Proceso de recuperación de BitLocker

Si un dispositivo o unidad no se desbloquea mediante el mecanismo de BitLocker configurado, es posible que los usuarios puedan recuperarlo automáticamente. Si la recuperación automática no es una opción o el usuario no está seguro de cómo continuar, el departamento de soporte técnico debe disponer de procedimientos para recuperar la información de recuperación de forma rápida y segura.

En este artículo se describe el proceso de obtención de información de recuperación de BitLocker para dispositivos unidos a Microsoft Entra, unidos a Microsoft Entra híbrido y unidos a Active Directory. Se supone que el lector ya está familiarizado con la configuración de dispositivos para hacer una copia de seguridad automática de la información de recuperación de BitLocker y las opciones de recuperación de BitLocker disponibles. Para obtener más información, consulte el artículo información general sobre la recuperación de BitLocker .

Recuperación automática

La contraseña de recuperación de BitLocker y la clave de recuperación de una unidad del sistema operativo o una unidad de datos fija se pueden guardar en uno o varios dispositivos USB, imprimirse, guardarse en microsoft entra ID o AD DS.

Sugerencia

Guardar las claves de recuperación de BitLocker en microsoft Entra ID o AD DS es un enfoque recomendado. De este modo, un administrador o departamento de soporte técnico de BitLocker puede ayudar a los usuarios a obtener sus claves.

Si la recuperación automática incluye el uso de una contraseña o una clave de recuperación almacenada en una unidad flash USB, se debe advertir a los usuarios de que no almacenen la unidad flash USB en el mismo lugar que el dispositivo, especialmente durante el viaje. Por ejemplo, si el dispositivo y los elementos de recuperación están en el mismo contenedor, sería fácil para un usuario no autorizado acceder al dispositivo. Otra directiva a tener en cuenta es que los usuarios se pongan en contacto con el departamento de soporte técnico antes o después de realizar la recuperación automática para que se pueda identificar la causa principal.

Una clave de recuperación no se puede almacenar en ninguna de las siguientes ubicaciones:

  • La unidad que se va a cifrar
  • Directorio raíz de una unidad no modificable
  • Un volumen cifrado

Recuperación automática con contraseña de recuperación

Si tiene acceso a la clave de recuperación, escriba los 48 dígitos en la pantalla de recuperación previa al arranque.

  • Si tiene problemas para escribir la contraseña de recuperación en la pantalla de recuperación previa al arranque o ya no puede arrancar el dispositivo, puede conectar la unidad a otro dispositivo como una unidad secundaria. Para obtener más información sobre el proceso de desbloqueo, consulte Desbloqueo de una unidad.
  • Si el desbloqueo con contraseña de recuperación no funciona, puede usar la herramienta de reparación de BitLocker para recuperar el acceso a la unidad.

Recuperación automática en el identificador de Microsoft Entra

Si las claves de recuperación de BitLocker se almacenan en el identificador de Microsoft Entra, los usuarios pueden acceder a ellas mediante la siguiente dirección URL: https://myaccount.microsoft.com. En la pestaña Dispositivos , los usuarios pueden seleccionar un dispositivo Windows de su propiedad y seleccionar la opción Ver claves de BitLocker.

Nota

De forma predeterminada, los usuarios pueden recuperar sus claves de recuperación de BitLocker desde el identificador de Microsoft Entra. Este comportamiento se puede modificar con la opción Impedir que los usuarios recuperen las claves de BitLocker para sus dispositivos propiedad. Para obtener más información, vea Restringir los permisos predeterminados de los usuarios miembros.

Recuperación automática con unidad flash USB

Si los usuarios guardaron la contraseña de recuperación en una unidad USB, pueden conectar la unidad a un dispositivo bloqueado y seguir las instrucciones. Si la clave se guardó como un archivo de texto en la unidad flash, los usuarios deben usar un dispositivo diferente para leer el archivo de texto.

Recuperación del departamento de soporte técnico

Si un usuario no tiene una opción de recuperación de autoservicio, el departamento de soporte técnico debe poder ayudar al usuario con una de las siguientes opciones:

  • Si el dispositivo está unido a Microsoft Entra o unido a Microsoft Entra híbrido, la información de recuperación de BitLocker se puede recuperar del identificador de Microsoft Entra.
  • Si el dispositivo está unido a un dominio, la información de recuperación se puede recuperar de Active Directory.
  • Si el dispositivo está configurado para usar un DRA, la unidad cifrada se puede montar en otro dispositivo como una unidad de datos para que el DRA pueda desbloquear la unidad.

Advertencia

Es posible que la copia de seguridad de la contraseña de recuperación de BitLocker en Microsoft Entra ID o AD DS no se realice automáticamente. Los dispositivos deben configurarse con la configuración de directiva para habilitar la copia de seguridad automática, como se describe en el artículo de información general sobre la recuperación de BitLocker .

La lista siguiente se puede usar como plantilla para crear un proceso de recuperación para la recuperación de contraseñas por parte del departamento de soporte técnico.

☑️ Paso del proceso de recuperación Detalles
🔲 Comprobar la identidad del usuario La persona que solicita la contraseña de recuperación debe comprobarse como el usuario autorizado de ese dispositivo. También se debe comprobar si el dispositivo para el que el usuario proporcionó el nombre pertenece al usuario.
🔲 Registro del nombre del dispositivo El nombre del dispositivo del usuario se puede usar para buscar la contraseña de recuperación en Microsoft Entra ID o AD DS.
🔲 Registro del identificador de clave de recuperación El identificador de clave de recuperación se puede usar para buscar la contraseña de recuperación en Microsoft Entra ID o AD DS. El identificador de clave de recuperación se muestra en la pantalla de recuperación previa al arranque.
🔲 Buscar la contraseña de recuperación Busque la contraseña de recuperación de BitLocker con el nombre del dispositivo o el identificador de clave de recuperación de Microsoft Entra ID o AD DS.
🔲 Análisis de la causa principal Antes de proporcionar al usuario la contraseña de recuperación, la información debe recopilarse para determinar por qué se necesita la recuperación. La información se puede usar para realizar el análisis de la causa principal.
🔲 Proporcione al usuario la contraseña de recuperación. Dado que la contraseña de recuperación de 48 dígitos es larga y contiene una combinación de dígitos, el usuario podría escuchar o escribir mal la contraseña. La consola de recuperación de tiempo de inicio usa números de suma de comprobación integrados para detectar errores de entrada de cada bloque de 6 dígitos de la contraseña de recuperación de 48 dígitos, y ofrece al usuario la oportunidad de corregir estos errores.
🔲 Girar la contraseña de recuperación Si se configura la rotación automática de contraseñas, los dispositivos unidos a Microsoft Entra y unidos a Microsoft Entra híbrido generan una nueva contraseña de recuperación y la almacenan en Microsoft Entra ID. Un administrador también puede desencadenar la rotación de contraseñas a petición mediante Microsoft Intune o Microsoft Configuration Manager.

Recuperación del departamento de soporte técnico en Microsoft Entra ID

Hay algunos roles de id. de Microsoft Entra que permiten a un administrador delegado leer contraseñas de recuperación de BitLocker de los dispositivos del inquilino. Aunque es habitual que las organizaciones usen los roles integrados microsoft entra ID Cloud Device Administrator o Helpdesk Administrator existentes, también puede crear un rol personalizado, delegando el acceso a las claves de BitLocker mediante el microsoft.directory/bitlockerKeys/key/read permiso . Los roles se pueden delegar para acceder a contraseñas de recuperación de BitLocker para dispositivos en unidades administrativas específicas.

Nota

Cuando los dispositivos que usan Windows Autopilot se reutilizan para unirse a Entra y hay un nuevo propietario de dispositivo, ese nuevo propietario del dispositivo debe ponerse en contacto con un administrador para adquirir la clave de recuperación de BitLocker para ese dispositivo. Los administradores con ámbito de rol personalizado o unidad administrativa perderán el acceso a las claves de recuperación de BitLocker para los dispositivos que han sufrido cambios en la propiedad del dispositivo. Estos administradores con ámbito tendrán que ponerse en contacto con un administrador sin ámbito para las claves de recuperación. Para obtener más información, consulte el artículo Búsqueda del usuario principal de un dispositivo de Intune.

El Centro de administración de Microsoft Entra permite a los administradores recuperar contraseñas de recuperación de BitLocker. Para obtener más información sobre el proceso, consulte Visualización o copia de claves de BitLocker. Otra opción para acceder a las contraseñas de recuperación de BitLocker es usar Microsoft Graph API, que podría ser útil para soluciones integradas o con scripts. Para obtener más información sobre esta opción, vea Get bitlockerRecoveryKey.

En el ejemplo siguiente, usamos el cmdlet Get-MgInformationProtectionBitlockerRecoveryKey de PowerShell de Microsoft Graph para compilar una función de PowerShell que recupere las contraseñas de recuperación del identificador de Microsoft Entra:

function Get-EntraBitLockerKeys{
    [CmdletBinding()]
    param (
        [Parameter(Mandatory = $true, HelpMessage = "Device name to retrieve the BitLocker keys from Microsoft Entra ID")]
        [string]$DeviceName
    )
    $DeviceID = (Get-MGDevice -filter "displayName eq '$DeviceName'").DeviceId
    if ($DeviceID){
      $KeyIds = (Get-MgInformationProtectionBitlockerRecoveryKey -Filter "deviceId eq '$DeviceId'").Id
      if ($keyIds) {
        Write-Host -ForegroundColor Yellow "Device name: $devicename"
        foreach ($keyId in $keyIds) {
          $recoveryKey = (Get-MgInformationProtectionBitlockerRecoveryKey -BitlockerRecoveryKeyId $keyId -Select "key").key
          Write-Host -ForegroundColor White " Key id: $keyid"
          Write-Host -ForegroundColor Cyan " BitLocker recovery key: $recoveryKey"
        }
        } else {
        Write-Host -ForegroundColor Red "No BitLocker recovery keys found for device $DeviceName"
      }
    } else {
        Write-Host -ForegroundColor Red "Device $DeviceName not found"
    }
}

Install-Module Microsoft.Graph.Identity.SignIns -Scope CurrentUser -Force
Import-Module Microsoft.Graph.Identity.SignIns
Connect-MgGraph -Scopes 'BitlockerKey.Read.All' -NoWelcome

Una vez cargada la función, se puede usar para recuperar contraseñas de recuperación de BitLocker para un dispositivo específico. Por ejemplo:

PS C:\> Get-EntraBitLockerKeys -DeviceName DESKTOP-53O32QI
Device name: DESKTOP-53O32QI
 Key id: 4290b6c0-b17a-497a-8552-272cc30e80d4
 BitLocker recovery key: 496298-461032-321464-595518-463221-173943-033616-139579
 Key id: 045219ec-a53b-41ae-b310-08ec883aaedd
 BitLocker recovery key: 158422-038236-492536-574783-256300-205084-114356-069773

Nota

En el caso de los dispositivos administrados por Microsoft Intune, las contraseñas de recuperación de BitLocker se pueden recuperar de las propiedades del dispositivo en el Centro de administración de Microsoft Intune. Para obtener más información, vea Ver detalles de las claves de recuperación.

Recuperación del departamento de soporte técnico en Active Directory Domain Services

Para exportar una contraseña de recuperación de AD DS, debe tener acceso de lectura a los objetos almacenados en AD DS. De forma predeterminada, solo los administradores de dominio tienen acceso a la información de recuperación de BitLocker, pero el acceso se puede delegar a entidades de seguridad específicas.

Para facilitar la recuperación de contraseñas de recuperación de BitLocker desde AD DS, puede usar la herramienta Visor de contraseñas de recuperación de BitLocker . La herramienta se incluye con las Herramientas de administración remota del servidor (RSAT) y es una extensión para el complemento Microsoft Management Console (MMC) de Usuarios y equipos de Active Directory .

Con el Visor de contraseñas de recuperación de BitLocker, puede hacer lo siguiente:

  • Compruebe las propiedades del objeto de equipo de Active Directory para recuperar las contraseñas de recuperación de BitLocker asociadas.
  • Buscar contraseña de recuperación de BitLocker en Active Directory en todos los dominios del bosque de Active Directory

En los procedimientos siguientes se describen las tareas más comunes realizadas mediante el Visor de contraseñas de recuperación de BitLocker.

Visualización de las contraseñas de recuperación de un objeto de equipo
  1. Abra el complemento MMC Usuarios y equipos de Active Directory y seleccione el contenedor o unidad organizativa en el que se encuentran los objetos de equipo.
  2. Haga clic con el botón derecho en el objeto de equipo y seleccione Propiedades.
  3. En el cuadro de diálogo Propiedades , seleccione la pestaña Recuperación de BitLocker para ver las contraseñas de recuperación de BitLocker asociadas al equipo.
Búsqueda de una contraseña de recuperación mediante un identificador de contraseña
  1. En Usuarios y equipos de Active Directory, haga clic con el botón derecho en el contenedor de dominio y seleccione Buscar contraseña de recuperación de BitLocker.
  2. En el cuadro de diálogo Buscar contraseña de recuperación de BitLocker, escriba los ocho primeros caracteres de la contraseña de recuperación en el cuadro Id. de contraseña (primeros 8 caracteres) y seleccione Buscar.

Agentes de Recuperación de datos

Si los dispositivos están configurados con un DRA, el departamento de soporte técnico puede usar dra para desbloquear la unidad. Una vez que la unidad de BitLocker está conectada a un dispositivo que tiene la clave privada del certificado DRA, la unidad se puede desbloquear mediante el manage-bde.exe comando .

Por ejemplo, para enumerar el DRA configurado para una unidad protegida por BitLocker, use el siguiente comando:

C:\>manage-bde.exe -protectors -get D:

Volume D: [Local Disk]
All Key Protectors

    Data Recovery Agent (Certificate Based):
      ID: {3A8F7DEA-878F-4663-B149-EE2EC9ADE40B}
      Certificate Thumbprint:
        f46563b1d4791d5bd827f32265341ff9068b0c42

Si la clave privada del certificado con una huella digital de está disponible en el almacén de f46563b1d4791d5bd827f32265341ff9068b0c42 certificados local, un administrador puede usar el siguiente comando para desbloquear la unidad con el protector DRA:

manage-bde -unlock D: -Certificate -ct f46563b1d4791d5bd827f32265341ff9068b0c42

Tareas posteriores a la recuperación

Cuando se desbloquea un volumen mediante una contraseña de recuperación:

  • un evento se escribe en el registro de eventos
  • las medidas de validación de la plataforma se restablecen en el TPM para que coincidan con la configuración actual.
  • la clave de cifrado se libera y está lista para el cifrado o descifrado sobre la marcha cuando los datos se escriben o leen en y desde el volumen

Después de desbloquear el volumen, BitLocker se comporta del mismo modo, independientemente de cómo se haya otorgado el acceso.

Si un dispositivo experimenta varios eventos de contraseña de recuperación, un administrador debe realizar un análisis posterior a la recuperación para determinar la causa principal de la recuperación. A continuación, actualice la validación de la plataforma BitLocker para evitar escribir una contraseña de recuperación cada vez que se inicie el dispositivo.

Determinar la causa raíz de la recuperación

Si un usuario necesita recuperar la unidad, es importante determinar la causa raíz que inició la recuperación lo antes posible. Analizar correctamente el estado del equipo y detectar alteraciones podría revelar amenazas que tienen implicaciones más amplias para la seguridad empresarial.

Aunque un administrador puede investigar de forma remota la causa de la recuperación en algunos casos, es posible que el usuario tenga que traer el dispositivo que contiene la unidad recuperada en el sitio para analizar aún más la causa principal. Estas son algunas preguntas que se pueden usar para ayudar a determinar la causa principal de la recuperación:

☑️ Pregunta
🔲 ¿Qué modo de protección de BitLocker está configurado (TPM, TPM + PIN, TPM + clave de inicio, solo clave de inicio)?
🔲 Si el modo TPM está configurado, ¿se produjo la recuperación debido a un cambio de archivo de arranque?
🔲 ¿Qué perfil de PCR está en uso en el dispositivo?
🔲 ¿El usuario simplemente ha olvidado el PIN o ha perdido la clave de inicio?
🔲 Si la recuperación se produjo por un cambio en el archivo de arranque, ¿es el cambio de archivo de arranque debido a una acción del usuario prevista (por ejemplo, la actualización del BIOS) o a un software malintencionado?
🔲 ¿Cuándo fue la última vez que el usuario pudo iniciar el dispositivo correctamente y qué pudo haber ocurrido con el dispositivo desde entonces?
🔲 ¿Es posible que el usuario haya encontrado software malintencionado o que haya dejado el dispositivo desatendido desde el último inicio correcto?

Para responder a estas preguntas, puede usar el manage-bde.exe -status comando para ver la configuración actual y el modo de protección. Examine el registro de eventos para buscar eventos que ayuden a indicar por qué se inició la recuperación (por ejemplo, si se produjo un cambio de archivo de arranque).

Resolver la causa raíz

Después de identificar la causa de la recuperación, se puede restablecer la protección de BitLocker para evitar la recuperación en cada inicio.

Los detalles del restablecimiento pueden variar según la causa principal de la recuperación. Si no se puede determinar la causa principal o si un software malintencionado o un rootkit infecta el dispositivo, el departamento de soporte técnico debe aplicar directivas de virus de procedimientos recomendados para reaccionar correctamente.

Nota

El restablecimiento del perfil de validación de BitLocker se puede realizar suspendiendo y reanudando BitLocker.

Causa principal

Pasos

PIN desconocido

Si un usuario ha olvidado el PIN, el PIN debe restablecerse al iniciar sesión en el equipo para evitar que BitLocker inicie la recuperación cada vez que se reinicie el equipo.

Para evitar la recuperación continua debido a un PIN desconocido:

  1. Desbloqueo del dispositivo mediante la contraseña de recuperación
  2. En el applet del Panel de control de BitLocker, expanda la unidad y, a continuación, seleccione Cambiar PIN.
  3. En el cuadro de diálogo Cifrado de unidad BitLocker, selecciona Restablecer un PIN olvidado. Si la cuenta que inició sesión no es una cuenta de administrador, debe proporcionar credenciales administrativas.
  4. En el cuadro de diálogo de restablecimiento de PIN, proporcione y confirme el nuevo PIN que se va a usar y, a continuación, seleccione Finalizar.
  5. El nuevo PIN se puede usar la próxima vez que sea necesario desbloquear la unidad.

Clave de inicio perdida

Si se pierde la unidad flash USB que contiene la clave de inicio, puede desbloquear la unidad mediante la clave de recuperación. A continuación, se puede crear un nuevo inicio mediante PowerShell, el símbolo del sistema o el applet del Panel de control de BitLocker.

Para obtener ejemplos sobre cómo agregar protectores de BitLocker, consulte la guía de operaciones de BitLocker.

Cambios en los archivos de arranque

Este error se produce si se actualiza el firmware. BitLocker debe suspenderse antes de realizar cambios en el firmware. A continuación, se debe reanudar la protección una vez completada la actualización del firmware. Suspender BitLocker impide que el dispositivo entre en modo de recuperación. Sin embargo, si se producen cambios cuando la protección de BitLocker está activada, la contraseña de recuperación se puede usar para desbloquear la unidad y el perfil de validación de la plataforma se actualiza para que la recuperación no se produzca la próxima vez.

Para obtener ejemplos sobre cómo suspender y reanudar los protectores de BitLocker, consulte la guía de operaciones de BitLocker.

Rotación de contraseñas

Los administradores pueden configurar una configuración de directiva para habilitar la rotación automática de contraseñas de recuperación para dispositivos unidos a Microsoft Entra y unidos a Microsoft Entra híbridos.
Cuando se habilita la rotación automática de contraseñas de recuperación, los dispositivos giran automáticamente la contraseña de recuperación después de usar la contraseña para desbloquear la unidad. Este comportamiento ayuda a evitar que la misma contraseña de recuperación se use varias veces, lo que puede ser un riesgo para la seguridad.

Para obtener más información, consulte Configuración de la rotación de contraseñas de recuperación.

Otra opción es iniciar la rotación de contraseñas de recuperación para dispositivos individuales de forma remota mediante Microsoft Intune o Microsoft Configuration Manager.

Para obtener más información sobre cómo rotar las contraseñas de recuperación de BitLocker mediante Microsoft Intune o Microsoft Configuration Manager, consulte:

Herramienta de reparación de BitLocker

Si los métodos de recuperación descritos anteriormente en este documento no desbloquean el volumen, la herramienta de reparación de BitLocker (repair-bde.exe) se puede usar para descifrar el volumen en el nivel de bloque. La herramienta usa el paquete de claves de BitLocker para ayudar a recuperar datos cifrados de unidades gravemente dañadas.

A continuación, los datos recuperados se pueden usar para recuperar datos cifrados, incluso si la contraseña de recuperación correcta no puede desbloquear el volumen dañado. Se recomienda seguir guardando la contraseña de recuperación, ya que no se puede usar un paquete de claves sin la contraseña de recuperación correspondiente.

Use la herramienta Reparar en las condiciones siguientes:

  • La unidad se cifra mediante BitLocker
  • Windows no se inicia o la pantalla de recuperación de BitLocker no se inicia
  • No hay una copia de seguridad de los datos contenidos en la unidad cifrada

Nota

Es posible que los daños en la unidad no estén relacionados con BitLocker. Por lo tanto, se recomienda probar otras herramientas para ayudar a diagnosticar y resolver el problema con la unidad antes de usar la herramienta de reparación de BitLocker. El entorno de recuperación de Windows (Windows RE) proporciona más opciones para reparar Windows.

Existen las limitaciones siguientes para Repair-bde:

  • no puede reparar una unidad que produjo un error durante el proceso de cifrado o descifrado.
  • supone que, si la unidad tiene algún cifrado, la unidad está totalmente cifrada.

Para obtener una lista completa de las repair-bde.exe opciones, consulte la referencia repair-bde.

Nota

Para exportar un paquete de claves desde AD DS, debe tener acceso de lectura a las contraseñas de recuperación de BitLocker y a los paquetes de claves almacenados en AD DS. De forma predeterminada, solo los administradores de dominio tienen acceso a la información de recuperación de BitLocker, pero el acceso se puede delegar a otros usuarios.