Recuperación de BitLocker: problemas conocidos

En este artículo se describen los problemas comunes que pueden impedir que BitLocker se comporte según lo previsto cuando se recupere una unidad, o que puede hacer que BitLocker inicie la recuperación inesperadamente. En el artículo también se proporcionan instrucciones para solucionar estos problemas.

Nota:

En este artículo, "contraseña de recuperación" hace referencia a la contraseña de recuperación de 48 dígitos y la "clave de recuperación" hace referencia a la clave de recuperación de 32 dígitos. Para obtener más información, consulte Protectores de claves de BitLocker.

Para obtener más información sobre el cifrado de dispositivos, consulte Requisitos de hardware de cifrado automático de dispositivos de BitLocker.

Windows solicita una contraseña de recuperación de BitLocker no existente

Windows solicita una contraseña de recuperación de BitLocker. Sin embargo, no se configuró una contraseña de recuperación de BitLocker.

Resolución para Windows solicita una contraseña de recuperación de BitLocker no existente

Las preguntas más frecuentes sobre BitLocker y Servicios de dominio de Active Directory (AD DS) abordan situaciones que pueden producir este síntoma y proporcionan información sobre el procedimiento para resolver el problema:

• ¿Qué ocurre si BitLocker está habilitado en un equipo antes de que el equipo se una al dominio?

• ¿Qué ocurre si se produce un error inicial en la copia de seguridad? ¿Volverá a intentarlo BitLocker?

La contraseña de recuperación de un portátil no se ha copiado de seguridad y el portátil está bloqueado

Considere el caso siguiente:

El disco duro de un portátil Windows 11 o Windows 10 debe recuperarse. El disco se cifró mediante el cifrado de controladores de BitLocker. Sin embargo, no se ha registrado la contraseña de recuperación de BitLocker y el usuario habitual del portátil no está disponible para proporcionar la contraseña.

Resolución de la contraseña de recuperación de un portátil no se ha copiado de seguridad

Puede usar cualquiera de los métodos siguientes para realizar copias de seguridad o sincronizar manualmente la información de recuperación existente de un cliente en línea:

• Cree un script de Instrumental de administración de Windows (WMI) que haga una copia de seguridad de la información. Para obtener más información, consulte Proveedor de cifrado de unidad BitLocker.

• En una ventana del símbolo del sistema con privilegios elevados, use el comando manage-bde.exe para realizar una copia de seguridad de la información.

  Por ejemplo, para realizar una copia de seguridad de toda la información de recuperación de la unidad C: en AD DS, abra una ventana del símbolo del sistema con privilegios elevados y ejecute el siguiente comando:

  cmd manage-bde.exe -protectors -adbackup C:

---

Nota:

BitLocker no administra automáticamente este proceso de copia de seguridad.

Los dispositivos tabletas no admiten el uso manage-bde.exe -forcerecovery de para probar el modo de recuperación

Considere el caso siguiente:

La recuperación de BitLocker debe probarse en un dispositivo de tableta o pizarra mediante la ejecución del siguiente comando:

cmd manage-bde.exe -forcerecovery

---

Sin embargo, después de escribir la contraseña de recuperación, el dispositivo no se puede iniciar.

Causa de que los dispositivos de tableta no admiten el uso manage-bde.exe -forcerecovery de para probar el modo de recuperación

Importante

Los dispositivos tablet no admiten el manage-bde.exe -forcerecovery comando .

Este problema se produce porque el Administrador de arranque de Windows no puede procesar la entrada táctil durante la fase previa al arranque del inicio. Si el Administrador de arranque detecta que el dispositivo es una tableta, redirige el proceso de inicio al entorno de recuperación de Windows (WinRE), que puede procesar la entrada táctil.

Si WindowsRE detecta el protector de TPM en el disco duro, realiza una reseal de PCR. Sin embargo, el manage-bde.exe -forcerecovery comando elimina los protectores de TPM en el disco duro. Por lo tanto, WinRE no puede volver a crear las PCR. Este error desencadena un ciclo de recuperación infinito de BitLocker e impide que Windows se inicie.

Este comportamiento es por diseño para todas las versiones de Windows.

La solución alternativa para dispositivos tabletas no admite el uso manage-bde.exe -forcerecovery de para probar el modo de recuperación

Para resolver el bucle de reinicio, siga estos pasos:

1. En la pantalla Recuperación de BitLocker, seleccione Omitir esta unidad.

2. Seleccione Solucionar problemas>del símbolo del sistema de opciones avanzadas.>

3. En la ventana símbolo del sistema, ejecute los siguientes comandos:

   manage-bde.exe -unlock C: -rp <48-digit BitLocker recovery password>
   manage-bde.exe -protectors -disable C:
   

4. Ventana Cerrar el símbolo del sistema.

5. Apague el dispositivo.

6. Inicie el dispositivo. Windows debe iniciarse como de costumbre.

Después de instalar las actualizaciones de firmware de UEFI o TPM en Surface, BitLocker solicita la contraseña de recuperación.

Considere el caso siguiente:

Un dispositivo Surface tiene activado el cifrado de unidad BitLocker. El firmware del TPM de Surface se actualiza o se instala una actualización que cambia la firma del firmware del sistema. Por ejemplo, la actualización de Surface TPM (IFX) está instalada.

Experimenta uno o varios de los síntomas siguientes en el dispositivo Surface:

• Al iniciarse, el dispositivo Surface solicita una contraseña de recuperación de BitLocker. Se escribe la contraseña de recuperación correcta, pero Windows no se inicia.

• El inicio avanza directamente en la configuración de Unified Extensible Firmware Interface (UEFI) del dispositivo Surface.

• El dispositivo Surface parece estar en un bucle de reinicio infinito.

Causa de después de instalar las actualizaciones de firmware de UEFI o TPM en Surface, BitLocker solicita la contraseña de recuperación.

Este problema se produce si el TPM del dispositivo Surface está configurado para usar valores de Registro de configuración de plataforma (PCR) distintos de los valores predeterminados de PCR 7 y PCR 11. Por ejemplo, los valores siguientes pueden configurar el TPM de esta manera:

• El arranque seguro está desactivado.
• Los valores de PCR se han definido explícitamente, como por directiva de grupo.

Los dispositivos que admiten el modo de espera conectado (también conocidos como InstantGO o Always On, equipos siempre conectados), incluidos los dispositivos Surface, deben usar PCR 7 del TPM. En su configuración predeterminada en estos sistemas, BitLocker se enlaza a PCR 7 y PCR 11 si EL PCR 7 y arranque seguro están configurados correctamente.

Resolución para después de instalar las actualizaciones de firmware de UEFI o TPM en Surface, BitLocker solicita la contraseña de recuperación.

Para comprobar los valores de PCR que están en uso en un dispositivo, abra una ventana del símbolo del sistema con privilegios elevados y ejecute el siguiente comando:

manage-bde.exe -protectors -get <OSDriveLetter>:

En este comando, <OSDriveLetter> representa la letra de unidad de la unidad del sistema operativo.

Para resolver este problema y reparar el dispositivo, siga estos pasos:

Paso 1: Deshabilitar los protectores de TPM en la unidad de arranque

Si se ha instalado una actualización de TPM o UEFI y el dispositivo Surface no se puede iniciar, aunque se haya escrito la contraseña de recuperación correcta de BitLocker, se puede restaurar la capacidad de iniciarse mediante la contraseña de recuperación de BitLocker y una imagen de recuperación de Surface para quitar los protectores de TPM de la unidad de arranque.

Para usar la contraseña de recuperación de BitLocker y una imagen de recuperación de Surface para quitar los protectores de TPM de la unidad de arranque, siga estos pasos:

1. Obtenga la contraseña de recuperación de BitLocker de la cuenta de Microsoft.com del usuario de Surface. Si BitLocker se administra mediante un método diferente, como Administración y supervisión de Microsoft BitLocker (MBAM), Administración de BitLocker de Configuration Manager o Intune, póngase en contacto con el administrador para obtener ayuda.

2. Usa otro equipo para descargar la imagen de recuperación de Surface desde Surface Recovery Image Download. Use la imagen descargada para crear una unidad de recuperación USB.

3. Inserte la unidad de imagen de recuperación de Surface USB en el dispositivo Surface e inicie el dispositivo.

4. Cuando se le solicite, seleccione los siguientes elementos:

   1. Idioma del sistema operativo.

   2. Diseño del teclado.

5. Seleccione Solucionar problemas>del símbolo del sistema de opciones avanzadas.>

6. En la ventana símbolo del sistema, ejecute los siguientes comandos:

   manage-bde.exe -unlock -recoverypassword <Password> <DriveLetter>:  
   manage-bde.exe -protectors -disable <DriveLetter>:  
   
   

   donde:

   • <Contraseña> es la contraseña de recuperación de BitLocker que se obtuvo en el paso 1
   • <DriveLetter> es la letra de unidad que se asigna a la unidad del sistema operativo.

   Nota:

   Para obtener más información sobre cómo usar este comando, vea manage-bde unlock.

7. Reinicie el equipo.

8. Cuando se le solicite, escriba la contraseña de recuperación de BitLocker que se obtuvo en el paso 1.

Nota:

Una vez deshabilitados los protectores de TPM, el cifrado de unidad BitLocker ya no protege el dispositivo. Para volver a habilitar el cifrado de unidad BitLocker, seleccione Inicio, escriba Administrar BitLocker y presione Entrar. Siga los pasos para cifrar la unidad.

Paso 2: Usar Surface BMR para recuperar datos y restablecer el dispositivo Surface

Para recuperar datos del dispositivo Surface si Windows no se inicia, siga los pasos del 1 al 5 de la sección Paso 1: Deshabilitar los protectores TPM en la unidad de arranque para acceder a una ventana del símbolo del sistema. Una vez abierta una ventana del símbolo del sistema, siga estos pasos:

1. Escriba el siguiente comando en el símbolo del sistema:

   manage-bde.exe -unlock -recoverypassword <Password> <DriveLetter>:  
   

   En este comando, <Password> es la contraseña de recuperación de BitLocker que se obtuvo en el paso 1 de la sección Paso 1: Deshabilitar los protectores TPM en la unidad de arranque y <DriveLetter> es la letra de unidad que se asigna a la unidad del sistema operativo.

2. Una vez desbloqueada la unidad, use el copy comando o xcopy.exe para copiar los datos del usuario en otra unidad.

   Nota:

   Para obtener más información sobre estos comandos, consulte el artículo Comandos de Windows.

3. Para restablecer el dispositivo mediante una imagen de recuperación de Surface, siga las instrucciones del artículo Creación y uso de una unidad de recuperación USB para Surface.

Paso 3: Restaurar los valores de PCR predeterminados

Para evitar que este problema se repita, se recomienda restaurar la configuración predeterminada del arranque seguro y los valores de PCR.

Para habilitar el arranque seguro en un dispositivo Surface, siga estos pasos:

1. Suspenda BitLocker abriendo una ventana de Windows PowerShell con privilegios elevados y ejecutando el siguiente cmdlet de PowerShell:

   Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0  
   

   En este comando, <DriveLetter> es la letra que se asigna a la unidad.

2. Reinicie el dispositivo y, a continuación, edite la configuración de UEFI para establecer la opción Arranque seguro en Solo Microsoft.

3. Reinicie el dispositivo e inicie sesión en Windows.

4. Abra una ventana de PowerShell con privilegios elevados y ejecute el siguiente cmdlet de PowerShell:

   Resume-BitLocker -MountPoint "<DriveLetter>:"
   

Para restablecer la configuración de LA PCR en el TPM, siga estos pasos:

1. Deshabilite cualquier objeto de directiva de grupo que configure las opciones de PCR o quite el dispositivo de los grupos que apliquen dichas directivas.

   Para obtener más información, consulte Configuración de directiva de grupo de BitLocker.

2. Suspenda BitLocker abriendo una ventana de Windows PowerShell con privilegios elevados y ejecutando el siguiente cmdlet de PowerShell:

   Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0  
   

   En este comando, <DriveLetter> es la letra que se asigna a la unidad.

3. Ejecute el siguiente cmdlet de PowerShell:

   Resume-BitLocker -MountPoint "<DriveLetter>:"
   

Paso 4: Suspender BitLocker durante las actualizaciones de firmware de TPM o UEFI

Puede evitar este escenario al instalar actualizaciones en el firmware del sistema o el firmware de TPM suspendiendo temporalmente BitLocker antes de aplicar dichas actualizaciones.

Importante

Las actualizaciones de firmware de TPM y UEFI pueden requerir varios reinicios mientras se instalan. Para mantener BitLocker suspendido durante este proceso, se debe usar el cmdlet de PowerShell Suspend-BitLocker y el parámetro Reboot Count debe establecerse en cualquiera de los siguientes valores:

• 2 o posterior: este valor establece el número de veces que el dispositivo se reiniciará antes de que se reanude el cifrado de dispositivos bitLocker. Por ejemplo, establecer el valor en 2 hará que BitLocker se reanude después de que el dispositivo se reinicie dos veces.

• 0: este valor suspende el cifrado de unidad BitLocker indefinidamente. Para reanudar BitLocker, el cmdlet de PowerShell Resume-BitLocker u otro mecanismo debe usarse para reanudar la protección de BitLocker.

Para suspender BitLocker al instalar actualizaciones de firmware de TPM o UEFI:

1. Abra una ventana de Windows PowerShell con privilegios elevados y ejecute el siguiente cmdlet de PowerShell:

   Suspend-BitLocker -MountPoint "<DriveLetter>:" -RebootCount 0
   

   En este cmdlet de PowerShell, <DriveLetter> es la letra que se asigna a la unidad.

2. Instale las actualizaciones de firmware y el controlador del dispositivo Surface.

3. Después de instalar las actualizaciones de firmware, reinicie el equipo, abra una ventana de PowerShell con privilegios elevados y, a continuación, ejecute el siguiente cmdlet de PowerShell:

   Resume-BitLocker -MountPoint "<DriveLetter>:"
   

Credential Guard/Device Guard en TPM 1.2: En cada reinicio, BitLocker solicita la contraseña de recuperación y devuelve el error 0xC0210000

Considere el caso siguiente:

Un dispositivo usa TPM 1.2 y ejecuta Windows 10, versión 1809. El dispositivo también usa características de seguridad basadas en virtualización, como Device Guard y Credential Guard. Cada vez que se inicia el dispositivo, el dispositivo entra en modo de recuperación de BitLocker y se muestra un mensaje de error similar al siguiente:

Recuperación

El equipo o dispositivo debe repararse. No se pudo acceder a un archivo necesario porque la clave de BitLocker no se cargó correctamente.

Código de error 0xc0210000

Tendrá que usar herramientas de recuperación. Si no tiene ningún medio de instalación (como un disco o un dispositivo USB), póngase en contacto con el administrador del equipo o el fabricante del equipo o dispositivo.

Causa de Credential Guard/Device Guard en TPM 1.2: En cada reinicio, BitLocker solicita la contraseña de recuperación y devuelve el error 0xC0210000

TPM 1.2 no admite el inicio seguro. Para obtener más información, consulte Protección del sistema Protección de inicio seguro y SMM: Requisitos cumplidos por máquinas habilitadas para Protección del sistema

Para obtener más información sobre esta tecnología, consulta Windows Defender Protección del sistema: Cómo una raíz de confianza basada en hardware ayuda a proteger Windows

Resolución para Credential Guard/Device Guard en TPM 1.2: En cada reinicio, BitLocker solicita la contraseña de recuperación y devuelve el error 0xC0210000

Para resolver este problema, use una de las dos soluciones siguientes:

• Quite cualquier dispositivo que use TPM 1.2 de cualquier grupo que esté sujeto a GPO que apliquen el inicio seguro.
• Edite el GPO Activar la seguridad basada en virtualización para establecer Configuración de inicio seguro en Deshabilitado.