíble se
desbloquee de forma automática, puede especificar dicha opción
una vez realizado el cifrado; para ello, haga clic en Administrar
BitLocker desde el elemento Cifrado de unidad BitLocker del
Panel de control, o active la casilla Desbloquear
automáticamente en el equipo desde ahora cuando
desbloquee la unidad.
4. Antes de que BitLocker cifre la unidad, el Asistente para la
instalación de BitLocker le pide que elija cómo almacenar la clave
de recuperación. Puede seleccionar entre las opciones siguientes:
 ○ Guardar la clave de recuperación en una unidad flash
USB. Guarda la clave de recuperación en una unidad flash
USB. Esta opción no se puede usar con unidades extraíbles.

○ Guardar la clave de recuperación en un archivo.

Guarda la clave de recuperación en una unidad de red o en
otra ubicación.

○ Imprimir la clave de recuperación. Imprime la clave de

recuperación.

Use una o más de estas opciones para conservar la clave de

recuperación. Para cada opción que seleccione, siga los pasos del
asistente para establecer la ubicación en la que guardar o imprimir
la clave de recuperación. Cuando haya finalizado de guardar la
clave de recuperación, haga clic en Siguiente.

Importante
La clave de recuperación es necesaria cuando una unidad de datos
fija protegida con BitLocker configurada para desbloqueo
automático se traslada a otro equipo, o si la contraseña o la tarjeta
inteligente asociadas con el desbloqueo de la unidad fija o
extraíble no están disponibles, como puede suceder cuando se
olvida la contraseña o se pierde la tarjeta inteligente. Necesitará la
clave de recuperación para desbloquear los datos cifrados en la
unidad si BitLocker cambia a un estado de bloqueo. Esta clave de
recuperación es única para esta unidad en particular. No se puede
usar para recuperar datos cifrados de ninguna otra unidad
protegida con BitLocker.
Para lograr la máxima seguridad, debería almacenar las claves de
recuperación lejos de las unidades con las que están asociadas.

5. El Asistente para la instalación de BitLocker le pregunta si está

listo para cifrar la unidad. Haga clic en Iniciar cifrado.
6. Aparece la barra de estado Cifrando. Para supervisar el estado de
finalización del cifrado de la unidad en curso, mueva el puntero del
mouse sobre el icono Cifrado de unidad BitLocker en el área de
notificación, en la esquina derecha de la barra de tareas.
Al completar este procedimiento, habrá cifrado una unidad de datos fija
o extraíble, asociado un protector de clave con un método de
desbloqueo para la unidad y creado una clave de recuperación que es
única para esta unidad.
ESCENARIO 3: ACTUALIZAR UN EQUIPO PROTEGIDO CON
BITLOCKER DE WINDOWS VISTA A WINDOWS 7 (WINDOWS 7)
Actualizado: agosto de 2009
Se aplica a: Windows 7
Este escenario describe el proceso de actualización de un equipo
protegido por BitLocker de Windows Vista a Windows 7.
Antes de empezar
Para completar el procedimiento de este escenario:
• Debe proporcionar credenciales administrativas.

• La unidad del sistema operativo debe estar protegida con

BitLocker.

Para actualizar manualmente el Cifrado de unidad BitLocker

1. En un equipo que ejecute Windows Vista, haga clic en Inicio, en
Panel de control, en Seguridad y, finalmente, en Cifrado de
unidad BitLocker.
2. Haga clic en Desactivar BitLocker y, a continuación, active la
casilla Deshabilitar BitLocker. No descifre la unidad.
3. Instale Windows 7 en la misma unidad.
4. Después de instalar Windows 7, haga clic en Inicio, en Panel de
control, en Sistema y seguridad y, finalmente, en Cifrado de
unidad BitLocker.
Haga clic en Reanudar protección. Su unidad de sistema
operativo está ahora protegida con BitLocker. Si desea usar la
nueva opción de protección de claves de recuperación (agentes de
recuperación de datos), también debe actualizar la información de
la versión de BitLocker almacenada en los metadatos de BitLocker
a la versión de Windows 7. Esto se logra con el uso de la
herramienta de línea de comandos Manage-bde.exe.
5. Para actualizar los metadatos de BitLocker de forma que pueda
usar las nuevas características de BitLocker de Windows 7, haga
clic en Inicio, elija Todos los programas, haga clic en
Accesorios, haga clic con el botón secundario en Símbolo del
sistema y, a continuación, haga clic en Ejecutar como
administrador. Si aparece el cuadro de diálogo Control de
cuentas de usuario, confirme que la acción que muestra es la
que desea y, a continuación, haga clic en Sí. En una ventana del
símbolo del sistema, escriba el comando siguiente, reemplazando
Volumen con la unidad de disco apropiada:
manage-bde.exe –upgrade Volumen :
Al completar este procedimiento, habrá actualizado BitLocker de la
versión de Windows Vista a la versión de Windows 7.
ESCENARIO 4: CONFIGURAR EL MODO EN QUE LAS VERSIONES
ANTERIORES DE WINDOWS (WINDOWS 7) ADMITEN BITLOCKER
Actualizado: agosto de 2009
Se aplica a: Windows 7
Este escenario proporciona procedimientos para utilizar la configuración
de Directiva de grupo de Windows 7 con el fin de controlar el uso de
BitLocker en equipos que ejecutan Windows Vista o Windows
Server 2008.
Antes de comenzar
Para completar los procedimientos que se describen en este escenario:
• Debe proporcionar credenciales administrativas.

• Su equipo debe formar parte de un dominio.

Para configurar el modo en que las versiones anteriores de

Windows admiten BitLocker
1. Haga clic en Inicio, escriba gpedit.msc en el cuadro Buscar
programas y archivos y, a continuación, presione ENTRAR.
2. Si aparece el cuadro de diálogo Control de cuentas de usuario,
confirme que la acción que muestra es la que desea y, a
continuación, haga clic en Sí.
3. En el árbol de consola, en Directiva de equipo
local\Configuración del equipo\Plantillas
administrativas\Componentes de Windows\Cifrado de
unidad BitLocker, haga clic en Unidades del sistema
operativo.
4. Si desea utilizar métodos de autenticación multifactor o permitir
que BitLocker se utilice en equipos sin un TPM (Módulo de
plataforma segura), en el panel de detalles, haga doble clic en
Requerir autenticación adicional al iniciar (Windows Server
2008 y Windows Vista) para abrir la configuración de directiva.
5. Haga clic en Habilitado y, a continuación, seleccione los métodos
de autenticación de inicio que desea que sean compatibles en los
equipos de su organización que ejecutan Windows Vista y
Windows Server 2008. Esta configuración de directiva proporciona
los siguientes métodos de autenticación:
○ Permitir BitLocker sin un TPM compatible. Esta casilla
habilita el uso de BitLocker en equipos que no tienen un chip
de hardware de TPM. En esta situación, se debe utilizar una
unidad flash USB que almacenará la clave de cifrado de la
unidad.
 ○ Configurar opción de clave de inicio del TPM. Esta
opción sirve para exigir el uso de una clave de USB además
del TPM para proteger la unidad. Para desbloquear la unidad,
debe estar presente la clave de USB. Para poder iniciar el
sistema operativo, es necesario que el BIOS del equipo
pueda leer datos de una unidad USB. Si no desea que los
usuarios puedan utilizar claves de USB con BitLocker o si
desea que los usuarios escriban un PIN para desbloquear las
unidades del sistema operativo protegidas con BitLocker,
seleccione No permitir clave de inicio con TPM.

○ Configurar PIN de inicio del TPM. Esta opción sirve para

exigir el uso de un PIN además del TPM para proteger la
unidad. Para desbloquear la unidad, el usuario debe ingresar
el PIN. Si no desea que los usuarios puedan utilizar un PIN
con BitLocker o si desea que los usuarios deban insertar
claves de USB para desbloquear las unidades del sistema
operativo protegidas con BitLocker, seleccione No permitir
PIN de inicio con TPM.

Una vez que haya seleccionado las opciones que desee,

haga clic en Aplicar para que se aplique la configuración y,
a continuación, cierre el cuadro de diálogo.

6. Para configurar opciones de recuperación de Active Directory para

equipos de su organización que ejecuten Windows Vista o
Windows Server 2008, en el árbol de consola, en Directiva de
equipo local\Configuración del equipo\Plantillas
administrativas\Componentes de Windows, haga clic en
Cifrado de unidad BitLocker para mostrar la configuración de
directiva global.
7. Para almacenar la información de recuperación en Servicios de
dominio de Active Directory (AD DS), en el panel de detalles, haga
doble clic en la configuración de directiva Almacenar
información de recuperación de BitLocker en Servicios de
dominio de Active Directory (Windows Server 2008 y
Windows Vista), haga clic en Habilitado y, a continuación,
seleccione la casilla Requerir copia de seguridad de BitLocker
en AD DS. Cuando esta casilla esté seleccionada, BitLocker
comprobará la presencia de un controlador de dominio antes de
cifrar la unidad. Si no se puede encontrar el controlador de
dominio, el usuario no podrá activar BitLocker.
Una vez realizada esta selección, deberá seleccionar la
información de recuperación para realizar una copia de respaldo.
Puede optar por realizar una copia de respaldo solo de las
 contraseñas de recuperación o de las contraseñas de recuperación
y de los paquetes de claves. Los paquetes de claves son
necesarios para recuperar una unidad que se ha dañado de tal
forma que la recuperación de BitLocker ya no puede leer la clave
de cifrado.
Una vez que haya seleccionado las opciones que desee, haga clic
en Aplicar para que se aplique la configuración y, a continuación,
cierre el cuadro de diálogo.
8. Para configurar opciones de recuperación de equipos locales para
equipos de su organización que ejecuten Windows Vista o
Windows Server 2008, haga doble clic en la configuración de
directiva Elegir el modo en el que los usuarios pueden
recuperar unidades protegidas con BitLocker (Windows
Server 2008 y Windows Vista) y, a continuación, haga clic en
Habilitado.
A continuación, podrá configurar si el usuario tiene permiso para
seleccionar la contraseña de recuperación de 48 dígitos generada
para BitLocker o para seleccionar la clave de recuperación de 256
bits como método de recuperación cuando active BitLocker. De
forma predeterminada, ambas opciones están permitidas cuando
esta configuración está deshabilitada o no está configurada. La
clave de recuperación de BitLocker se guarda como una clave
cuando se escribe en una unidad USB o como una contraseña
cuando se guarda en un archivo o se imprime. Esta configuración
de directiva deberá estar habilitada si desea que resulte
obligatorio el uso de un método de recuperación y no se permita el
uso de otro método. Si desea que solo los administradores que
puedan leer la contraseña de recuperación de AD DS lleven a cabo
la recuperación, puede deshabilitar el uso de ambos métodos
después de configurada la directiva Almacenar información de
recuperación de BitLocker en Servicios de dominio de
Active Directory (Windows Server 2008 y Windows Vista).
Una vez que haya seleccionado las opciones que desee, haga clic
en Aplicar para que se aplique la configuración y, a continuación,
cierre el cuadro de diálogo.
9. Para controlar si los equipos que ejecutan Windows Server 2008,
Windows Vista, Windows XP con Service Pack 3 (SP3) o
Windows XP con Service Pack 2 (SP2) podrán tener acceso a
unidades extraíbles protegidas con la versión de Windows 7 de
BitLocker, en el árbol de consola de Directiva de equipo
local\Configuración del equipo\Plantillas
administrativas\Componentes de Windows\Cifrado de
unidad BitLocker, haga clic en Unidades de datos extraíbles
y, a continuación, en el panel de detalles, haga doble clic en la
 configuración de directiva Permitir el acceso a las unidades de
datos extraíbles protegidas con BitLocker en versiones
anteriores de Windows.
De forma predeterminada, cuando una unidad extraíble está
protegida con BitLocker, el Lector de BitLocker To Go se copia en
la unidad y proporciona acceso de solo lectura cuando se tiene
acceso a la unidad desde equipos que ejecutan Windows
Server 2008, Windows Vista, Windows XP con SP3 o Windows XP
con SP2, si el usuario tiene la contraseña obligatoria para
desbloquear la unidad. Para requerir que el equipo que abra la
unidad ejecute Windows 7 o tenga instalado el Lector BitLocker To
Go, haga clic en Habilitado y, a continuación, seleccione la casilla
No instalar el Lector de BitLocker To Go en unidades
extraíbles con formato de sistema de archivos FAT. Si no
desea que los equipos que ejecutan Windows Server 2008,
Windows Vista, Windows XP con SP3 o Windows XP con SP2 se
utilicen para leer unidades extraíbles con formato de sistema de
archivos FAT protegidas con BitLocker, haga clic en
Deshabilitado.
Una vez que haya seleccionado las opciones que desee, haga clic
en Aplicar para que se aplique la configuración y, a continuación,
cierre el cuadro de diálogo.

Nota
Se encuentra disponible una configuración de directiva similar para
utilizar con unidades de datos fijas.
10.Cierre el Editor de directivas de grupo local.
11. Para que la directiva de grupo aplique los cambios
inmediatamente, haga clic en Inicio, escriba
gpupdate.exe /force en el cuadro Buscar programas y
archivos y, a continuación, presione ENTRAR. Espere hasta que se
finalice el proceso.
Al completar este procedimiento, habrá establecido una directiva para
controlar el uso de BitLocker en equipos de su organización que ejecuten
Windows Vista o Windows Server 2008.
ESCENARIO 5: REQUERIR LA PROTECCIÓN DE BITLOCKER EN LAS
UNIDADES DE DATOS (WINDOWS 7)
Actualizado: agosto de 2009
Se aplica a: Windows 7
Este escenario describe cómo configurar la directiva de grupo de
Windows 7 para que las unidades de datos fijas deban estar protegidas
mediante BitLocker y, asimismo, para que se use BitLocker To Go con
unidades de datos extraíbles antes de poder escribir datos en la unidad.
Antes de empezar
Para completar el procedimiento de este escenario:
• Se deben proporcionar credenciales administrativas.

Para requerir que las unidades de datos estén protegidas con

BitLocker antes de que los datos se guarden en ellas
1. Haga clic en Inicio, escriba gpedit.msc en el cuadro Buscar
programas y archivos y, a continuación, presione ENTRAR.
2. Si aparece el cuadro de diálogo Control de cuentas de usuario,
confirme que la acción que muestra es la que desea y, a
continuación, haga clic en Sí.
3. En el árbol de consola, en Directiva de equipo
local\Configuración del equipo\Plantillas
administrativas\Componentes de Windows\Cifrado de
unidad BitLocker, haga clic en Unidades de datos fijas.
4. Para requerir que las unidades de datos fijas estén protegidas por
BitLocker a fin de que los usuarios puedan guardar datos en ellas,
haga doble clic en Denegar el acceso de escritura a unidades
fijas no protegidas por BitLocker en el panel de detalles para
abrir la configuración de directiva.
5. Haga clic en Habilitada y en Aplicar para aplicar la configuración
y, a continuación, cierre el cuadro de diálogo.
6. Reinicie el equipo.
7. Haga clic en Inicio, escriba gpedit.msc en el cuadro Buscar
programas y archivos y, a continuación, presione ENTRAR.
8. Si aparece el cuadro de diálogo Control de cuentas de usuario,
confirme que la acción que muestra es la que desea y, a
continuación, haga clic en Sí.
9. En el árbol de consola, en Directiva de equipo
local\Configuración del equipo\Plantillas
administrativas\Componentes de Windows\Cifrado de
unidad BitLocker, haga clic en Unidades de datos extraíbles.
10. Para requerir que se use BitLocker To Go en las unidades de datos
extraíbles a fin de que los usuarios puedan guardar datos en ellas,
haga doble clic en Denegar el acceso de escritura a unidades
extraíbles no protegidas por BitLocker en el panel de detalles
para abrir la configuración de directiva.
11. Haga clic en Habilitada y en Aplicar para aplicar la configuración
y, a continuación, cierre el cuadro de diálogo.

Nota
 Si habilita esta directiva de configuración, estará impidiendo el uso
de claves de inicio, claves de recuperación o protección de
BitLocker de unidades de sistema operativo sin un TPM, porque
estas características precisan de una unidad de datos extraíble sin
cifrar en la que almacenar la clave de BitLocker.
12.Cierre el Editor de directivas de grupo local.
13.Si hay alguna unidad extraíble conectada al equipo cuando esta
configuración de directiva está habilitada, se deberá extraer y
volver a insertar para que se le aplique esta configuración de
directiva.
Cuando complete este procedimiento, habrá establecido la configuración
de la directiva de grupo para que requiera que las unidades de datos
fijas deban estar protegidas mediante BitLocker y, asimismo, para que
se use BitLocker To Go con unidades de datos extraíbles antes de poder
escribir datos en la unidad. Si los usuarios intentan escribir datos en una
unidad que no está protegida por BitLocker, se les pedirá que activen
BitLocker.
ESCENARIO 6: ESPECIFICAR CÓMO DESBLOQUEAR UNIDADES DEL
SISTEMA OPERATIVO PROTEGIDAS CON BITLOCKER (WINDOWS
7)
Actualizado: agosto de 2008
Se aplica a: Windows 7
En este escenario se describe el modo de usar la configuración de la
directiva de grupo para controlar qué métodos de desbloqueo se pueden
usar con las unidades del sistema operativo de la organización. De
manera predeterminada, es necesario disponer de un Módulo de
plataforma segura (TPM) para activar BitLocker y no se precisa de
ningún otro método de desbloqueo adicional. Si desea usar BitLocker sin
TPM u obligar al uso de un método de autenticación adicional con el
TPM, siga los pasos de este escenario para establecer la configuración
de modo que sea compatible con dichos métodos de desbloqueo.
Antes de empezar
Para completar el procedimiento de este escenario:
• Se deben proporcionar credenciales administrativas.

Para especificar cómo desbloquear las unidades del sistema

operativo protegidas con BitLocker
1. Haga clic en Inicio, escriba gpedit.msc en el cuadro Buscar
programas y archivos y, a continuación, presione ENTRAR.
2. Si aparece el cuadro de diálogo Control de cuentas de usuario,
confirme que la acción que muestra es la que desea y, a
continuación, haga clic en Sí.
3. En el árbol de consola, en Directiva de equipo
local\Configuración del equipo\Plantillas
administrativas\Componentes de Windows\Cifrado de
unidad BitLocker, haga clic en Unidades del sistema
operativo.
4. Para configurar otros métodos de autenticación aparte de TPM, en
el panel de detalles, haga doble clic sobre Requerir
autenticación adicional al iniciar para abrir la configuración de
directiva y, a continuación, haga clic en Habilitada.
5. Para admitir BitLocker en equipos que ejecutan Windows 7 y que
no tienen un TPM, active la casilla Permitir BitLocker sin un
TPM compatible.
6. Para configurar las opciones de inicio de la unidad de sistema
operativo en equipos con un TPM, hay disponibles las siguientes
opciones:
○ Configurar inicio del TPM. Puede optar por permitir, exigir
o rechazar el uso del TPM con BitLocker.

○ Configurar PIN de inicio del TPM. Puede optar por

permitir, exigir o rechazar el uso del TPM junto con un PIN
con BitLocker.

○ Configurar clave de inicio del TPM. Puede optar por

permitir, exigir o rechazar el uso del TPM junto con una clave
almacenada en un dispositivo extraíble (como una unidad
flash USB) con BitLocker.

○ Configurar la clave de inicio y el PIN del TPM. Puede

optar por permitir, exigir o rechazar el uso del TPM junto con
una clave almacenada en un dispositivo extraíble (como una
unidad flash USB) y un PIN con BitLocker.

Nota
Si se decanta por exigir una opción de inicio, el resto de opciones
de inicio deberá estar deshabilitado.
Nota
Si requiere que las unidades extraíbles estén protegidas con
BitLocker, no puede usar una clave de inicio con la unidad del
sistema operativo.
Si requiere el uso de un TPM, una clave de inicio y un PIN para
desbloquear la unidad del sistema operativo, debe usar la
herramienta de línea de comandos Manage-bde.exe para elegir un
método de autenticación y habilitar BitLocker. Use el siguiente
comando para agregar el método de autenticación por clave de
 inicio, TPM y PIN, donde deberá reemplazar nombreDeVolumen por
la letra de la unidad del sistema operativo correspondiente y
letraDeUnidadExtraíble por la letra de la unidad extraíble donde va
a almacenar la clave de inicio:
manage-bde -protectors -add -tpsk nombreDeVolumen: -tsk
letraDeUnidadExtraíble:
Use el siguiente comando para activar BitLocker y cifrar la unidad,
donde deberá reemplazar nombreDeVolumen por la letra de la
unidad del sistema operativo:
manage-bde -on nombreDeVolumen:
7. Tras elegir las opciones deseadas, haga clic en Aplicar para
aplicar la configuración y cerrar el cuadro de diálogo.
8. Si usa números PIN para la autenticación junto con el TPM, puede
que desee habilitar el uso de PIN mejorados a fin de aumentar la
complejidad de los PIN. Los PIN mejorados permiten el uso de
diferentes caracteres, como letras en mayúsculas y minúsculas,
símbolos, números y espacios. No todos los equipos son
compatibles con estos caracteres antes de que se inicie el sistema
operativo, por lo que recomendamos que los usuarios realicen una
comprobación del sistema durante la configuración de BitLocker
para confirmar que el equipo admite la configuración de BitLocker
que ha seleccionado antes de cifrar la unidad. Haga doble clic en
el valor de la directiva Permitir los PIN mejorados para el
inicio y en Habilitada para que sea posible usar PIN mejorados
con unidades del sistema operativo protegidas con BitLocker. Si
esta configuración de directiva está deshabilitada o no está
configurada, no se podrán usar los PIN mejorados.
9. Tras elegir las opciones deseadas, haga clic en Aplicar para
aplicar la configuración y cerrar el cuadro de diálogo.
10.Cierre el Editor de directivas de grupo local.
11. Para hacer que la directiva de grupo aplique los cambios de
inmediato, puede hacer clic en Inicio, escribir
gpupdate.exe /force en el cuadro Buscar programas y
archivos y, a continuación, presionar ENTRAR. Espere a que el
proceso finalice.
Con este procedimiento, ha configurado la directiva de grupo para
controlar qué métodos de desbloqueo se pueden usar con las unidades
del sistema operativo de la organización.
ESCENARIO 7: ESPECIFICAR CÓMO DESBLOQUEAR UNIDADES DE
DATOS EXTRAÍBLES O FIJAS PROTEGIDAS POR BITLOCKER
(WINDOWS 7)
Actualizado: agosto de 2009
Se aplica a: Windows 7
En este escenario, determinará los métodos de desbloqueo de unidades
fijas y extraíbles que se pueden usar mediante la configuración de las
opciones apropiadas de la directiva de grupo.
Antes de empezar
Para completar los procedimientos en este escenario:
• Debe proporcionar credenciales administrativas.

• Su equipo de prueba debe formar parte de un dominio si desea

probar los requisitos de complejidad de contraseñas.

• Debe disponer de unidades de datos fijas y unidades extraíbles por

separado.

• Debe arrancar desde una unidad con un sistema operativo

protegido con BitLocker para usar el método de desbloqueo
automático con unidades de datos fijas.

• Debe haber implementado la arquitectura de infraestructura de

clave pública (PKI) para usar con tarjetas inteligentes.

• Su equipo debe cumplir los requisitos de BitLocker. Para obtener

más información, vea "Requisitos del Cifrado de unidad BitLocker"
en la Guía paso a paso del Cifrado de unidad BitLocker para
Windows 7.

Nota
Si BitLocker está habilitado en la unidad del sistema operativo, al
activarlo para una unidad de datos fija tendrá la opción de permitir que
la unidad se desbloquee automáticamente cuando la unidad del sistema
operativo esté desbloqueada. El siguiente procedimiento asume que la
unidad de datos fija estaba protegida con BitLocker previamente y que el
método de desbloqueo automático no estaba seleccionado. Las unidades
de datos extraíbles deben contar con un método de desbloqueo por
tarjeta inteligente o por contraseña, además del método de desbloqueo
automático. El desbloqueo automático no se puede especificar
directamente mediante la configuración de directivas.
Para configurar una unidad de datos fija o extraíble protegida
con BitLocker para que se desbloquee automáticamente
1. Haga clic en Inicio, haga clic en Equipo y, a continuación, haga
clic con el botón secundario en la unidad de datos fija o extraíble
protegida con BitLocker que desea desbloquear automáticamente.
2. Haga clic en Administrar BitLocker y, a continuación, en
Desbloquear automáticamente esta unidad del equipo.
Para especificar el uso de la contraseña para unidades de datos
fijas o extraíbles protegidas con BitLocker
1. Haga clic en Inicio, escriba gpedit.msc en el cuadro Buscar
programas y archivos y, a continuación, presione ENTRAR.
2. Si aparece el cuadro de diálogo Control de cuentas de usuario,
confirme que la acción que muestra es la que desea y, a
continuación, haga clic en Sí.
3. En el árbol de consola que se encuentra en Directiva de equipo
local\Configuración del equipo\Plantillas
administrativas\Componentes de Windows\Cifrado de
unidad BitLocker, haga clic en Unidades de datos fijas.
4. De forma predeterminada, las contraseñas pueden usarse con
BitLocker para proteger las unidades de datos fijas. Las
configuraciones predeterminadas no exigen ningún tipo de
requisitos de complejidad de contraseña, pero sí requieren que la
misma contenga, al menos, 8 caracteres. Para especificar
configuraciones diferentes, haga doble clic en Configurar el uso
de contraseñas para unidades de datos fijas en el panel de
detalles para abrir la configuración de directiva.
5. Haga clic en Deshabilitado para evitar el uso de contraseñas con
unidades de datos fijas, o haga clic en Habilitado y configure las
siguientes opciones:
○ Active la casilla Requerir contraseña para unidad de
datos fija si desea solicitar que el usuario escriba una
contraseña para activar BitLocker en una unidad de datos
fija. Si se configuraron otros métodos de desbloqueo para la
unidad, cualquiera de ellos puede usarse para
desbloquearla.

○ En Configure la complejidad de la contraseña para

unidades de datos fijas, puede elegir permitir, solicitar o
no permitir la obligatoriedad del uso de la regla de
complejidad de contraseñas con las contraseñas para
unidades de datos fijas de BitLocker.

Si elige Requerir complejidad de la contraseña, también

deberá haber configurado la opción de directiva La
contraseña debe cumplir los requisitos de
complejidad ubicada en Configuración del
equipo\Configuración de Windows\Configuración de
seguridad\Directivas de cuenta\Directiva de
contraseñas. Además, el equipo debe estar conectado al
dominio cuando configure la contraseña de BitLocker para la
unidad (como cuando BitLocker está activado o cuando se
 modifica una contraseña), para que el controlador de
dominio pueda validar que la contraseña especificada para
la unidad cumple las reglas de complejidad.

Si elige Permitir complejidad de la contraseña,

BitLocker intentará conectarse al controlador de dominio
para validar la contraseña, pero si no puede conectarse,
aceptará la contraseña y cifrará la unidad con la contraseña,
independientemente de si esta cumple o no las reglas de
complejidad definidas por la directiva de contraseñas.

Si elige No permitir complejidad de la contraseña,

BitLocker no intentará validar si la contraseña especificada
es compleja.

○ En Longitud mínima de la contraseña para unidades

de datos fijas, puede especificar un número entre 8 y 99
que defina lo larga que debe ser la contraseña especificada
para la unidad. Las contraseñas siempre deben contener, al
menos, 8 caracteres.

6. Una vez elegidas las opciones, haga clic en Aplicar para aplicar la
configuración establecida y, a continuación, cierre el cuadro de
diálogo.
7. En el árbol de consola que se encuentra en Directiva de equipo
local\Configuración del equipo\Plantillas
administrativas\Componentes de Windows\Cifrado de
unidad BitLocker haga clic en Unidades de datos extraíbles.
8. De forma predeterminada, las contraseñas pueden usarse con
BitLocker para proteger las unidades de datos extraíbles. Las
configuraciones predeterminadas no exigen ningún tipo de
requisitos de complejidad de contraseña, pero sí requieren que la
misma contenga, al menos, 8 caracteres. Para especificar
configuraciones diferentes, haga doble clic en Configurar el uso
de contraseñas para unidades de datos extraíbles en el
panel de detalles para abrir la configuración de directiva.
9. Haga clic en Deshabilitado para evitar el uso de contraseñas con
unidades de datos extraíbles, o haga clic en Habilitado y
configure las siguientes opciones:
○ Active la casilla Requerir contraseña para unidad de
datos extraíble si desea solicitar que el usuario escriba una
contraseña para activar BitLocker en una unidad de datos
extraíble. Si se configuraron otros métodos de desbloqueo
para la unidad, cualquiera de ellos puede usarse para
desbloquearla.
 ○ En Configure la complejidad de la contraseña para
unidades de datos extraíbles, puede elegir permitir,
solicitar o no permitir la obligatoriedad del uso de la regla de
complejidad de contraseñas con las contraseñas para
unidades de datos extraíbles de BitLocker.

Si elige Requerir complejidad de la contraseña, también

deberá haber configurado la opción de directiva La
contraseña debe cumplir los requisitos de
complejidad ubicada en Configuración del
equipo\Configuración de Windows\Configuración de
seguridad\Directivas de cuenta\Directiva de
contraseñas, y el equipo deberá estar conectado al
dominio cuando BitLocker esté activado, para que el
controlador de dominio pueda validar que la contraseña
especificada para la unidad cumple las reglas de
complejidad.

Si elige Permitir complejidad de la contraseña,

BitLocker intentará conectarse al controlador de dominio
para validar la contraseña, pero si no puede conectarse,
aceptará la contraseña y cifrará la unidad con la contraseña,
independientemente de si esta cumple o no las reglas de
complejidad definidas por la directiva de contraseñas.

Si elige No permitir complejidad de la contraseña,

BitLocker no intentará validar si la contraseña especificada
es compleja.

○ En Longitud mínima de la contraseña para unidades

de datos fijas, puede especificar un número entre 8 y 99
que defina lo larga que debe ser la contraseña especificada
para la unidad. Las contraseñas siempre deben contener, al
menos, 8 caracteres.

10. Una vez elegidas las opciones, haga clic en Aplicar para aplicar la
configuración establecida y, a continuación, cierre el cuadro de
diálogo.
11.Cierre el Editor de directivas de grupo local.
12. Para exigir que la directiva de grupo aplique los cambios
inmediatamente, haga clic en Inicio, escriba
gpupdate.exe /force en el cuadro Buscar programas y
archivos y, a continuación, presione ENTRAR. Espere hasta que se
termine el proceso.
Para especificar el uso de la tarjeta inteligente para unidades de
datos fijas o extraíbles protegidas con BitLocker
1. Haga clic en Inicio, escriba gpedit.msc en el cuadro Buscar
programas y archivos y, a continuación, presione ENTRAR.
2. Si aparece el cuadro de diálogo Control de cuentas de usuario,
confirme que la acción que muestra es la que desea y, a
continuación, haga clic en Sí.
3. En el árbol de consola que se encuentra en Directiva de equipo
local\Configuración del equipo\Plantillas
administrativas\Componentes de Windows\Cifrado de
unidad BitLocker, haga clic en Unidades de datos fijas.
4. De forma predeterminada, las tarjetas inteligentes se pueden usar
con BitLocker para proteger las unidades de datos fijas. Para
solicitar o impedir el uso de tarjetas inteligentes, haga doble clic
en Configurar el uso de tarjetas inteligentes en unidades
de datos fijas en el panel de detalles para abrir la configuración
de directiva.
5. Haga clic en Deshabilitado para impedir el uso de tarjetas
inteligentes con unidades de datos fijas.
6. Haga clic en Habilitado y active la casilla Requerir el uso de
tarjetas inteligentes en unidades de datos fijas si desea
exigir que el usuario inserte una tarjeta inteligente para activar
BitLocker.
Si se configuraron otros métodos de desbloqueo para la unidad,
cualquiera de ellos puede usarse para desbloquearla.
7. Una vez elegidas las opciones, haga clic en Aplicar para aplicar la
configuración establecida y, a continuación, cierre el cuadro de
diálogo.
8. En el árbol de consola que se encuentra en Directiva de equipo
local\Configuración del equipo\Plantillas
administrativas\Componentes de Windows haga clic en
Cifrado de unidad BitLocker.
9. Si tiene varios certificados de tarjetas inteligentes, puede
especificar qué certificados se pueden usar con BitLocker. Para
ello, haga doble clic en la configuración de directiva Validar
cumplimiento de regla de uso de certificado de tarjeta
inteligente en el panel de detalles.
De forma predeterminada, BitLocker usa certificados de tarjetas
inteligentes que contienen el atributo de uso mejorado de clave
(EKU) equivalente al identificador de objeto BitLocker de
1.3.6.1.4.1.311.67.1.1, pero BitLocker no exige que el atributo
EKU esté presente para que se use el certificado con BitLocker. Sin
 embargo, puede cambiar la configuración de esta directiva a
Habilitado y escribir un valor en Identificador de objeto para
solicitar que un certificado cuente con un atributo EKU en
particular antes de que se use con BitLocker. Si configura esta
directiva como Deshabilitado o No configurado, se usará el
identificador de objeto predeterminado.
10. Una vez elegidas las opciones, haga clic en Aplicar para aplicar la
configuración establecida y, a continuación, cierre el cuadro de
diálogo.
11. En el árbol de consola que se encuentra en Directiva de equipo
local\Configuración del equipo\Plantillas
administrativas\Componentes de Windows\Cifrado de
unidad BitLocker haga clic en Unidades de datos extraíbles.
12. De forma predeterminada, las tarjetas inteligentes se pueden usar
con BitLocker para proteger las unidades de datos extraíbles. Para
solicitar o impedir el uso de tarjetas inteligentes, haga doble clic
en Configurar el uso de tarjetas inteligentes en unidades
de datos extraíbles en el panel de detalles para abrir la
configuración de directiva.
13. Haga clic en Deshabilitado para impedir el uso de tarjetas
inteligentes con unidades de datos extraíbles.
14. Haga clic en Habilitado y active la casilla Requerir el uso de
tarjetas inteligentes en unidades de datos extraíbles si
desea exigir que el usuario inserte una tarjeta inteligente para
activar BitLocker.
15. Una vez elegidas las opciones, haga clic en Aplicar para aplicar la
configuración establecida y, a continuación, cierre el cuadro de
diálogo.
16.Cierre el Editor de directivas de grupo local.
17. Para exigir que la directiva de grupo aplique los cambios
inmediatamente, haga clic en Inicio, escriba
gpupdate.exe /force en el cuadro Buscar programas y
archivos y, a continuación, presione ENTRAR. Espere hasta que se
termine el proceso.
Al terminar los procedimientos de este escenario, habrá especificado los
métodos que se pueden usar para desbloquear las unidades protegidas
con BitLocker. Estas directivas son obligatorias en las unidades al activar
BitLocker.
ESCENARIO 8: ESPECIFICAR CÓMO SE PUEDEN RECUPERAR LAS
UNIDADES PROTEGIDAS POR BITLOCKER (WINDOWS 7)
Actualizado: agosto de 2009
Se aplica a: Windows 7
Si no se puede implementar un método de desbloqueo, por ejemplo
cuando el Módulo de plataforma segura (TPM) detecta un cambio en los
componentes de arranque o cuando se olvida una contraseña, los
usuarios deberán usar un método de recuperación para tener acceso a
sus datos. Antes de realizar el proceso de recuperación, debe comprobar
que no se haya alterado la unidad y debe aislar el equipo de la red hasta
que se determinen los riesgos que presenta el sistema. Este escenario
incluye procedimientos para configurar las opciones de recuperación
disponibles para unidades de sistema operativo, y para unidades de
datos fijas y extraíbles. Estos procedimientos describen cómo configurar
las directivas de grupo adecuadas para que sean compatibles con las
opciones de recuperación disponibles para los usuarios de la empresa.
Puede solicitar que los usuarios guarden las claves o los archivos de
recuperación, permitir el uso de un agente de recuperación de datos, o
requerir que se haga una copia de seguridad de toda la información de
la recuperación en Servicios de dominio de Active Directory (AD DS) y
evitar que los usuarios creen y guarden contraseñas y claves de
recuperación.

Nota
Si se recupera el acceso a una unidad de sistema operativo mediante la
consola de recuperación después de un cambio en la configuración del
equipo, suspenda y reanude la protección de BitLocker antes de apagar o
poner el equipo en modo de hibernación. De lo contrario, se detectarán
de nuevo las condiciones que ocasionaron que BitLocker iniciara la
unidad de sistema operativo en modo de recuperación y se requerirá la
información de recuperación para iniciar el sistema operativo.
Antes de empezar
Para completar los procedimientos en este escenario:
• Debe proporcionar credenciales administrativas.

• El equipo de prueba debe ser parte de un domino.

Realice los siguientes procedimientos para especificar el método de

recuperación para cada tipo de unidad.
Para especificar el modo en el que se pueden recuperar
unidades de sistema operativo protegidas por BitLocker
1. Haga clic en Inicio, escriba gpedit.msc en el cuadro Buscar
programas y archivos y, a continuación, presione ENTRAR.
2. Si aparece el cuadro de diálogo Control de cuentas de usuario,
confirme que la acción que muestra es la que desea y, a
continuación, haga clic en Sí.
3. En el árbol de consola, en Directiva de equipo
local\Configuración del equipo\Plantillas
 administrativas\Componentes de Windows\Cifrado de
unidad BitLocker, haga clic en Unidades del sistema
operativo.
4. Para configurar las opciones de recuperación de las unidades del
sistema operativo, en el panel de detalles, haga doble clic en
Elegir cómo se pueden recuperar unidades del sistema
operativo protegidas por BitLocker para abrir la configuración
de la directiva. Si esta directiva está deshabilitada o no se
configuró, las opciones de recuperación predeterminadas son
compatibles con la recuperación de BitLocker. De manera
predeterminada, se permite un agente de recuperación de datos,
el usuario puede elegir crear una contraseña o una clave de
recuperación al activar BitLocker y no se hacen copias de
seguridad de la información de recuperación en AD DS.
5. Para especificar otras opciones de recuperación, haga clic en
Habilitada y, a continuación, configure las siguientes opciones
según corresponda:
○ Active la casilla Permitir agente de recuperación de
datos para permitir el uso de cuentas específicas para
recuperar unidades protegidas por BitLocker. Para poder
usar un agente de recuperación de datos, la cuenta se debe
configurar y agregar a la siguiente ubicación de la directiva
de grupo: Configuración del equipo\Configuración de
Windows\Configuración de seguridad\Directivas de
clave pública\Cifrado de unidad BitLocker. Para obtener
más información acerca de la configuración de agentes de
recuperación de datos, vea Using Data Recovery Agents with
BitLocker. Si no desea permitir el uso de agentes de
recuperación de datos con BitLocker, desactive la casilla.

○ En Configurar almacenamiento de usuario de la

información de recuperación de BitLocker, puede elegir
si desea permitir, requerir o no permitir que un usuario cree
una contraseña de recuperación de 48 dígitos o una clave de
recuperación de 256 bits al activar BitLocker. Si se requiere
una opción de almacenamiento de usuario, se deben
desactivar las otras. Si desea brindar a los usuarios la opción
de utilizar una contraseña de recuperación o una clave de
recuperación, debe seleccionar Permitir contraseña de
recuperación de 48 dígitos y Permitir clave de
recuperación de 256 bits. Si no desea permitir que los
usuarios almacenen o impriman información de
recuperación, seleccione No permitir contraseña de
recuperación de 48 dígitos y No permitir clave de
recuperación de 256 bits.
○ Active la casilla Guardar información de recuperación
de BitLocker en AD DS para unidades de sistema
operativo y, a continuación, elija si desea Almacenar
contraseñas de recuperación y paquetes de claves en
AD DS o Almacenar solo contraseñas de recuperación.
El almacenamiento de contraseñas de recuperación en AD
DS permite que los administradores de sistema proporcionen
contraseñas de recuperación a los usuarios o que recuperen
unidades protegidas por BitLocker cuando la contraseña o la
clave de recuperación almacenada por el usuario no está
disponible (por ejemplo, cuando un usuario pierde la copia
impresa de la contraseña de recuperación o cuando no se
puede tener acceso al archivo de la clave de recuperación
almacenado). Almacenar los paquetes de claves, además de
las contraseñas de recuperación, permite que los
administradores usen la herramienta de la línea de
comandos Repair-bde para recuperar una unidad protegida
por BitLocker que se dañó de tal manera que no que se
puede leer la clave de cifrado desde la unidad.

○ Active la casilla No habilitar BitLocker hasta que la

información de recuperación se almacene en AD DS
para unidades de sistema operativo para asegurar que
la información de recuperación para todas las unidades de
sistema operativo protegidas por BitLocker de la
organización se almacene en AD DS. La información de
recuperación se genera cuando se cifra una unidad por
primera vez y no se envía a AD DS de forma automática
después del cifrado. Si activa esta casilla, se requerirá que
los usuarios estén conectados al dominio cuando activen
BitLocker.

○ Active la casilla Omitir opciones de recuperación en el

asistente para la configuración de BitLocker si desea
que esta configuración de directiva controle la elección del
método de recuperación y que las opciones de recuperación
no se muestren al usuario. Para habilitar esta opción,
seleccione una o las dos opciones de configuración
administrativa de recuperación, Guardar información de
recuperación de BitLocker en AD DS para unidades de
sistema operativo y Permitir agente de recuperación
de datos, para asegurarse de poder recuperar la unidad
protegida por BitLocker.
 6. Una vez elegidas las opciones, haga clic en Aplicar para aplicar la
configuración establecida y, a continuación, cierre el cuadro de
diálogo.
7. Para exigir que la directiva de grupo aplique los cambios
inmediatamente, haga clic en Inicio, escriba
gpupdate.exe /force en el cuadro Buscar programas y
archivos y, a continuación, presione ENTRAR. Espere hasta que se
termine el proceso.
Para especificar el modo en el que se pueden recuperar
unidades de datos fijas protegidas por BitLocker
1. Haga clic en Inicio, escriba gpedit.msc en el cuadro Buscar
programas y archivos y, a continuación, presione ENTRAR.
2. Si aparece el cuadro de diálogo Control de cuentas de usuario,
confirme que la acción que muestra es la que desea y, a
continuación, haga clic en Sí.
3. En el árbol de consola que se encuentra en Directiva de equipo
local\Configuración del equipo\Plantillas
administrativas\Componentes de Windows\Cifrado de
unidad BitLocker, haga clic en Unidades de datos fijas.
4. Para configurar las opciones de recuperación de unidades de datos
fijas, en el panel de detalles, haga doble clic en Elegir cómo se
pueden recuperar unidades fijas protegidas por BitLocker
para abrir la configuración de la directiva. Si esta directiva está
deshabilitada o no se configuró, las opciones de recuperación
predeterminadas son compatibles con la recuperación de
BitLocker. De manera predeterminada, se permite un agente de
recuperación de datos, el usuario puede elegir crear una
contraseña o una clave de recuperación al activar BitLocker y no
se hacen copias de seguridad de la información de recuperación
en AD DS.
5. Para especificar otras opciones de recuperación, haga clic en
Habilitada y, a continuación, configure las siguientes opciones
según corresponda:
○ Active la casilla Permitir agente de recuperación de
datos para permitir el uso de cuentas específicas para
recuperar unidades protegidas por BitLocker. Para poder
usar un agente de recuperación de datos, la cuenta se debe
configurar y agregar a la siguiente ubicación de la directiva
de grupo: Configuración del equipo\Configuración de
Windows\Configuración de seguridad\Directivas de
clave pública\Cifrado de unidad BitLocker. Para obtener
más información acerca de la configuración de agentes de
recuperación de datos, vea Using Data Recovery Agents with
 BitLocker. Si no desea permitir el uso de agentes de
recuperación de datos con BitLocker, desactive la casilla
Permitir agente de recuperación de datos.

○ En Configurar almacenamiento de usuario de la

información de recuperación de BitLocker, puede elegir
si desea permitir, requerir o no permitir que un usuario cree
una contraseña de recuperación de 48 dígitos o una clave de
recuperación de 256 bits al activar BitLocker.

○ Active la casilla Guardar información de recuperación

de BitLocker en AD DS para unidades de datos fijas y,
a continuación, elija si desea Almacenar contraseñas de
recuperación y paquetes de claves en AD DS o
Almacenar solo contraseñas de recuperación. El
almacenamiento de contraseñas de recuperación en AD DS
permite que los administradores de sistema proporcionen
contraseñas de recuperación a los usuarios o que recuperen
unidades protegidas por BitLocker cuando la contraseña o la
clave de recuperación almacenada por el usuario no está
disponible (por ejemplo, cuando un usuario pierde la copia
impresa de la contraseña de recuperación o cuando no se
puede tener acceso al archivo de la clave de recuperación
almacenado). Almacenar los paquetes de claves, además de
las contraseñas de recuperación, permite que los
administradores usen la herramienta de la línea de
comandos Repair-bde para recuperar una unidad protegida
por BitLocker que se dañó de tal manera que no que se
puede leer la clave de cifrado desde la unidad.

○ Active la casilla No habilitar BitLocker hasta la

información de recuperación se almacene en AD DS
para unidades de datos fijas para asegurar que la
información de recuperación para todas las unidades de
datos fijas protegidas por BitLocker de la organización se
almacene en AD DS. La información de recuperación se
genera cuando se cifra una unidad por primera vez y no se
envía a AD DS de forma automática después del cifrado. Si
activa esta casilla, se requerirá que los usuarios estén
conectados al dominio cuando activen BitLocker.

○ Active la casilla Omitir opciones de recuperación en el

asistente para la configuración de BitLocker si desea
que esta configuración de directiva controle la elección del
método de recuperación y que las opciones de recuperación
no se muestren al usuario. Para habilitar esta opción,
 seleccione una o las dos opciones de configuración
administrativa de recuperación, Guardar información de
recuperación de BitLocker en AD DS para unidades de
datos fijas y Permitir agente de recuperación de
datos, para asegurarse de poder recuperar la unidad
protegida por BitLocker.

6. Una vez elegidas las opciones, haga clic en Aplicar para aplicar la
configuración establecida y, a continuación, cierre el cuadro de
diálogo.
7. Para exigir que la directiva de grupo aplique los cambios
inmediatamente, haga clic en Inicio, escriba
gpupdate.exe /force en el cuadro Buscar programas y
archivos y, a continuación, presione ENTRAR. Espere hasta que se
termine el proceso.
Para especificar el modo en el que se pueden recuperar
unidades de datos extraíbles protegidas por BitLocker
1. Haga clic en Inicio, escriba gpedit.msc en el cuadro Buscar
programas y archivos y, a continuación, presione ENTRAR.
2. Si aparece el cuadro de diálogo Control de cuentas de usuario,
confirme que la acción que muestra es la que desea y, a
continuación, haga clic en Sí.
3. En el árbol de consola que se encuentra en Directiva de equipo
local\Configuración del equipo\Plantillas
administrativas\Componentes de Windows\Cifrado de
unidad BitLocker haga clic en Unidades de datos extraíbles.
4. Para configurar las opciones de recuperación de unidades de datos
extraíbles, en el panel de detalles, haga doble clic en Elegir cómo
se pueden recuperar unidades extraíbles protegidas por
BitLocker para abrir la configuración de la directiva. Si esta
directiva está deshabilitada o no se configuró, las opciones de
recuperación predeterminadas son compatibles con la
recuperación de BitLocker. De manera predeterminada, se permite
un agente de recuperación de datos, el usuario puede elegir crear
una contraseña o una clave de recuperación al activar BitLocker y
no se hacen copias de seguridad de la información de
recuperación en AD DS.
5. Para especificar otras opciones de recuperación, haga clic en
Habilitada y, a continuación, configure las siguientes opciones
según corresponda:
○ Active la casilla Permitir agente de recuperación de
datos para permitir el uso de cuentas específicas para
recuperar unidades protegidas por BitLocker. Para poder
 usar un agente de recuperación de datos, la cuenta se debe
configurar y agregar a la siguiente ubicación de la directiva
de grupo: Configuración del equipo\Configuración de
Windows\Configuración de seguridad\Directivas de
clave pública\Cifrado de unidad BitLocker. Para obtener
más información acerca de la configuración de agentes de
recuperación de datos, vea Using Data Recovery Agents with
BitLocker. Si no desea permitir el uso de agentes de
recuperación de datos con BitLocker, desactive la casilla.

○ En Configurar almacenamiento de usuario de la

información de recuperación de BitLocker, puede elegir
si desea permitir, requerir o no permitir que un usuario cree
una contraseña de recuperación de 48 dígitos o una clave de
recuperación de 256 bits al activar BitLocker. De manera
predeterminada, no se usan claves de recuperación con
unidades de datos extraíbles.

○ Active la casilla Guardar información de recuperación

de BitLocker en AD DS para unidades de datos
extraíbles y, a continuación, elija si desea Almacenar
contraseñas de recuperación y paquetes de claves en
AD DS o Almacenar solo contraseñas de recuperación.
El almacenamiento de contraseñas de recuperación en AD
DS permite que los administradores de sistema proporcionen
contraseñas de recuperación a los usuarios o que recuperen
unidades protegidas por BitLocker cuando la contraseña o la
clave de recuperación almacenada por el usuario no está
disponible (por ejemplo, cuando un usuario pierde la copia
impresa de la contraseña de recuperación o cuando no se
puede tener acceso al archivo de la clave de recuperación
almacenado). Almacenar los paquetes de claves, además de
las contraseñas de recuperación, permite que los
administradores usen la herramienta de la línea de
comandos Repair-bde para recuperar una unidad protegida
por BitLocker que se dañó de tal manera que no que se
puede leer la clave de cifrado desde la unidad.

○ Active la casilla No habilitar BitLocker hasta que la

información de recuperación se almacene en AD DS
para unidades de datos extraíbles para asegurar que la
información de recuperación para todas las unidades de
datos extraíbles protegidas por BitLocker de la organización
se almacene en AD DS. La información de recuperación se
genera cuando se cifra una unidad por primera vez y no se
envía a AD DS de forma automática después del cifrado. Si
 activa esta casilla, se requerirá que los usuarios estén
conectados al dominio cuando activen BitLocker.

○ Active la casilla Omitir opciones de recuperación en el

asistente para la configuración de BitLocker si desea
que esta configuración de directiva controle la elección del
método de recuperación y que las opciones de recuperación
no se muestren al usuario. Para habilitar esta opción,
seleccione una o las dos opciones de configuración
administrativa de recuperación, Guardar información de
recuperación de BitLocker en AD DS para unidades de
datos extraíbles y Permitir agente de recuperación de
datos, para asegurarse de poder recuperar la unidad
protegida por BitLocker.

6. Una vez elegidas las opciones, haga clic en Aplicar para aplicar la
configuración establecida y, a continuación, cierre el cuadro de
diálogo.
7. Cierre el Editor de directivas de grupo local.
8. Para exigir que la directiva de grupo aplique los cambios
inmediatamente, haga clic en Inicio, escriba
gpupdate.exe /force en el cuadro Buscar programas y
archivos y, a continuación, presione ENTRAR. Espere hasta que se
termine el proceso.
Al finalizar los procedimientos que incluye este escenario, habrá
configurado la directiva de grupo mediante la selección de las opciones
de recuperación disponibles para unidades de sistema operativo y para
unidades de datos fijas y extraíbles.

ESCENARIO 9: CONFIGURAR EL MÉTODO Y...

ESCENARIO 9: CONFIGURAR EL MÉTODO Y LA INTENSIDAD DE
CIFRADO (WINDOWS 7)
Actualizado: agosto de 2009
Se aplica a: Windows 7
En este escenario, se describe cómo modificar el método y la intensidad
de cifrado usados por el Cifrado de unidad BitLocker para cifrar unidades
del sistema operativo, unidades de datos fijas y unidades de datos
extraíbles. BitLocker admite claves de cifrado de 128 bits y de 256 bits.
Las claves de cifrado más largas ofrecen un nivel mayor de seguridad y
son menos vulnerables a los ataques mediante métodos de "fuerza
bruta". Sin embargo, las claves más largas pueden hacer que el cifrado y
descifrado de datos sean más lentos. Además, BitLocker admite un
algoritmo Difusor para proteger el sistema contra los ataques de
manipulación de texto cifrado, un tipo de ataque en el que se realizan
cambios en los datos cifrados, con el objeto de intentar detectar
patrones o puntos débiles.
Esta opción de directiva de grupo se aplica cuando se activa BitLocker.
El cambio del método de cifrado no tiene efecto si la unidad ya está
cifrada o si el cifrado se encuentra en curso. El método de cifrado debe
cambiarse antes de cifrar la unidad con BitLocker por el método que
seleccionó que se puede usar en la unidad.
De forma predeterminada, BitLocker usa el cifrado Estándar de cifrado
avanzado (AES) con claves de cifrado de 128 bits y difusor. La mayoría
de las organizaciones no necesitan modificar esta configuración, pero en
algunas situaciones, por ejemplo, si la organización cumple con el
Estándar federal de procesamiento de información (FIPS), debe
modificarse el método de cifrado para que no use el difusor. Si está en
un entorno de alto nivel de seguridad, es posible que deba usar el
algoritmo de cifrado de 256 bits con el difusor a fin de proporcionar un
nivel mayor de cifrado.
Antes de empezar
Para completar el procedimiento en este escenario:
• Debe poder proporcionar credenciales administrativas.

Para configurar el método y la intensidad de cifrado de

BitLocker
1. Haga clic en Inicio, escriba gpedit.msc en el cuadro Buscar
programas y archivos y, a continuación, presione ENTRAR.
2. Si aparece el cuadro de diálogo Control de cuentas de usuario,
confirme que la acción que muestra es la que desea y, a
continuación, haga clic en Sí.
3. En el árbol de consola, en Directiva de equipo
local\Configuración del equipo\Plantillas
administrativas\Componentes de Windows, haga clic en
Cifrado de unidad BitLocker.
4. Para cambiar el algoritmo de cifrado predeterminado usado por
BitLocker, en el panel de detalles, haga doble clic en Elegir
método de cifrado e intensidad de cifrado de unidad para
abrir la configuración de la directiva.
5. Si esta configuración está deshabilitada o no está configurada,
BitLocker usará el método de cifrado predeterminado de AES 128
bits con difusor. El difusor es un método de cifrado adicional que
se aplica cuando se cifra y se descifra la unidad para proporcionar
protección adicional a los datos cuando se pasa de texto simple a
la forma cifrada.
 6. Para cambiar el método y la intensidad de cifrado, haga clic en
Habilitada para la configuración de la directiva. En Seleccione el
método de cifrado, seleccione AES 256 bits con difusor para
elegir un algoritmo de cifrado más seguro. Si su organización tiene
requisitos formales para usar únicamente algoritmos de cifrado
aprobados por el gobierno, puede seleccionar AES 128 bits o AES
256 bits; de lo contrario, no se recomienda usar estos métodos de
cifrado.
7. Después de elegir las opciones, haga clic en Aplicar para aplicar
la configuración y, a continuación, cierre el cuadro de diálogo.
8. Cierre el Editor de directivas de grupo local.
9. Para que Directiva de grupo aplique los cambios inmediatamente,
haga clic en Inicio, escriba gpupdate.exe /force en el cuadro
Buscar programas y archivos y, a continuación, presione
Entrar. Espere hasta que finalice el proceso.
Al completar este procedimiento, habrá modificado el método y la
intensidad de cifrado usados por BitLocker para cifrar unidades del
sistema operativo, unidades de datos fijas y unidades de datos
extraíbles.
ESCENARIO 10: CONFIGURAR EL CAMPO DE IDENTIFICACIÓN DE
BITLOCKER (WINDOWS 7)
Actualizado: agosto de 2009
Se aplica a: Windows 7
BitLocker en Windows 7 puede usar campos de identificación para
determinar si la unidad que protege pertenece a la organización, así
como usar un campo de identificación secundario para determinar si
dicha unidad pertenece a una organización externa de confianza. Los
campos de identificación se validan si los agentes de recuperación de
datos están habilitados y BitLocker To Go está activado.
Los agentes de recuperación de datos se actualizarán cuando proceda
para garantizar que los usuarios autorizados pueden recuperar la
unidad, mientras que la aplicación Lector de BitLocker To Go se
actualizará cuando sea necesario en una unidad extraíble. Si el campo
de identificación no está configurado, la unidad se considerará como
perteneciente a la organización. Si lo está, deberá coincidir con el campo
de identificación o el campo de identificación permitido especificado en
la directiva para que BitLocker pueda actualizar la información del
agente de recuperación de datos o el Lector de BitLocker To Go en la
unidad.
Antes de empezar
Para completar el procedimiento de este escenario:
• Debe proporcionar credenciales administrativas.
Para configurar un campo de identificación de BitLocker
1. Haga clic en Inicio, escriba gpedit.msc en el cuadro Buscar
programas y archivos y, a continuación, presione ENTRAR.
2. Si aparece el cuadro de diálogo Control de cuentas de usuario,
confirme que la acción que muestra es la que desea y, a
continuación, haga clic en Sí.
3. En el árbol de consola que se encuentra en Directiva de equipo
local\Configuración del equipo\Plantillas
administrativas\Componentes de Windows haga clic en
Cifrado de unidad BitLocker.
4. En el panel de detalles, haga doble clic en la configuración de
directiva Proporcionar los identificadores únicos de su
organización y, a continuación, haga clic en Habilitada.
○ En Campo de identificación, escriba el identificador único
de la organización.

○ En Campo de identificación de BitLocker permitido,

escriba los identificadores exclusivos de las organizaciones
externas de confianza que puedan tener unidades extraíbles
protegidas por BitLocker a las que se obtiene acceso desde
los equipos de su organización.

5. Si no desea usar campos de identificación, establezca la directiva

en Deshabilitada o No configurada. Una vez elegidas las
opciones, haga clic en Aplicar para aplicar la configuración
establecida y, a continuación, cierre el cuadro de diálogo.
6. Cierre el Editor de directivas de grupo local.
7. Para exigir que la directiva de grupo aplique los cambios
inmediatamente, haga clic en Inicio, escriba
gpupdate.exe /force en el cuadro Buscar programas y
archivos y, a continuación, presione ENTRAR. Espere hasta que se
termine el proceso.

Nota
Los campos de identificación se agregan a las unidades protegidas por
BitLocker cuando BitLocker se activa. Si ya ha implementado BitLocker y
desea agregar un campo de identificación, puede usar el siguiente
comando Manage-bde para asociar un identificador con la unidad, para lo
cual deberá reemplazar Volumen por la letra de la unidad:
manage-bde -SetIdentifier Volumen:
Cuando complete el procedimiento, habrá configurado el campo de
identificación que se va a aplicar a las unidades de la organización
cuando BitLocker se active.
ESCENARIO 11: RECUPERAR DATOS PROTEGIDOS CON EL
CIFRADO DE UNIDAD BITLOCKER (WINDOWS 7)
Actualizado: agosto de 2009
Se aplica a: Windows 7
En este escenario se describe el proceso necesario para recuperar los
datos después de que BitLocker haya entrado en modo de recuperación.
BitLocker bloquea el equipo cuando no hay disponible una clave de
cifrado del disco. A continuación se muestra una lista de las posibles
causas:
• Se produce un error relacionado con la validación de TPM en una
unidad del sistema operativo.

• Ha olvidado la contraseña de la unidad de datos fija protegida

mediante BitLocker.

• Ha perdido la tarjeta inteligente empleada para bloquear una

unidad de datos extraíble.

Cuando es preciso recuperar una unidad, se debe usar la clave de

recuperación de una unidad flash USB, escribir una contraseña de
recuperación o hacer que un agente de recuperación de datos recupere
la unidad. Si necesita recuperar la unidad del sistema operativo, usará
una sesión de consola de recuperación que se ejecute desde el BIOS
para especificar la información de recuperación. Algunos sistemas usan
las teclas de función para escribir los dígitos en este entorno. En este
caso, las teclas F1 a F9 representan los dígitos del 1 a 9 y la tecla F10,
el 0.

Precaución
Cuando se está en una sesión de consola de recuperación de la unidad
del sistema operativo, las características de accesibilidad de Windows no
están disponibles, de modo que si las necesita, piense en qué haría ante
una recuperación. Por ejemplo, podría considerar la idea de contar con
agentes de recuperación de datos que admitan la recuperación de
unidades, o bien designar a una persona de confianza que conserve la
clave de recuperación y pueda proporcionarla en caso necesario.
Antes de empezar
Para completar los procedimientos en este escenario:
• Debe proporcionar credenciales administrativas.

• Debe tener una unidad flash USB con la clave de recuperación.

• Debe tener la contraseña de recuperación.

 • Su equipo debe cumplir los requisitos de BitLocker. Para obtener
más información, vea "Requisitos del Cifrado de unidad BitLocker"
en la Guía paso a paso del Cifrado de unidad BitLocker para
Windows 7.

Para probar la recuperación de datos en una unidad del sistema

operativo
1. Haga clic en Inicio, escriba cmd en el cuadro Buscar programas
y archivos, haga clic con el botón secundario en cmd.exe y, a
continuación, haga clic en Ejecutar como administrador. Si
aparece el cuadro de diálogo Control de cuentas de usuario,
confirme que la acción que muestra es la que desea y, a
continuación, haga clic en Sí.
2. Escriba bcdedit /debug on para habilitar la depuración del kernel
de la unidad del sistema operativo.
3. Cierre todas las ventanas abiertas.
4. Si la unidad flash USB que contiene la clave de recuperación está
insertada en el equipo, use el icono Quitar hardware de forma
segura del área de notificación para extraerla.
5. Haga clic en Inicio y luego en Apagar para apagar el equipo.
Cuando lo reinicie, se le pedirá la contraseña de recuperación,
dado que la configuración de inicio ha cambiado desde que se
cifró la unidad.
6. Encienda el equipo.
7. Aparecerá la consola de recuperación de Cifrado de unidad
BitLocker.
8. Se le pedirá que inserte la unidad flash USB que contiene la clave
de recuperación.
○ Si la tiene, insértela y presione ESC. El equipo se reiniciará
automáticamente. No es necesario especificar la contraseña
de recuperación manualmente.

○ Si no la tiene, presione ENTRAR. Se le pedirá que escriba la

contraseña de recuperación de 48 dígitos. Escríbala y, a
continuación, presione ENTRAR.

9. Tras desbloquear la unidad, el sistema operativo se reiniciará. Para

restaurar el equipo a su perfil operativo habitual, haga clic en
Inicio, escriba cmd en el cuadro Buscar programas y archivos,
haga clic con el botón secundario en cmd.exe y, a continuación,
haga clic en Ejecutar como administrador. Si aparece el cuadro
de diálogo Control de cuentas de usuario, confirme que la
acción que muestra es la que desea y, a continuación, haga clic en
 Sí. Escriba bcdedit /debug off para deshabilitar la depuración
del kernel de la unidad del sistema operativo.
Para probar la recuperación de datos en una unidad de datos fija
protegida con contraseña
1. Haga clic en Inicio y luego en Equipo para mostrar las unidades
del equipo.
2. Haga doble clic en una unidad de datos protegida por BitLocker.
Se abre el cuadro de diálogo Cifrado de unidad BitLocker, en el
que se le insta a escribir la contraseña para desbloquear la unidad.
3. Haga clic en Olvidé la contraseña. Se le pedirá que Desbloquee
esta unidad con la clave de recuperación. Seleccione Escribir
la clave de recuperación o bien Obtener la clave desde una
unidad flash USB, según cuál sea el método de recuperación que
se haya configurado para la unidad.
4. Cuando proporcione la clave de recuperación, la unidad se
desbloqueará. A continuación, podrá hacer clic en Administrar
BitLocker y volver a configurar el método de desbloqueo si
procede.
Así, la próxima vez que la unidad se encuentre bloqueada podrá
usar el nuevo método elegido para desbloquearla.
Cuando termine los procedimientos de este escenario, habrá usado la
recuperación de datos para restablecer el acceso a una unidad protegida
por BitLocker.
ESCENARIO 12: DESACTIVAR CIFRADO DE UNIDAD BITLOCKER
(WINDOWS 7)
Actualizado: agosto de 2009
Se aplica a: Windows 7
Este escenario describe cómo suspender o desactivar el Cifrado de
unidad BitLocker y descifrar la unidad.
Tras cifrar una unidad del sistema operativo, se puede elegir si
suspender BitLocker temporalmente o si desactivarlo en la unidad del
sistema operativo y descifrar la unidad. Puede suspender BitLocker en
una unidad del sistema operativo para realizar cambios en el Módulo de
plataforma segura (TPM) y aplicar actualizaciones al sistema operativo.
En una unidad de datos, simplemente descifra la unidad. Al descifrar la
unidad, ésta se podrá volver a leer y todas las claves se descartarán.
Una vez descifrada una unidad, debe generar claves nuevas
completando de nuevo el proceso de cifrado.
Antes de empezar
Para completar los procedimientos de este escenario:
• Debe poder proporcionar credenciales administrativas.
 • La unidad debe estar protegida con BitLocker.

Realice uno de los procedimientos siguientes.

Para suspender el Cifrado de unidad BitLocker en una unidad del
sistema operativo
1. Haga clic en Inicio, Panel de control, Sistema y seguridad y, a
continuación, haga clic en Cifrado de unidad BitLocker.
2. Haga clic en Suspender protección para la unidad del sistema
operativo.
3. Se mostrará un mensaje que informa de que los datos no estarán
protegidos mientras BitLocker esté suspendido y le pregunta si
desea suspender el Cifrado de unidad BitLocker. Haga clic en Sí
para continuar y suspender BitLocker en la unidad.
Al completar este procedimiento, se suspende la protección de BitLocker
en la unidad al cambiar la clave de descifrado por una clave sin cifrado.
Para leer los datos de la unidad, la clave sin cifrado se usa para obtener
acceso a los archivos. Cuando se suspende BitLocker, no se realiza la
validación de TPM ni se aplican otros métodos de autenticación, como el
uso de una clave USB o PIN para desbloquear la unidad del sistema
operativo. De esta forma, podrá realizar cambios en el sistema, como
actualizar el BIOS o reemplazar una unidad de datos. Cuando termine de
realizar cambios en el equipo, haga clic en Reanudar protección en el
elemento del Panel de control Cifrado de unidad BitLocker para
comenzar a usar el Cifrado de unidad BitLocker de nuevo.
Para desactivar el Cifrado de unidad BitLocker
1. Haga clic en Inicio, Panel de control, Sistema y seguridad y, a
continuación, haga clic en Cifrado de unidad BitLocker.
2. Busque la unidad en la que desee desactivar el Cifrado de unidad
BitLocker y haga clic en Desactivar BitLocker.
3. Se mostrará un mensaje que informa de que la unidad se
descifrará y de que el proceso de descifrado puede tardar unos
minutos. Haga clic en Descifrar unidad para continuar y
desactivar BitLocker en la unidad.
Al realizar este procedimiento, descifra la unidad y quita la protección de
BitLocker.

ESCENARIO 13: BLOQUEAR UNA UNIDAD DE DATOS CON UNA

TARJETA INTELIGENTE (WINDOWS 7)
Actualizado: agosto de 2009
Se aplica a: Windows 7
En este escenario se describe el modo de usar tarjetas inteligentes con
un certificado autofirmado para cifrar una unidad de datos mediante el
Cifrado de unidad BitLocker. Al implementar BitLocker junto con las
tarjetas inteligentes, es recomendable usar una entidad de certificación.
Como procedimiento recomendado, los certificados autofirmados solo se
deben usar en escenarios de prueba limitados. De manera
predeterminada, BitLocker no se puede usar con certificados
autofirmados.
Antes de empezar
Para completar los procedimientos en este escenario:
• Debe proporcionar credenciales administrativas.

• Su equipo debe cumplir los requisitos de BitLocker. Para obtener

más información, vea "Requisitos del Cifrado de unidad BitLocker"
en la Guía paso a paso del Cifrado de unidad BitLocker para
Windows 7.

Complete los siguientes procedimientos en el orden indicado.

Para habilitar BitLocker para que use certificados autofirmados
1. Haga clic en Inicio, escriba regedit en el cuadro Buscar
programas y archivos, haga clic con el botón secundario en
regedit.exe y, a continuación, haga clic en Ejecutar como
administrador. Si aparece el cuadro de diálogo Control de
cuentas de usuario, confirme que la acción que muestra es la
que desea y, a continuación, haga clic en Sí.
2. En el Editor del Registro, navegue a
\HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\FVE.
3. En el menú Editor del Registro, haga clic en Edición, seleccione
Nuevo y, a continuación, haga clic en Valor de DWORD
(32 bits).
4. Escriba SelfSignedCertificates y presione ENTRAR para crear el
valor de clave SelfSignedCertificates.
5. Haga clic con el botón secundario en SelfSignedCertificates y, a
continuación, haga clic en Modificar.
6. En Información del valor, escriba 1.
De esta forma, BitLocker podrá usar certificados autofirmados.
Para obtener un certificado autofirmado para probar BitLocker y
las tarjetas inteligentes
1. Abra un editor de texto (como el Bloc de notas) y pegue la
siguiente información en un nuevo archivo:
 [NewRequest]
Subject = "CN=BitLocker"
KeyLength = 2048
ProviderName = "Microsoft Smart Card Key Storage Provider"
KeySpec = "AT_KEYEXCHANGE
KeyUsage = "CERT_KEY_ENCIPHERMENT_KEY_USAGE"
KeyUsageProperty = "NCRYPT_ALLOW_DECRYPT_FLAG"
RequestType = Cert
SMIME = FALSE
[EnhancedKeyUsageExtension]
OID=1.3.6.1.4.1.311.67.1.1
2. Guarde el archivo con el nombre blcert.txt.
3. Inserte una tarjeta inteligente en el lector de tarjeta inteligente del
equipo.
4. Haga clic en Inicio, escriba cmd en el cuadro Buscar programas
y archivos, haga clic con el botón secundario en cmd.exe y, a
continuación, haga clic en Ejecutar como administrador. Si
aparece el cuadro de diálogo Control de cuentas de usuario,
confirme que la acción que muestra es la que desea y, a
continuación, haga clic en Sí.
5. En la ventana Símbolo del sistema, navegue a la ubicación en la
que ha guardado el archivo blcert.txt y escriba certreq –new
blcert.txt para solicitar un certificado nuevo en función de los
parámetros identificados en el archivo. Es probable que se
produzca un pequeño retraso mientras la solicitud se procesa y,
asimismo, que tenga que escribir el PIN de la tarjeta inteligente.
6. Cuando se le pida que guarde el archivo de solicitud, escriba un
nombre de archivo y haga clic en Guardar.
De este modo, dispondrá de un certificado de tarjeta inteligente
adecuado para su uso con BitLocker.
Para usar BitLocker con una tarjeta inteligente para proteger
una unidad de datos
1. Si desea proteger una unidad extraíble, insértela en el equipo.
2. Haga clic en Inicio y luego en Equipo para mostrar las unidades
del equipo.
3. Haga clic con el botón secundario en la unidad que desea proteger
y, a continuación, haga clic en Activar BitLocker para iniciar el
asistente para la configuración de BitLocker.
 4. En la página del asistente Elija cómo desea desbloquear la
unidad, haga clic en Usar la tarjeta inteligente para
desbloquear la unidad.
5. Inserte la tarjeta inteligente en el lector de tarjeta inteligente y
haga clic en Nuevo.
6. En la página del asistente Guardar la clave de recuperación
en, seleccione Guardar la clave de recuperación en un
archivo para guardar la clave de recuperación en una unidad de
red u otra ubicación, o bien seleccione Imprimir la clave de
recuperación para imprimir la contraseña de recuperación de
48 dígitos. A continuación, haga clic en Siguiente.
7. En la página ¿Está listo para cifrar esta unidad?, confirme que
desea usar una tarjeta inteligente para cifrar la unidad y haga clic
en Iniciar cifrado.
8. Cuando la unidad esté preparada para el cifrado, aparecerá la
barra de estado Cifrado en curso. Cuando se le informe de que
el cifrado ha finalizado, haga clic en Cerrar.
Cuando termine los procedimientos de este escenario, tendrá una
unidad protegida por BitLocker y lista para su uso. Cada vez que esa
unidad se inserte en un equipo que ejecute Windows 7, un cuadro de
diálogo instará a los usuarios a que inserten su tarjeta inteligente y
especifiquen el PIN de la tarjeta inteligente correspondiente para
desbloquear la unidad.
ESCENARIO 14: USAR UN AGENTE DE RECUPERACIÓN DE DATOS
PARA RECUPERAR UNIDADES PROTEGIDAS POR BITLOCKER
(WINDOWS 7)
Actualizado: agosto de 2009
Se aplica a: Windows 7
En este escenario se describe cómo usar un agente de recuperación de
datos para recuperar datos de una unidad protegida por BitLocker. Los
agentes de recuperación de datos son individuos cuyos certificados PKI
(infraestructura de clave pública) se usaron para crear un protector de
clave de BitLocker, de modo que estos individuos pueden usar sus
credenciales para desbloquear unidades protegidas por BitLocker. Los
agentes de recuperación de datos se pueden usar para recuperar
unidades del sistema operativo, unidades de datos fijas y unidades de
datos extraíbles protegidas por BitLocker. No obstante, cuando se usan
para recuperar unidades del sistema operativo, la unidad del sistema
operativo debe montarse en otro equipo como una unidad de datos para
que el agente de recuperación de datos pueda desbloquear la unidad.
Los agentes de recuperación de datos se agregan a la unidad cuando se
cifra y pueden actualizarse después del cifrado.
Antes de empezar
Para completar los procedimientos en este escenario:
• Debe poder proporcionar credenciales administrativas.

• El equipo debe cumplir con los requisitos de BitLocker. Para

obtener más información, vea los requisitos del Cifrado de unidad
BitLocker en la Guía paso a paso del Cifrado de unidad BitLocker
para Windows 7.

Complete los siguientes procedimientos en orden.

Para habilitar BitLocker para que use certificados autofirmados
1. Haga clic en Inicio, escriba regedit en el cuadro Buscar
programas y archivos, haga clic con el botón secundario en
regedit.exe y, a continuación, haga clic en Ejecutar como
administrador. Si aparece el cuadro de diálogo Control de
cuentas de usuario, confirme que la acción que muestra es la
que desea y, a continuación, haga clic en Sí.
2. En el Editor del Registro, navegue a
\HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\FVE.
3. En el menú Editor del Registro, haga clic en Edición, seleccione
Nuevo y, a continuación, haga clic en Valor de DWORD (32
bits).
4. Escriba SelfSignedCertificates y, a continuación, presione Entrar
para crear el valor de clave SelfSignedCertificates.
5. Haga clic con el botón secundario en SelfSignedCertificates y, a
continuación, haga clic en Modificar.
6. En Información del valor, escriba 1.
BitLocker ahora puede usar certificados autofirmados.
Para obtener un certificado autofirmado para probar BitLocker y
los agentes de recuperación de datos
1. Abra un editor de texto como el Bloc de notas y pegue la siguiente
información en un archivo nuevo:
[NewRequest]
Subject = "CN=BitLockerDRA"
KeyLength = 2048
ProviderName = "Microsoft Smart Card Key Storage Provider"
KeySpec = "AT_KEYEXCHANGE”
KeyUsage = "CERT_KEY_ENCIPHERMENT_KEY_USAGE"
KeyUsageProperty = "NCRYPT_ALLOW_DECRYPT_FLAG"
 RequestType = Cert
SMIME = FALSE
[EnhancedKeyUsageExtension]
OID=1.3.6.1.4.1.311.67.1.2
2. Guarde el archivo con el nombre bldracert.txt.
3. Inserte una tarjeta inteligente en el lector de tarjetas inteligentes
del equipo.
4. Haga clic en Inicio, escriba cmd en el cuadro Buscar programas
y archivos, haga clic con el botón secundario en cmd.exe y, a
continuación, haga clic en Ejecutar como administrador. Si
aparece el cuadro de diálogo Control de cuentas de usuario,
confirme que la acción que muestra es la que desea y, a
continuación, haga clic en Sí.
5. En la ventana del símbolo del sistema, navegue a la ubicación en
la que se guardó el archivo blcert.txt y escriba certreq –new
bldracert.txt para solicitar un nuevo certificado en función de los
parámetros identificados en el archivo. Puede haber un pequeño
retraso mientras se lleva a cabo la solicitud, y es posible que se le
solicite que inserte la tarjeta inteligente y escriba su PIN.
6. Cuando se le solicite guardar el archivo de solicitud, escriba un
nombre para el archivo y haga clic en Guardar.
Ahora posee un certificado de tarjeta inteligente del agente de
recuperación de datos que es adecuado para usar con BitLocker.
Para exportar un certificado del agente de recuperación de
datos de BitLocker
1. Haga clic en Inicio y, a continuación, escriba certmgr.msc, para
abrir el complemento Certificados.
2. En el árbol de consola, expanda Personal y, a continuación, haga
clic en Certificados.
3. Haga doble clic en el certificado BitLockerDRA para mostrar la
hoja de propiedades del certificado.
4. Haga clic en la pestaña Detalles y, a continuación, haga clic en
Copiar a archivo para iniciar el Asistente para exportación de
certificados.
5. En la página Éste es el Asistente para exportación de
certificados, haga clic en Siguiente.
6. En la página Exportar la clave privada, compruebe que la
opción No exportar la clave privada está seleccionada y, a
continuación, haga clic en Siguiente.
 7. En la página Formato de archivo de exportación, compruebe
que la opción DER binario codificado x.509 (.CER) está
seleccionada y, a continuación, haga clic en Siguiente.
8. En la página Archivo que se va a exportar, haga clic en
Examinar para ver el cuadro de diálogo Guardar como. En
Nombre de archivo, escriba BitLockerDRA. En Tipo,
compruebe que la opción DER binario codificado X.509 (.CER)
está seleccionada y, a continuación, haga clic en Guardar para
volver a la página Archivo que se va a exportar. El cuadro
Nombre de archivo de la página del asistente ahora debe
mostrar la ruta de acceso al archivo BitLockerDRA.cer en la
biblioteca de documentos. Haga clic en Siguiente.
9. En la página Finalización del Asistente para exportación de
certificados, compruebe que la información que se muestra es
correcta y, a continuación, haga clic en Finalizar.
10. Una vez que se exporta el certificado, aparece el cuadro de
diálogo Asistente para exportación de certificados con el
mensaje La exportación se realizó correctamente. Haga clic
en Cerrar para cerrar el cuadro de diálogo y el asistente.
Para agregar un agente de recuperación de datos de BitLocker y
desbloquear una unidad
1. Haga clic en Inicio, escriba gpedit.msc en el cuadro Buscar
programas y archivos y, a continuación, presione ENTRAR.
2. Si aparece el cuadro de diálogo Control de cuentas de usuario,
confirme que la acción que muestra es la que desea y, a
continuación, haga clic en Sí.
3. En el árbol de consola en Directiva de equipo
local\Configuración del equipo\Configuración de
Windows\Configuración de seguridad\Directivas de clave
pública, haga clic con el botón secundario en Cifrado de unidad
BitLocker y, a continuación, haga clic en Agregar Agente de
recuperación de datos para iniciar el Asistente para agregar
agente de recuperación.
4. En la página Seleccionar los agentes de recuperación, haga
clic en Examinar carpeta para seleccionar el archivo
BitLockerDRA.cer que exportó en el procedimiento anterior. Si
no necesitaba exportar un certificado porque ya había
implementado un PKI con los certificados necesarios, haga clic en
Examinar directorio para elegir un certificado de los Servicios de
dominio de Active Directory.
5. Si se le solicita que instale el certificado, haga clic en Sí. Puede
repetir este proceso, según sea necesario, para agregar varios
agentes de recuperación de datos. Después de haber especificado
 todos los certificados del agente de recuperación de datos que
desea usar, haga clic en Siguiente.
6. En la página Finalización del Asistente para agregar agente
de recuperación, haga clic en Finalizar para agregar el agente
de recuperación de datos.
7. Si no configuró la opción Directiva de grupo para especificar el
campo de identificación de BitLocker, complete el Escenario 10:
configurar el campo de identificación de BitLocker (Windows 7)
antes de continuar con este escenario.
8. Cifre una unidad de datos tal como se describe en el Escenario 2:
activar el Cifrado de unidad BitLocker en una unidad de datos fija
o extraíble (Windows 7). Para que un agente de recuperación de
datos pueda desbloquear una unidad, el campo de identificación
de BitLocker debe estar presente y coincidir con el campo de
identificación definido para su organización.
9. Para colocar la unidad en estado bloqueado para poder probar el
agente de recuperación de datos, haga clic en Inicio, seleccione
Todos los programas, Accesorios, haga clic con el botón
secundario en Símbolo del sistema y, a continuación, haga clic
en Ejecutar como administrador. Si aparece el cuadro de
diálogo Control de cuentas de usuario, confirme que la acción
que muestra es la que desea y, a continuación, haga clic en Sí.
Escriba el siguiente comando y reemplace Volumen con la letra de
unidad de la unidad protegida por BitLocker que desea bloquear:
Manage-bde –lock Volumen :
No cierre la ventana del símbolo del sistema.
10. Ahora que la unidad está bloqueada, puede desbloquearla
mediante el agente de recuperación de datos. En primer lugar,
necesita la huella digital de certificado del agente de recuperación
de datos. Para encontrarla, en el símbolo del sistema, escriba el
siguiente comando y reemplace Volumen con la letra de unidad de
la unidad protegida por BitLocker que desea desbloquear:
Manage-bde –protectors –get Volumen :
Se muestran los protectores de claves identificados para la unidad.
Busque el protector de clave identificado como Agente de
recuperación de datos (basado en certificado) y registre la
huella digital de certificado.
11. Para desbloquear la unidad, escriba el siguiente comando y
reemplace huellaDigitalDeCertificado con la huella digital de
certificado real del agente de recuperación de datos registrado en
el paso anterior:
 Manage-bde –unlock Volumen : -cert –ct
huellaDigitalDeCertificado -PIN
12.Escriba el PIN de su tarjeta inteligente cuando se le solicite. La
unidad está desbloqueada.
Al completar los procedimientos de este escenario, habrá asignado
agentes de recuperación de datos a BitLocker y usado un agente de
recuperación de datos para desbloquear una unidad protegida por
BitLocker.
ESCENARIO 15: USAR EL VISOR DE CONTRASEÑAS DE
RECUPERACIÓN DE ACTIVE DIRECTORY DE BITLOCKER PARA VER
CONTRASEÑAS DE RECUPERACIÓN
Actualizado: septiembre de 2009
Se aplica a: Windows 7
La herramienta Visor de contraseñas de recuperación de
Active Directory de BitLocker es una característica opcional que se
incluye en las Herramientas de administración remota del servidor
(RSAT) de Windows Server 2008 R2 que se puede instalar por medio del
Asistente para agregar características de la consola de administración
de RSAT. Esta herramienta permite buscar y ver contraseñas de
recuperación de BitLocker que están almacenadas en los Servicios de
dominio de Active Directory (AD DS). Esta herramienta sirve para
recuperar datos que están almacenados en una unidad que se ha cifrado
mediante BitLocker. La herramienta Visor de contraseñas de
recuperación de Active Directory de BitLocker es una extensión del
complemento Usuarios y equipos de Active Directory de
Microsoft Management Console. Por medio de esta herramienta, puede
examinar el cuadro de diálogo Propiedades de un objeto de un equipo
para ver las correspondientes contraseñas de recuperación de BitLocker.
Además, puede hacer clic con el botón secundario en un contendor de
dominio y luego buscar una contraseña de recuperación de BitLocker en
todos los dominios del bosque de Active Directory. También puede
buscar una contraseña mediante el identificador de contraseña.
Antes de empezar
Para completar los procedimientos descritos en este escenario:
• Debe tener credenciales de administrador de dominio.

• Los equipos de prueba deben estar unidos al dominio.

• En los equipos de prueba, se debe activar BitLocker una vez que

se haya unido al dominio.
En los procedimientos siguientes se describen las tareas más comunes
realizadas mediante el Visor de contraseñas de recuperación de
Active Directory de BitLocker.
Para ver las contraseñas de recuperación de un equipo
1. Para abrir Usuarios y equipos de Active Directory, haga clic en
Inicio y en Panel de control, haga doble clic en Herramientas
administrativas y, a continuación, vuelva a hacer doble clic en
Usuarios y equipos de Active Directory. En Usuarios y equipos
de Active Directory, busque y haga clic en el contenedor donde se
encuentra el equipo.
2. Haga clic con el botón secundario en el objeto del equipo y, a
continuación, haga clic en Propiedades.
3. En el cuadro de diálogo Propiedades, haga clic en la ficha
Recuperación de BitLocker para ver las contraseñas de
recuperación de BitLocker asociadas con el equipo.
Para copiar las contraseñas de recuperación de un equipo
1. Siga los pasos del procedimiento anterior para ver las contraseñas
de recuperación de BitLocker.
2. En la ficha Recuperación de BitLocker del cuadro de diálogo
Propiedades, haga clic con el botón secundario en la contraseña
de recuperación de BitLocker que desee copiar y, a continuación,
haga clic en Copiar detalles.
3. Presione CTRL+V para pegar el texto copiado en una ubicación de
destino, como un archivo de texto o una hoja de cálculo.
Para buscar una contraseña de recuperación mediante un
identificador de contraseña
1. En Usuarios y equipos de Active Directory, haga clic con el botón
secundario en el contenedor de dominio y, a continuación, haga
clic en Buscar contraseña de recuperación de BitLocker.
2. En el cuadro de diálogo Buscar contraseña de recuperación de
BitLocker, escriba los ocho primeros caracteres de la contraseña
de recuperación en el cuadro Id. de contraseña (primeros 8
caracteres) y, a continuación, haga clic en Buscar.
Una vez que complete los procedimientos descritos en este escenario,
habrá visto y habrá copiado las contraseñas de recuperación de un
equipo, además de haber usado un identificador de contraseña para
buscar una contraseña de recuperación.
ESCENARIO 16: USAR LA HERRAMIENTA DE REPARACIÓN DE
BITLOCKER PARA RECUPERAR UNA UNIDAD

Actualizado: septiembre de 2009

Se aplica a: Windows 7
La herramienta de reparación de BitLocker (Repair-bde) es una
herramienta de línea de comandos incluida con Windows 7 y Windows
Server 2008 R2. Esta herramienta puede usarse para tener acceso a los
datos cifrados en un disco duro dañado, si la unidad se cifró mediante el
Cifrado de unidad BitLocker. Repair-bde puede reconstruir partes críticas
de la unidad y rescatar los datos recuperables, siempre que para
descifrar los datos se use una clave de recuperación o una contraseña
de recuperación válida. La herramienta de línea de comandos Repair-
bde se usa cuando el sistema operativo no se inicia o cuando no se
puede iniciar la consola de recuperación de BitLocker. Si se dañó
físicamente una unidad, quizás no pueda recuperarse.
Antes de empezar
Para completar el procedimiento en este escenario:
• El equipo de prueba debe tener una unidad protegida por
BitLocker.

• Debe poder proporcionar credenciales administrativas.

• Debe contar con al menos uno de los siguientes elementos:

○ Contraseña de recuperación

○ Ubicación del archivo de clave de recuperación

○ Ubicación del archivo de paquete de recuperación y la

contraseña de recuperación correspondiente

○ Ubicación del archivo del paquete de recuperación y

ubicación del archivo de clave de recuperación
correspondiente

• Debe tener un volumen de salida vacío con un tamaño igual o

superior a la unidad protegida por BitLocker (cuyo contenido se
sobrescribirá completamente después de la operación de
reparación).

El siguiente procedimiento proporciona la sintaxis de línea de comandos

para usar cada tipo de información de recuperación con la herramienta
Repair-bde. Para este procedimiento, recuperamos el acceso a los datos
almacenados en la unidad C: y escribimos los datos recuperados en un
volumen de salida en Z: con los parámetros de la tabla siguiente.

Información de Valor
recuperación

062612-026103-175593-225830-027357-
Contraseña de recuperación
086526-362263-513414

Ubicación del archivo de clave

F:\RecoveryKey.bek
de recuperación

Ubicación del archivo de

F:\ExportedKeyPackage
paquete de recuperación

Reemplace estos parámetros según sea apropiado para su entorno de

prueba.
Para reparar una unidad protegida por BitLocker con Repair-bde

1. Abra una ventana del símbolo del sistema como administrador.

1. Para ello, haga clic en Inicio, escriba cmd en el cuadro
Buscar programas y archivos, haga clic con el botón
secundario en cmd.exe y, a continuación, haga clic en
Ejecutar como administrador.

2. Si aparece el cuadro de diálogo Control de cuentas de

usuario, confirme que la acción que muestra es la que
desea y, a continuación, haga clic en Sí.

2. En el símbolo del sistema, escriba uno de los siguientes comandos,

según la información de recuperación que desee usar:
1. Para realizar la reparación con una contraseña de
recuperación:

repair-bde C: Z: -rp 062612-026103-175593-225830-

027357-086526-362263-513414

2. Para realizar la reparación con una clave de recuperación:

repair-bde C: Z: -rk F:\RecoveryKey.bek

3. Para realizar la reparación con un paquete de recuperación y

la contraseña de recuperación correspondiente:

repair-bde C: Z: -kp F:\ExportedKeyPackage -rp

062612-026103-175593-225830-027357-086526-
362263-513414

4. Para realizar la reparación con un paquete de recuperación y

la clave de recuperación correspondiente:
 repair-bde C: Z: -kp F:\ExportedKeyPackage -rk
F:\RecoveryKey.bek

Nota

Si la ruta de acceso al paquete de claves no está especificada,

Repair-bde buscará en la unidad un paquete de claves. Sin
embargo, si se dañó la unidad de disco duro, es posible que la
herramienta no pueda encontrar el paquete y le solicite que
proporcione la ruta de acceso. Se recomienda incluir el paquete de
claves en el almacenamiento de claves de Active Directory para
poder exportar el paquete de claves, en caso de ser necesario.

Al completar este procedimiento, habrá usado la herramienta de línea

de comandos Repair-bde para reparar una unidad protegida por
BitLocker dañada.