Cómo usar Bitlocker en máquinas que no tienen TPM

Ya sabemos que Bitlocker es una característica de cifrado que viene en las versiones Enterprise y Ultimate tanto de Windows Vista cómo de Windows 7. Para cifrar el disco donde está el sistema operativo es necesario disponer de un TPM (Trusted Platform Module) que será el encargado de guardar la clave de SRK (Storage Root Key). Esta clave servirá para empezar el proceso de descifrado y así poder tener acceso al disco de sistema. Lamentablemente no todos los ordenadores tienen TPM así que hoy vamos a ver los pasos que debemos seguir para poder guardar esta clave en un dispositivo USB externo y así poder aprovecharnos del cifrado que nos ofrece Bitlocker.

Para el que no le guste leer, os dejo un pequeño video de todos los pasos que aparecen en este mismo artículo:

 

  1. Lo primero con lo que nos encontramos cuando intentamos cifrar una unidad de sistema operativo en una máquina que no tiene TPM es con el mensaje de error “Este equipo debe tener un dispositivo de seguridad del Módulo de plataforma segura (TPM) compatible, pero no se encontró ningún TPM. Póngase en contacto con el administrador del sistema para habilitar Bitlocker” bitlockerNonTPM02

  2. Para evitar que nos aparezca este mensaje tendremos que abrir las políticas de grupo de la máquina, o bien hacerlo desde el directorio activo si la máquina fuese parte del mismo.

    1. Para eso debemos ejecutar: “gpedit.msc” y
    2. Navegar a: Configuración del equipo –> Componentes de Windows –> Cifrado de unidad Bitlocker –> Unidades del sistema operativo bitlockerNonTPM03
    3. Una vez en unidades del sistema operativo tendremos que seleccionar la política “Requerir autenticación adicional al iniciar”  
    4. Habilitaremos esta política. (Cómo podemos ver esta política nos permite usar Bitlocker en máquinas sin TPM pero además podemos configurar requerimientos para máquinas que sí tienen Bitlocker, cómo forzar a que tengan o no pin en el arranque etc…)bitlockerNonTPM04
  3. Una vez que hemos habilitado la política debemos forzar la actualización de las políticas o bien esperar a que se actualicen solas, para evitar esperar ejecutaremos: gpupdate /target:Computer /force

  4. Ahora volveremos a intentar cifrar el contenido del disco de sistema:image bitlockerNonTPM05

  5. Al comenzar el proceso de Bitlocker y darse cuenta que no tiene chip TPM nos aparece la esta pantalla. Aquí forzaremos a que nos pida una clave en el inicio que será almacenada en una llave USB.

  6. A continuación le indicaremos en que dispositivo externo vamos a guardar la calve, en mi caso es una llave USB que se llama Bitlocker bitlockerNonTPM06

  7. Una vez finalizado esto nos pedirá que guardemos la clave de recuperación (recordad que esto por políticas también se puede ocultar para que directamente esto se guarde sólo en el directorio activo y que no tengamos que guardarlo, o imprimirlo nosotros mismos.

  8. Finalmente estaremos listos para empezar a cifrar el discobitlockerNonTPM08

  9. En este punto nos pedirá un reinicio.  bitlockerNonTPM09

    NOTA:
    Es importante que en este primer reinicio no quitemos la llave USB, de hacerlo en el siguiente arranque no será capaz de encontrar la clave que usará para cifrar el disco y fallará con este error: “No se encuentra la clave de inicio o la contraseña de recuperación de Bitlocker en el dispositivo USB. Compruebe que tiene el dispositivo USB correcto y que el dispositivo USB está conectado al equipo en un puerto USB activo, reinicie el equipo e inténtelo de nuevo. Si el problema persiste, póngase en contacto con el fabricante del equipo para obtener instrucciones de actualización de BIOS.”
    bitlockerNonTPM10

    Si nos pasa esto verémos también los eventos ID: 24630 y ID: 24609 ambos con Origen: Bitlocker-Driver.

    bitlockerNonTPM12bitlockerNonTPM13

    Si nos aparece esté mensaje de error tendremos que empezar nuevamente con el procedimiento desde el paso 4.

  10. Si no hemos recibido el mensaje de error estaremos felizmente cifrando el disco.

  11. Ya tenemos la partición de sistema operativo cifrada ahora sólo hay que reiniciar la máquina para ver el comportamiento.

    1. Si no tenemos el pendrive pinchado nos dará un mensaje de error en el arranque de la máquina.
    2. Si lo tenemos pinchado directamente arrancará la máquina.
  12. Si hibernamos el sistema también nos hace falta tener la llave USB pinchada para poder recuperar el ordenador.

Si has llegado hasta aquí y te preguntas que es lo que se guarda en la llave USB, se trata de un fichero cifrado con extensión BEK (Bitlocker Encryption Key) que contiene la clave de cifrado del disco, no dudes en hacer una copia de este fichero y dejarlo en un sitio bien seguro, por si algún día necesitas recuperar el contenido del disco.

bitlockerNonTPM11

Ya no nos quedan excusas para ponernos a cifrar todos nuestros equipos, sean antiguos o nuevos con o sin TPM,. Espero que os haya sido de utilidad.

Enjoy

Monaguillo…t

Comments

  • Anonymous
    January 01, 2003
    Buenos dias Fernando, Tengo una consulta si me puede colaborar muchas Gracias.

    Tengo cifradas las unidades D, en algunas maquinas del dominio, lo que pasa es que no me deja desbloquear las unidades si el usuario no es administrador de la maquina, ¿Como puedo solucionar esto sin tener que ponerlo como administrador?

    Gracias.

  • Anonymous
    January 01, 2003
    Si tu máquina está unida al dominio deberías aplicar esta política a nivel de dominio. Te recomendaría que creases una unidad organizativa a parte de donde colgar las máquinas antiguas y aplicar esta política en esa unidad organizativa. Un saludo Monaguillo..t

  • Anonymous
    January 01, 2003
    Hola Yuke, Los Discos duros externos conviene cerrarlos ordenadamente, si no lo hacemos así es posible que podamos dañar alguno de los sectores importantes del disco y que luego no nos muestre información. Mi recomendación es que lo intentes pinchar en otro ordenador a ver si el comportamiento es el mismo. Si es así te recomendaría que intentases probar alguna aplicación de recuperación de datos, así por lo menos te garantizas que no sea el disco el que realmente haya sufrido un problema de HW. Mucha mucha suerte!! Fernando

  • Anonymous
    January 01, 2003
    Hola me gustaría hacer la siguiente consulta ¿Cuando se guarda el fichero en la memoria USB este procedimiento borra los demás archivos de la memoria? ¿Se debe utilizar una memoria en blanco?

  • Anonymous
    January 01, 2003
    Hola Cristian, Lo que te ocurre a ti es que la partición de datos la has podido cifrar sin problemas pero la de Sistema Operativo al no tener TPM tienes que seguir los pasos de este artículo y tener la clave de Bitlocker en un Pen drive. Un saludo Fernando

  • Anonymous
    January 01, 2003
    Hola Eduardo, Me alegra haber podido ser de utilidad. Muchas gracias por tu comentario Un saludo Monaguillo..t

  • Anonymous
    January 19, 2011
    Muy Bueno me ayudo en mucho con mi PC no tiene el Chip de TPM Gracias....

  • Anonymous
    January 19, 2011
    como Haria para desabilitar el TPM si mi Maquina esta Unida a un Dominio deberia hacer lo mismo solo que en Administracion de Directivas de grupo nada mas o hay algo adicional ahi Gracias....

  • Anonymous
    January 19, 2011
    ok Gracias funciono muy bien Saludos....

  • Anonymous
    March 03, 2011
    tengo una consulta que no es del tema de BitLocker pero quieria preguntarle si no fuera mucha molestia quiero instalar un Servidor con los Servicios de AD RMS y llegado a instarlo bien pero necesito como configurar las platillas de seguridad para aplicarlas a documentos de Office 2007. si usted tubiera alguna PPT o un material ke si tubiera se lo agradeceria bastante soy estudiante de MTCS : Windows Server 2008 Active Directory en Peru y agradeceria su apoyo en este momento como professional que es usted  he escuchado sus Webcast en Technet  Agradeceria su gentil respuesta de ante mano y nos estaremos viendo por españa para charla de Windows Azure Gracias....

  • Anonymous
    March 03, 2011
    Mi Correo de Universidad para contarme 418571@comunidad.senati.edu.pe Muchas Gracias....

  • Anonymous
    September 08, 2011
    tengo un problema, trate de cifrar mi disco duro externo y mi hermano chico la pasuo y ahora windows no reconoce el disco, nisiquiera muestra q este conectado, ningun mensaje ni nada

  • Anonymous
    October 11, 2011
    mi pregunta es ... mi disco esta partido en dos con una parte si pude activar el bitlocker normalmente y con la otra parte me dice que no tengo tpm ... que hago ?????

  • Anonymous
    June 20, 2012
    muchas gracias por tu ayuda me sirvio de mucho, pero tengo una consulta como puedo usarlo sin el pendrive

  • Anonymous
    July 10, 2012
    hola yo se que ya es muy tarde inclusive ni has de estar pendiente ya de este post pero dejame decirte que me sirvio mucho y bueno aunque apenas estoy iniciando con esto de computacion no se si podrias ayudarme pára poder entender mejor lo que hago bueno saludos y gracias

  • Anonymous
    August 24, 2012
    Trabajo en servicios informáticos Barcelona (http://www.trojan.es/) y notas como estas siempre ayudan a hacer nuestro trabajo más simple ¡Gracias!

  • Anonymous
    February 27, 2013
    The comment has been removed

  • Anonymous
    August 02, 2013
    tengo el mismo problema ....no se como rayos active el bitlocker no puse contraseña ni nada de eso simplemente me apareció blanqueado el disco c ...pero e querido seguir estos paso pero ni siquiera me deja utilizar el ejecutar mi sistema operativo es windows 7 ultimate se abre y busco la direcciones tuyas:Configuración del equipo –> Componentes de Windows –> pero no encuentra "Cifrado de unidad Bitlocker"

  • Anonymous
    November 04, 2013
    Hola pero para activar en "Disco local D"  ami no me deja

  • Anonymous
    February 13, 2014
    Cuando accedes mediante el gpedit.msc, la ruta correcta seria: Configuración del equipo –>antes de Componentes de Windows tienes que acceder a Plantillas Administrativas y luego ahi a Componentes de Windows. Yo no tuve problemas porque trabajo bastante con politicas pero por si alguien se "pierde" Muy bueno el articulo, me ha ayudado muchiismo, pero una pregunta... Anivel registro, se podria hacer y ejecutarlo mediante este script esta modificacion que en el articulo se hace a mano???? Muchisimas gracias!! Saludos

  • Anonymous
    February 13, 2014
    Anonymous, no es necesario que la memoria USB que conectas para guardar la clave este vacia. El bitlocker solo utiliza la memoria USB para guardar un archivo mas, que en este caso es la clave. Saludos

  • Anonymous
    July 12, 2014
    HOLA PERO EL WINDOWS 8 Q TENGO D UNA NO SALE LA OPCION BITLOKER EXISTE OTRA OPCION PARA CIFRAR'???

  • Anonymous
    August 06, 2014
    Estoy empezando a incursionar en esto que son las pc y sus partes.
    Quiero saber si este chip TPM/FW3.19 de asus sirve para mi placa p9x79 y intel dh61be

  • Anonymous
    August 29, 2014
    hola, siempre solicita la clave despues de activar el bitlocker, al iniciar el SO esto es normal o puedo leerlo desde un usb. gracias

  • Anonymous
    March 30, 2015
    Hola Fernando, la unidad USB es perfecta cuando la Laptop esta fuera de la organización, pero si la conecto a la red y enciendo el equipo, ¿es posible omitir el uso del USB? de tal forma que el AD pueda pasar las claves de inicio que están en el USB.

    Favor tu ayuda y gracias.

  • Anonymous
    April 03, 2015
    Does anyone knows if I'll always be depending of that USB key, I don't want to depend of a USB KEY

    Just asking thanks.

  • Anonymous
    June 22, 2015
    The comment has been removed

  • Anonymous
    September 27, 2015
    Jajajaja muy buen explicado, me sirvio mucho . gracias bro

  • Anonymous
    September 27, 2015
    Me ha sido de mucha utilidad. Gracias!

  • Anonymous
    February 19, 2016
    The comment has been removed