Compartir a través de

Pantalla de recuperación previa al arranque de BitLocker

Durante la recuperación de BitLocker, la pantalla de recuperación previa al arranque es un punto de contacto crítico para los usuarios, que ofrece un mensaje de recuperación personalizado adaptado a las necesidades de la organización, una dirección URL de recuperación directa para soporte técnico adicional y sugerencias estratégicas para ayudar a los usuarios a localizar su clave de recuperación.

En este artículo se profundiza en los distintos elementos que se muestran en la pantalla de recuperación previa al arranque y se detalla cómo influyen la configuración de la directiva y el estado de las claves de recuperación en la información presentada. Ya sea un mensaje personalizado o una guía práctica, la pantalla de recuperación previa al arranque está diseñada para simplificar el proceso de recuperación para los usuarios.

Pantalla de recuperación predeterminada del arranque previo

De forma predeterminada, la pantalla de recuperación de BitLocker muestra un mensaje genérico y la dirección URL https://aka.ms/recoverykeyfaq.

Captura de pantalla de la pantalla de recuperación predeterminada de BitLocker.

Mensaje de recuperación personalizado

Con la configuración de directiva de BitLocker, puede configurar un mensaje de recuperación personalizado y una dirección URL en la pantalla de recuperación previa al arranque de BitLocker. El mensaje de recuperación personalizado y la dirección URL pueden incluir la dirección del portal de recuperación de autoservicio de BitLocker, el sitio web interno de TI o un número de teléfono para soporte técnico.

Configuración de directiva de BitLocker configurada con un mensaje de recuperación personalizado.

Captura de pantalla de la pantalla de recuperación de BitLocker que muestra un mensaje personalizado.

Configuración de directiva de BitLocker configurada con una dirección URL de recuperación personalizada.

Captura de pantalla de la pantalla de recuperación de BitLocker que muestra una dirección URL personalizada.

Para obtener más información sobre cómo configurar un mensaje de recuperación personalizado con la configuración de directiva, consulte Configuración del mensaje y la dirección URL de recuperación antes del arranque.

Sugerencias de clave de recuperación

Los metadatos de BitLocker incluyen información sobre cuándo y dónde se guardó una clave de recuperación de BitLocker. Esta información no se expone a través de la interfaz de usuario ni de ninguna API pública. Solo lo usa la pantalla de recuperación de BitLocker en forma de sugerencias para ayudar a un usuario a localizar la clave de recuperación de un volumen. Las sugerencias se muestran en la pantalla de recuperación y hacen referencia a la ubicación donde se guardó la clave. Las sugerencias se aplican tanto a la pantalla de recuperación del administrador de arranque como a la pantalla de desbloqueo de WinRE.

Hay reglas que rigen qué sugerencia se muestra durante la recuperación (en el orden de procesamiento):

  1. Mostrar siempre un mensaje de recuperación personalizado, si se configura a través de la configuración de directiva
  2. Mostrar siempre sugerencia genérica: para obtener más información, vaya a https://aka.ms/recoverykeyfaq
  3. Si existen varias claves de recuperación en el volumen, dé prioridad a la clave de recuperación creada por última vez (y de la que se ha realizado una copia de seguridad correctamente).
  4. Priorizar las claves con una copia de seguridad correcta sobre las claves de las que nunca se ha realizado una copia de seguridad
  5. Priorice las sugerencias de copia de seguridad en el orden siguiente para las ubicaciones de copia de seguridad remota:
    • Cuenta de Microsoft
    • Microsoft Entra ID
    • Active Directory
  6. Si se ha impreso y guardado una clave en el archivo, muestre una sugerencia combinada Buscar una impresión o un archivo de texto con la clave, en lugar de dos sugerencias independientes.
  7. Si se realizaron varias copias de seguridad del mismo tipo (quitar frente a local) para la misma clave de recuperación, dé prioridad a la información de copia de seguridad con la fecha de copia de seguridad más reciente.
  8. No hay ninguna sugerencia específica para las claves guardadas en una instancia local de Active Directory. En este caso, se muestra un mensaje personalizado (si está configurado) o un mensaje genérico, Póngase en contacto con el departamento de soporte técnico de su organización.
  9. Si hay dos claves de recuperación y solo se realiza una copia de seguridad, el sistema solicita la clave de copia de seguridad, incluso si la otra clave es más reciente.

Ejemplo: contraseña de recuperación única guardada en el archivo y una sola copia de seguridad

En este escenario, la contraseña de recuperación se guarda en un archivo.

Importante

No se recomienda imprimir las claves de recuperación ni guardarlas en un archivo. En su lugar, use la cuenta microsoft, el identificador de Microsoft Entra o la copia de seguridad de Active Directory.

Captura de pantalla de la pantalla de recuperación de BitLocker que muestra una sugerencia en la que se guardó la clave de recuperación de BitLocker.

Ejemplo: contraseña de recuperación única para la cuenta Microsoft y copia de seguridad única

En este escenario, se configura una dirección URL personalizada. La contraseña de recuperación es:

  • guardado en la cuenta de Microsoft
  • no impreso
  • no guardado en un archivo

Resultado: se muestran las sugerencias para la dirección URL personalizada y la cuenta Microsoft (https://aka.ms/myrecoverykey).

Captura de pantalla de la pantalla de recuperación de BitLocker que muestra una dirección URL personalizada y la sugerencia en la que se guardó la clave de recuperación de BitLocker.

A partir de Windows 11, versión 24H2, la pantalla de recuperación previa al arranque de BitLocker incluye la sugerencia de cuenta Microsoft (MSA), si la contraseña de recuperación se guarda en una MSA. Esta sugerencia ayuda al usuario a comprender qué cuenta de MSA se usó para almacenar información de clave de recuperación.

Captura de pantalla de la pantalla de recuperación de BitLocker en la que se muestra una sugerencia de cuenta de Microsoft en la que se guardó la clave de recuperación de BitLocker.

Ejemplo: contraseña de recuperación única en AD DS y copia de seguridad única

En este escenario, se configura una dirección URL personalizada. La contraseña de recuperación es:

  • guardado en Active Directory
  • no impreso
  • no guardado en un archivo

Resultado: solo se muestra la dirección URL personalizada.

Captura de pantalla de la pantalla de recuperación de BitLocker que muestra solo la dirección URL personalizada.

Ejemplo: contraseña de recuperación única con varias copias de seguridad

En este escenario, la contraseña de recuperación es:

  • guardado en la cuenta de Microsoft
  • guardado en microsoft entra id.
  • impreso
  • guardado en el archivo

Resultado: solo se muestra la sugerencia de cuenta microsoft (https://aka.ms/myrecoverykey).

Captura de pantalla de la pantalla de recuperación de BitLocker que muestra solo la sugerencia de la cuenta microsoft.

Ejemplo: varias contraseñas de recuperación con copia de seguridad sinlge

En este escenario, hay dos contraseñas de recuperación.

La contraseña de recuperación 1 es:

  • guardado en el archivo
  • hora de creación: 1 p.m.
  • id. de clave: 4290B6C0-B17A-497A-8552-272CC30E80D4

La contraseña de recuperación n.º 2 es:

  • no se ha hecho una copia de seguridad
  • hora de creación: 15:00
  • id. de clave: 045219EC-A53B-41AE-B310-08EC883AAEDD

Resultado: solo se muestra la sugerencia de la clave de copia de seguridad correcta, aunque no sea la clave más reciente.

Captura de pantalla de la pantalla de recuperación de BitLocker en la que se muestra el identificador de clave de la contraseña de recuperación de la que se realizó una copia de seguridad correctamente.

Ejemplo: varias contraseñas de recuperación con varias copias de seguridad

En este escenario, hay dos contraseñas de recuperación.

La contraseña de recuperación 1 es:

  • Guardado en la cuenta de Microsoft
  • Guardado en microsoft entra id.
  • hora de creación: 1 p.m.
  • id. de clave: 4290B6C0-B17A-497A-8552-272CC30E80D4

La contraseña de recuperación n.º 2 es:

  • Guardado en microsoft entra id.
  • hora de creación: 15:00
  • id. de clave: 045219EC-A53B-41AE-B310-08EC883AAEDD

Resultado: se muestra la sugerencia Microsoft Entra ID (https://aka.ms/aadrecoverykey), que es la clave más reciente guardada.

Captura de pantalla de la pantalla de recuperación de BitLocker que muestra el identificador de clave de la clave más reciente.

Pantalla de información de recuperación adicional

A partir de Windows 11, versión 24H2, la pantalla de recuperación previa al arranque de BitLocker mejora la información de error de recuperación. La pantalla de recuperación proporciona información más detallada sobre la naturaleza del error de recuperación, lo que permite a los usuarios comprender y solucionar mejor el problema.

Los usuarios tienen la opción de revisar información adicional sobre el error de recuperación presionando la tecla Alt .

Captura de pantalla de la pantalla de recuperación de BitLocker que resalta el botón Alt del teclado para acceder a la pantalla de información de recuperación.

La pantalla Información de recuperación adicional contiene una categoría de error y un código, que puede usar para recuperar más detalles de la siguiente sección de este artículo.

Captura de pantalla de la pantalla de información de recuperación de BitLocker.

En las secciones siguientes se describen los códigos de cada categoría de error de BitLocker. Dentro de cada sección hay una tabla con el mensaje de error mostrado en la pantalla de recuperación y la causa del error. Algunas tablas incluyen la posible resolución.

Las categorías de error son:

Iniciado por el usuario

Código de error Causa del error Resolución
E_FVE_USER_REQUESTED_RECOVERY El usuario especificó explícitamente el modo de recuperación desde una pantalla con la opción a ESC modo de recuperación.
E_FVE_BOOT_DEBUG_ENABLED El modo de depuración de arranque está habilitado. Quite la opción de depuración de arranque de la base de datos de configuración de arranque.

Integridad de código

La aplicación de firmas de controlador se usa para garantizar la integridad del código del sistema operativo.

Código de error Causa del error
E_FVE_CI_DISABLED La aplicación de la firma del controlador está deshabilitada.

Bloqueo del dispositivo

La funcionalidad de umbral de bloqueo de dispositivos permite a un administrador configurar el inicio de sesión de Windows con la protección de BitLocker. Después del número configurado de intentos de inicio de sesión de Windows con errores, el dispositivo se reinicia y solo se puede recuperar proporcionando un método de recuperación de BitLocker.

Para aprovechar esta funcionalidad, debe configurar la configuración de directiva Inicio de sesión interactivo: Umbral de bloqueo de la cuenta de equipo que se encuentra en Configuración> del equipoConfiguración de Windows Configuración>de seguridad Directivas>>localesOpciones de seguridad. Como alternativa, use la configuración de directiva MaxFailedPasswordAttempts de Exchange ActiveSync o el proveedor de servicios de configuración DeviceLock (CSP).

Código de error Causa del error Resolución
E_FVE_DEVICE_LOCKEDOUT El bloqueo del dispositivo se desencadena debido a demasiados intentos de inicio de sesión incorrectos. Se requiere un método de recuperación de BitLocker para volver a la pantalla de inicio de sesión.
E_FVE_DEVICE_LOCKOUT_MISMATCH El contador de bloqueo del dispositivo no está sincronizado. Se requiere un método de recuperación de BitLocker para volver a la pantalla de inicio de sesión.

Configuración de arranque

La base de datos de configuración de arranque (BCD) contiene información crítica para el entorno de arranque de Windows.

Código de error Causa del error Resolución
E_FVE_BAD_CODE_ID

E_FVE_BAD_CODE_OPTION		 BitLocker entró en modo de recuperación porque cambió una aplicación de arranque.
BitLocker realiza un seguimiento de los datos dentro de la recuperación de BCD y BitLocker cuando estos datos cambian sin previo aviso.

Consulte la pantalla de recuperación para buscar la aplicación de arranque que cambió.		 Para corregir este problema, restaure la configuración de BCD. Se requiere un método de recuperación de BitLocker para desbloquear el dispositivo si la configuración de BCD no se puede restaurar antes del arranque.

Para obtener más información, vea Configuración de datos de arranque y BitLocker.

TPM

El módulo de plataforma segura (TPM) es hardware criptográfico o firmware que se usa para proteger un dispositivo. BitLocker crea un protector de TPM para administrar la protección de las claves de cifrado usadas para cifrar los datos.

En el arranque, BitLocker intenta comunicarse con el TPM para desbloquear el dispositivo y acceder a los datos.

Código de error Causa del error
E_FVE_TPM_DISABLED Un TPM está presente, pero está deshabilitado para su uso antes o durante el arranque.
E_FVE_TPM_INVALIDATED Un TPM está presente pero invalidado.
E_FVE_BAD_SRK La clave raíz de almacenamiento interna del TPM está dañada.
E_FVE_TPM_NOT_DETECTED El sistema de arranque no tiene o no detecta un TPM.
E_MATCHING_PCRS_TPM_FAILURE Se produjo un error inesperado en el TPM al anular la sealación de la clave de cifrado.
E_FVE_TPM_FAILURE Detectar todos los demás errores de TPM.

Para obtener más información, vea Información general sobre la tecnología del módulo de plataforma segura y BitLocker y TPM.

Protector

Protectores de TPM

El TPM contiene varios registros de configuración de plataforma (PCR) que se pueden usar en el perfil de validación del protector de TPM de BitLocker. Los PCR se usan para validar la integridad del proceso de arranque, es decir, que la configuración de arranque y el flujo de arranque no se han alterado.

La recuperación de BitLocker puede ser el resultado de cambios inesperados en los PCR usados en el perfil de validación del protector de TPM. Los cambios en los PCR que no se usan en el perfil del protector de TPM no influyen en BitLocker.

Código de error Causa del error Resolución
E_FVE_PCR_MISMATCH La configuración del dispositivo ha cambiado.

Entre las posibles causas se incluyen:
- Se inserta un medio de arranque. Quitarlo y reiniciar el dispositivo podría solucionar este problema
- Se aplicó una actualización de firmware sin actualizar el protector de TPM.		 Se requiere un método de recuperación para desbloquear el dispositivo.

Para obtener más ejemplos, vea Escenarios de recuperación de BitLocker.

Casos especiales para PCR 7

Si el protector de TPM usa PCR 7 en el perfil de validación, BitLocker espera que PCR 7 mida un conjunto específico de eventos para el arranque seguro. Estas medidas se definen en la especificación UEFI. Para obtener más información, consulte Static Root of Trust Measurements (Raíz estática de las medidas de confianza).

Código de error Causa del error Resolución
E_FVE_SECUREBOOT_DISABLED El arranque seguro se ha deshabilitado. Para acceder a la clave de cifrado y desbloquear el dispositivo, BitLocker espera que arranque seguro esté activado. Volver a habilitar el arranque seguro y reiniciar el sistema podría corregir el problema de recuperación. De lo contrario, se requiere un método de recuperación para acceder al dispositivo.
E_FVE_SECUREBOOT_CHANGED La configuración de arranque seguro cambió inesperadamente. La configuración de arranque medida en PCR 7 cambió.
Esto puede deberse a:
- Una medida adicional que no estaba presente cuando BitLocker actualizó el protector de TPM.
- Falta una medida que estaba presente cuando BitLocker actualizó por última vez el protector de TPM, pero ahora no está presente.
- Un evento esperado tiene una medida diferente		 Se requiere un método de recuperación para desbloquear el dispositivo.

Unknown

Código de error Causa del error Resolución
E_FVE_RECOVERY_ERROR_UNKNOWN BitLocker entró en modo de recuperación debido a un error desconocido. Se requiere un método de recuperación para desbloquear el dispositivo.