Active el cifrado de BitLocker y Windows desbloqueará automáticamente su unidad cada vez que inicie su computadora con el TPM integrado en la mayoría de las computadoras modernas. Pero puede configurar cualquier unidad flash USB como una «clave de inicio» que debe estar presente en el inicio antes de que su computadora pueda descifrar su unidad e iniciar Windows.
Esto agrega efectivamente la autenticación de dos factores al cifrado de BitLocker. Cada vez que inicie su computadora, deberá proporcionar la unidad USB antes de que se descifre. Esto sería particularmente útil con una pequeña memoria USB que se lleva en un llavero.
Paso uno: active BitLocker (si aún no lo ha hecho)
Obviamente, esto requiere el cifrado de unidad BitLocker, lo que significa que solo funciona en las ediciones Professional y Enterprise de Windows. Antes de que pueda seguir cualquiera de los pasos a continuación, debe habilitar el cifrado de BitLocker en la unidad del sistema desde el Panel de control.
Si se esfuerza por habilitar BitLocker en una PC sin un TPM, puede optar por crear una clave de inicio USB como parte del proceso de instalación. Esto se utilizará en lugar del TPM. Los pasos a continuación solo son necesarios cuando se habilita BitLocker en equipos con módulos de plataforma segura, que tienen la mayoría de los equipos modernos.
Si tiene una versión doméstica de Windows, no podrá usar BitLocker. En su lugar, puede usar la función Cifrado de dispositivo, pero funciona de manera diferente a BitLocker y no le permite proporcionar una clave de inicio.
Paso dos: active la clave de inicio en el Editor de políticas de grupo
Una vez que haya habilitado BitLocker, debe habilitar el requisito de clave de inicio en la Política de grupo de Windows. Para abrir el Editor de políticas de grupo, presione Windows + R en su teclado, escriba «gpedit.msc» en el cuadro de diálogo Ejecutar y presione Entrar.
Dirígete a Configuración del equipo> Plantillas administrativas> Componentes de Windows> Cifrado de unidad BitLocker> Unidades del sistema operativo en la ventana Política de grupo.
Haga doble clic en la opción «Requerir autenticación adicional al inicio» en el panel derecho.
Seleccione «Activado» en la parte superior de la ventana aquí. A continuación, marque la casilla debajo de «Configurar la clave de inicio de TPM» y seleccione la opción «Requerir clave de inicio con TPM». Haga clic en «Aceptar» para guardar sus cambios.
Paso tres: configure una clave de inicio para su unidad
Ahora puede usar el manage-bde comando para configurar una unidad USB para su unidad cifrada BitLocker.
Primero, inserte una unidad USB en su computadora. Tenga en cuenta la letra de la unidad USB-D: unidad en la captura de pantalla siguiente. Windows guardará un pequeño archivo .bek en la unidad, y así es como se convierte en su clave de inicio.
Luego, inicie una ventana de símbolo del sistema como administrador. En Windows 10 u 8, haga clic con el botón derecho en el botón Inicio y seleccione «Símbolo del sistema (Administrador)». En Windows 7, busque el acceso directo «Símbolo del sistema» en el menú Inicio, haga clic derecho en él y seleccione «Ejecutar como administrador»
Ejecute el siguiente comando. El siguiente comando funciona en su unidad C :, por lo que si desea solicitar una clave de inicio para otra unidad, ingrese su letra de unidad en lugar de c: . También deberá ingresar la letra de la unidad USB conectada que desea usar como clave de inicio en lugar de x: .
manage-bde -protectors -add c: -TPMAndStartupKey x:
La clave se guardará en la memoria USB como un archivo oculto con la extensión de archivo .bek. Puede verlo si muestra archivos ocultos.
Se le pedirá que inserte la unidad USB la próxima vez que inicie su computadora. Tenga cuidado con la clave: alguien que copie la clave de su unidad USB puede usar esa copia para desbloquear su unidad cifrada BitLocker.
Para verificar si el protector TPMAndStartupKey se agregó correctamente, puede ejecutar el siguiente comando:
manage-bde -status
(El protector de clave «Contraseña digital» que se muestra aquí es su clave de recuperación).
Cómo eliminar el requisito de clave de inicio
Si cambia de opinión y desea dejar de solicitar la clave de inicio más adelante, puede revertir este cambio. Primero, regrese al Editor de políticas de grupo y cambie la opción a «Permitir clave de inicio con TPM». No puede dejar la opción establecida en «Requerir clave de inicio con TPM» o Windows no le permitirá quitar la clave de inicio requerida de la unidad.
Luego abra una ventana del símbolo del sistema como administrador y ejecute el siguiente comando (nuevamente, reemplazando c: si está utilizando otra unidad):
manage-bde -protectors -add c: -TPM
Esto reemplazará el requisito «TPMandStartupKey» con un requisito «TPM», eliminando el código PIN. Su lector de BitLocker se desbloqueará automáticamente a través del TPM de su computadora cuando comience.
Para verificar que esto se completó con éxito, ejecute el comando de estado nuevamente:
manage-bde -status c:
Primero intente reiniciar su computadora. Si todo funciona bien y su computadora no necesita la unidad USB para arrancar, puede formatear la unidad o simplemente eliminar el archivo BEK. También puede dejarlo en su disco duro, este archivo no hará nada.
Si pierde la clave de inicio o elimina el archivo .bek de la unidad, deberá proporcionar el código de recuperación de BitLocker para la unidad del sistema. Debería haber guardado en una ubicación segura cuando habilitó BitLocker para la unidad del sistema.
Credito de imagen: Tony Austin/ Flickr