Cómo activar y configurar BitLocker a través del símbolo del sistema en Windows
BitLocker es una herramienta incluida en los sistemas operativos de Microsoft Windows desde la versión de Windows Vista para los ordenadores de sobremesa y desde la versión 2008 para los servidores, que permite cifrar los datos de unidades de disco internas de arranque y de datos y unidades externas y memorias flash USB.
En RedesZone hemos publicado un completo manual de configuración a través de la interfaz gráfica de usuario de Windows 10. Podéis leer el manual a fondo en el siguiente enlace:
Existen varias formas de activar BitLocker en una unidad de disco:
- Panel de control
- Centro de actividades
- Explorador de archivos
- Línea de comandos con el símbolo del sistema
- PowerShell
Hoy os vamos a enseñar cómo activar y configurarlo a través de la línea de comandos utilizando para ello el símbolo del sistema.
Entrar en la consola de comandos del sistema operativo
En esta ocasión vamos a ver cómo activar BitLocker desde la línea de comandos, para ello utilizaremos el comando Manage-bde; para poder ejecutar este comando necesitamos permisos de administrador, por lo que tenemos que entrar en la línea de comandos con permisos de administrador, para ello, En Windows 10, pinchamos en el icono de la lupa de la barra de tareas y escribimos CMD.
En la parte superior nos aparece la aplicación encontrada, “Símbolo del sistema”, pulsando botón derecho del ratón sobre la misma nos aparece un menú de contexto en el que elegiremos la opción “Ejecutar como administrador”. Al escoger esta opción, nos pide confirmación de que queremos ejecutar la consola de comandos del sistema operativo con privilegios de administrador.
Pinchamos en el botón “Sí” y se nos abre la ventana de la consola de comandos de Microsoft Windows.
Comando para activar BitLocker desde la consola o símbolo del sistema
Manage-bde es una herramienta de la línea de comandos que nos permite activar el cifrado BitLocker en unidades de discos internos de arranque, internos de datos y externos, incluidos flash USB. Manage-bde tiene incluso más parámetros de los que nos muestra la herramienta BitLocker ejecutada desde el panel de control.
manage-bde /?
Nos muestra una lista de todos los parámetros que podemos utilizar.
manage-bde -status
Nos muestra la situación de cifrado de todos los discos conectados al sistema.
manage-bde -status F:
Nos muestra la situación de cifrado del disco conectado en la unidad F.
Para activar el cifrado de un disco con BitLocker es necesario proporcionarle “protectores” al cifrado, estos protectores pueden de varios tipos:
- Una contraseña de desbloqueo (con los requisitos mínimos de seguridad: longitud 8 caracteres, mayúsculas, minúsculas, números y caracteres especiales)
- Una clave de recuperación
- Una contraseña de recuperación
- Un certificado de firma digital
Cómo mínimo habrá que proporcionar un protector de contraseña de desbloqueo y una clave de recuperación como vimos al utilizar BitLocker desde el panel de control, el centro de actividades o el explorador de archivos.
Desde la línea de comandos podemos hacerlo de dos maneras:
Opción número 1
Proporcionando la contraseña de desbloqueo y la clave de recuperación en el comando “Manage-bde –on <unidad de disco> -pw <contraseña> -rk <ruta para la clave de recuperación>.
manage-bde -on f: -pw -rk g:
El comando anterior nos pide una contraseña de desbloqueo y genera una clave de recuperación en el disco “G:” y a continuación comienza el cifrado del disco “F:”. El disco donde se guarda la clave de recuperación no puede ser un disco cifrado con BitLocker.
En la ubicación indicada nos guarda un fichero .BEK con la clave de recuperación y nos muestra por pantalla una información sobre los protectores añadidos: la clave de recuperación y la contraseña. En el nombre del fichero aparece un identificador que nos pedirá BitLocker para utilizar la clave de recuperación que corresponde a un disco cifrado determinado.
Opción 2
O bien proporcionando la contraseña de desbloqueo y la clave de recuperación primero en el comando “Manage-bde <unidad de disco> –protectors –add -pw <contraseña> -rk <ruta para la clave de recuperación>” y activando BitLocker después sobre dicha unidad de disco con el comando “Manage-bde –on <unidad de disco>”
manage-bde f: -protectors -add -pw -rk g:
El comando anterior nos pide que escribamos y confirmemos una contraseña de desbloqueo para la unidad “F:” y después genera una clave de recuperación y la guarda en la ruta indicada, el disco “G:”.
Seguidamente activamos BitLocker en el disco “F:” ejecutando el comando:
manage-bde –on f:
El sistema nos indica que ha comenzado el cifrado de la unidad F:
Y un cuadro de dialogo nos muestra el progreso del proceso de cifrado.
Podemos ejecutar el comando “fvenotify.exe <unidad de disco>” para que muestre el cuadro de dialogo anterior en caso de que no aparezca. La siguiente imagen muestra el resultado de ejecutar “manage-bde –status f:”.
Añadir un protector de contraseña de recuperación a la activación de BitLocker
Opcionalmente podemos añadir al disco cifrado una contraseña de recuperación numérica la cual, al igual que la clave recuperación nos permite desbloquear una unidad cifrada en caso de que hayamos perdido la contraseña de desbloqueo.
Para ello usaremos el parámetro –rp, en cualquiera de sus dos opciones:
manage-bde -on f: -pw -rk g: -rp
Otra posibilidad
manage-bde f: -protectors -add -pw -rk g: -rp
manage-bde -on f:
En la imagen siguiente vemos cómo añadir una contraseña de recuperación a un disco ya cifrado.
Mostrando los métodos de protección de un disco cifrado
Desde la consola de comandos ejecutamos la siguiente sentencia:
manage-bde f: -protectors –get