2017­5­12 Prepara tu organización para BitLocker: planificación y directivas (Windows)

Prepara tu organización para BitLocker:

planificación y directivas
En este tema para los profesionales de TI se explica cómo puedes planear la
implementación de BitLocker. Última actualización
Al diseñar la estrategia de implementación de BitLocker, define las directivas
adecuadas y los requisitos de configuración en función de los requisitos 13 de agosto de 2015
empresariales de la organización. Los temas siguientes te ayudarán a recopilar
información que puedes usar para enmarcar el proceso de toma de decisiones Aplicable a
sobre la implementación y la administración de sistemas de BitLocker.

Windows 10
Auditar tu entorno

Autenticación y claves de cifrado

Configuraciones de hardware del TPM

Configuraciones de hardware que no es del TPM

Consideraciones sobre la configuración de disco

Aprovisionamiento de BitLocker

Cifrado de espacio en disco usado

Consideraciones de Servicios de dominio de Active Directory

Compatibilidad con FIPS para protector de contraseña de recuperación

Configuraciones de directivas de grupo de BitLocker

Auditar tu entorno
Para planear la implementación empresarial de BitLocker, primero debes comprender el entorno actual. Realiza una auditoría
desenfadada para definir el entorno de hardware, las directivas y los procedimientos actuales. Comienza por revisar las
directivas de seguridad corporativa existentes en relación con el software de cifrado de disco. Si la organización no está
usando actualmente software de cifrado de disco, ninguna de estas directivas existe. Si estás usando un software de cifrado
de disco, es posible que necesites modificar las directivas de la organización para administrar las funcionalidades de
BitLocker.

Usa las siguientes preguntas que te ayudarán a documentar las directivas de seguridad de cifrado de disco actuales de la
organización:

1. ¿Hay directivas para saber qué equipos usarán BitLocker y qué equipos no lo usarán?

2. ¿Qué políticas existen para controlar la contraseña de recuperación y el almacenamiento de claves de recuperación?

3. ¿Cuáles son las directivas para validar la identidad de los usuarios que necesitan llevar a cabo la recuperación de
BitLocker?

4. ¿Qué directivas existen para controlar qué personas de la organización tienen acceso a datos de recuperación?

5. ¿Qué políticas existen para controlar la retirada de equipos?

https://technet.microsoft.com/es­es/library/mt404680(v=vs.85).aspx 1/10
2017­5­12 Prepara tu organización para BitLocker: planificación y directivas (Windows)

Autenticación y claves de cifrado

BitLocker ayuda a impedir el acceso no autorizado a datos de equipos perdidos o robados mediante:

El cifrado de todo el volumen del sistema operativo Windows en el disco duro.

La comprobación de la integridad del proceso de arranque.

El módulo de plataforma segura ﴾TPM﴿ es un componente de hardware instalado en muchos equipos nuevos por los
fabricantes de equipos. Funciona con BitLocker para ayudar a proteger los datos de usuario y para garantizar que un equipo
no se haya manipulado mientras el sistema estaba sin conexión.

Además, BitLocker ofrece la opción de bloquear el proceso de inicio normal hasta que el usuario proporcione un número de
identificación personal ﴾PIN﴿ o inserte un dispositivo USB extraíble, como una unidad flash, que contenga una clave de inicio.
Estas medidas de seguridad adicionales proporcionan autenticación multifactor y la garantía de que el equipo no se inicia o
reanuda desde la hibernación hasta que se ofrezca el PIN o la clave de inicio correctos.

En los equipos que no tienen un TPM versión 1.2 o posterior, todavía puede usar BitLocker para cifrar el volumen del sistema
operativo Windows. Sin embargo, esta implementación requerirá que el usuario inserte una clave de inicio USB para iniciar el
equipo o reanudar después de hibernar, y no proporciona la comprobación de integridad del sistema previa al inicio ofrecida
por BitLocker con un TPM.

Protectores de clave de BitLocker

Protector de
Descripción
clave

TPM Un dispositivo de hardware que se usa para ayudar a establecer una raíz de confianza segura. BitLocker
solo admite TPM versión 1.2 o posterior.

PIN Un protector de clave numérica que escribió el usuario que solo puede usarse además del TPM.

PIN mejorado Un protector de clave alfanumérica que escribió el usuario que solo puede usarse además del TPM.

Clave de Una clave de cifrado que se puede almacenar en la mayoría de medios extraíbles. Este protector de clave
inicio puede usarse de forma independiente en equipos que no son del TPM, o junto con un TPM para
aumentar la seguridad.

Contraseña Un número de 48 dígitos que se usa para desbloquear un volumen cuando está en modo de
de recuperación. Los números pueden escribirse normalmente en un teclado normal, si los números del
recuperación teclado no responden siempre puedes usar las teclas de función ﴾F1‐F10﴿ para escribir los números.

Clave de Una clave de cifrado almacenada en medios extraíbles que puede usarse para recuperar datos cifrados
recuperación en un volumen de BitLocker.

Métodos de autenticación de BitLocker

Método de Requiere Descripción

autenticació interacción

https://technet.microsoft.com/es­es/library/mt404680(v=vs.85).aspx 2/10
2017­5­12 Prepara tu organización para BitLocker: planificación y directivas (Windows)

n del usuario

Solo TPM No TPM valida los componentes de las primeras fases de arranque.

TPM y PIN Sí TPM valida los componentes de las primeras fases de arranque. El usuario debe
introducir el PIN correcto para que el proceso de inicio pueda continuar y para que
pueda desbloquearse la unidad. El TPM se bloqueará si se introduce un PIN incorrecto
repetidamente para proteger el PIN contra los ataques. El número de intentos repetidos
que desencadenará un bloqueo es variable.

TPM y clave No El TPM valida correctamente los componentes de las primeras fases de arranque y se
de red proporcionó una clave de red cifrada válida desde el servidor WDS. Este método de
autenticación proporciona un desbloqueo automático de los volúmenes del sistema
operativo al reiniciar el sistema mientras se mantiene la autenticación multifactor.

TPM y clave Sí El TPM valida correctamente los componentes de las primeras fases de arranque y se
de inicio insertó una unidad flash USB con la clave de inicio.

Solo clave de Sí Se solicita al usuario que inserte la unidad flash USB que contiene la clave de
inicio recuperación o la clave de inicio y que reinicie el equipo.

¿Ofrecerás compatibilidad con equipos sin TPM versión 1.2 o posterior?

Determina si ofrecerás compatibilidad con equipos que no tienen TPM versión 1.2 o posterior en tu entorno. Si decides
ofrecer compatibilidad con BitLocker en este tipo de equipo, un usuario deberá usar una clave de inicio USB para arrancar el
sistema. Esto requiere procesos de compatibilidad adicional similares a la autenticación multifactor.

¿Qué áreas de la organización necesitan un nivel de línea base de protección de datos?

El método de autenticación solo TPM proporcionará la experiencia de usuario más transparente para organizaciones que
necesitan un nivel de línea base de protección de datos para cumplir con las directivas de seguridad. Tiene el menor costo
total de propiedad. Solo TPM también podría ser más adecuado para equipos que están desatendidos o que deben reiniciar
desatendidos.

Sin embargo, el método de autenticación solo TPM ofrece el nivel más bajo de protección de datos. Este método de
autenticación protege contra los ataques que modifican los componentes de las primeras fases de arranque, pero el nivel de
protección puede verse afectado por los posibles defectos en el hardware o en los componentes de las primeras fases de
arranque. Los métodos de autenticación multifactor de BitLocker aumentarán de manera significativa el nivel general de
protección de datos.

¿Qué áreas de la organización necesitan un nivel más seguro de protección de datos?

Si hay áreas de la organización donde los datos que residen en equipos de usuario se consideran muy confidenciales,
considera el procedimiento recomendado para implementar BitLocker con autenticación multifactor en estos sistemas.
Requerir que el usuario introduzca un PIN aumenta significativamente el nivel de protección del sistema. También puedes
usar desbloqueo de BitLocker en red para permitir que estos equipos se desbloqueen automáticamente cuando estés
conectado a una red cableada de confianza que puede proporcionar la clave de desbloqueo en red.

¿Qué método de autenticación multifactor prefiere tu organización?

Las diferencias de protección proporcionadas por los métodos de autenticación multifactor no se pueden cuantificar
fácilmente. Considera el impacto de cada método de autenticación en el departamento de soporte técnico, en la educación
del usuario, en la productividad del usuario y en procesos de administración de sistemas automatizados.

Configuraciones de hardware del TPM

https://technet.microsoft.com/es­es/library/mt404680(v=vs.85).aspx 3/10
2017­5­12 Prepara tu organización para BitLocker: planificación y directivas (Windows)

En el plan de implementación, identifica qué plataformas de hardware basadas en TPM serán compatibles. Documenta los
modelos de hardware de un OEM que elijas, para que sus configuraciones se admitan y puedan probarse. El hardware del
TPM requiere especial atención durante todos los aspectos de diseño e implementación.

Estados TPM de existencia

Para cada uno de los estados de existencia del TPM, el TPM puede realizar una transición a otro estado ﴾por ejemplo,
cambiar de deshabilitado a habilitado﴿. Los estados no son exclusivos.

Estado Descripción

Habilitado La mayoría de las características del TPM están disponibles.

El TPM se puede habilitar y deshabilitar varias veces en un período de arranque, si se toma posesión.

Deshabilitado El TPM restringe la mayoría de las operaciones. Algunas excepciones son la capacidad de realizar
informes de las funcionalidades del TPM, ampliar y restablecer las funciones de registro de configuración
de la plataforma ﴾PCR﴿ y realizar la inicialización básica y los hash.

El TPM puede habilitarse y deshabilitarse varias veces en un período de arranque.

Activado La mayoría de las características del TPM están disponibles. El TPM se puede activar y desactivar solo
mediante la presencia física, lo que requiere un reinicio.

Desactivado Similar a deshabilitado, con la excepción de que se puede tomar posesión mientras está desactivado y
habilitado. El TPM se puede activar y desactivar solo mediante la presencia física, lo que requiere un
reinicio.

Con La mayoría de las características del TPM están disponibles. El TPM tiene una clave de aprobación y una
propietario clave raíz de almacenamiento, y el propietario conoce la información sobre los datos de autorización del
propietario.

Sin El TPM no dispone de clave raíz de almacenamiento y puede tener clave de aprobación o no.
propietario

Importante  
BitLocker no puede usar el TPM hasta que esté en el estado siguiente: habilitado, activado y con propietario. Cuando el TPM
se encuentra en este estado y solo cuando se encuentra en este estado, todas las operaciones están disponibles.

 
El estado del TPM existe independientemente del sistema operativo del equipo. Cuando el TPM está habilitado, activado y
con propietario, el estado del TPM se mantiene si se vuelve a instalar el sistema operativo.

Claves de aprobación
Para que un TPM pueda usarse con BitLocker, debe contener una clave de aprobación, que es un par de claves RSA. La mitad
privada del par de claves se mantiene dentro del TPM y nunca se divulga o se facilita su acceso fuera del TPM. Si el TPM no
contiene una clave de aprobación, BitLocker forzará el TPM para que genere una automáticamente como parte del programa
de instalación de BitLocker.

La clave de aprobación puede crearse en diferentes puntos del ciclo de vida del TPM; sin embargo, debe crearse una sola vez
durante el ciclo de vida del TPM. Si no existe una clave de aprobación del TPM, debe crearse antes de que se tome posesión
del TPM.

https://technet.microsoft.com/es­es/library/mt404680(v=vs.85).aspx 4/10
2017­5­12 Prepara tu organización para BitLocker: planificación y directivas (Windows)

Para obtener más información acerca del TPM y el TCG, consulta el Trusted Computing Group: Especificaciones del módulo
de plataforma segura ﴾TPM﴿ ﴾http://go.microsoft.com/fwlink/p/?linkid=69584﴿.

Configuraciones de hardware que no es del TPM

Los dispositivos que no incluyen un TPM pueden estar protegidos por cifrado de unidad. Las áreas de trabajo Windows To
Go pueden protegerse con BitLocker con una contraseña de inicio y los equipos sin un TPM pueden usar una clave de inicio.

Usa las siguientes preguntas para identificar problemas que podrían afectar a la implementación en una configuración no
TPM:

¿Existen reglas de complejidad de contraseña?

¿Tienes presupuesto para unidades flash USB para cada uno de estos equipos?

¿Los dispositivos existentes no TPM admiten dispositivos USB durante el arranque?

Prueba las plataformas de hardware individuales con la opción de comprobación del sistema de BitLocker mientras habilitas
BitLocker. La comprobación del sistema asegurará que BitLocker pueda leer correctamente la información de recuperación
de un dispositivo USB y las claves de cifrado antes de cifrar el volumen. Las unidades de CD y DVD no pueden actuar como
un dispositivo de almacenamiento de bloques y no pueden usarse para almacenar el material de recuperación de BitLocker.

Consideraciones sobre la configuración de disco

Para que funcione correctamente, BitLocker requiere una configuración de disco específica. BitLocker requiere dos
particiones que cumplan los requisitos siguientes:

La partición del sistema operativo contiene el sistema operativo y sus archivos de compatibilidad; debe tener el
formato del sistema de archivos NTFS

La partición del sistema ﴾o la partición de arranque﴿ contiene los archivos necesarios para cargar Windows después de
que la BIOS o el firmware de UEFI hayan preparado el hardware del sistema. BitLocker no está habilitado en esta
partición. Para que BitLocker funcione, la partición del sistema no debe estar cifrada y debe estar en una partición
diferente que el sistema operativo. En plataformas UEFI, la partición del sistema debe tener el formato del sistema de
archivos FAT32 En plataformas BIOS, la partición del sistema debe tener el formato del sistema de archivos NTFS.
Debe tener al menos 350 MB de tamaño

La instalación de Windows configurará automáticamente las unidades de disco del equipo para admitir el cifrado de
BitLocker.

Entorno de recuperación de Windows ﴾Windows RE﴿ es una plataforma extensible de recuperación que se basa en el Entorno
de preinstalación de Windows ﴾Windows PE﴿. Cuando el equipo no se puede iniciar, Windows transiciona automáticamente a
este entorno, y la Herramienta de reparación de inicio de Windows RE automatiza el diagnóstico y la reparación de una
instalación de Windows que no puede arrancar. Windows RE también contiene los controladores y las herramientas
necesarias para desbloquear un volumen protegido por BitLocker al proporcionar una clave de recuperación o una
contraseña de recuperación. Para usar Windows RE junto con BitLocker, la imagen de arranque de Windows RE debe residir
en un volumen que no está protegido con BitLocker.

Windows RE también puede usarse desde medios de arranque que no sean el disco duro local. Si decides no instalar
Windows RE en el disco duro local de equipos con BitLocker habilitado, puedes usar métodos de arranque alternativos, como
los Servicios de implementación de Windows, CD‐ROM o unidad flash USB para la recuperación.

Aprovisionamiento de BitLocker
En Windows Vista y Windows 7, BitLocker se aprovisionó después de la instalación para sistemas y volúmenes de datos a
través de la interfaz de línea de comandos manage‐bde o de la interfaz de usuario del Panel de control. Con los sistemas

https://technet.microsoft.com/es­es/library/mt404680(v=vs.85).aspx 5/10
2017­5­12 Prepara tu organización para BitLocker: planificación y directivas (Windows)

operativos más recientes, BitLocker puede aprovisionarse fácilmente antes de instalar el sistema operativo. El
aprovisionamiento previo requiere que el equipo tenga un TPM.

Para comprobar el estado de BitLocker de un determinado volumen, los administradores pueden consultar el estado de la
unidad en el applet del panel de control de BitLocker o en el Explorador de Windows. Un estado "Esperando a la activación"
con un signo de exclamación amarillo significa que la unidad se aprovisionó previamente para BitLocker. Este estado significa
que solo se usó un protector sin cifrado para cifrar el volumen. En este caso, el volumen no está protegido y debe tener una
clave segura a agregada al volumen antes de que la unidad esté totalmente protegida. Los administradores pueden usar las
opciones del panel de control, la herramienta manage‐bde y las API de WMI para agregar un protector de clave apropiado y
se actualizará el estado del volumen.

Al usar las opciones del panel de control, los administradores pueden elegir Activar BitLocker y seguir los pasos en el
asistente para agregar un protector, como un PIN para un volumen del sistema operativo ﴾o una contraseña si no existe
ningún TPM﴿, o una contraseña o protector de tarjeta inteligente a un volumen de datos. A continuación, la ventana de
seguridad de la unidad se presenta antes de cambiar el estado del volumen.

Los administradores pueden habilitar BitLocker antes de la implementación del sistema operativo desde el Entorno de
preinstalación de Windows ﴾WinPE﴿. Esto se hace con un protector de clave sin cifrado generado aleatoriamente aplicado al
volumen con formato y cifrando el volumen antes de ejecutar el proceso de configuración de Windows. Si el cifrado usa la
opción Solo espacio en disco usado, este paso tarda unos pocos segundos y, por lo tanto, se incorpora bien en los procesos
de implementación normal.

Cifrado de espacio en disco usado

El Asistente para configuración de BitLocker proporciona a los administradores la posibilidad de elegir el método de cifrado
Solo espacio en disco usado o Completo cuando se habilita BitLocker para un volumen. Los administradores pueden usar la
nueva configuración de directiva de grupo de BitLocker para aplicar el cifrado de disco Solo espacio en disco usado o
Completo.

Iniciar el Asistente para configuración de BitLocker solicita el método de autenticación que se va a usar ﴾la tarjeta inteligente
y la contraseña están disponibles para volúmenes de datos﴿. Una vez que se elige el método y se guarda la clave de
recuperación, se te pedirá que selecciones el tipo de cifrado de unidad, Solo espacio en disco usado o Cifrado de unidad
completa.

Solo espacio en disco usado significa que únicamente la parte de la unidad que contiene datos se cifrará, el espacio sin usar
permanecerá sin cifrar. Esto hace que el proceso de cifrado sea mucho más rápido, especialmente para nuevos equipos y
unidades de datos. Cuando se habilita BitLocker con este método, al agregar datos a la unidad, se cifrará la parte de la
unidad se usa, por lo que nunca habrá datos almacenados sin cifrar en la unidad.

El cifrado de unidad completa significa que se cifra toda la unidad, independientemente de si hay datos almacenados en ella
o no. Esto es útil para unidades que se reasignaron y pueden contener restos de datos de su uso anterior.

Consideraciones de Servicios de dominio de Active Directory

BitLocker se integra con los servicios de dominio de Active Directory ﴾AD DS﴿ para proporcionar administración de claves
centralizada. De manera predeterminada, no se hace ninguna copia de seguridad de información en Active Directory. Los
administradores pueden configurar la Directiva de grupo para habilitar la copia de seguridad de la información de
recuperación de BitLocker o TPM. Antes de configurar estas opciones de configuración, comprueba que se han concedido
permisos de acceso para hacer la copia de seguridad.

De manera predeterminada, los administradores de dominio son los únicos usuarios que tendrán acceso a la información de
recuperación de BitLocker. Al planear el proceso de soporte técnico, define qué partes de la organización necesitan obtener
acceso a la información de recuperación de BitLocker. Usa esta información para definir cómo se delegarán los derechos
adecuados en el entorno de AD DS.

Se recomienda hacer una copia de seguridad de la información de recuperación del TPM y BitLocker en AD DS. Puedes
implementar este procedimiento mediante la configuración de la Directiva de grupo para los equipos protegidos con
BitLocker.

https://technet.microsoft.com/es­es/library/mt404680(v=vs.85).aspx 6/10
2017­5­12 Prepara tu organización para BitLocker: planificación y directivas (Windows)

Configuración de Directiva de grupo de BitLocker Configuración

Cifrado de unidad BitLocker: Activar la copia de seguridad de BitLocker Requerir copia de seguridad de BitLocker en AD
para los Servicios de dominio de Active Directory DS ﴾contraseñas y paquetes de claves﴿

Servicios del Módulo de plataforma segura: Activar copia de seguridad Requerir copia de seguridad del TPM en AD DS
del TPM en los Servicios de dominio de Active Directory

Los siguientes datos de recuperación se guardarán para cada objeto del equipo:

Contraseña de recuperación

Una contraseña de recuperación de 48 dígitos que se usa para recuperar un volumen protegido con BitLocker. Los
usuarios introducen esta contraseña para desbloquear un volumen cuando BitLocker entra en modo de recuperación.

Datos del paquete de claves

Con este paquete de claves y la contraseña de recuperación, podrás descifrar partes de un volumen protegido con
BitLocker si el disco está gravemente dañado. Cada paquete de claves solo funcionará con el volumen en el que se
creó, lo que se puede identificar con el identificador de volumen correspondiente.

Hash de contraseña de autorización de propietario del TPM

Cuando la propiedad del TPM se toma, un hash de la contraseña de propiedad se puede tomar y almacenar en AD
DS. A continuación esta información puede usarse para restablecer la propiedad del TPM.

A partir de Windows 8, se implementó un cambio relacionado con el modo en que se almacena el valor de autorización del
propietario del TPM en AD DS en el esquema de AD DS. El valor de autorización del propietario del TPM ahora se almacena
en un objeto separado que está vinculado al objeto del equipo. Este valor se almacenaba como una propiedad en el objeto
de equipo para los esquemas predeterminados de Windows Server 2008 R2 y versiones posteriores.

Para aprovechar esta integración, debes actualizar los controladores de dominio a Windows Server 2012 o ampliar el
esquema de Active Directory y configurar objetos de la Directiva de grupo de BitLocker.

Nota  
La cuenta que usas para actualizar el esquema de Active Directory debe ser miembro del grupo Administradores de
esquema.

 
Los controladores de dominio de Windows Server 2012 tienen el esquema predeterminado configurado para hacer una
copia de seguridad de la información de autorización del propietario del TPM en un objeto independiente. Si no vas a
actualizar el controlador de dominio a Windows Server 2012, deberás ampliar el esquema para admitir este cambio.

Para admitir Windows 8 y equipos con versiones posteriores administrados por un controlador de dominio de
Windows Server 2003 o Windows 2008

Hay dos extensiones de esquema que puedes copiar y agregar al esquema de AD DS:

TpmSchemaExtension.ldf

Esta extensión de esquema proporciona paridad con el esquema de Windows Server 2012. Con este cambio, la
información de autorización del propietario del TPM se almacena en un objeto del TPM independiente vinculado al
objeto de equipo correspondiente. Solo el objeto de equipo que creó el objeto TPM puede actualizarlo. Esto significa
que las actualizaciones subsiguientes de los objetos del TPM no funcionarán correctamente en escenarios de

https://technet.microsoft.com/es­es/library/mt404680(v=vs.85).aspx 7/10
2017­5­12 Prepara tu organización para BitLocker: planificación y directivas (Windows)

arranque dual o escenarios en los que se vuelva a crear una imagen del equipo dando lugar a la creación de un nuevo
objeto de equipo de AD. Para admitir estos escenarios, se creó una actualización para el esquema.

TpmSchemaExtensionACLChanges.ldf

Esta actualización de esquema modifica las ACL del objeto del TPM para que sean menos restrictivas para que
cualquier sistema operativo posterior que tome posesión del objeto de equipo pueda actualizar el valor de
autorización del propietario en AD DS. Sin embargo, esto es menos seguro porque cualquier equipo del dominio
puede actualizar el OwnerAuth del objeto TPM ﴾aunque no puede leer el OwnerAuth﴿ y pueden llevarse a cabo
ataques DoS desde dentro de la empresa. La mitigación recomendada en este escenario es hacer copias de seguridad
periódicamente de los objetos del TPM y habilitar la auditoría para realizar un seguimiento de los cambios de estos
objetos.

Para descargar las extensiones de esquema, consulta Extensiones de esquema de AD DS para admitir la copia de seguridad
del TPM.

Si tienes un controlador de dominio de Windows Server 2012 en el entorno, las extensiones de esquema ya están listas y no
es necesario actualizarlas.

Precaución  
Para configurar los objetos de la Directiva de grupo para hacer una copia de seguridad de la información del TPM y BitLocker
en AD DS, al menos uno de los controladores de dominio del bosque debe ejecutar por lo menos Windows Server 2008 R2

Si se habilita la copia de seguridad de Active Directory del valor de autorización del propietario del TPM en un entorno sin
las extensiones de esquema necesarias, el aprovisionamiento del TPM producirá un error y el TPM permanecerá en un estado
No está listo para equipos que ejecutan Windows 8 y versiones posteriores.

 
Configuración de los permisos correctos de AD DS

Inicializar el TPM correctamente para que puedas activar BitLocker requiere que los permisos correctos para la cuenta SELF
se establezcan en AD DS para el atributo ms‐TPMOwnerInformation. En los pasos siguientes se detalla la configuración de
estos permisos como requiere BitLocker:

1. Abre Usuarios y equipos de Active Directory.

2. Selecciona la unidad organizativa ﴾OU﴿ que contiene las cuentas de equipo que tendrán BitLocker activado.

3. Haz clic en la unidad organizativa y luego en Delegar control para abrir el asistente de Delegación de control.

4. Haz clic en Siguiente para ir a la página Usuarios o grupos y luego haz clic en Agregar.

5. En el cuadro de diálogo Seleccionar usuarios, equipos o grupos, escribe SELF como el nombre de objeto y luego
haz clic en Aceptar. Una vez que se haya validado el objeto, volverás a la página del asistente Usuarios o grupos y se
mostrará la cuenta SELF. Haz clic en Siguiente.

6. En la página Tareas que se delegarán, elige Crear una tarea personalizada para delegar y luego haz clic en
Siguiente.

7. En la página Tipo de objeto de Active Directory, elige Solo los siguientes objetos en la carpeta y luego selecciona
Objetos de equipo y haz clic en Siguiente.

8. En la página Permisos, en Mostrar estos permisos, selecciona General, Específico de la propiedad y Creación o
eliminación de objetos secundarios específicos. Desplázate hacia abajo en la lista Permisos y selecciona Escribir
OwnerInformation msTPM y Escribir msTPM TpmInformationForComputer. Después haz clic en Siguiente.

9. Haz clic en Finish para aplicar la configuración de permisos.

https://technet.microsoft.com/es­es/library/mt404680(v=vs.85).aspx 8/10
2017­5­12 Prepara tu organización para BitLocker: planificación y directivas (Windows)

Compatibilidad con FIPS para protector de contraseña de

recuperación
La funcionalidad introducida en Windows Server 2012 R2 y Windows 8.1, permite que BitLocker sea totalmente funcional en
el modo FIPS.

Nota  
En el Estándar federal de procesamiento de información de los Estados Unidos ﴾FIPS﴿ se definen los requisitos de seguridad e
interoperabilidad para los equipos que usa el gobierno federal de los Estados Unidos. El estándar FIPS 140 define algoritmos
criptográficos aprobados. Así mismo, establece requisitos para la generación y administración de claves. El Instituto Nacional
de Normas y Tecnología ﴾NIST﴿ usa el Programa de validación del módulo criptográfico ﴾CMVP﴿ para determinar si una
determinada implementación de un algoritmo criptográfico es compatible con el estándar FIPS 140. Una implementación de
un algoritmo criptográfico solo se considera compatible con FIPS 140 si se envió a NIST y superó la validación. Un algoritmo
que no se ha enviado no se puede considerar compatible con FIPS incluso si la implementación genera datos idénticos como
una implementación validada del mismo algoritmo. 

 
Antes de estas versiones compatibles de Windows, cuando Windows estaba en el modo FIPS, BitLocker impedía la creación y
el uso de contraseñas de recuperación y, en su lugar, obligaba al usuario a usar claves de recuperación. Para obtener más
información acerca de estos problemas, consulta el artículo de soporte técnico kb947249.

Pero en equipos que ejecutan estos sistemas compatibles con BitLocker habilitado:

Cuando Windows está en modo FIPS, se pueden crear protectores de contraseña de recuperación compatibles con
FIPS. Estos protectores usan el algoritmo FIPS 140 NIST SP800‐132.

Las contraseñas de recuperación creadas en el modo FIPS en Windows 8.1 se diferencian de las contraseñas de
recuperación creadas en otros sistemas.

La recuperación de desbloqueo con el protector de contraseña de recuperación basado en algoritmos compatibles

con FIPS funciona en todos los casos que funcionan actualmente para las contraseñas de recuperación.

Cuando las contraseñas de recuperación compatibles con FIPS desbloquean volúmenes, el volumen se desbloquea
para permitir el acceso de lectura y escritura incluso mientras están en el modo FIPS.

Los protectores de contraseña de recuperación compatibles con FIPS pueden exportarse y almacenarse en AD un
tiempo en el modo FIPS.

La configuración de la Directiva de grupo de BitLocker para contraseñas de recuperación funciona de la misma manera para
todas las versiones de Windows que son compatibles con BitLocker, ya sea en el modo FIP o no.

Sin embargo, no puedes usar las contraseñas de recuperación que se generan en un sistema en el modo FIPS para sistemas
anteriores a Windows Server 2012 R2 y Windows 8.1. Las contraseñas de recuperación creadas en Windows Server 2012 R2 y
Windows 8.1 son incompatibles con BitLocker en sistemas operativos anteriores a Windows Server 2012 R2 y Windows 8.1;
por lo tanto, las claves de recuperación deben usarse en su lugar.

Más información
Módulo de plataforma segura

Configuración de directivas de grupo del TPM

Preguntas más frecuentes ﴾P+F﴿ de BitLocker

BitLocker

Configuraciones de directivas de grupo de BitLocker

https://technet.microsoft.com/es­es/library/mt404680(v=vs.85).aspx 9/10
2017­5­12 Prepara tu organización para BitLocker: planificación y directivas (Windows)

Implementación básica de BitLocker

© 2017 Microsoft

https://technet.microsoft.com/es­es/library/mt404680(v=vs.85).aspx 10/10