Configuración de BitLocker

• Se aplica a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Para configurar BitLocker, puede usar una de las siguientes opciones:

• Proveedor de servicios de configuración (CSP): esta opción se usa normalmente para dispositivos administrados por una solución de mobile Administración de dispositivos (MDM), como Microsoft Intune. El CSP de BitLocker se usa para configurar BitLocker y para notificar el estado de las distintas funciones de BitLocker a la solución MDM. Con Microsoft Intune, puede usar el estado de BitLocker en las directivas de cumplimiento, combinándolas con el acceso condicional. El acceso condicional puede impedir o conceder acceso a servicios como Exchange Online y SharePoint Online, en función del estado de BitLocker. Para obtener más información sobre las opciones de Intune para configurar y supervisar BitLocker, consulte los artículos siguientes:
  • Administrar la directiva de BitLocker para dispositivos Windows con Intune
  • Supervisión del cifrado de dispositivos con Intune
  • Use directivas de cumplimiento para establecer reglas para los dispositivos que administra con Intune
• Directiva de grupo (GPO): esta opción se puede usar para dispositivos que están unidos a un dominio de Active Directory y no se administran mediante una solución de administración de dispositivos. La directiva de grupo también se puede usar para dispositivos que no están unidos a un dominio de Active Directory mediante el editor de directivas de grupo local.
• Microsoft Configuration Manager: esta opción se puede usar para dispositivos administrados por Microsoft Configuration Manager mediante el agente de administración de BitLocker. Para obtener más información sobre las opciones para configurar BitLocker a través de Microsoft Configuration Manager, consulte Implementación de la administración de BitLocker.

Nota

Windows Server no admite la configuración de BitLocker mediante CSP o Microsoft Configuration Manager. Use GPO en su lugar.

Aunque muchos de los valores de la directiva de BitLocker se pueden configurar con CSP y GPO, hay algunas opciones que solo están disponibles mediante una de las opciones. Para obtener información sobre la configuración de directiva disponible para CSP y GPO, revise la sección Configuración de directiva de BitLocker.

Requisitos de licencia y de la edición de Windows

En la tabla siguiente se enumeran las ediciones de Windows que admiten la administración de BitLocker:

Windows Pro	Windows Enterprise	Windows Pro Education/SE	Windows Education
Sí	Sí	Sí	Sí

Los derechos de licencia de administración de BitLocker se conceden mediante las siguientes licencias:

Windows Pro/Pro Education/SE	Windows Enterprise E3	Windows Enterprise E5	Windows Education A3	Windows Education A5
No	Sí	Sí	Sí	Sí

Se puede obtener más información sobre las licencias de Windows en Información general sobre las licencias de Windows.

Configuración de directiva de BitLocker

En esta sección se describen los valores de directiva para configurar BitLocker mediante el proveedor de servicios de configuración (CSP) y la directiva de grupo (GPO).

Importante

La mayoría de la configuración de directiva de BitLocker se aplica cuando BitLocker está activado inicialmente para una unidad. El cifrado no se reinicia si cambia la configuración.

Lista de configuración de directivas

La lista de configuraciones se ordena alfabéticamente y se organiza en cuatro categorías:

• Configuración común: configuración aplicable a todas las unidades protegidas por BitLocker
• Unidad del sistema operativo: configuración aplicable a la unidad donde está instalado Windows
• Unidades de datos fijas: configuración aplicable a las unidades locales, excepto la unidad del sistema operativo
• Unidades de datos extraíbles: configuración aplicable a las unidades extraíbles

Seleccione una de las pestañas para ver la lista de opciones disponibles:

Configuración común

En la tabla siguiente se enumeran las directivas de BitLocker aplicables a todos los tipos de unidad, lo que indica si son aplicables a través del proveedor de servicios de configuración (CSP) o la directiva de grupo (GPO). Seleccione el nombre de la directiva para obtener más detalles.

Nombre de directiva	CSP	GPO
Permitir cifrado de usuario estándar	✅	❌
Elija la carpeta predeterminada para la contraseña de recuperación.	❌	✅
Elección del método de cifrado de unidad y la intensidad del cifrado	✅	✅
Configuración de la rotación de contraseñas de recuperación	✅	❌
Deshabilitación de nuevos dispositivos DMA cuando este equipo está bloqueado	❌	✅
Impedir la sobrescritura de memoria al reiniciar	❌	✅
Proporcionar los identificadores únicos de la organización	✅	✅
Requerir cifrado de dispositivos	✅	❌
Validación del cumplimiento de la regla de uso de certificados de tarjeta inteligente	❌	✅

Permitir cifrado de usuario estándar

Con esta directiva puede aplicar la directiva Requerir cifrado de dispositivos para escenarios en los que se aplica la directiva mientras el usuario que ha iniciado sesión actual no tiene derechos administrativos.

Importante

La advertencia Permitir para otra directiva de cifrado de disco debe deshabilitarse para permitir el cifrado de usuario estándar.

	Ruta de acceso
CSP	./Device/Vendor/MSFT/BitLocker/ AllowStandardUserEncryption
GPO	No disponible

Elija la carpeta predeterminada para la contraseña de recuperación.

Especifique la ruta de acceso predeterminada que se muestra cuando el Asistente para configuración de cifrado de unidad BitLocker solicita al usuario que escriba la ubicación de una carpeta en la que guardar la contraseña de recuperación. Puede especificar una ruta de acceso completa o incluir las variables de entorno del equipo de destino en la ruta de acceso:

• Si la ruta de acceso no es válida, el asistente para la instalación de BitLocker muestra la vista de carpeta de nivel superior del equipo.
• Si deshabilita o no establece esta configuración de directiva, el Asistente para configuración de BitLocker muestra la vista de carpeta de nivel superior del equipo cuando el usuario elige la opción para guardar la contraseña de recuperación en una carpeta.

Nota

Esta configuración de directiva no impide que el usuario guarde la contraseña de recuperación en otra carpeta.

	Ruta de acceso
CSP	No disponible
GPO	Configuración del> equipoPlantillas> administrativasComponentes de> WindowsCifrado de unidad bitlocker

Elección del método de cifrado de unidad y la intensidad del cifrado

Con esta directiva, puede configurar un algoritmo de cifrado y una intensidad de cifrado de claves para unidades de datos fijas, unidades del sistema operativo y unidades de datos extraíbles individualmente.

Configuración recomendada: XTS-AES algoritmo para todas las unidades. La elección del tamaño de clave, 128 bits o 256 bits depende del rendimiento del dispositivo. Para unidades de disco duro y CPU más eficaces, elija la clave de 256 bits, para los que tengan menos rendimiento, use 128.

Importante

Los reguladores o el sector pueden requerir el tamaño de clave.

Si deshabilita o no establece esta configuración de directiva, BitLocker usa el método de cifrado predeterminado de XTS-AES 128-bit.

Nota

Esta directiva no se aplica a las unidades cifradas. Las unidades cifradas usan su propio algoritmo, que la unidad establece durante la creación de particiones.

	Ruta de acceso
CSP	./Device/Vendor/MSFT/BitLocker/ EncryptionMethodByDriveType
GPO	Configuración del> equipoPlantillas> administrativasComponentes de> WindowsCifrado de unidad bitlocker

Configuración de la rotación de contraseñas de recuperación

Con esta directiva, puede configurar una rotación de contraseñas de recuperación numérica al usarse para el sistema operativo y las unidades fijas en Microsoft Entra dispositivos unidos y unidos Microsoft Entra híbridos.

Los valores posibles son:

• 0: la rotación de contraseñas de recuperación numérica está desactivada
• 1: la rotación de contraseñas de recuperación numérica cuando se usa está activada para Microsoft Entra dispositivos unidos. Este es también el valor predeterminado.
• 2: la rotación de contraseñas de recuperación numérica cuando se usa está activada para dispositivos unidos a Microsoft Entra y Microsoft Entra dispositivos unidos híbridos

Nota

La directiva solo es efectiva cuando el identificador de Micropsoft Entra o la copia de seguridad de Active Directory para la contraseña de recuperación están configuradas para ser necesarias.

• Para la unidad del sistema operativo: habilite No habilitar BitLocker hasta que la información de recuperación se almacene en AD DS para las unidades del sistema operativo.
• Para unidades fijas: habilite "No habilitar BitLocker hasta que la información de recuperación se almacene en AD DS para unidades de datos fijas.

	Ruta de acceso
CSP	./Device/Vendor/MSFT/BitLocker/ ConfigureRecoveryPasswordRotation
GPO	No disponible

Deshabilitación de nuevos dispositivos DMA cuando este equipo está bloqueado

Cuando está habilitada, esta configuración de directiva bloquea el acceso directo a la memoria (DMA) para todos los puertos PCI conectables en caliente hasta que un usuario inicia sesión en Windows.

Una vez que un usuario inicia sesión, Windows enumera los dispositivos PCI conectados a los puertos pci de Thunderbolt del host. Cada vez que el usuario bloquea el dispositivo, DMA se bloquea en los puertos PCI thunderbolt de conexión activa sin dispositivos secundarios, hasta que el usuario vuelve a iniciar sesión.

Los dispositivos que ya se enumeraron cuando se desbloqueó el dispositivo seguirán funcionando hasta que se desenchufe o el sistema se reinicie o hiberna.

Esta configuración de directiva solo se aplica cuando BitLocker o el cifrado de dispositivo están habilitados.

Importante

Esta directiva no es compatible con Kernel DMA Protection. Se recomienda deshabilitar esta directiva si el sistema admite kernel DMA Protection, ya que Kernel DMA Protection proporciona mayor seguridad para el sistema. Para obtener más información acerca de Kernel DMA Protection, consulte Protección contra DMA del kernel.

	Ruta de acceso
CSP	No disponible
GPO	Configuración del> equipoPlantillas> administrativasComponentes de> WindowsCifrado de unidad bitlocker

Impedir la sobrescritura de memoria al reiniciar

Esta configuración de directiva se usa para controlar si la memoria del equipo se sobrescribe cuando se reinicia el dispositivo. Los secretos de BitLocker incluyen el material de clave que se usa para cifrar los datos.

• Si habilita esta configuración de directiva, la memoria no se sobrescribe cuando se reinicia el equipo. Evitar la sobrescritura de memoria puede mejorar el rendimiento del reinicio, pero aumenta el riesgo de exponer secretos de BitLocker.
• Si deshabilita o no establece esta configuración de directiva, los secretos de BitLocker se quitan de la memoria cuando se reinicia el equipo.

Nota

Esta configuración de directiva solo se aplica cuando está habilitada la protección de BitLocker.

	Ruta de acceso
CSP	No disponible
GPO	Configuración del> equipoPlantillas> administrativasComponentes de> WindowsCifrado de unidad bitlocker

Proporcionar los identificadores únicos de la organización

Esta configuración de directiva permite asociar identificadores organizativos únicos a una unidad cifrada con BitLocker. Los identificadores se almacenan como campo de identificación y campo de identificación permitido:

• El campo de identificación permite asociar un identificador organizativo único a unidades protegidas por BitLocker. Este identificador se agrega automáticamente a las nuevas unidades protegidas por BitLocker y se puede actualizar en unidades protegidas con BitLocker existentes mediante la herramienta de configuración cifrado de unidad bitlocker (manage-bde.exe)
• El campo de identificación permitido se usa en combinación con la opción Denegar el acceso de escritura a unidades extraíbles no protegidas por la directiva de BitLocker para ayudar a controlar el uso de unidades extraíbles en su organización. Es una lista separada por comas de campos de identificación de su organización u otras organizaciones externas. Puede configurar los campos de identificación en unidades existentes mediante manage-bde.exe.

Si habilita esta configuración de directiva, puede configurar el campo de identificación en la unidad protegida por BitLocker y cualquier campo de identificación permitido que use su organización. Cuando una unidad protegida por BitLocker se monta en otro dispositivo habilitado para BitLocker, el campo de identificación y el campo de identificación permitido se usan para determinar si la unidad pertenece a otra organización.

Si deshabilita o no establece esta configuración de directiva, no se requiere el campo de identificación.

Importante

Los campos de identificación son necesarios para la administración de agentes de recuperación de datos basados en certificados en unidades protegidas por BitLocker. BitLocker solo administra y actualiza los agentes de recuperación de datos basados en certificados cuando el campo de identificación está presente en una unidad y es idéntico al valor configurado en el dispositivo. El campo de identificación puede tener cualquier valor de 260 caracteres o menos.

	Ruta de acceso
CSP	./Device/Vendor/MSFT/BitLocker/ IdentificationField
GPO	Configuración del> equipoPlantillas> administrativasComponentes de> WindowsCifrado de unidad bitlocker

Requerir cifrado de dispositivos

Esta configuración de directiva determina si BitLocker es necesario:

• Si está habilitado, el cifrado se desencadena en todas las unidades de forma silenciosa o no silenciosa en función de la advertencia Permitir para otras directivas de cifrado de disco .
• Si está deshabilitado, BitLocker no está desactivado para la unidad del sistema, pero deja de pedir al usuario que active BitLocker.

Nota

Normalmente, BitLocker sigue la configuración elegir método de cifrado de unidad y directiva de seguridad de cifrado. Sin embargo, esta configuración de directiva se omitirá para el cifrado automático de unidades fijas y el cifrado automático de unidades del sistema operativo.

Los volúmenes de datos fijos cifrados se tratan de forma similar a los volúmenes del sistema operativo, pero deben cumplir otros criterios para poder cifrarse:

• No debe ser un volumen dinámico
• No debe ser una partición de recuperación
• No debe ser un volumen oculto
• No debe ser una partición del sistema
• No debe estar respaldado por el almacenamiento virtual.
• No debe tener una referencia en el almacén BCD.

Nota

Solo se admite el cifrado de disco completo cuando se usa esta directiva para el cifrado silencioso. En el caso del cifrado no silencioso, el tipo de cifrado dependerá del tipo De aplicación del cifrado de unidad en las unidades del sistema operativo y de la aplicación del tipo de cifrado de unidad en las directivas de unidades de datos fijas configuradas en el dispositivo.

	Ruta de acceso
CSP	./Device/Vendor/MSFT/BitLocker/ RequireDeviceEncryption
GPO	No disponible

Validación del cumplimiento de la regla de uso de certificados de tarjeta inteligente

Esta configuración de directiva se usa para determinar qué certificado usar con BitLocker mediante la asociación de un identificador de objeto (OID) de un certificado de tarjeta inteligente a una unidad protegida por BitLocker. El identificador de objeto se especifica en el uso mejorado de claves (EKU) de un certificado.

BitLocker puede identificar qué certificados se pueden usar para autenticar un certificado de usuario en una unidad protegida por BitLocker haciendo coincidir el identificador de objeto del certificado con el identificador de objeto definido por esta configuración de directiva. El OID predeterminado es 1.3.6.1.4.1.311.67.1.1.

Si habilita esta configuración de directiva, el identificador de objeto especificado en el campo Identificador de objeto debe coincidir con el identificador de objeto del certificado de tarjeta inteligente. Si deshabilita o no establece esta configuración de directiva, se usa el OID predeterminado.

Nota

BitLocker no requiere que un certificado tenga un atributo EKU; sin embargo, si uno está configurado para el certificado, debe establecerse en un identificador de objeto que coincida con el identificador de objeto configurado para BitLocker.

	Ruta de acceso
CSP	No disponible
GPO	Configuración del> equipoPlantillas> administrativasComponentes de> WindowsCifrado de unidad bitlocker

Unidad del sistema operativo

Nombre de directiva	CSP	GPO
Permitir que los dispositivos compatibles con InstantGo o HSTI no puedan participar en el PIN previo al arranque	✅	✅
Permitir PIN mejorados para el inicio	✅	✅
Permitir desbloqueo de red en el inicio	❌	✅
Permitir arranque seguro para la validación de integridad	❌	✅
Permitir advertencia para otro cifrado de disco	✅	❌
Elegir cómo se pueden recuperar unidades del sistema operativo protegidas con BitLocker	✅	✅
Configuración de la longitud mínima del PIN para el inicio	✅	✅
Configuración del mensaje y la dirección URL de la recuperación previa al arranque	✅	✅
Configuración del perfil de validación de la plataforma TPM para configuraciones de firmware basadas en BIOS	❌	✅
Configuración del perfil de validación de la plataforma TPM para configuraciones de firmware ueFI nativas	❌	✅
Configuración del uso del cifrado basado en hardware para unidades de sistema operativo	❌	✅
Configuración del uso de contraseñas para unidades de sistema operativo	❌	✅
No permitir que los usuarios estándar cambien el PIN o la contraseña	✅	✅
Habilitación del uso de la autenticación de BitLocker que requiere entrada de teclado previa al arranque en pizarras	✅	✅
Aplicación del tipo de cifrado de unidad en las unidades del sistema operativo	✅	✅
Requerir autenticación adicional en el inicio	✅	✅
Restablecimiento de los datos de validación de la plataforma después de la recuperación de BitLocker	❌	✅
Uso del perfil de validación de datos de configuración de arranque mejorado	❌	✅

Permitir que los dispositivos compatibles con InstantGo o HSTI no puedan participar en el PIN de prearranque

Esta configuración de directiva permite a los usuarios de dispositivos compatibles con InstantGo o Microsoft Hardware Security Test Interface (HSTI) no tener un PIN para la autenticación previa al arranque.

La directiva invalida las opciones Requerir PIN de inicio con TPM y Requerir clave de inicio y PIN con TPM de la directiva Requerir autenticación adicional en el inicio en hardware compatible.

• Si habilita esta configuración de directiva, los usuarios de los dispositivos compatibles con InstantGo y HSTI pueden activar BitLocker sin autenticación previa al arranque.
• Si la directiva está deshabilitada o no está configurada, se aplican las opciones de Requerir autenticación adicional en la directiva de inicio.

	Ruta de acceso
CSP	./Device/Vendor/MSFT/BitLocker/ SystemDrivesEnablePreBootPinExceptionOnDECapableDevice
GPO	Configuración del> equipoPlantillas> administrativasComponentes de> WindowsCifrado >de unidad bitlockerUnidades del sistema operativo

Permitir PIN mejorados para el inicio

Esta configuración permite el uso de PIN mejorados cuando se usa un método de desbloqueo que incluye un PIN.

Los PIN de inicio mejorados permiten el uso de caracteres (incluidas las letras mayúsculas y minúsculas, los símbolos, los números y los espacios).

Importante

No todos los equipos admiten caracteres PIN mejorados en el entorno de prearranque. Se recomienda encarecidamente que los usuarios realicen una comprobación del sistema durante la configuración de BitLocker para comprobar que se pueden usar caracteres pin mejorados.

	Ruta de acceso
CSP	./Device/Vendor/MSFT/BitLocker/ SystemDrivesEnhancedPIN
GPO	Configuración del> equipoPlantillas> administrativasComponentes de> WindowsCifrado >de unidad bitlockerUnidades del sistema operativo

Permitir desbloqueo de red en el inicio

Esta configuración de directiva controla si un dispositivo protegido con BitLocker que está conectado a una red de área local (LAN) cableada de confianza puede crear y usar protectores de clave de red en equipos habilitados para TPM para desbloquear automáticamente la unidad del sistema operativo cuando se inicia el equipo.

Si habilita esta directiva, los dispositivos configurados con un certificado de desbloqueo de red de BitLocker pueden crear y usar protectores de clave de red. Para usar un protector de clave de red para desbloquear el equipo, tanto el equipo como el servidor de desbloqueo de red de cifrado de unidad BitLocker deben aprovisionarse con un certificado de desbloqueo de red. El certificado de desbloqueo de red se usa para crear protectores de clave de red y protege la información intercambiada con el servidor para desbloquear el equipo.

El directiva de grupo establecer Configuración> del equipoConfiguración de Windows Configuración>de seguridad Directivas> declave> públicaBitLocker Drive Encryption Network Unlock Certificate se puede usar en el controlador de dominio para distribuir este certificado a los equipos de la organización. Este método de desbloqueo usa el TPM en el equipo, por lo que los equipos que no tienen un TPM no pueden crear protectores de clave de red para desbloquear automáticamente con desbloqueo de red.

Si deshabilita o no configura esta configuración de directiva, los clientes de BitLocker no podrán crear ni usar protectores de clave de red.

Nota

Por motivos de confiabilidad y seguridad, los equipos también deben tener un PIN de inicio de TPM que se pueda usar cuando el equipo esté desconectado de la red cableada o del servidor al iniciarse.

Para obtener más información sobre la característica de desbloqueo de red, vea BitLocker: Cómo habilitar el desbloqueo de red.

	Ruta de acceso
CSP	No disponible
GPO	Configuración del> equipoPlantillas> administrativasComponentes de> WindowsCifrado >de unidad bitlockerUnidades del sistema operativo

Permitir arranque seguro para la validación de integridad

Esta configuración de directiva permite configurar si se permite el arranque seguro como proveedor de integridad de plataforma para las unidades del sistema operativo BitLocker.

Arranque seguro garantiza que el entorno de arranque previo del dispositivo solo cargue el firmware firmado digitalmente por los editores de software autorizados.

• Si habilita o no configura esta configuración de directiva, BitLocker usa Arranque seguro para la integridad de la plataforma si la plataforma es capaz de validar la integridad basada en arranque seguro.
• Si deshabilita esta configuración de directiva, BitLocker usa la validación de integridad de la plataforma heredada, incluso en sistemas capaces de validar la integridad basada en arranque seguro.

Cuando esta directiva está habilitada y el hardware es capaz de usar arranque seguro para escenarios de BitLocker, se omite la configuración de directiva Usar perfil de validación de datos de configuración de arranque mejorado y Arranque seguro comprueba la configuración de BCD según la configuración de directiva de arranque seguro, que se configura por separado de BitLocker.

Nota

Si la configuración de directiva Configurar el perfil de validación de la plataforma TPM para configuraciones de firmware ueFI nativas está habilitada y se ha omitido PCR 7, Se impide que BitLocker use Arranque seguro para la plataforma o la validación de integridad de datos de configuración de arranque (BCD).

Advertencia

Deshabilitar esta directiva podría dar lugar a la recuperación de BitLocker cuando se actualiza el firmware específico del fabricante. Si esta directiva está deshabilitada, suspenda BitLocker antes de aplicar las actualizaciones de firmware.

	Ruta de acceso
CSP	No disponible
GPO	Configuración del> equipoPlantillas> administrativasComponentes de> WindowsCifrado >de unidad bitlockerUnidades del sistema operativo

Permitir advertencia para otro cifrado de disco

Con esta directiva puede deshabilitar todas las notificaciones de cifrado, aviso de advertencia para otro cifrado de disco y activar el cifrado de forma silenciosa.

Importante

Esta directiva solo se aplica a los dispositivos unidos a Microsoft Entra.

Esta directiva solo surte efecto si la directiva Requerir cifrado de dispositivos está habilitada.

Advertencia

Al habilitar BitLocker en un dispositivo con cifrado que no es de Microsoft, puede que el dispositivo no se pueda usar y requerirá la reinstalación de Windows.

Los valores esperados para esta directiva son:

• Habilitado (valor predeterminado): se permite el aviso de advertencia y la notificación de cifrado.
• Deshabilitado: se suprimen el aviso de advertencia y la notificación de cifrado. Windows intentará habilitar BitLocker de forma silenciosa

Nota

Al deshabilitar el aviso de advertencia, la clave de recuperación de la unidad del sistema operativo hará una copia de seguridad en la cuenta de Microsoft Entra ID del usuario. Cuando se permite el aviso de advertencia, el usuario que recibe el aviso puede seleccionar dónde hacer una copia de seguridad de la clave de recuperación de la unidad del sistema operativo.

El punto de conexión de la copia de seguridad de una unidad de datos fija se elige en el orden siguiente:

1. Cuenta de Windows Server Active Directory Servicios de dominio del usuario
2. Cuenta de Microsoft Entra ID del usuario
3. OneDrive personal del usuario (solo MDM/MAM)

El cifrado esperará hasta que una de estas tres ubicaciones realice una copia de seguridad correctamente.

	Ruta de acceso
CSP	./Device/Vendor/MSFT/BitLocker/ AllowWarningForOtherDiskEncryption
GPO	No disponible

Elegir cómo se pueden recuperar unidades del sistema operativo protegidas con BitLocker

Esta configuración de directiva permite controlar cómo se recuperan las unidades de sistema operativo protegidas por BitLocker en ausencia de la información de clave de inicio necesaria. Si habilita esta configuración de directiva, puede controlar los métodos disponibles para que los usuarios recuperen datos de unidades de sistema operativo protegidas por BitLocker. Estas son las opciones disponibles:

• Permitir agente de recuperación de datos basado en certificados: especifique si se puede usar un agente de recuperación de datos con unidades de sistema operativo protegidas por BitLocker. Para poder usar un agente de recuperación de datos, debe agregarse desde el elemento Directivas de clave pública en la consola de administración de directiva de grupo o en la directiva de grupo Editor local.
• Configurar el almacenamiento de usuario de la información de recuperación de BitLocker: seleccione si los usuarios pueden generar una contraseña de recuperación de 48 dígitos o una clave de recuperación de 256 bits.
• Omita las opciones de recuperación del Asistente para la instalación de BitLocker: evite que los usuarios especifiquen opciones de recuperación cuando activen BitLocker para una unidad. Esto significa que los usuarios no podrán especificar qué opción de recuperación usar cuando activen BitLocker. Las opciones de recuperación de BitLocker para la unidad se determinan mediante la configuración de directiva.
• Guarde la información de recuperación de BitLocker en Servicios de dominio de Active Directory: elija qué información de recuperación de BitLocker almacenar en AD DS para las unidades del sistema operativo. Si selecciona Backup recovery password and key package (Contraseña de recuperación de copia de seguridad y paquete de claves), tanto la contraseña de recuperación de BitLocker como el paquete de claves se almacenan en AD DS. El almacenamiento del paquete de claves admite la recuperación de datos de una unidad que se ha dañado físicamente. Si selecciona Solo contraseña de recuperación de copia de seguridad, solo la contraseña de recuperación se almacena en AD DS.
• No habilite BitLocker hasta que la información de recuperación se almacene en AD DS para las unidades del sistema operativo: impide que los usuarios habiliten BitLocker a menos que el dispositivo esté conectado al dominio y la copia de seguridad de la información de recuperación de BitLocker en AD DS se realice correctamente. Cuando se usa esta opción, se genera automáticamente una contraseña de recuperación.

Si esta configuración de directiva está deshabilitada o no está configurada, se admiten las opciones de recuperación predeterminadas para la recuperación de BitLocker. De forma predeterminada, se permite un DRA, el usuario puede especificar las opciones de recuperación, incluida la contraseña de recuperación y la clave de recuperación, y no se realiza una copia de seguridad de la información de recuperación en AD DS.

Para Microsoft Entra dispositivos unidos a un entorno híbrido, se realiza una copia de seguridad de la contraseña de recuperación de BitLocker tanto en Active Directory como en El identificador de entra.

	Ruta de acceso
CSP	./Device/Vendor/MSFT/BitLocker/ SystemDrivesRecoveryOptions
GPO	Configuración del> equipoPlantillas> administrativasComponentes de> WindowsCifrado >de unidad bitlockerUnidades del sistema operativo

Configuración de la longitud mínima del PIN para el inicio

Esta directiva configura una longitud mínima para un PIN de inicio del módulo de plataforma segura (TPM). El PIN de inicio debe tener una longitud mínima de 4 dígitos y puede tener una longitud máxima de 20 dígitos.

Si habilita esta configuración de directiva, puede requerir que se use un número mínimo de dígitos al establecer el PIN de inicio.
Si deshabilita o no establece esta configuración de directiva, los usuarios pueden configurar un PIN de inicio de cualquier longitud entre 6 y 20 dígitos.

El TPM se puede configurar para usar parámetros de prevención de ataques de diccionario (umbral de bloqueo y duración de bloqueo para controlar cuántos intentos de autorización con errores se permiten antes de que el TPM se bloquee y cuánto tiempo debe transcurrir antes de que se pueda realizar otro intento.

Los parámetros de prevención de ataques de diccionario proporcionan una manera de equilibrar las necesidades de seguridad con la facilidad de uso. Por ejemplo, cuando se usa BitLocker con una configuración de TPM + PIN, el número de estimaciones de PIN está limitado con el tiempo. Un TPM 2.0 en este ejemplo podría configurarse para permitir solo 32 estimaciones de PIN inmediatamente y, a continuación, solo una estimación más cada dos horas. Este número de intentos totales hasta un máximo de aproximadamente 4415 estimaciones al año. Si el PIN es de cuatro dígitos, las combinaciones de PIN posibles de 9999 podrían intentarse en poco más de dos años.

Sugerencia

Aumentar la longitud del PIN requiere un mayor número de conjeturas para un atacante. En ese caso, la duración del bloqueo entre cada estimación se puede acortar para permitir que los usuarios legítimos vuelvan a intentar un intento erróneo antes, al tiempo que mantienen un nivel de protección similar.

Nota

Si la longitud mínima del PIN se establece por debajo de 6 dígitos, Windows intentará actualizar el período de bloqueo de TPM 2.0 para que sea mayor que el predeterminado cuando se cambie un PIN. Si se ejecuta correctamente, Windows solo restablecerá el período de bloqueo de TPM al valor predeterminado si se restablece el TPM.

	Ruta de acceso
CSP	./Device/Vendor/MSFT/BitLocker/ SystemDrivesMinimumPINLength
GPO	Configuración del> equipoPlantillas> administrativasComponentes de> WindowsCifrado >de unidad bitlockerUnidades del sistema operativo

Configuración del mensaje y la dirección URL de recuperación del arranque previo

Esta configuración de directiva se usa para configurar el mensaje de recuperación y para reemplazar la dirección URL existente que se muestra en la pantalla de recuperación previa al arranque cuando la unidad del sistema operativo está bloqueada.

• Si selecciona la opción Usar el mensaje de recuperación predeterminado y la dirección URL , el mensaje de recuperación y la dirección URL predeterminados de BitLocker se muestran en la pantalla de recuperación de claves previa al arranque. Si anteriormente ha configurado un mensaje de recuperación personalizado o una dirección URL y desea revertir al mensaje predeterminado, debe mantener habilitada la directiva y seleccionar la opción Usar el mensaje de recuperación predeterminado y la dirección URL.
• Si selecciona la opción Usar mensaje de recuperación personalizado , el mensaje que agregue al cuadro de texto Opción de mensaje de recuperación personalizada se mostrará en la pantalla de recuperación de claves previa al arranque. Si hay una dirección URL de recuperación disponible, inslúyela en el mensaje.
• Si selecciona la opción Usar dirección URL de recuperación personalizada , la dirección URL que agregue al cuadro de texto Custom recovery URL option (Dirección URL de recuperación personalizada ) reemplazará la dirección URL predeterminada en el mensaje de recuperación predeterminado, que se muestra en la pantalla de recuperación de claves previa al arranque.

Nota

No todos los caracteres e idiomas se admiten en el arranque previo. Se recomienda encarecidamente probar que los caracteres que se usan para el mensaje personalizado o la dirección URL aparecen correctamente en la pantalla de recuperación previa al arranque.

Para obtener más información sobre la pantalla de recuperación previa al arranque de BitLocker, consulte Pantalla de recuperación previa al arranque.

	Ruta de acceso
CSP	./Device/Vendor/MSFT/BitLocker/ SystemDrivesRecoveryMessage
GPO	Configuración del> equipoPlantillas> administrativasComponentes de> WindowsCifrado >de unidad bitlockerUnidades del sistema operativo

Configuración del perfil de validación de la plataforma TPM para configuraciones de firmware basadas en BIOS

Esta configuración de directiva determina qué valores mide el TPM cuando valida los componentes de arranque anticipado antes de desbloquear una unidad de sistema operativo en un equipo con una configuración de BIOS o con el firmware UEFI que tiene habilitado el módulo de compatibilidad (CSM).

• Cuando está habilitado, se pueden configurar los componentes de arranque que el TPM valida antes de desbloquear el acceso a la unidad del sistema operativo cifrado con BitLocker. Si alguno de estos componentes cambia mientras la protección de BitLocker está en vigor, el TPM no libera la clave de cifrado para desbloquear la unidad. En su lugar, el equipo muestra la consola de recuperación de BitLocker y requiere que se proporcione la contraseña de recuperación o la clave de recuperación para desbloquear la unidad.
• Cuando está deshabilitado o no configurado, el TPM usa el perfil de validación de plataforma predeterminado o el perfil de validación de plataforma especificado por el script de instalación.

Esta configuración de directiva no se aplica si el equipo no tiene un TPM compatible o si BitLocker ya se ha activado con la protección de TPM.

Importante

Esta configuración de directiva de grupo solo se aplica a equipos con configuraciones de BIOS o a equipos con firmware UEFI con el CSM habilitado. Los equipos que usan una configuración de firmware UEFI nativa almacenan valores diferentes en los registros de configuración de plataforma (PCR). Use la configuración de directiva Configurar el perfil de validación de la plataforma TPM para configuraciones de firmware ueFI nativas para configurar el perfil de PCR de TPM para los equipos que usan firmware UEFI nativo.

Un perfil de validación de plataforma consta de un conjunto de índices de PCR que van de 0 a 23. Cada índice de PCR representa una medida específica que el TPM valida durante el arranque temprano. El perfil de validación de plataforma predeterminado protege la clave de cifrado frente a los cambios realizados en los siguientes PCR:

PCR	Descripción
PCR 0	Raíz principal de confianza para las extensiones de medición, BIOS y plataforma
PCR 2	Código ROM de opción
PCR 4	Código de registro de arranque maestro (MBR)
PCR 8	Sector de arranque NTFS
PCR 9	Bloque de arranque NTFS
PCR 10	Administrador de arranque
PCR 11	Control de acceso de BitLocker

Nota

El cambio del perfil de validación de plataforma predeterminado afecta a la seguridad y la capacidad de administración de un equipo. La sensibilidad de BitLocker a las modificaciones de plataforma (malintencionadas o autorizadas) aumenta o disminuye en función de la inclusión o exclusión (respectivamente) de los PCR.

En la lista siguiente se identifican todos los PCR disponibles:

PCR	Descripción
PCR 0	Raíz principal de confianza para las extensiones de medición, BIOS y plataforma
PCR 1	Configuración y datos de plataforma y placa base.
PCR 2	Código ROM de opción
PCR 3	Configuración y datos de ROM de opción
PCR 4	Código de registro de arranque maestro (MBR)
PCR 5	Tabla de particiones de registro de arranque maestro (MBR)
PCR 6	Transición de estado y eventos de reactivación
PCR 7	Específico del fabricante del equipo
PCR 8	Sector de arranque NTFS
PCR 9	Bloque de arranque NTFS
PCR 10	Administrador de arranque
PCR 11	Control de acceso de BitLocker
PCR 12-23	Reservado para uso futuro

	Ruta de acceso
CSP	No disponible
GPO	Configuración del> equipoPlantillas> administrativasComponentes de> WindowsCifrado >de unidad bitlockerUnidades del sistema operativo

Configuración del perfil de validación de la plataforma TPM para configuraciones de firmware ueFI nativas

Esta configuración de directiva determina qué valores mide el TPM cuando valida los componentes de arranque anticipado, antes de desbloquear la unidad del sistema operativo en el dispositivo de firmware UEFI nativo.

• Si habilita esta configuración de directiva antes de activar BitLocker, puede configurar los componentes de arranque que el TPM valida antes de desbloquear el acceso a la unidad del sistema operativo cifrada con BitLocker. Si alguno de estos componentes cambia mientras la protección de BitLocker está en vigor, el TPM no libera la clave de cifrado para desbloquear la unidad. El dispositivo muestra la consola de recuperación de BitLocker y requiere que se proporcione la contraseña de recuperación o la clave de recuperación para desbloquear la unidad.
• Si deshabilita o no establece esta configuración de directiva, BitLocker usa el perfil de validación de plataforma predeterminado para el hardware disponible o el perfil de validación de la plataforma especificado por el script de instalación.

Importante

Esta configuración de directiva solo se aplica a dispositivos con una configuración de firmware UEFI nativa. Los equipos con firmware BIOS o UEFI con un módulo de compatibilidad (CSM) habilitado almacenan valores diferentes en los registros de configuración de plataforma (PCR). Use la configuración de directiva Configurar perfil de validación de plataforma TPM para configuraciones de firmware basadas en BIOS para configurar el perfil de PCR de TPM para dispositivos con configuraciones de BIOS o para dispositivos con firmware UEFI con un CSM habilitado.

Un perfil de validación de plataforma consta de un conjunto de índices de PCR que van de 0 a 23. El perfil de validación de plataforma predeterminado protege la clave de cifrado frente a los cambios realizados en los siguientes PCR:

PCR	Descripción
PCR 0	Código ejecutable del firmware del sistema principal
PCR 2	Código ejecutable extendido o conectable
PCR 4	Administrador de arranque
PCR 11	Control de acceso de BitLocker

Nota

Cuando está disponible la compatibilidad con el estado de arranque seguro (PCR7), el perfil de validación de plataforma predeterminado protege la clave de cifrado mediante el estado de arranque seguro (PCR 7) y el control de acceso de BitLocker (PCR 11).

En la lista siguiente se identifican todos los PCR disponibles:

PCR	Descripción
PCR 0	Código ejecutable del firmware del sistema principal
PCR 1	Datos de firmware del sistema principal
PCR 2	Código ejecutable extendido o conectable
PCR 3	Datos de firmware extendidos o conectables
PCR 4	Administrador de arranque
PCR 5	Tabla gpt/partición
PCR 6	Reanudar desde eventos de estado de energía S4 y S5
PCR 7	Estado de arranque seguro
PCR 8	Inicializado en 0 sin extender (reservado para uso futuro)
PCR 9	Inicializado en 0 sin extender (reservado para uso futuro)
PCR 10	Inicializado en 0 sin extender (reservado para uso futuro)
PCR 11	Control de acceso de BitLocker
PCR 12	Eventos de datos y eventos altamente volátiles
PCR 13	Detalles del módulo de arranque
PCR 14	Autoridades de arranque
PCR 15 - 23	Reservado para uso futuro

Advertencia

Cambiar del perfil de validación de plataforma predeterminado afecta a la seguridad y la capacidad de administración de un dispositivo. La sensibilidad de BitLocker a las modificaciones de plataforma (malintencionadas o autorizadas) aumenta o disminuye en función de la inclusión o exclusión (respectivamente) de los PCR.

Al establecer esta directiva con PCR 7 omitida, se invalida la directiva permitir arranque seguro para la validación de integridad , lo que impide que BitLocker use arranque seguro para la plataforma o validación de la integridad de datos de configuración de arranque (BCD).

Establecer esta directiva puede dar lugar a la recuperación de BitLocker cuando se actualiza el firmware. Si establece esta directiva para incluir PCR 0, suspenda BitLocker antes de aplicar las actualizaciones de firmware. Se recomienda no configurar esta directiva para permitir que Windows seleccione el perfil de PCR para obtener la mejor combinación de seguridad y facilidad de uso en función del hardware disponible en cada dispositivo.

PCR 7 mide el estado de Arranque seguro. Con PCR 7, BitLocker puede usar arranque seguro para la validación de integridad. Arranque seguro garantiza que el entorno de arranque previo del equipo cargue solo el firmware firmado digitalmente por los editores de software autorizados. Las medidas de PCR 7 indican si el arranque seguro está activado y qué claves son de confianza en la plataforma. Si el arranque seguro está activado y el firmware mide PCR 7 correctamente según la especificación UEFI, BitLocker puede enlazar a esta información en lugar de a los PCR 0, 2 y 4, que tienen cargadas las medidas de las imágenes exactas de firmware y Bootmgr. Este proceso reduce la probabilidad de que BitLocker comience en modo de recuperación como resultado de las actualizaciones de firmware e imagen, y proporciona una mayor flexibilidad para administrar la configuración del arranque previo.

Las medidas de PCR 7 deben seguir las instrucciones que se describen en el Apéndice A Protocolo EFI del entorno de ejecución de confianza.

Las medidas PCR 7 son un requisito de logotipo obligatorio para los sistemas que admiten el modo de espera moderno (también conocido como Always On, equipos always connected). En estos sistemas, si el TPM con la medida PCR 7 y el arranque seguro están configurados correctamente, BitLocker se enlaza a PCR 7 y PCR 11 de forma predeterminada.

	Ruta de acceso
CSP	No disponible
GPO	Configuración del> equipoPlantillas> administrativasComponentes de> WindowsCifrado >de unidad bitlockerUnidades del sistema operativo

Configuración del uso del cifrado basado en hardware para unidades de sistema operativo

Esta configuración de directiva permite administrar el uso de BitLocker del cifrado basado en hardware en unidades de sistema operativo y especificar qué algoritmos de cifrado puede usar con el cifrado basado en hardware. El uso del cifrado basado en hardware puede mejorar el rendimiento de las operaciones de unidad que implican la lectura o escritura frecuentes de datos en la unidad.

Si habilita esta configuración de directiva, puede especificar opciones que controlen si se usa el cifrado basado en software de BitLocker en lugar del cifrado basado en hardware en dispositivos que no admiten el cifrado basado en hardware. También puede especificar si desea restringir los algoritmos de cifrado y los conjuntos de cifrado usados con el cifrado basado en hardware.

Si deshabilita esta configuración de directiva, BitLocker no puede usar el cifrado basado en hardware con unidades de sistema operativo y el cifrado basado en software de BitLocker se usará de forma predeterminada cuando se cifre la unidad.

Si no configura esta configuración de directiva, BitLocker usará el cifrado basado en software, independientemente de la disponibilidad de cifrado basada en hardware.

Nota

La opción Elegir método de cifrado de unidad y directiva de seguridad de cifrado no se aplica al cifrado basado en hardware. El algoritmo de cifrado usado por el cifrado basado en hardware se establece cuando se particiona la unidad. De forma predeterminada, BitLocker usa el algoritmo configurado en la unidad para cifrar la unidad.

La opción Restringir algoritmos de cifrado y conjuntos de cifrado permitidos para el cifrado basado en hardware permite restringir los algoritmos de cifrado que BitLocker puede usar con el cifrado de hardware. Si el algoritmo establecido para la unidad no está disponible, BitLocker deshabilita el uso del cifrado basado en hardware. Los algoritmos de cifrado se especifican mediante identificadores de objeto (OID). Por ejemplo:

• AES 128 en modo CBC OID: 2.16.840.1.101.3.4.1.2
• AES 256 en modo CBC OID: 2.16.840.1.101.3.4.1.42

	Ruta de acceso
CSP	No disponible
GPO	Configuración del> equipoPlantillas> administrativasComponentes de> WindowsCifrado >de unidad bitlockerUnidades del sistema operativo

Configuración del uso de contraseñas para unidades de sistema operativo

Esta configuración de directiva especifica las restricciones para las contraseñas que se usan para desbloquear unidades de sistema operativo protegidas por BitLocker. Si se permiten protectores que no son de TPM en las unidades del sistema operativo, puede aprovisionar una contraseña, aplicar requisitos de complejidad y configurar una longitud mínima.

Importante

Para que la configuración de requisitos de complejidad sea efectiva, también debe habilitarse la configuración de directiva de grupo Contraseña debe cumplir los requisitos de complejidad que se encuentran en Configuración del equipo>Configuración> de Windows Directivas decontraseña de la cuenta>de configuración> de seguridad.

Si habilita esta configuración de directiva, los usuarios pueden configurar una contraseña que cumpla los requisitos que defina. Para aplicar los requisitos de complejidad en la contraseña, seleccione Requerir complejidad:

• Cuando se establece en Requerir complejidad, es necesaria una conexión a un controlador de dominio cuando BitLocker está habilitado para validar la complejidad de la contraseña.
• Cuando se establece en Permitir complejidad, se intenta validar una conexión a un controlador de dominio para validar que la complejidad se ajusta a las reglas establecidas por la directiva. Si no se encuentra ningún controlador de dominio, la contraseña se acepta independientemente de la complejidad real de la contraseña y la unidad se cifrará con esa contraseña como protector.
• Cuando se establece en No permitir complejidad, no se valida la complejidad de la contraseña.

Las contraseñas deben tener al menos ocho caracteres. Para configurar una longitud mínima mayor para la contraseña, especifique el número deseado de caracteres en Longitud mínima de la contraseña.

Si deshabilita o no establece esta configuración de directiva, la restricción de longitud predeterminada de ocho caracteres se aplica a las contraseñas de unidad del sistema operativo y no se producen comprobaciones de complejidad.

	Ruta de acceso
CSP	No disponible
GPO	Configuración del> equipoPlantillas> administrativasComponentes de> WindowsCifrado >de unidad bitlockerUnidades del sistema operativo

No permitir que los usuarios estándar cambien el PIN o la contraseña

Esta directiva permite configurar si los usuarios estándar pueden cambiar el PIN o la contraseña que se usa para proteger la unidad del sistema operativo, si pueden proporcionar primero el PIN existente.

Si habilita esta directiva, los usuarios estándar no podrán cambiar los PIN ni las contraseñas de BitLocker. Si deshabilita o no configura esta directiva, los usuarios estándar pueden cambiar los PIN y contraseñas de BitLocker.

	Ruta de acceso
CSP	./Device/Vendor/MSFT/BitLocker/ SystemDrivesDisallowStandardUsersCanChangePIN
GPO	Configuración del> equipoPlantillas> administrativasComponentes de> WindowsCifrado >de unidad bitlockerUnidades del sistema operativo

Habilitación del uso de la autenticación de BitLocker que requiere entrada de teclado previa al arranque en pizarras

Esta configuración de directiva permite a los usuarios activar las opciones de autenticación que requieren la entrada del usuario desde el entorno de prearranque, incluso si la plataforma carece de capacidad de entrada de prearranque. El teclado táctil de Windows (como el que usan las tabletas) no está disponible en el entorno de arranque previo en el que BitLocker requiere información adicional, como un PIN o una contraseña.

• Si habilita esta configuración de directiva, los dispositivos deben tener un medio alternativo de entrada previa al arranque (por ejemplo, un teclado USB conectado).
• Si esta directiva no está habilitada, el entorno de recuperación de Windows debe estar habilitado en tabletas para admitir la entrada de la contraseña de recuperación de BitLocker.

Se recomienda que los administradores habiliten esta directiva solo para los dispositivos que se comprueban que tienen un medio alternativo de entrada previa al arranque, como conectar un teclado USB.

Cuando el entorno de recuperación de Windows (WinRE) no está habilitado y esta directiva no está habilitada, BitLocker no se puede activar en un dispositivo que usa un teclado táctil.

Si esta configuración de directiva no está habilitada, es posible que las siguientes opciones de la directiva Requerir autenticación adicional en el inicio no estén disponibles:

• Configuración del PIN de inicio de TPM: obligatorio y permitido
• Configuración de la clave de inicio y el PIN de TPM: obligatorio y permitido
• Configuración del uso de contraseñas para unidades de sistema operativo

	Ruta de acceso
CSP	./Device/Vendor/MSFT/BitLocker/ SystemDrivesEnablePrebootInputProtectorsOnSlates
GPO	Configuración del> equipoPlantillas> administrativasComponentes de> WindowsCifrado >de unidad bitlockerUnidades del sistema operativo

Aplicación del tipo de cifrado de unidad en las unidades del sistema operativo

Esta configuración de directiva le permite configurar el tipo de cifrado usado por el cifrado de unidad BitLocker.

Al habilitar esta configuración de directiva, la opción de tipo de cifrado no se ofrece en el Asistente para la instalación de BitLocker:

• Elija el cifrado completo para requerir que toda la unidad esté cifrada cuando BitLocker esté activado.
• Elija solo el cifrado de espacio usado para requerir que solo se cifre la parte de la unidad usada para almacenar datos cuando BitLocker está activado.

Si deshabilita o no establece esta configuración de directiva, el Asistente para la configuración de BitLocker pide al usuario que seleccione el tipo de cifrado antes de activar BitLocker.

Nota

Cambiar el tipo de cifrado no tiene ningún efecto si la unidad ya está cifrada o si el cifrado está en curso.

Esta directiva se omite al reducir o expandir un volumen y el controlador de BitLocker usa el método de cifrado actual. Por ejemplo, cuando se expande una unidad que usa el cifrado solo de espacio usado , el nuevo espacio libre no se borra como una unidad que usa cifrado completo. El usuario podría borrar el espacio libre en una unidad Solo espacio usado mediante el siguiente comando: manage-bde.exe -w. Si el volumen se reduce, no se realiza ninguna acción para el nuevo espacio libre.

	Ruta de acceso
CSP	./Device/Vendor/MSFT/BitLocker/ SystemDrivesEncryptionType
GPO	Configuración del> equipoPlantillas> administrativasComponentes de> WindowsCifrado >de unidad bitlockerUnidades del sistema operativo

Requerir autenticación adicional en el inicio

Esta configuración de directiva configura si BitLocker requiere autenticación adicional cada vez que se inicia el dispositivo.

Si habilita esta directiva, los usuarios pueden configurar opciones de inicio avanzadas en el Asistente para la instalación de BitLocker.
Si deshabilita o no establece esta configuración de directiva, los usuarios solo podrán configurar opciones básicas en equipos con un TPM.

Nota

Solo se puede requerir una de las opciones de autenticación adicionales durante el inicio; de lo contrario, se produce un error de directiva.

Si desea usar BitLocker en un dispositivo sin TPM, seleccione la opción Permitir BitLocker sin un TPM compatible. En este modo, se requiere una contraseña o una unidad USB para el inicio.
Cuando se usa una clave de inicio, la información de clave utilizada para cifrar la unidad se almacena en la unidad USB, creando una clave USB. Cuando se inserta la clave USB, se autentica el acceso a la unidad y se puede acceder a la unidad. Si la clave USB se pierde o no está disponible, o si ha olvidado la contraseña, debe usar una de las opciones de recuperación de BitLocker para acceder a la unidad.

En un equipo con un TPM compatible, se pueden usar cuatro tipos de métodos de autenticación en el inicio para proporcionar protección adicional para los datos cifrados. Cuando se inicia el equipo, puede usar:

• Solo TPM
• una unidad flash USB que contiene una clave de inicio
• un PIN (de 6 dígitos a 20 dígitos)
• PIN y unidad flash USB

Nota

Si desea requerir el uso de un PIN de inicio y una unidad flash USB, debe configurar los valores de BitLocker mediante la herramienta de línea de comandos manage-bde en lugar del Asistente para la configuración de cifrado de unidad BitLocker.

Hay cuatro opciones para dispositivos habilitados para TPM:

• Configuración del inicio de TPM

  • Permitir TPM
  • Requerir TPM
  • No permitir TPM

• Configuración del PIN de inicio de TPM

  • Permitir el PIN de inicio con TPM
  • Requerir PIN de inicio con TPM
  • No permitir el PIN de inicio con TPM

• Configuración de la clave de inicio de TPM

  • Permitir clave de inicio con TPM
  • Requerir clave de inicio con TPM
  • No permitir la clave de inicio con TPM

• Configuración de la clave de inicio y el PIN de TPM

  • Permitir clave de inicio de TPM con PIN
  • Requerir clave de inicio y PIN con TPM
  • No permitir la clave de inicio de TPM con PIN

	Ruta de acceso
CSP	./Device/Vendor/MSFT/BitLocker/ SystemDrivesRequireStartupAuthentication
GPO	Configuración del> equipoPlantillas> administrativasComponentes de> WindowsCifrado >de unidad bitlockerUnidades del sistema operativo

Restablecimiento de los datos de validación de la plataforma después de la recuperación de BitLocker

Esta configuración de directiva determina si los datos de validación de la plataforma deben actualizarse cuando Windows se inicia después de una recuperación de BitLocker. Un perfil de datos de validación de plataforma consta de los valores de un conjunto de índices del Registro de configuración de plataforma (PCR) que van de 0 a 23.

Si habilita esta configuración de directiva, los datos de validación de la plataforma se actualizan cuando Windows se inicia después de la recuperación de BitLocker. Este es el comportamiento predeterminado.
Si deshabilita esta configuración de directiva, los datos de validación de la plataforma no se actualizarán cuando Windows se inicie después de la recuperación de BitLocker.

Para obtener más información sobre el proceso de recuperación, consulte la introducción a la recuperación de BitLocker.

	Ruta de acceso
CSP	No disponible
GPO	Configuración del> equipoPlantillas> administrativasComponentes de> WindowsCifrado >de unidad bitlockerUnidades del sistema operativo

Uso del perfil de validación de datos de configuración de arranque mejorado

Esta configuración de directiva determina la configuración de datos de configuración de arranque (BCD) específica que se va a comprobar durante la validación de la plataforma. Una validación de plataforma usa los datos del perfil de validación de la plataforma, que consta de un conjunto de índices de registro de configuración de plataforma (PCR) que oscilan entre 0 y 23.

Si no configura esta configuración de directiva, el dispositivo comprobará la configuración predeterminada de Windows BCD.

Nota

Cuando BitLocker usa arranque seguro para la validación de la integridad de la plataforma y BCD, tal como se define en la configuración de directiva Permitir arranque seguro para validación de integridad , esta configuración de directiva se omite. La configuración que controla la depuración 0x16000010 de arranque siempre se valida y no tiene ningún efecto si se incluye en la lista de inclusión o exclusión.

	Ruta de acceso
CSP	No disponible
GPO	Configuración del> equipoPlantillas> administrativasComponentes de> WindowsCifrado >de unidad bitlockerUnidades del sistema operativo

Unidades de datos fijas

Nombre de directiva	CSP	GPO
Elegir cómo se pueden recuperar unidades fijas protegidas por BitLocker	✅	✅
Configuración del uso del cifrado basado en hardware para unidades de datos fijas	❌	✅
Configuración del uso de contraseñas para unidades de datos fijas	❌	✅
Configuración del uso de tarjetas inteligentes en unidades de datos fijas	❌	✅
Denegar el acceso de escritura a unidades fijas no protegidas por BitLocker	✅	✅
Aplicación del tipo de cifrado de unidad en unidades de datos fijas	✅	✅

Elegir cómo se pueden recuperar unidades fijas protegidas por BitLocker

Esta configuración de directiva le permite controlar cómo se recuperan las unidades de datos fijas protegidas por BitLocker en ausencia de la información de clave de inicio necesaria. Si habilita esta configuración de directiva, puede controlar los métodos disponibles para que los usuarios recuperen datos de unidades de datos fijas protegidas por BitLocker. Estas son las opciones disponibles:

• Permitir agente de recuperación de datos basado en certificados: especifique si se puede usar un agente de recuperación de datos con unidades de datos fijas protegidas por BitLocker. Para poder usar un agente de recuperación de datos, debe agregarse desde el elemento Directivas de clave pública en la consola de administración de directiva de grupo o en la directiva de grupo Editor local.
• Configurar el almacenamiento de usuario de la información de recuperación de BitLocker: seleccione si los usuarios pueden generar una contraseña de recuperación de 48 dígitos o una clave de recuperación de 256 bits.
• Omita las opciones de recuperación del Asistente para la instalación de BitLocker: evite que los usuarios especifiquen opciones de recuperación cuando activen BitLocker para una unidad. Esto significa que los usuarios no podrán especificar qué opción de recuperación usar cuando activen BitLocker. Las opciones de recuperación de BitLocker para la unidad se determinan mediante la configuración de directiva.
• Guarde la información de recuperación de BitLocker en Servicios de dominio de Active Directory: elija qué información de recuperación de BitLocker almacenar en AD DS para unidades de datos fijas. Si selecciona Backup recovery password and key package (Contraseña de recuperación de copia de seguridad y paquete de claves), tanto la contraseña de recuperación de BitLocker como el paquete de claves se almacenan en AD DS. El almacenamiento del paquete de claves admite la recuperación de datos de una unidad que se ha dañado físicamente. Si selecciona Solo contraseña de recuperación de copia de seguridad, solo la contraseña de recuperación se almacena en AD DS.
• No habilite BitLocker hasta que la información de recuperación se almacene en AD DS para unidades de datos fijas: impide que los usuarios habiliten BitLocker a menos que el dispositivo esté conectado al dominio y la copia de seguridad de la información de recuperación de BitLocker en AD DS se realice correctamente. Cuando se usa esta opción, se genera automáticamente una contraseña de recuperación.

Importante

El uso de claves de recuperación debe no estar permitido si está habilitada la opción denegar el acceso de escritura a unidades fijas no protegidas por la directiva de BitLocker .

Si esta configuración de directiva está deshabilitada o no está configurada, se admiten las opciones de recuperación predeterminadas para la recuperación de BitLocker. De forma predeterminada, se permite un DRA, el usuario puede especificar las opciones de recuperación, incluida la contraseña de recuperación y la clave de recuperación, y no se realiza una copia de seguridad de la información de recuperación en AD DS.

	Ruta de acceso
CSP	./Device/Vendor/MSFT/BitLocker/ FixedDrivesRecoveryOptions
GPO	Configuración del> equipoPlantillas> administrativasComponentes de> WindowsCifrado >de unidad bitlockerUnidades de datos fijas

Configuración del uso del cifrado basado en hardware para unidades de datos fijas

Esta configuración de directiva le permite administrar el uso de BitLocker del cifrado basado en hardware en unidades de datos fijas y especificar qué algoritmos de cifrado puede usar con el cifrado basado en hardware. El uso del cifrado basado en hardware puede mejorar el rendimiento de las operaciones de unidad que implican la lectura o escritura frecuentes de datos en la unidad.

Si habilita esta configuración de directiva, puede especificar opciones que controlen si se usa el cifrado basado en software de BitLocker en lugar del cifrado basado en hardware en dispositivos que no admiten el cifrado basado en hardware. También puede especificar si desea restringir los algoritmos de cifrado y los conjuntos de cifrado usados con el cifrado basado en hardware.

Si deshabilita esta configuración de directiva, BitLocker no puede usar el cifrado basado en hardware con unidades de datos fijas y el cifrado basado en software de BitLocker se usará de forma predeterminada cuando se cifre la unidad.

Si no configura esta configuración de directiva, BitLocker usará el cifrado basado en software, independientemente de la disponibilidad de cifrado basada en hardware.

Nota

La opción Elegir método de cifrado de unidad y directiva de seguridad de cifrado no se aplica al cifrado basado en hardware. El algoritmo de cifrado usado por el cifrado basado en hardware se establece cuando se particiona la unidad. De forma predeterminada, BitLocker usa el algoritmo configurado en la unidad para cifrar la unidad.

La opción Restringir algoritmos de cifrado y conjuntos de cifrado permitidos para el cifrado basado en hardware permite restringir los algoritmos de cifrado que BitLocker puede usar con el cifrado de hardware. Si el algoritmo establecido para la unidad no está disponible, BitLocker deshabilita el uso del cifrado basado en hardware. Los algoritmos de cifrado se especifican mediante identificadores de objeto (OID). Por ejemplo:

• AES 128 en modo CBC OID: 2.16.840.1.101.3.4.1.2
• AES 256 en modo CBC OID: 2.16.840.1.101.3.4.1.42

	Ruta de acceso
CSP	No disponible
GPO	Configuración del> equipoPlantillas> administrativasComponentes de> WindowsCifrado >de unidad bitlockerUnidades de datos fijas

Configuración del uso de contraseñas para unidades de datos fijas

Esta configuración de directiva especifica si se requiere una contraseña para desbloquear las unidades de datos fijas protegidas por BitLocker. Si decide permitir el uso de una contraseña, puede requerir que se use una contraseña, aplicar los requisitos de complejidad y configurar una longitud mínima.

Importante

Para que la configuración de requisitos de complejidad sea efectiva, también debe habilitarse la configuración de directiva de grupo Contraseña debe cumplir los requisitos de complejidad que se encuentran en Configuración del equipo>Configuración> de Windows Directivas decontraseña de la cuenta>de configuración> de seguridad.

Si habilita esta configuración de directiva, los usuarios pueden configurar una contraseña que cumpla los requisitos que defina. Para aplicar los requisitos de complejidad en la contraseña, seleccione Requerir complejidad:

• Cuando se establece en Requerir complejidad, es necesaria una conexión a un controlador de dominio cuando BitLocker está habilitado para validar la complejidad de la contraseña.
• Cuando se establece en Permitir complejidad, se intenta validar una conexión a un controlador de dominio para validar que la complejidad se ajusta a las reglas establecidas por la directiva. Si no se encuentra ningún controlador de dominio, la contraseña se acepta independientemente de la complejidad real de la contraseña y la unidad se cifrará con esa contraseña como protector.
• Cuando se establece en No permitir complejidad, no se valida la complejidad de la contraseña.

Las contraseñas deben tener al menos ocho caracteres. Para configurar una longitud mínima mayor para la contraseña, especifique el número deseado de caracteres en Longitud mínima de la contraseña.

Si deshabilita o no establece esta configuración de directiva, la restricción de longitud predeterminada de ocho caracteres se aplica a las contraseñas de unidad del sistema operativo y no se producen comprobaciones de complejidad.

	Ruta de acceso
CSP	No disponible
GPO	Configuración del> equipoPlantillas> administrativasComponentes de> WindowsCifrado >de unidad bitlockerUnidades de datos fijas

Configuración del uso de tarjetas inteligentes en unidades de datos fijas

Esta configuración de directiva permite especificar si se pueden usar tarjetas inteligentes para autenticar el acceso del usuario a las unidades de datos fijas protegidas por BitLocker.

• Si habilita esta configuración de directiva, se pueden usar tarjetas inteligentes para autenticar el acceso del usuario a la unidad.
  • Para requerir una autenticación de tarjeta inteligente, seleccione la opción Requerir uso de tarjetas inteligentes en unidades de datos fijas .
• Si deshabilita esta configuración de directiva, los usuarios no pueden usar tarjetas inteligentes para autenticar su acceso a unidades de datos fijas protegidas por BitLocker.
• Si no configura esta configuración de directiva, se pueden usar tarjetas inteligentes para autenticar el acceso de usuario a una unidad protegida por BitLocker.

	Ruta de acceso
CSP	No disponible
GPO	Configuración del> equipoPlantillas> administrativasComponentes de> WindowsCifrado >de unidad bitlockerUnidades de datos fijas

Denegar el acceso de escritura a unidades fijas no protegidas por BitLocker

Esta configuración de directiva se usa para requerir el cifrado de unidades fijas antes de conceder acceso de escritura .

Si habilita esta configuración de directiva, todas las unidades de datos fijas que no estén protegidas por BitLocker se montarán como de solo lectura. Si la unidad está protegida por BitLocker, se montará con acceso de lectura y escritura.

Si deshabilita o no establece esta configuración de directiva, todas las unidades de datos fijas del equipo se montarán con acceso de lectura y escritura.

Nota

Cuando esta configuración de directiva está habilitada, los usuarios reciben mensajes de error de acceso denegado cuando intentan guardar datos en unidades de datos fijas sin cifrar.

Si la herramienta deBdeHdCfg.exe preparación de unidad BitLocker se ejecuta en un equipo cuando esta configuración de directiva está habilitada, se podrían encontrar los siguientes problemas:

• Si intenta reducir una unidad para crear la unidad del sistema, el tamaño de la unidad se reduce correctamente y se crea una partición sin procesar. Sin embargo, la partición sin procesar no tiene formato. Se muestra el siguiente mensaje de error: No se puede dar formato a la nueva unidad activa. Es posible que deba preparar manualmente la unidad para BitLocker.
• Si intenta usar espacio sin asignar para crear la unidad del sistema, se crea una partición sin procesar. Sin embargo, no se da formato a la partición sin procesar. Se muestra el siguiente mensaje de error: No se puede dar formato a la nueva unidad activa. Es posible que deba preparar manualmente la unidad para BitLocker.
• Si intenta combinar una unidad existente en la unidad del sistema, la herramienta no podrá copiar el archivo de arranque necesario en la unidad de destino para crear la unidad del sistema. Se muestra el siguiente mensaje de error: El programa de instalación de BitLocker no pudo copiar los archivos de arranque. Es posible que deba preparar manualmente la unidad para BitLocker.

	Ruta de acceso
CSP	./Device/Vendor/MSFT/BitLocker/ FixedDrivesRequireEncryption
GPO	Configuración del> equipoPlantillas> administrativasComponentes de> WindowsCifrado >de unidad bitlockerUnidades de datos fijas

Aplicación del tipo de cifrado de unidad en unidades de datos fijas

Esta configuración de directiva controla el uso de BitLocker en unidades de datos fijas.

Si habilita esta directiva, esta directiva define el tipo de cifrado que BitLocker usa para cifrar las unidades y la opción de tipo de cifrado no se mostrará en el Asistente para la instalación de BitLocker:

• Elija el cifrado completo para requerir que toda la unidad esté cifrada cuando BitLocker esté activado.
• Elija solo el cifrado de espacio usado para requerir que solo se cifre la parte de la unidad usada para almacenar datos cuando BitLocker está activado.

Si deshabilita o no establece esta configuración de directiva, el Asistente para la configuración de BitLocker pide al usuario que seleccione el tipo de cifrado antes de activar BitLocker.

Nota

Cambiar el tipo de cifrado no tiene ningún efecto si la unidad ya está cifrada o si el cifrado está en curso.

Esta directiva se omite al reducir o expandir un volumen y el controlador de BitLocker usa el método de cifrado actual. Por ejemplo, cuando se expande una unidad que usa el cifrado solo de espacio usado , el nuevo espacio libre no se borra como una unidad que usa cifrado completo. El usuario podría borrar el espacio libre en una unidad Solo espacio usado mediante el siguiente comando: manage-bde.exe -w. Si el volumen se reduce, no se realiza ninguna acción para el nuevo espacio libre.

	Ruta de acceso
CSP	./Device/Vendor/MSFT/BitLocker/ FixedDrivesEncryptionType
GPO	Configuración del> equipoPlantillas> administrativasComponentes de> WindowsCifrado >de unidad bitlockerUnidades de datos fijas

Unidades de datos extraíbles

Nombre de directiva	CSP	GPO
Elegir cómo se pueden recuperar unidades extraíbles protegidas por BitLocker	❌	✅
Configuración del uso del cifrado basado en hardware para unidades de datos extraíbles	❌	✅
Configuración del uso de contraseñas para unidades de datos extraíbles	❌	✅
Configuración del uso de tarjetas inteligentes en unidades de datos extraíbles	❌	✅
Controlar el uso de BitLocker en unidades extraíbles	✅	✅
Denegar el acceso de escritura a unidades extraíbles no protegidas por BitLocker	✅	✅
Aplicación del tipo de cifrado de unidad en unidades de datos extraíbles	✅	✅
Unidades extraíbles excluidas del cifrado	✅	❌

Elegir cómo se pueden recuperar unidades extraíbles protegidas por BitLocker

Esta configuración de directiva permite controlar cómo se recuperan las unidades de datos extraíbles protegidas por BitLocker en ausencia de la información de clave de inicio necesaria. Si habilita esta configuración de directiva, puede controlar los métodos disponibles para que los usuarios recuperen datos de unidades de datos extraíbles protegidas por BitLocker. Estas son las opciones disponibles:

• Permitir agente de recuperación de datos basado en certificados: especifique si se puede usar un agente de recuperación de datos con unidades de datos extraíbles protegidas por BitLocker. Para poder usar un agente de recuperación de datos, debe agregarse desde el elemento Directivas de clave pública en la consola de administración de directiva de grupo o en la directiva de grupo Editor local.
• Configurar el almacenamiento de usuario de la información de recuperación de BitLocker: seleccione si los usuarios pueden generar una contraseña de recuperación de 48 dígitos o una clave de recuperación de 256 bits.
• Omita las opciones de recuperación del Asistente para la instalación de BitLocker: evite que los usuarios especifiquen opciones de recuperación cuando activen BitLocker para una unidad. Esto significa que los usuarios no podrán especificar qué opción de recuperación usar cuando activen BitLocker. Las opciones de recuperación de BitLocker para la unidad se determinan mediante la configuración de directiva.
• Guarde la información de recuperación de BitLocker en Servicios de dominio de Active Directory: elija qué información de recuperación de BitLocker almacenar en AD DS para las unidades de datos extraíbles. Si selecciona Backup recovery password and key package (Contraseña de recuperación de copia de seguridad y paquete de claves), tanto la contraseña de recuperación de BitLocker como el paquete de claves se almacenan en AD DS. El almacenamiento del paquete de claves admite la recuperación de datos de una unidad que se ha dañado físicamente. Si selecciona Solo contraseña de recuperación de copia de seguridad, solo la contraseña de recuperación se almacena en AD DS.
• No habilite BitLocker hasta que la información de recuperación se almacene en AD DS para unidades de datos extraíbles: impide que los usuarios habiliten BitLocker a menos que el dispositivo esté conectado al dominio y la copia de seguridad de la información de recuperación de BitLocker en AD DS se realice correctamente. Cuando se usa esta opción, se genera automáticamente una contraseña de recuperación.

Importante

El uso de claves de recuperación debe no estar permitido si la opción denegar el acceso de escritura a unidades extraíbles no protegidas por la directiva de BitLocker está habilitada.

Si esta configuración de directiva está deshabilitada o no está configurada, se admiten las opciones de recuperación predeterminadas para la recuperación de BitLocker. De forma predeterminada, se permite un DRA, el usuario puede especificar las opciones de recuperación, incluida la contraseña de recuperación y la clave de recuperación, y no se realiza una copia de seguridad de la información de recuperación en AD DS.

	Ruta de acceso
CSP	No disponible
GPO	Configuración del> equipoPlantillas> administrativasComponentes de> WindowsCifrado >de unidad bitlockerUnidades de datos extraíbles

Configuración del uso del cifrado basado en hardware para unidades de datos extraíbles

Esta configuración de directiva le permite administrar el uso de BitLocker del cifrado basado en hardware en unidades de datos extraíbles y especificar qué algoritmos de cifrado puede usar con el cifrado basado en hardware. El uso del cifrado basado en hardware puede mejorar el rendimiento de las operaciones de unidad que implican la lectura o escritura frecuentes de datos en la unidad.

Si habilita esta configuración de directiva, puede especificar opciones que controlen si se usa el cifrado basado en software de BitLocker en lugar del cifrado basado en hardware en dispositivos que no admiten el cifrado basado en hardware. También puede especificar si desea restringir los algoritmos de cifrado y los conjuntos de cifrado usados con el cifrado basado en hardware.

Si deshabilita esta configuración de directiva, BitLocker no puede usar el cifrado basado en hardware con unidades de datos extraíbles y el cifrado basado en software de BitLocker se usará de forma predeterminada cuando se cifre la unidad.

Si no configura esta configuración de directiva, BitLocker usará el cifrado basado en software, independientemente de la disponibilidad de cifrado basada en hardware.

Nota

La opción Elegir método de cifrado de unidad y directiva de seguridad de cifrado no se aplica al cifrado basado en hardware. El algoritmo de cifrado usado por el cifrado basado en hardware se establece cuando se particiona la unidad. De forma predeterminada, BitLocker usa el algoritmo configurado en la unidad para cifrar la unidad.

La opción Restringir algoritmos de cifrado y conjuntos de cifrado permitidos para el cifrado basado en hardware permite restringir los algoritmos de cifrado que BitLocker puede usar con el cifrado de hardware. Si el algoritmo establecido para la unidad no está disponible, BitLocker deshabilita el uso del cifrado basado en hardware. Los algoritmos de cifrado se especifican mediante identificadores de objeto (OID). Por ejemplo:

• AES 128 en modo CBC OID: 2.16.840.1.101.3.4.1.2
• AES 256 en modo CBC OID: 2.16.840.1.101.3.4.1.42

	Ruta de acceso
CSP	No disponible
GPO	Configuración del> equipoPlantillas> administrativasComponentes de> WindowsCifrado >de unidad bitlockerUnidades de datos extraíbles

Configuración del uso de contraseñas para unidades de datos extraíbles

Esta configuración de directiva especifica si se necesita una contraseña para desbloquear unidades de datos extraíbles protegidas por BitLocker. Si decide permitir el uso de una contraseña, puede requerir que se use una contraseña, aplicar los requisitos de complejidad y configurar una longitud mínima.

Importante

Para que la configuración de requisitos de complejidad sea efectiva, también debe habilitarse la configuración de directiva de grupo Contraseña debe cumplir los requisitos de complejidad que se encuentran en Configuración del equipo>Configuración> de Windows Directivas decontraseña de la cuenta>de configuración> de seguridad.

Si habilita esta configuración de directiva, los usuarios pueden configurar una contraseña que cumpla los requisitos que defina. Para aplicar los requisitos de complejidad en la contraseña, seleccione Requerir complejidad:

• Cuando se establece en Requerir complejidad, es necesaria una conexión a un controlador de dominio cuando BitLocker está habilitado para validar la complejidad de la contraseña.
• Cuando se establece en Permitir complejidad, se intenta validar una conexión a un controlador de dominio para validar que la complejidad se ajusta a las reglas establecidas por la directiva. Si no se encuentra ningún controlador de dominio, la contraseña se acepta independientemente de la complejidad real de la contraseña y la unidad se cifrará con esa contraseña como protector.
• Cuando se establece en No permitir complejidad, no se valida la complejidad de la contraseña.

Las contraseñas deben tener al menos 8 caracteres. Para configurar una longitud mínima mayor para la contraseña, especifique el número deseado de caracteres en Longitud mínima de la contraseña.

Si deshabilita o no establece esta configuración de directiva, la restricción de longitud predeterminada de ocho caracteres se aplica a las contraseñas de unidad del sistema operativo y no se producen comprobaciones de complejidad.

	Ruta de acceso
CSP	No disponible
GPO	Configuración del> equipoPlantillas> administrativasComponentes de> WindowsCifrado >de unidad bitlockerUnidades de datos extraíbles

Configuración del uso de tarjetas inteligentes en unidades de datos extraíbles

Esta configuración de directiva le permite especificar si se pueden usar tarjetas inteligentes para autenticar el acceso del usuario a las unidades de datos extraíbles protegidas por BitLocker.

• Si habilita esta configuración de directiva, se pueden usar tarjetas inteligentes para autenticar el acceso del usuario a la unidad.
  • Para requerir una autenticación de tarjeta inteligente, seleccione la opción Requerir uso de tarjetas inteligentes en unidades de datos extraíbles .
• Si deshabilita esta configuración de directiva, los usuarios no pueden usar tarjetas inteligentes para autenticar su acceso a unidades de datos extraíbles protegidas por BitLocker.
• Si no configura esta configuración de directiva, se pueden usar tarjetas inteligentes para autenticar el acceso de usuario a una unidad protegida por BitLocker.

	Ruta de acceso
CSP	No disponible
GPO	Configuración del> equipoPlantillas> administrativasComponentes de> WindowsCifrado >de unidad bitlockerUnidades de datos extraíbles

Controlar el uso de BitLocker en unidades extraíbles

Esta configuración de directiva controla el uso de BitLocker en unidades de datos extraíbles.

Cuando esta configuración de directiva está habilitada, puede seleccionar valores de propiedad que controlen cómo los usuarios pueden configurar BitLocker:

• Elija Permitir que los usuarios apliquen la protección de BitLocker en unidades de datos extraíbles para permitir que el usuario ejecute el Asistente para la instalación de BitLocker en una unidad de datos extraíble.
• Elija Permitir a los usuarios suspender y descifrar BitLocker en unidades de datos extraíbles para permitir que el usuario quite el cifrado de BitLocker de la unidad o suspenda el cifrado mientras se realiza el mantenimiento.

Si deshabilita esta configuración de directiva, los usuarios no pueden usar BitLocker en unidades de disco extraíbles.

	Ruta de acceso
CSP	./Device/Vendor/MSFT/BitLocker/ RemovableDrivesConfigureBDE
GPO	Configuración del> equipoPlantillas> administrativasComponentes de> WindowsCifrado >de unidad bitlockerUnidades de datos extraíbles

Denegar el acceso de escritura a unidades extraíbles no protegidas por BitLocker

Esta configuración de directiva configura si es necesaria la protección de BitLocker para que un dispositivo pueda escribir datos en una unidad de datos extraíble.

Si habilita esta configuración de directiva:

• todas las unidades de datos extraíbles que no están protegidas por BitLocker se montan como de solo lectura
• si la unidad está protegida por BitLocker, se monta con acceso de lectura y escritura.
• Si se selecciona la opción Denegar acceso de escritura a dispositivos configurados en otra organización , solo se concederá acceso de escritura a las unidades con campos de identificación que coincidan con los campos de identificación del equipo.
  • Cuando se accede a una unidad de datos extraíble, se comprueba si hay campos de identificación válidos y campos de identificación permitidos. Estos campos se definen mediante la configuración de directiva (Proporcionar los identificadores únicos para su organización)[]

Si deshabilita o no establece esta configuración de directiva, todas las unidades de datos extraíbles del equipo se montarán con acceso de lectura y escritura.

Nota

Esta configuración de directiva se omite si la configuración de directiva Discos extraíbles: Denegar acceso de escritura está habilitada.

Importante

Si habilita esta directiva:

• No se debe permitir el uso de BitLocker con la clave de inicio de TPM o la clave de TPM y el PIN
• No se debe permitir el uso de claves de recuperación

	Ruta de acceso
CSP	./Device/Vendor/MSFT/BitLocker/ RemovableDrivesRequireEncryption
GPO	Configuración del> equipoPlantillas> administrativasComponentes de> WindowsCifrado >de unidad bitlockerUnidades de datos extraíbles

Aplicación del tipo de cifrado de unidad en unidades de datos extraíbles

Esta configuración de directiva controla el uso de BitLocker en unidades de datos extraíbles.

Al habilitar esta configuración de directiva, la opción de tipo de cifrado no se ofrece en el Asistente para la instalación de BitLocker:

• Elija el cifrado completo para requerir que toda la unidad esté cifrada cuando BitLocker esté activado.
• Elija solo el cifrado de espacio usado para requerir que solo se cifre la parte de la unidad usada para almacenar datos cuando BitLocker está activado.

Si deshabilita o no establece esta configuración de directiva, el Asistente para la configuración de BitLocker pide al usuario que seleccione el tipo de cifrado antes de activar BitLocker.

Nota

Cambiar el tipo de cifrado no tiene ningún efecto si la unidad ya está cifrada o si el cifrado está en curso.

Esta directiva se omite al reducir o expandir un volumen y el controlador de BitLocker usa el método de cifrado actual. Por ejemplo, cuando se expande una unidad que usa el cifrado solo de espacio usado , el nuevo espacio libre no se borra como una unidad que usa cifrado completo. El usuario podría borrar el espacio libre en una unidad Solo espacio usado mediante el siguiente comando: manage-bde.exe -w. Si el volumen se reduce, no se realiza ninguna acción para el nuevo espacio libre.

	Ruta de acceso
CSP	./Device/Vendor/MSFT/BitLocker/ RemovableDrivesEncryptionType
GPO	Configuración del> equipoPlantillas> administrativasComponentes de> WindowsCifrado >de unidad bitlockerUnidades de datos extraíbles

Unidades extraíbles excluidas del cifrado

	Ruta de acceso
CSP	./Device/Vendor/MSFT/BitLocker/ RemovableDrivesExcludedFromEncryption
GPO	No disponible

Cumplimiento de bitlocker y configuración de directivas

Si un dispositivo no es compatible con la configuración de directiva configurada, es posible que BitLocker no esté activado o que la configuración de BitLocker se modifique hasta que el dispositivo esté en un estado compatible. Cuando una unidad deja de cumplir la configuración de directiva, solo se permiten los cambios en la configuración de BitLocker que la harán cumplir. Este escenario podría producirse, por ejemplo, si una unidad cifrada anteriormente no es compatible con un cambio de configuración de directiva.

Si es necesario realizar varios cambios para que la unidad se cumpla, es posible que sea necesario suspender la protección de BitLocker, realizar los cambios necesarios y, a continuación, reanudar la protección. Esta situación podría producirse, por ejemplo, si se configura inicialmente una unidad extraíble para desbloquear con una contraseña y, a continuación, se cambia la configuración de directiva para requerir tarjetas inteligentes. En este escenario, es necesario suspender la protección de BitLocker, eliminar el método de desbloqueo de contraseña y agregar el método de tarjeta inteligente. Una vez completado este proceso, BitLocker es compatible con la configuración de directiva y se puede reanudar la protección de BitLocker en la unidad.

En otros escenarios, para que la unidad cumpla con un cambio en la configuración de la directiva, es posible que BitLocker tenga que deshabilitarse y descifrar la unidad seguida de volver a habilitar BitLocker y, a continuación, volver a cifrar la unidad. Un ejemplo de este escenario es cuando se cambia el método de cifrado de BitLocker o la intensidad del cifrado.

Para obtener más información sobre cómo administrar BitLocker, revise la guía de operaciones de BitLocker.

Configuración y administración de servidores

A menudo, los servidores se implementan, configuran y administran mediante PowerShell. La recomendación es usar la configuración de directiva de grupo para configurar BitLocker en servidores y para administrar BitLocker mediante PowerShell.

BitLocker es un componente opcional en Windows Server. Siga las instrucciones de Instalación de BitLocker en Windows Server para agregar el componente opcional de BitLocker.

La interfaz mínima de servidor es un requisito previo para algunas de las herramientas de administración de BitLocker. En una instalación de Server Core , primero se deben agregar los componentes de GUI necesarios. Los pasos para agregar componentes de shell a Server Core se describen en Usar características a petición con sistemas actualizados e imágenes revisadas y Cómo actualizar medios de origen locales para agregar roles y características. Si un servidor se instala manualmente, elegir Servidor con experiencia de escritorio es la ruta de acceso más fácil, ya que evita realizar los pasos para agregar una GUI a Server Core.

Los centros de datos que apagan las luces pueden aprovechar la seguridad mejorada de un segundo factor, a la vez que evitan la necesidad de intervención del usuario durante los reinicios si, opcionalmente, usan una combinación de BitLocker (TPM+PIN) y Desbloqueo de red de BitLocker. El desbloqueo de BitLocker en red reúne lo mejor de la protección del hardware, la dependencia de ubicación y el desbloqueo automático, mientras está en la ubicación de confianza. Para conocer los pasos de configuración, consulte Desbloqueo de red.

Pasos siguientes

Revise la guía de operaciones de BitLocker para obtener información sobre cómo usar diferentes herramientas para administrar y operar BitLocker.

Guía de operaciones de BitLocker >