Políticas recomendadas de Dell para Dell Encryption Enterprise BitLocker Manager

Summary: Dell Encryption Enterprise BitLocker Manager (anteriormente Dell Data Protection | BitLocker Manager) ofrece protección y seguridad aprovechando el protocolo de cifrado de volumen completo integrado de Microsoft, comúnmente conocido como BitLocker. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Productos afectados:

  • Dell Encryption Enterprise BitLocker Manager
  • Protección de datos de Dell | BitLocker Manager

Estos ofrecen un mecanismo de cifrado de volumen completo y múltiples situaciones para proteger el sistema operativo, junto con la protección del ciclo de arranque contra ataques.

Dell proporciona un solo panel de cristal para administrar dispositivos protegidos con BitLocker, junto con una amplia capacidad de informar sobre la protección de estos dispositivos.

Nota: Para ver el estado de protección actual del entorno, utilice la entrada Panel en Dell Encryption (anteriormente Dell Data Protection | Encryption).

Para establecer la política de cifrado de BitLocker, se recomienda lo siguiente para Dell:

  1. Vaya a Enterprise.
  2. Haga clic en BitLocker Encryption.
    Hacer clic en BitLocker Encryption
  3. Para ver todos los ajustes, haga clic en Show advanced settings.
    Hacer clic en Show advanced settings

A continuación, se muestran los ajustes sugeridos:

Nota: Este artículo se actualizó por última vez en noviembre de 2019. Las políticas son para Dell Security Management Server v10.2.9.
Política Ajuste recomendado por Dell Explicación de políticas
BitLocker Encryption Activado Activa y desactiva el plug-in de BitLocker Manager (este plug-in es necesario para que todas las políticas de Dell BitLocker Manager se apliquen correctamente)
TPM Manager Enabled Activado Habilita y deshabilita el plug-in de administración de TPM (este plug-in activa el TPM si está "Activado" pero no activado correctamente)
Disable Sleep Mode Off Cuando se habilita, durante el cifrado, no se permite que el dispositivo entre en ningún estado de suspensión.
Cifrar la unidad del sistema Activar cifrado Si se establece en Do Not Manage, los administradores locales de dispositivos pueden modificar BitLocker.
Establecer esto en Turn On Encryption fuerza el cifrado del volumen y los administradores locales no pueden modificarlo.
Establecer esto en Turn Off Encryption fuerza un descifrado del volumen y los administradores locales no pueden modificarlo.
Cifrar unidades fijas No administrar Si se establece en Do Not Manage, los administradores locales de dispositivos pueden modificar BitLocker.
Establecer esto en Turn On Encryption fuerza el cifrado del volumen y los administradores locales no pueden modificarlo.
Establecer esto en Turn Off Encryption fuerza un descifrado del volumen y los administradores locales no pueden modificarlo.
Cifrar unidades extraíbles No administrar Si se establece en Do Not Manage, los administradores locales de dispositivos pueden modificar BitLocker.
Establecer esto en Turn On Encryption fuerza el cifrado del volumen y los administradores locales no pueden modificarlo.
Establecer esto en Turn Off Encryption fuerza un descifrado del volumen y los administradores locales no pueden modificarlo.
Require other Authentication at System Startup. Habilitado Esta propiedad habilita las cinco políticas siguientes y permite habilitar los protectores definidos en los terminales administrados.
Allow BitLocker Encryption Without a Compatible TPM. Habilitado Cuando esta opción está habilitada, garantiza que los modelos de TPM más antiguos sean soportados y permite custodiar las claves de BitLocker a USB en dispositivos sin TPM.
Configure TPM Startup Requisito Cuando se establece en Required, esta es la única opción para los usuarios finales. No se le solicita al usuario final en un terminal.
Cuando se establece en Allow, habilite este ajuste como una opción seleccionable para el usuario final. Cuando varios elementos se configuran en "Allow", se presenta al usuario final un cuadro de selección para hacer su elección.
Cuando se establece en No permitir, esta opción no está disponible y no es una opción seleccionable dentro de la interfaz de usuario de Dell Encryption ni en los ajustes de Windows.
Configure TPM Startup PIN No permitir Cuando se establece en Required, esta es la única opción para los usuarios finales. No se le solicita al usuario final en un terminal.
Cuando se establece en Allow, habilite este ajuste como una opción seleccionable para el usuario final. Cuando varios elementos se configuran en "Allow", se presenta al usuario final un cuadro de selección para hacer su elección.
Cuando se establece en No permitir, esta opción no está disponible y no es una opción seleccionable dentro de la interfaz de usuario de Dell Encryption ni en los ajustes de Windows.
Configure TPM Startup Key No permitir Cuando se establece en Required, esta es la única opción para los usuarios finales. No se le solicita al usuario final en un terminal.
Cuando se establece en Allow, habilite este ajuste como una opción seleccionable para el usuario final. Cuando varios elementos se configuran en "Allow", se presenta al usuario final un cuadro de selección para hacer su elección.
Cuando se establece en No permitir, esta opción no está disponible y no es una opción seleccionable dentro de la interfaz de usuario de Dell Encryption ni en los ajustes de Windows.
Configure TPM Startup Key and PIN No permitir Cuando se establece en Required, esta es la única opción para los usuarios finales. No se le solicita al usuario final en un terminal.
Cuando se establece en Allow, habilite este ajuste como una opción seleccionable para el usuario final. Cuando varios elementos se configuran en "Allow", se presenta al usuario final un cuadro de selección para hacer su elección.
Cuando se establece en No permitir, esta opción no está disponible y no es una opción seleccionable dentro de la interfaz de usuario de Dell Encryption ni en los ajustes de Windows.
Disable BitLocker on Self-Encrypting Drives Deshabilitado Si se establece en Enable, si se detecta una unidad de autocifrado (SED, por sus siglas en inglés), BitLocker no protege la terminal.
Establecer esta política en Disabled permite que BitLocker proteja la terminal, independiente de las capacidades del disco.
Política Ajuste recomendado por Dell Explicación de políticas
Ajustes de volúmenes de datos fijos
Configure the Use of Smart Cards on Fixed Data Drives No permitir Esta política muestra las opciones para proteger un disco fijo (sin volumen del sistema operativo) cuando “Encrypt Fixed Disks” está establecido en “Turn On Encryption”.
Cuando se establece en Required, esta es la única opción para los usuarios finales. No se le solicita al usuario final en un terminal.
Cuando se establece en Allow, habilite este ajuste como una opción seleccionable para el usuario final. Cuando varios elementos se configuran en "Allow", se presenta al usuario final un cuadro de selección para hacer su elección.
Cuando se establece en Disallow, esta opción no está disponible y no es una opción seleccionable dentro de la interfaz de usuario de Dell Encryption ni en los ajustes de Windows.
Deny Write Access to Fixed Drives Not Protected by BitLocker Deshabilitado Con este ajuste de política, puede establecer si se requiere protección de BitLocker para que las unidades de datos fijas tengan capacidad de escritura en una computadora.
Cuando se establece en Disabled, todas las unidades de datos fijas de la computadora se montan con acceso de lectura y escritura.
Cuando se establece en Enabled, los usuarios reciben mensajes de error “Access denied” cuando intentan guardar datos en unidades de datos fijas sin cifrar.
Cuando se establece en Habilitado para la organización, los usuarios con dispositivos solo con el identificador de organización configurado dentro de la política reciben mensajes de error de "Acceso denegado" cuando intentan guardar datos en unidades de datos fijas sin cifrar. Todos los demás dispositivos tienen todas las unidades de datos fijas en la computadora que están montadas con acceso de lectura y escritura.
Allow Access to BitLocker Protected Fixed Data Drives from Earlier Versions of Windows Habilitado Si se establece en Enabled, las unidades de datos formateadas con el sistema de archivos FAT se pueden desbloquear en computadoras que ejecutan Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2 y se puede ver su contenido. Estos sistemas operativos tienen acceso de solo lectura a unidades protegidas con BitLocker.
Si se establece en Disabled, las unidades de datos formateadas con el sistema de archivos FAT no se pueden desbloquear en computadoras que ejecutan versiones anteriores de Windows.
Do Not Install BitLocker to Go Reader on FAT formatted Fixed Drives Deshabilitado Cuando se selecciona esta opción, se evita que el lector de BitLocker To Go se instale, lo que impide que los usuarios con dispositivos que ejecutan versiones anteriores de Windows accedan a unidades protegidas con BitLocker.
Configure Use of Passwords for Fixed Data Drives Allow (Permitir) Esta política muestra las opciones para proteger un disco fijo (sin volumen del sistema operativo) cuando “Encrypt Fixed Disks” está establecido en “Turn On Encryption”.
Cuando se establece en Required, esta es la única opción para los usuarios finales. No se le solicita al usuario final en un terminal.
Cuando se establece en Allow, habilite este ajuste como una opción seleccionable para el usuario final. Cuando varios elementos se configuran en "Allow", se presenta al usuario final un cuadro de selección para hacer su elección.
Cuando se establece en Disallow, esta opción no está disponible y no es una opción seleccionable dentro de la interfaz de usuario de Dell Encryption ni en los ajustes de Windows.
Configure Password Complexity for Fixed Data Drives Requisito Cuando se establece en Required, se necesita una conexión a una controladora de dominio para validar la complejidad de la contraseña cuando BitLocker está habilitado.
Cuando se establece en Allow, se intenta establecer una conexión a una controladora de dominio para validar que la complejidad cumpla con las reglas establecidas por la política. Sin embargo, si no se encuentran controladoras de dominio, la contraseña se acepta independiente de la complejidad de la contraseña y la unidad se cifra con esa contraseña como protector.
Si se establece en Do Not Allow, no se realiza ninguna validación de complejidad de contraseña.
Minimum Password Length for Fixed Data Drives 8 Establece la longitud mínima de las contraseñas para volúmenes de disco fijo protegidos con BitLocker (esta configuración requiere que Configurar el uso de contraseñas para unidades de datos fijas esté establecido en Requerir o Permitir)
Encryption Type for Fixed Data Drives Cifrado completo Esta política controla si las unidades de datos fijas utilizan cifrado de Used Space Only o Full encryption. Used Space Only es necesario para las máquinas virtuales que protege Bit Locker.
Choose How BitLocker-protected Fixed Drives Can be Recovered Deshabilitado Elemento primario para las siete políticas siguientes.
Cuando está en Enabled, permite la configuración de opciones de recuperación adicionales.
Cuando está en Disabled, la recuperación solo está disponible mediante Dell Security Management Server o Dell Security Management Server Virtual.
Allow Data Recovery Agent for Protected Fixed Data Drives Deshabilitado Elemento secundario de la política How BitLocker-protected Fixed Drives Can be Recovered
La casilla de verificación de permitir el agente de recuperación de datos se utiliza para especificar si un agente de recuperación de datos se puede utilizar con unidades protegidas por BitLocker. Antes de poder utilizar un agente de recuperación de datos, se debe agregar desde las políticas de clave pública, que se encuentra en la consola de administración de políticas de grupo (GPMC, por sus siglas en inglés) o en el editor de políticas de grupo local.
Para obtener más información sobre cómo se puede utilizar un agente de recuperación de datos para recuperar un dispositivo protegido con BitLocker, consulte: https://blogs.technet.microsoft.com/askcore/2010/10/11/how-to-use-bitlocker-data-recovery-agent-to-unlock-bitlocker-protected-drives/ Este hipervínculo lo redirige a un sitio web fuera de Dell Technologies.
Configure User Storage of BitLocker 48-digit Recovery Password Allow (Permitir) Elemento secundario de la política Choose How BitLocker-protected Fixed Drives Can be Recovered.
Cuando se establece en Required, la información de recuperación de BitLocker se ve forzada a ser generada y accesible para los administradores de dispositivos.
Cuando se establece en Allow, la información de recuperación de BitLocker se genera de forma automática y los administradores de dispositivos pueden acceder a ella.
Cuando se establece en Do Not Allow, la información de recuperación de BitLocker no se crea.
Nota: Si se establece en Do Not Allow, es posible que la recuperación de una computadora protegida con BitLocker no sea posible.
Configure User Storage of BitLocker 256-bit Recovery Key Allow (Permitir) Elemento secundario de la política Choose How BitLocker-protected Fixed Drives Can be Recovered.
Cuando se establece en Required, la información de recuperación de BitLocker se ve forzada a ser generada y accesible para los administradores de dispositivos.
Cuando se establece en Allow, la información de recuperación de BitLocker se genera de forma automática y los administradores de dispositivos pueden acceder a ella.
Cuando se establece en Do Not Allow, la información de recuperación de BitLocker no se crea.
Nota: Si se establece en Do Not Allow, es posible que la recuperación de una computadora protegida con BitLocker no sea posible.
Omit Recovery Options from the BitLocker Setup Wizard Deshabilitado Elemento secundario de la política Choose How BitLocker-protected Fixed Drives Can be Recovered.
Seleccione Omit recovery options from the BitLocker setup wizard para evitar que los usuarios especifiquen opciones de recuperación cuando habiliten BitLocker en una unidad. Cuando está en Enabled, el ajuste de la política determina las opciones de recuperación de BitLocker.
Save BitLocker Recovery Information to AD DS for Fixed Data Drives Habilitado Elemento secundario de la política Choose How BitLocker-protected Fixed Drives Can be Recovered.
Elemento primario para las dos políticas siguientes:
Save BitLocker recovery information to Active Directory Domain Services, elija la información de recuperación de BitLocker que desea almacenar en Active Directory Domain Services (AD DS).
BitLocker Recovery Information to Store in AD DS Paquetes de claves y contraseñas de recuperación Elemento secundario de la política Choose How BitLocker-protected Fixed Drives Can be Recovered y Save BitLocker Recovery Information to AD DS for Fixed Data Drives.
Recovery password and key packages, la contraseña de recuperación de BitLocker y el paquete de claves se almacenan en AD DS. El almacenamiento del paquete de claves soporta la recuperación de datos de una unidad que está dañada de forma física. Si selecciona Solo contraseña de recuperación, la contraseña de recuperación es lo único que se almacena en AD DS.
Do Not Enable BitLocker Until Recovery Information is Stored in AD DS for Fixed Data Drives Deshabilitado Elemento secundario de la política Choose How BitLocker-protected Fixed Drives Can be Recovered y Save BitLocker Recovery Information to AD DS for Fixed Data Drives.
Seleccione la casilla de verificación Do not enable BitLocker until recovery information is stored in AD DS for fixed drives si desea evitar que los usuarios habiliten BitLocker, a menos que la computadora esté conectada al dominio y el respaldo de la información de recuperación de BitLocker a AD DS se realice con éxito.
Configure Use of Hardware-Based Encryption for Fixed Data Drives Habilitado Elemento primario para las cuatro políticas siguientes.
Esta política controla la manera en que BitLocker reacciona a las computadoras que están equipadas con unidades cifradas cuando se utilizan como volúmenes de datos fijos. El uso del cifrado basado en hardware puede mejorar el rendimiento de las operaciones de unidad que implican la lectura frecuente o la escritura de datos en la unidad.
Nota: El ajuste de política de Choose drive encryption method and cipher strength no se aplica al cifrado basado en hardware. Tener esta política habilitada en unidades con firmware más antiguo también puede exponer varias CVE descritas en: https://www.kb.cert.org/vuls/id/395981/ Este hipervínculo lo redirige a un sitio web fuera de Dell Technologies.
Use Hardware-Based Encryption for Fixed Data Drives Habilitado Elemento secundario de la política Configure Use of Hardware-Based Encryption for Fixed Data Drives.
Esta política controla la manera en que BitLocker reacciona a las computadoras que están equipadas con unidades cifradas cuando se utilizan como volúmenes de datos fijos. El uso del cifrado basado en hardware puede mejorar el rendimiento de las operaciones de unidad que implican la lectura frecuente o la escritura de datos en la unidad.
Nota: El ajuste de política de Choose drive encryption method and cipher strength no se aplica al cifrado basado en hardware. Tener esta política habilitada en unidades con firmware más antiguo también puede exponer varias CVE descritas en: https://www.kb.cert.org/vuls/id/395981/ Este hipervínculo lo redirige a un sitio web fuera de Dell Technologies.
Use BitLocker Software-Based Encryption on Fixed Data Drives When Hardware Encryption is Not Available Habilitado Elemento secundario de la política Configure Use of Hardware-Based Encryption for Fixed Data Drives.
Esta política controla la manera en que BitLocker reacciona a las computadoras que están equipadas con unidades cifradas cuando se utilizan como volúmenes de datos fijos. El uso del cifrado basado en hardware puede mejorar el rendimiento de las operaciones de unidad que implican la lectura frecuente o la escritura de datos en la unidad.
Nota: El ajuste de política de Choose drive encryption method and cipher strength no se aplica al cifrado basado en hardware. Tener esta política habilitada en unidades con firmware más antiguo también puede exponer varias CVE descritas en: https://www.kb.cert.org/vuls/id/395981/ Este hipervínculo lo redirige a un sitio web fuera de Dell Technologies.
Restrict Crypto Algorithms and Cipher Suites Allowed for Hardware-Based Encryption on Fixed Data Drives Deshabilitado Elemento secundario de la política Configure Use of Hardware-Based Encryption for Fixed Data Drives.
La opción Restrict encryption algorithms and cipher suites allowed for hardware-based encryption le permite restringir los algoritmos de cifrado que BitLocker puede utilizar con el cifrado de hardware. Si el algoritmo configurado para la unidad no está disponible, BitLocker deshabilita el uso del cifrado basado en hardware.
Configure Specific Crypto Algorithms and Cipher Suites Settings on Fixed Data Drives 2.16.840.1.101.3.4.1.2;2.16.840.1.101.3.4.1.42 Elemento secundario de la política Configure Use of Hardware-Based Encryption for Fixed Data Drives.
Los algoritmos de cifrado se especifican mediante identificadores de objetos (OID) y están separados por comas.
Ejemplos de OID para claves de cifrado:
  • OID de Advanced Encryption Standard (AES) 128 en el modo de encadenamiento de bloques de cifrado (CBC, por sus siglas en inglés): 2.16.840.1.101.3.4.1.2
  • OID de AES 256 en modo CBC: 2.16.840.1.101.3.4.1.42
Ajustes globales
Default Folder Location to Save Recovery Password (En blanco) Cuando se establece, especifique la ruta que se utiliza como la ubicación predeterminada de la carpeta cuando el usuario elija la opción para guardar la contraseña de recuperación en una carpeta. Se puede aprovechar una ruta completamente calificada o incluir las variables de entorno de la computadora de destino en la ruta. Si la ruta no es válida, el asistente de instalación de BitLocker muestra la vista de carpeta de nivel superior de la computadora.
Encryption Method and Cipher Strength AES256 with Diffuser
Nota: Esta política no se aplica a las unidades cifradas. Las unidades cifradas utilizan su propio algoritmo, que la unidad establece durante el particionamiento.
Enable Organizational Unique Identifiers Deshabilitado Elemento primario para las dos políticas siguientes.
Cuando está en Enabled, permite la configuración del campo de identificación en unidades protegidas con BitLocker y cualquier campo de identificación permitido que utilice su organización.
Estos identificadores se almacenan como el campo de identificación y el campo de identificación permitido. El campo de identificación le permite asociar un identificador organizacional único a unidades protegidas con BitLocker. Este identificador se agrega de forma automática a nuevas unidades protegidas con BitLocker y se puede actualizar en unidades protegidas con BitLocker existentes mediante la herramienta de línea de comandos Manage-bde.
Se requiere un campo de identificación a fin de administrar agentes de recuperación de datos basados en certificados en unidades protegidas con BitLocker y para posibles actualizaciones de BitLocker To Go Reader. BitLocker administra y actualiza los agentes de recuperación de datos solo cuando el campo de identificación en la unidad coincide con el valor configurado en el campo de identificación. De manera similar, BitLocker actualiza BitLocker To Go Reader solo cuando el campo de identificación de la unidad coincide con el valor configurado para el campo de identificación.
Nota: Enable Organizational Unique Identifiers se puede utilizar con en el ajuste de la política Deny write access to removable drives not protected by BitLocker para ayudar a controlar el uso de unidades extraíbles en su organización.
Set Organizational Unique Identifiers (En blanco) Elemento secundario de la política Enable Organizational Unique Identifiers.
Este es un valor alfanumérico para establecer un identificador único en sus dispositivos a fin de asegurarse de que su empresa los administre.
Este identificador se agrega de forma automática a nuevas unidades protegidas con BitLocker y se puede actualizar en unidades protegidas con BitLocker existentes mediante la herramienta de línea de comandos Manage-bde.
Set Allowed Organizational Unique Identifiers (En blanco) Elemento secundario de la política Enable Organizational Unique Identifiers.
Este es un valor alfanumérico para establecer un identificador único en sus dispositivos a fin de asegurarse de que su empresa los administre.
Este identificador se agrega de forma automática a nuevas unidades protegidas con BitLocker y se puede actualizar en unidades protegidas con BitLocker existentes mediante la herramienta de línea de comandos Manage-bde.
Nota: Se recomienda que la política Set Allowed Organizational Unique Identifiers y Set Organizational Unique Identifiers coincidan para evitar problemas durante la recuperación.
Prevent Memory Overwrite on Restart Deshabilitado Cuando está en Disabled, las señas secretas de BitLocker se borran de la memoria. Cuando está en Enabled, las señas secretas de BitLocker permanecen en la memoria, lo que puede mejorar el rendimiento, aunque las señas secretas de BitLocker estén expuestas a riesgos adicionales.
Enable Smart Card Certificate Identifier Deshabilitado Cuando está en Enabled, el identificador de objeto especificado en el ajuste de Object identifier de un certificado debe coincidir con el identificador de objeto en la política Smart Card Certificate Identifier.
Smart Card Certificate Identifier 1.3.6.1.4.1.311.67.1.1 El identificador de objeto se especifica en el uso mejorado de claves (EKU, por sus siglas en inglés) de un certificado. BitLocker puede identificar qué certificados se pueden usar para autenticar un certificado de usuario en una unidad protegida con BitLocker haciendo coincidir el identificador de objeto en el certificado con el identificador de objeto que se encuentra en esta configuración de política.
El identificador de objeto predeterminado es 1.3.6.1.4.1.311.67.1.1.
Ajustes del volumen del sistema operativo
Allow Enhanced PINs for Startup. Deshabilitado Los PIN de inicio mejorados permiten el uso de caracteres (incluidas letras mayúsculas y minúsculas, símbolos, números y espacios).
Nota: No todas las computadoras soportan caracteres de PIN mejorados en el entorno previo al inicio.
Number of Characters Required in PIN 6 Define la cantidad mínima de caracteres que se requieren para el entorno previo al inicio
Nota: La longitud mínima del PIN de BitLocker se aumentó a seis caracteres, comenzando con Windows 10, versión 1703.
Allow Network Unlock at Startup on Operating System Drives Deshabilitado Esta política controla una parte del comportamiento de la característica de desbloqueo de red en BitLocker. Esta política es necesaria para habilitar el desbloqueo de red de BitLocker en una red, ya que permite a los clientes que ejecutan BitLocker crear el protector de claves de red necesario durante el cifrado.
Para obtener más información sobre cómo habilitar el desbloqueo de red, consulte https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-how-to-enable-network-unlock Este hipervínculo lo redirige a un sitio web fuera de Dell Technologies..
Allow SecureBoot on Operating System Drives Habilitado Controla cómo se manejan los volúmenes de computadora habilitados para BitLocker con la característica de arranque seguro. La activación de esta característica fuerza la validación del arranque seguro durante el proceso de arranque y verifica la configuración de los datos de ajustes de arranque (BCD, por sus siglas en inglés) según la política de arranque seguro.
Disallow Standard Users from Changing the PIN on Operating System Drives Deshabilitado Este ajuste de política le permite configurar si los usuarios estándar pueden cambiar el PIN o la contraseña que se utiliza para proteger la unidad del sistema operativo.
Cuando está en Enabled, los usuarios que no tienen privilegios de administrador local no pueden modificar el PIN en la terminal.
Cuando está en Disabled, todos los usuarios de una terminal pueden modificar el PIN previo al inicio.
Enable Use of Preboot Keyboard Input on Slates Habilitado Cuando está en Enabled, permite a los usuarios habilitar opciones de autenticación que requieren la entrada del usuario desde el entorno previo al inicio, incluso si la plataforma indica una falta de capacidad de entrada previa al inicio.
Reset Platform Validation Data After Recovery Habilitado Cuando está en Enabled, los datos de validación de la plataforma se actualizan cuando se inicia Windows después de una recuperación de BitLocker.
Cuando está en Disabled, los datos de validación de la plataforma no se actualizan después de una recuperación de BitLocker. Esto puede causar recuperaciones después de cada arranque si la configuración básica de la plataforma ha cambiado.
Choose How BitLocker-protected Operating System Drives Can be Recovered Deshabilitado Elemento primario para las siete políticas siguientes.
Cuando está en Enabled, permite la configuración de opciones de recuperación adicionales.
Cuando está en Disabled, la recuperación solo está disponible mediante Dell Security Management Server o Dell Security Management Server Virtual.
Allow Data Recovery Agent for Protected Operating System Drives Habilitado Elemento secundario de la política Choose How BitLocker-protected Operating System Drives Can be Recovered.
La casilla de verificación Allow data recovery agent se utiliza para especificar si un agente de recuperación de datos se puede utilizar con unidades del sistema operativo protegidas por BitLocker. Antes de poder utilizar un agente de recuperación de datos, se debe agregar desde las políticas de clave pública, que se encuentra en la consola de administración de políticas de grupo (GPMC, por sus siglas en inglés) o en el editor de políticas de grupo local.
Para obtener más información sobre cómo se puede utilizar un agente de recuperación de datos para recuperar un dispositivo protegido con BitLocker, consulte: https://blogs.technet.microsoft.com/askcore/2010/10/11/how-to-use-bitlocker-data-recovery-agent-to-unlock-bitlocker-protected-drives/ Este hipervínculo lo redirige a un sitio web fuera de Dell Technologies.
Configure User Storage of BitLocker 48-digit Recovery Password Allow (Permitir) Elemento secundario de la política Choose How BitLocker-protected Operating System Drives Can be Recovered.
Cuando se establece en Required, la información de recuperación de BitLocker se ve forzada a ser generada y accesible para los administradores de dispositivos.
Cuando se establece en Allow, la información de recuperación de BitLocker se genera de forma automática y los administradores de dispositivos pueden acceder a ella.
Cuando se establece en Do Not Allow, la información de recuperación de BitLocker no se crea.
Nota: Si se establece en Do Not Allow, es posible que la recuperación de una computadora protegido con BitLocker no sea posible.
Configure User Storage of BitLocker 256-bit Recovery Key Allow (Permitir) Elemento secundario de la política Choose How BitLocker-protected Operating System Drives Can be Recovered.
Cuando se establece en Required, la información de recuperación de BitLocker se ve forzada a ser generada y accesible para los administradores de dispositivos.
Cuando se establece en Allow, la información de recuperación de BitLocker se genera de forma automática y los administradores de dispositivos pueden acceder a ella.
Cuando se establece en Do Not Allow, la información de recuperación de BitLocker no se crea.
Nota: Si se establece en Do Not Allow, es posible que la recuperación de una computadora protegido con BitLocker no sea posible.
Omit Recovery Options from the BitLocker Setup Wizard Deshabilitado Elemento secundario de la política Choose How BitLocker-protected Operating System Drives Can be Recovered.
Seleccione Omit recovery options from the BitLocker setup wizard para evitar que los usuarios especifiquen opciones de recuperación cuando habiliten BitLocker en una unidad.
Cuando está en Enabled, el ajuste de la política determina las opciones de recuperación de BitLocker para la unidad.
Save BitLocker Recovery Information to AD DS for Operating System Drives Habilitado Elemento secundario de la política Choose How BitLocker-protected Operating System Drives Can be Recovered.
Elemento primario para las dos políticas siguientes:
Save BitLocker recovery information to Active Directory Domain Services, elija la información de recuperación de BitLocker que desea almacenar en Active Directory Domain Services (AD DS).
BitLocker Recovery Information to Store in AD DS (Windows Server 2008 Only) Paquetes de claves y contraseña de recuperación Elemento secundario de la política Choose How BitLocker-protected Operating System Drives Can be Recovered y Save BitLocker Recovery Information to AD DS for Operating System Data Drives.
Recovery password and key packages, la contraseña de recuperación de BitLocker y el paquete de claves se almacenan en AD DS. El almacenamiento del paquete de claves soporta la recuperación de datos de una unidad que está dañada de forma física. Si selecciona Recovery password only, entonces, solo la contraseña de recuperación se almacena en AD DS.
Do Not Enable BitLocker Until Recovery Information is Stored in AD DS for Operating System Drives Deshabilitado Elemento secundario de la política Choose How BitLocker-protected Operating System Drives Can be Recovered y Save BitLocker Recovery Information to AD DS for Operating System Data Drives.
Seleccione la casilla de verificación Do not enable BitLocker until recovery information is stored in AD DS for operating system drives si desea evitar que los usuarios habiliten BitLocker, a menos que la computadora esté conectada al dominio y el respaldo de la información de recuperación de BitLocker a AD DS se realice con éxito.
Configure Use of Hardware-Based Encryption for Operating System Drives Habilitado Elemento primario para las cuatro políticas siguientes.
Esta política controla la manera en que BitLocker reacciona a las computadoras que están equipadas con unidades cifradas cuando se utilizan como volúmenes de datos. El uso del cifrado basado en hardware puede mejorar el rendimiento de las operaciones de unidad que implican la lectura frecuente o la escritura de datos en la unidad.
Nota: El ajuste de política de Choose drive encryption method and cipher strength no se aplica al cifrado basado en hardware.

Tener esta política habilitada en unidades con firmware más antiguo también puede exponer varias CVE descritas en: https://www.kb.cert.org/vuls/id/395981/ Este hipervínculo lo redirige a un sitio web fuera de Dell Technologies.
Use Hardware-Based Encryption for Operating System Drives Habilitado Elemento secundario de la política Configure Use of Hardware-Based Encryption for Operating System Data Drives.
Esta política controla la manera en que BitLocker reacciona a las computadoras que están equipadas con unidades cifradas cuando se utilizan como volúmenes de datos. El uso del cifrado basado en hardware puede mejorar el rendimiento de las operaciones de unidad que implican la lectura frecuente o la escritura de datos en la unidad.
Nota: El ajuste de política de Choose drive encryption method and cipher strength no se aplica al cifrado basado en hardware.

Tener esta política habilitada en unidades con firmware más antiguo también puede exponer varias CVE descritas en: https://www.kb.cert.org/vuls/id/395981/ Este hipervínculo lo redirige a un sitio web fuera de Dell Technologies.
Use BitLocker Software-Based Encryption on Operating System Drives When Hardware Encryption is Not Available Habilitado Elemento secundario de la política Configure Use of Hardware-Based Encryption for Operating System Data Drives.
Esta política controla la manera en que BitLocker reacciona a las computadoras que están equipadas con unidades cifradas cuando se utilizan como volúmenes de datos. El uso del cifrado basado en hardware puede mejorar el rendimiento de las operaciones de unidad que implican la lectura frecuente o la escritura de datos en la unidad.
Nota: El ajuste de política de Choose drive encryption method and cipher strength no se aplica al cifrado basado en hardware.

Tener esta política habilitada en unidades con firmware más antiguo también puede exponer varias CVE descritas en: https://www.kb.cert.org/vuls/id/395981/ Este hipervínculo lo redirige a un sitio web fuera de Dell Technologies.
Restrict Crypto Algorithms and Cipher Suites Allowed for Hardware-Based Encryption on Operating System Drives Deshabilitado Elemento secundario de la política Configure Use of Hardware-Based Encryption for Operating System Data Drives.
La opción Restrict encryption algorithms and cipher suites allowed for hardware-based encryption le permite restringir los algoritmos de cifrado que BitLocker puede utilizar con el cifrado de hardware. Si el algoritmo configurado para la unidad no está disponible, BitLocker deshabilita el uso del cifrado basado en hardware.
Configure Specific Crypto Algorithms and Cipher Suites Settings on Operating System Drives 2.16.840.1.101.3.4.1.2;2.16.840.1.101.3.4.1.42 Elemento secundario de la política Configure Use of Hardware-Based Encryption for Operating System Data Drives.
Los algoritmos de cifrado se especifican mediante identificadores de objetos (OID) y se separan con comas
OID de ejemplo para los cifrados de cifrado:
  • OID de Advanced Encryption Standard (AES) 128 en el modo de encadenamiento de bloques de cifrado (CBC, por sus siglas en inglés): 2.16.840.1.101.3.4.1.2
  • OID de AES 256 en modo CBC: 2.16.840.1.101.3.4.1.42
Encryption Type for Operating System Drives Cifrado completo Esta política controla si las unidades de datos utilizan cifrado Used Space Only o Full encryption. Used Space Only es necesario para las máquinas virtuales que protege BitLocker.
Configure Use of Passwords for Operating System Drives No configurado Esta política controla la manera en que las computadoras no basadas en TPM utilizan el protector de contraseñas. Esta política, que se utiliza con la política Configure Password Complexity for Operating System Drives, permite que los administradores requieran longitud y complejidad de la contraseña para usar el protector de contraseñas. De manera predeterminada, las contraseñas deben tener ocho caracteres de longitud.
Cuando está en Enabled, los usuarios pueden configurar una contraseña que cumpla con los requisitos que defina.
Cuando no está configurado o deshabilitado, la restricción de longitud predeterminada de ocho caracteres se aplica a las contraseñas de unidad del sistema operativo y no se realizan comprobaciones de complejidad.
Nota: Las contraseñas no se pueden utilizar si el cumplimiento de normas de FIPS está habilitado.
Configure Password Complexity for Operating System Drives Requisito Cuando se establece en Required, se necesita una conexión a una controladora de dominio para validar la complejidad de la contraseña cuando BitLocker está habilitado.
Cuando se establece en Allow, se intenta establecer una conexión a una controladora de dominio para validar que la complejidad cumpla con las reglas establecidas por la política. Sin embargo, si no se encuentran controladoras de dominio, la contraseña se acepta independiente de la complejidad de la contraseña y la unidad se cifra con esa contraseña como protector.
Si se establece en Do Not Allow, no se realiza ninguna validación de complejidad de contraseña.
Minimum Password Length for Operating System Drives 8 Establece la longitud mínima de la contraseña para las unidades protegidas con BitLocker
Nota: Los ajustes se aplican cuando se enciende BitLocker, no cuando se desbloquea una unidad. BitLocker permite desbloquear una unidad con cualquiera de los protectores que están disponibles en la unidad.
Require ASCII-Only Passwords for Operating System Drives Deshabilitado Cuando está en Enabled, no se permiten caracteres Unicode en la solicitud de contraseña para las unidades del sistema operativo.
Cuando está en Disabled, se aceptan todos los caracteres.
Use Enhanced Boot Configuration Data Profile No configurada (la modificación de esta política a un valor distinto de "No configurada" puede provocar que se aparezcan solicitudes de recuperación cuando la característica Hyper-V está habilitada en Windows 10). Elemento primario para las dos políticas siguientes.
Estos ajustes de política determinan los ajustes específicos de los datos de configuración de arranque (BCD) que se verificarán durante la validación de la plataforma. Una validación de plataforma utiliza los datos del perfil de validación de la plataforma, que consta de índices de Registro de configuración de plataforma (PCR, por sus siglas en inglés) que varían de 0 a 23.
Nota: Cuando BitLocker utiliza el arranque seguro para la plataforma y la validación de integridad de los datos de configuración de arranque, se ignora el ajuste de política de grupo Use enhanced Boot Configuration Data Profile.
Verificar otros ajustes de BCD (En blanco) Elemento secundario de Use Enhanced Boot Configuration Data Profile.
Para obtener información sobre cómo personalizar los ajustes de BCD, consulte https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bcd-settings-and-bitlocker Este hipervínculo lo redirige a un sitio web fuera de Dell Technologies.
Nota: El ajuste que controla la depuración de arranque (0x16000010) siempre se valida y no tiene ningún efecto si se encuentra en la inclusión o la lista de exclusión.
Excluir otros valores BCD (En blanco) Elemento secundario de Use Enhanced Boot Configuration Data Profile.
Para obtener información sobre cómo personalizar los ajustes de BCD, consulte https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bcd-settings-and-bitlocker Este hipervínculo lo redirige a un sitio web fuera de Dell Technologies.
Nota: El ajuste que controla la depuración de arranque (0x16000010) siempre se valida y no tiene ningún efecto si se encuentra en la inclusión o la lista de exclusión.
Configure TPM Platform Validation Profile Deshabilitado Elemento primario de Configure Specific TPM Platform Settings.
Cuando está en Enabled, este ajuste de política determina qué valores mide el TPM cuando valida los componentes de arranque temprano antes de desbloquear una unidad en una computadora que ejecuta Windows Vista, Windows Server 2008 o Windows 7.
Configure Specific TPM Platform Settings Dell Technologies recomienda utilizar las PCR predeterminadas actuales de Microsoft, a menos que se requiera lo contrario Elemento secundario de Configure TPM Platform Validation Profile.
Un perfil de validación de plataforma consta de índices de PCR que van de 0 a 23. El perfil de validación de plataforma predeterminado protege la clave de cifrado contra cambios en lo siguiente:
  • Raíz principal de confianza de medición (CRTM, por sus siglas en inglés), BIOS y extensiones de plataforma (PCR 0)
  • Código ROM de opción (PCR 2)
  • Código de registro de arranque maestro (MBR, por sus siglas en inglés) (PCR 4)
  • Sector de arranque de NTFS (PCR 8)
  • Bloque de arranque NTFS (PCR 9)
  • Administrador de arranque (PCR 10)
  • Control de acceso de BitLocker (PCR 11)
La siguiente lista identifica todos los PCR disponibles:
  • PCR 0: Raíz de confianza principal para la medición, servicios de arranque y tiempo de ejecución de EFI, controladores EFI integrados en la ROM de la computadora, tablas estáticas ACPI, que son código SMM integrado y código del BIOS
  • PCR 1: Configuración y datos de la plataforma y la placa base (tablas de entrega y variables de EFI que afectan la configuración de la computadora)
  • PCR 2: Código ROM opcional
  • PCR 3: Configuración y datos de ROM opcionales
  • PCR 4: Código o código de registro de arranque maestro (MBR) de otros dispositivos de arranque
  • PCR 5: Tabla de particiones de registro de arranque maestro (MBR). Diversas variables de EFI y la tabla GPT
  • PCR 6: Eventos de transición y reactivación de estado
  • PCR 7: Específico del fabricante de computadoras
  • PCR 8: Sector de arranque NTFS
  • PCR 9: Bloque de arranque NTFS
  • PCR 10: Administrador de arranque
  • PCR 11: Control de acceso de BitLocker
  • PCR de 12 a 23: Reservado para uso futuro
    Advertencia: Cambiar desde el perfil de validación de plataforma predeterminado afecta la seguridad y la facilidad de administración de la computadora. La sensibilidad de BitLocker a las modificaciones de la plataforma (maliciosas o autorizadas) aumenta o disminuye según la inclusión o exclusión (respectivamente) de los PCR.
Configure BIOS TPM Platform Validation Profile Deshabilitado Elemento primario de Configure Specific BIOS TPM Platform Settings.
Cuando se establece en Enabled, este ajuste de política determina qué valores mide el TPM cuando valida los componentes de arranque temprano antes de desbloquear una unidad del sistema operativo en una computadora con una configuración del BIOS o con firmware UEFI que tenga habilitado el módulo de soporte de compatibilidad (CSM, por sus siglas en inglés).
Configure Specific BIOS TPM Platform Settings Dell Technologies recomienda utilizar las PCR predeterminadas actuales de Microsoft, a menos que se requiera lo contrario Elemento secundario de Configure TPM Platform Validation Profile.
Un perfil de validación de plataforma consta de índices de PCR que van de 0 a 23. El perfil de validación de plataforma predeterminado protege la clave de cifrado contra cambios en lo siguiente:
  • Raíz principal de confianza de medición (CRTM, por sus siglas en inglés), BIOS y extensiones de plataforma (PCR 0)
  • Código ROM de opción (PCR 2)
  • Código de registro de arranque maestro (MBR, por sus siglas en inglés) (PCR 4)
  • Sector de arranque de NTFS (PCR 8)
  • Bloque de arranque NTFS (PCR 9)
  • Administrador de arranque (PCR 10)
  • Control de acceso de BitLocker (PCR 11)
La siguiente lista identifica todos los PCR disponibles:
  • PCR 0: Raíz de confianza principal para la medición, servicios de arranque y tiempo de ejecución de EFI, controladores EFI integrados en la ROM de la computadora, tablas estáticas ACPI, que son código SMM integrado y código del BIOS
  • PCR 1: Configuración y datos de la plataforma y la placa base (tablas de entrega y variables de EFI que afectan la configuración de la computadora)
  • PCR 2: Código ROM opcional
  • PCR 3: Configuración y datos de ROM opcionales
  • PCR 4: Código o código de registro de arranque maestro (MBR) de otros dispositivos de arranque
  • PCR 5: Tabla de particiones de registro de arranque maestro (MBR). Diversas variables de EFI y la tabla GPT
  • PCR 6: Eventos de transición y reactivación de estado
  • PCR 7: Específico del fabricante de computadoras
  • PCR 8: Sector de arranque NTFS
  • PCR 9: Bloque de arranque NTFS
  • PCR 10: Administrador de arranque
  • PCR 11: Control de acceso de BitLocker
  • PCR de 12 a 23: Reservado para uso futuro
    Advertencia: Cambiar desde el perfil de validación de plataforma predeterminado afecta la seguridad y la facilidad de administración de la computadora. La sensibilidad de BitLocker a las modificaciones de la plataforma (maliciosas o autorizadas) aumenta o disminuye según la inclusión o exclusión (respectivamente) de los PCR.
Configure UEFI TPM Platform Validation Profile Deshabilitado Elemento primario de Configure Specific UEFI TPM Platform Settings.
Cuando se establece en Enabled, este ajuste de política determina qué valores mide el TPM cuando valida los componentes de arranque temprano antes de desbloquear una unidad del sistema operativo en una computadora con configuraciones de firmware UEFI nativas.
Configure Specific UEFI TPM Platform Settings Dell Technologies recomienda utilizar las PCR predeterminadas actuales de Microsoft, a menos que se requiera lo contrario Elemento secundario de Configure TPM Platform Validation Profile.
Un perfil de validación de plataforma consta de índices de PCR que van de 0 a 23. El perfil de validación de plataforma predeterminado protege la clave de cifrado contra cambios en lo siguiente:
  • Raíz principal de confianza de medición (CRTM, por sus siglas en inglés), BIOS y extensiones de plataforma (PCR 0)
  • Código ROM de opción (PCR 2)
  • Código de registro de arranque maestro (MBR, por sus siglas en inglés) (PCR 4)
  • Sector de arranque de NTFS (PCR 8)
  • Bloque de arranque NTFS (PCR 9)
  • Administrador de arranque (PCR 10)
  • Control de acceso de BitLocker (PCR 11)
La siguiente lista identifica todos los PCR disponibles:
  • PCR 0: Raíz de confianza principal para la medición, servicios de arranque y tiempo de ejecución de EFI, controladores EFI integrados en la ROM de la computadora, tablas estáticas ACPI, que son código SMM integrado y código del BIOS
  • PCR 1: Tablas de transferencia de datos y configuración de la plataforma y la placa base, y variables de EFI que afectan a la configuración de la computadora)
  • PCR 2: Código ROM opcional
  • PCR 3: Configuración y datos de ROM opcionales
  • PCR 4: Código o código de registro de arranque maestro (MBR) de otros dispositivos de arranque
  • PCR 5: Tabla de particiones de registro de arranque maestro (MBR). Diversas variables de EFI y la tabla GPT
  • PCR 6: Eventos de transición y reactivación de estado
  • PCR 7: Específico del fabricante de computadoras
  • PCR 8: Sector de arranque NTFS
  • PCR 9: Bloque de arranque NTFS
  • PCR 10: Administrador de arranque
  • PCR 11: Control de acceso de BitLocker
  • PCR de 12 a 23: Reservado para uso futuro
    Advertencia: Cambiar desde el perfil de validación de plataforma predeterminado afecta la seguridad y la facilidad de administración de la computadora. La sensibilidad de BitLocker a las modificaciones de la plataforma (maliciosas o autorizadas) aumenta o disminuye según la inclusión o exclusión (respectivamente) de los PCR.
     
    Nota: El ajuste predeterminado de PCR del perfil de validación del TPM para computadoras que utilizan una interfaz de firmware extensible (EFI, por sus siglas en inglés) son solo las PCR 0, 2, 4 y 11.
Ajustes de almacenamiento extraíbles
Allow User to Apply BitLocker Protection on Removable Drives Habilitado Cuando está en Enabled, permite que el usuario habilite BitLocker para proteger las unidades extraíbles.
Cuando está en Disabled, la política Encrypt Removable Drives controla cuando BitLocker protege las unidades extraíbles.
Allow User to Suspend and Decrypt BitLocker Protection on Removable Data Drives Habilitado Cuando está en Enabled, permite que el usuario elimine BitLocker de la unidad o suspenda el cifrado mientras realiza mantenimiento.
Cuando está en Disabled, la política Encrypt Removable Drives controla cuando BitLocker protege las unidades extraíbles.
Configure Use of Smart Cards on Removable Data Drives No permitir Cuando se establece en Required, esta es la única opción para los usuarios finales. No se le solicita al usuario final en un terminal.
Cuando se establece en Allow, habilite este ajuste como una opción seleccionable para el usuario final. Cuando varios elementos se configuran en "Allow", se presenta al usuario final un cuadro de selección para hacer su elección.
Cuando se establece en No permitir, esta opción no está disponible y no es una opción seleccionable dentro de la interfaz de usuario de Dell Encryption ni en los ajustes de Windows.
Deny Write Access to Removable Drives Not Protected by BitLocker Deshabilitado Esta configuración de política se utiliza para exigir que las unidades extraíbles estén cifradas antes de otorgar acceso de escritura y para controlar si las unidades extraíbles protegidas con BitLocker que se configuraron en otra organización se pueden abrir con acceso de escritura.
Cuando está en Enabled, los dispositivos que no están protegidos con BitLocker no permiten que los datos se escriban en el disco, aunque se pueden leer.
Cuando está en Disabled, los dispositivos que no están protegidos con BitLocker permiten que los datos se lean y escriban.
Allow Access to BitLocker Protected Removable Data Drives from Earlier Versions of Windows Habilitado Si se establece en Enabled, las unidades de datos formateadas con el sistema de archivos FAT se pueden desbloquear en computadoras que ejecutan Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2 y se puede ver su contenido. Estos sistemas operativos tienen acceso de solo lectura a unidades protegidas con BitLocker.
Si se establece en Disabled, las unidades de datos formateadas con el sistema de archivos FAT no se pueden desbloquear en computadoras que ejecutan versiones anteriores de Windows.
Do Not Install BitLocker to Go Reader on FAT formatted Removable Drives Deshabilitado Cuando se selecciona esta opción, se evita que el lector de BitLocker To Go se instale, lo que impide que los usuarios con dispositivos que ejecutan versiones anteriores de Windows accedan a unidades protegidas con BitLocker.
Configure Use of Passwords for Removable Data Drives Allow (Permitir) Cuando se establece en Required, esta es la única opción para los usuarios finales. No se le solicita al usuario final en un terminal.
Cuando se establece en Allow, habilite este ajuste como una opción seleccionable para el usuario final. Cuando varios elementos se configuran en "Allow", se presenta al usuario final un cuadro de selección para hacer su elección.
Cuando se establece en No permitir, esta opción no está disponible y no es una opción seleccionable dentro de la interfaz de usuario de Dell Encryption ni en los ajustes de Windows.
Configure Password Complexity for Removable Data Drives Requisito Cuando se establece en Required, se necesita una conexión a una controladora de dominio para validar la complejidad de la contraseña cuando BitLocker está habilitado.
Cuando se establece en Allow, se intenta establecer una conexión a una controladora de dominio para validar que la complejidad cumpla con las reglas establecidas por la política. Sin embargo, si no se encuentran controladoras de dominio, la contraseña se acepta independiente de la complejidad de la contraseña y la unidad se cifra con esa contraseña como protector.
Si se establece en Do Not Allow, no se realiza ninguna validación de complejidad de contraseña.
Minimum Password Length for Removable Data Drives 8 Establece la longitud mínima de las contraseñas para los volúmenes protegidos de BitLocker (esta configuración requiere que Configurar el uso de contraseñas para las unidades de datos extraíbles esté establecido en Requerir o Permitir)
Encryption Type for Removable Data Drives Cifrado completo Esta política controla si las unidades de datos utilizan cifrado Used Space Only o Full encryption. Used Space Only es necesario para las máquinas virtuales que protege BitLocker.
Choose How BitLocker-protected Removable Drives Can be Recovered Deshabilitado Elemento primario para las siete políticas siguientes.
Cuando está en Enabled, permite la configuración de opciones de recuperación adicionales.
Cuando está en Disabled, la recuperación solo está disponible mediante Dell Security Management Server o Dell Security Management Server Virtual.
Allow Data Recovery Agent for Protected Removable Data Drives Habilitado Elemento secundario de la política Choose How BitLocker-protected Removable Drives Can be Recovered.
La casilla de verificación Allow data recovery agent se utiliza para especificar si un agente de recuperación de datos se puede utilizar con unidades protegidas con BitLocker. Antes de poder utilizar un agente de recuperación de datos, se debe agregar desde las políticas de clave pública, que se encuentra en la consola de administración de políticas de grupo (GPMC, por sus siglas en inglés) o en el editor de políticas de grupo local.
Para obtener más información sobre cómo se puede utilizar un agente de recuperación de datos para recuperar un dispositivo protegido con BitLocker, consulte: https://blogs.technet.microsoft.com/askcore/2010/10/11/how-to-use-bitlocker-data-recovery-agent-to-unlock-bitlocker-protected-drives/ Este hipervínculo lo redirige a un sitio web fuera de Dell Technologies.
Configure User Storage of BitLocker 48-digit Recovery Password Allow (Permitir) Elemento secundario de la política Choose How BitLocker-protected Removable Drives Can be Recovered.
Cuando se establece en Required, la información de recuperación de BitLocker se ve forzada a ser generada y accesible para los administradores de dispositivos.
Cuando se establece en Allow, la información de recuperación de BitLocker se genera de forma automática y los administradores de dispositivos pueden acceder a ella.
Cuando se establece en Do Not Allow, la información de recuperación de BitLocker no se crea.
Nota: Si se establece en Do Not Allow, es posible que la recuperación de una unidad protegida con BitLocker no sea posible.
Configure User Storage of BitLocker 256-bit Recovery Key Allow (Permitir) Elemento secundario de la política Choose How BitLocker-protected Removable Drives Can be Recovered.
Cuando se establece en Required, la información de recuperación de BitLocker se ve forzada a ser generada y accesible para los administradores de dispositivos.
Cuando se establece en Allow, la información de recuperación de BitLocker se genera de forma automática y los administradores de dispositivos pueden acceder a ella.
Cuando se establece en Do Not Allow, la información de recuperación de BitLocker no se crea.
Nota: Si se establece en Do Not Allow, es posible que la recuperación de una unidad protegida con BitLocker no sea posible.
Omit Recovery Options from the BitLocker Setup Wizard for Removable Media Deshabilitado Elemento secundario de la política Choose How BitLocker-protected Removable Drives Can be Recovered.
Seleccione Omit recovery options from the BitLocker setup wizard para evitar que los usuarios especifiquen opciones de recuperación cuando habiliten BitLocker en una unidad. Cuando está en Enabled, el ajuste de la política determina las opciones de recuperación de BitLocker para la unidad.
Save BitLocker Recovery Information to AD DS for Removable Data Drives Habilitado Elemento secundario de la política Choose How BitLocker-protected Removable Drives Can be Recovered.
Elemento primario para las dos políticas siguientes.
Save BitLocker recovery information to Active Directory Domain Services, elija la información de recuperación de BitLocker que desea almacenar en Active Directory Domain Services (AD DS).
BitLocker Recovery Information to Store in AD DS for Removable Data Drives Paquetes de claves y contraseñas de recuperación Elemento secundario de la política Choose How BitLocker-protected Removable Drives Can be Recovered y Save BitLocker Recovery Information to AD DS for Removable Data Drives.
Recovery password and key packages, la contraseña de recuperación de BitLocker y el paquete de claves se almacenan en AD DS. El almacenamiento del paquete de claves soporta la recuperación de datos de una unidad que está dañada de forma física. Si selecciona Recovery password only, entonces, solo la contraseña de recuperación se almacena en AD DS.
Do Not Enable BitLocker Until Recovery Information is Stored in AD DS for Removable Data Drives Deshabilitado Elemento secundario de la política Choose How BitLocker-protected Removable Drives Can be Recovered y Save BitLocker Recovery Information to AD DS for Removable Data Drives.
Seleccione la casilla de verificación Do not enable BitLocker until recovery information is stored in AD DS for Removable drives si desea evitar que los usuarios habiliten BitLocker, a menos que la computadora esté conectada al dominio y el respaldo de la información de recuperación de BitLocker a AD DS se realice con éxito.
Configure Use of Hardware-Based Encryption for Removable Data Drives Habilitado Elemento primario para las cuatro políticas siguientes.
Esta política controla la manera en que BitLocker reacciona a las computadoras que están equipadas con unidades cifradas cuando se utilizan como volúmenes de datos. El uso del cifrado basado en hardware puede mejorar el rendimiento de las operaciones de unidad que implican la lectura frecuente o la escritura de datos en la unidad.
Nota: El ajuste de política de Choose drive encryption method and cipher strength no se aplica al cifrado basado en hardware. Tener esta política habilitada en unidades con firmware más antiguo también puede exponer varias CVE descritas en: https://www.kb.cert.org/vuls/id/395981/ Este hipervínculo lo redirige a un sitio web fuera de Dell Technologies.
Use Hardware-Based Encryption for Removable Data Drives Habilitado Elemento secundario de la política Configure Use of Hardware-Based Encryption for Removable Data Drives.
Esta política controla la manera en que BitLocker reacciona a las computadoras que están equipadas con unidades cifradas cuando se utilizan como volúmenes de datos. El uso del cifrado basado en hardware puede mejorar el rendimiento de las operaciones de unidad que implican la lectura frecuente o la escritura de datos en la unidad.
Nota: El ajuste de política de Choose drive encryption method and cipher strength no se aplica al cifrado basado en hardware. Tener esta política habilitada en unidades con firmware más antiguo también puede exponer varias CVE descritas en: https://www.kb.cert.org/vuls/id/395981/ Este hipervínculo lo redirige a un sitio web fuera de Dell Technologies.
Use BitLocker Software-Based Encryption on Removable Data Drives When Hardware Encryption is Not Available Habilitado Elemento secundario de la política Configure Use of Hardware-Based Encryption for Removable Data Drives.
Esta política controla la manera en que BitLocker reacciona a las computadoras que están equipadas con unidades cifradas cuando se utilizan como volúmenes de datos. El uso del cifrado basado en hardware puede mejorar el rendimiento de las operaciones de unidad que implican la lectura frecuente o la escritura de datos en la unidad.
Nota: El ajuste de política de Choose drive encryption method and cipher strength no se aplica al cifrado basado en hardware. Tener esta política habilitada en unidades con firmware más antiguo también puede exponer varias CVE descritas en: https://www.kb.cert.org/vuls/id/395981/ Este hipervínculo lo redirige a un sitio web fuera de Dell Technologies.
Restrict Crypto Algorithms and Cipher Suites Allowed for Hardware-Based Encryption on Removable Data Deshabilitado Elemento secundario de la política Configure Use of Hardware-Based Encryption for Removable Data Drives.
La opción Restrict encryption algorithms and cipher suites allowed for hardware-based encryption le permite restringir los algoritmos de cifrado que BitLocker puede utilizar con el cifrado de hardware. Si el algoritmo configurado para la unidad no está disponible, BitLocker deshabilita el uso del cifrado basado en hardware.
Configure Specific Crypto Algorithms and Cipher Suites Settings on Removable Data Drives 2.16.840.1.101.3.4.1.2;2.16.840.1.101.3.4.1.42 Elemento secundario de la política Configure Use of Hardware-Based Encryption for Removable Data Drives.
Los algoritmos de cifrado se especifican mediante identificadores de objetos (OID) y se separan con comas.
Ejemplos de OID para claves de cifrado:
  • OID de Advanced Encryption Standard (AES) 128 en el modo de encadenamiento de bloques de cifrado (CBC, por sus siglas en inglés): 2.16.840.1.101.3.4.1.2
  • OID de AES 256 en modo CBC: 2.16.840.1.101.3.4.1.42
Nota: Para obtener más información sobre estas políticas, consulte la base de conocimientos de la guía de políticas de BitLocker de Microsoft https://technet.microsoft.com/en-us/library/ee706521(v=ws.10).aspx Este hipervínculo lo redirige a un sitio web fuera de Dell Technologies..

Para comunicarse con el equipo de soporte, consulte los números de teléfono de soporte internacionales de Dell Data Security.
Vaya a TechDirect para generar una solicitud de soporte técnico en línea.
Para obtener información y recursos adicionales, únase al foro de la comunidad de seguridad de Dell.

Affected Products

Dell Encryption
Article Properties
Article Number: 000125922
Article Type: How To
Last Modified: 06 Sept 2024
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.