Cómo activar y configurar BitLocker a través del símbolo del sistema en Windows

Share this…

BitLocker es una herramienta incluida en los sistemas operativos de Microsoft Windows desde la versión de Windows Vista para los ordenadores de sobremesa y desde la versión 2008 para los servidores, que permite cifrar los datos de unidades de disco internas de arranque y de datos y unidades externas y memorias flash USB.

En RedesZone hemos publicado un completo manual de configuración a través de la interfaz gráfica de usuario de Windows 10. Podéis leer el manual a fondo en el siguiente enlace:

  • Manual completo de BitLocker sobre cómo cifrar nuestros datos y discos en Windows

Existen varias formas de activar BitLocker en una unidad de disco:

  • Panel de control
  • Centro de actividades
  • Explorador de archivos
  • Línea de comandos con el símbolo del sistema
  • PowerShell

Hoy os vamos a enseñar cómo activar y configurarlo a través de la línea de comandos utilizando para ello el símbolo del sistema.

Entrar en la consola de comandos del sistema operativo

En esta ocasión vamos a ver cómo activar BitLocker desde la línea de comandos, para ello utilizaremos el comando Manage-bde; para poder ejecutar este comando necesitamos permisos de administrador, por lo que tenemos que entrar en la línea de comandos con permisos de administrador, para ello, En Windows 10, pinchamos en el icono de la lupa de la barra de tareas y escribimos CMD.

bitlocker_simbolo_sistema_1

En la parte superior nos aparece la aplicación encontrada, “Símbolo del sistema”, pulsando botón derecho del ratón sobre la misma nos aparece un menú de contexto en el que elegiremos la opción “Ejecutar como administrador”. Al escoger esta opción, nos pide confirmación de que queremos ejecutar la consola de comandos del sistema operativo con privilegios de administrador.

bitlocker_simbolo_sistema_2

Pinchamos en el botón “Sí” y se nos abre la ventana de la consola de comandos de Microsoft Windows.

bitlocker_simbolo_sistema_3

Comando para activar BitLocker desde la consola o símbolo del sistema

Manage-bde es una herramienta de la línea de comandos que nos permite activar el cifrado BitLocker en unidades de discos internos de arranque, internos de datos y externos, incluidos flash USB.  Manage-bde tiene incluso más parámetros de los que nos muestra la herramienta BitLocker ejecutada desde el panel de control.

1 manage-bde /?

Nos muestra una lista de todos los parámetros que podemos utilizar.

1 manage-bde -status

Nos muestra la situación de cifrado de todos los discos conectados al sistema.

1 manage-bde -status  F:

Nos muestra la situación de cifrado del disco conectado en la unidad F.

bitlocker_simbolo_sistema_4

Para activar el cifrado de un disco con BitLocker es necesario proporcionarle “protectores” al cifrado, estos protectores pueden de varios tipos:

  • Una contraseña de desbloqueo (con los requisitos mínimos de seguridad: longitud 8 caracteres, mayúsculas, minúsculas, números y caracteres especiales)
  • Una clave de recuperación
  • Una contraseña de recuperación
  • Un certificado de firma digital

Cómo mínimo habrá que proporcionar un protector de contraseña de desbloqueo y una clave de recuperación como vimos al utilizar BitLocker desde el panel de control, el centro de actividades o el explorador de archivos.

Desde la línea de comandos podemos hacerlo de dos maneras:

Opción número 1

Proporcionando la contraseña de desbloqueo y la clave de recuperación en el comando “Manage-bde –on <unidad de disco> -pw <contraseña> -rk <ruta para la clave de recuperación>.

1 manage-bde -on f: -pw -rk g:

El comando anterior nos pide una contraseña de desbloqueo y genera una clave de recuperación en el disco “G:” y a continuación comienza el cifrado del disco “F:”. El disco donde se guarda la clave de recuperación no puede ser un disco cifrado con BitLocker.

bitlocker_simbolo_sistema_5

En la ubicación indicada nos guarda un fichero .BEK con la clave de recuperación y nos muestra por pantalla una información sobre los protectores añadidos: la clave de recuperación y la contraseña. En el nombre del fichero aparece un identificador que nos pedirá BitLocker para utilizar la clave de recuperación que corresponde a un disco cifrado determinado.

bitlocker_simbolo_sistema_6

Opción 2

O bien proporcionando la contraseña de desbloqueo y la clave de recuperación primero en el comando “Manage-bde <unidad de disco> –protectors –add -pw <contraseña> -rk <ruta para la clave de recuperación>” y activando BitLocker después sobre dicha unidad de disco con el comando “Manage-bde –on <unidad de disco>”

1 manage-bde f: -protectors -add -pw -rk g:

El comando anterior nos pide que escribamos y confirmemos una contraseña de desbloqueo para la unidad “F:” y después genera una clave de recuperación y la guarda en la ruta indicada, el disco “G:”.

Seguidamente activamos BitLocker en el disco “F:” ejecutando el comando:

1 manage-bde –on f:

El sistema nos indica que ha comenzado el cifrado de la unidad F:

bitlocker_simbolo_sistema_7

Y un cuadro de dialogo nos muestra el progreso del proceso de cifrado.

Podemos ejecutar el comando “fvenotify.exe <unidad de disco>” para que muestre el cuadro de dialogo anterior en caso de que no aparezca. La siguiente imagen muestra el resultado de ejecutar “manage-bde –status f:”.

bitlocker_simbolo_sistema_10

Añadir un protector de contraseña de recuperación a la activación de BitLocker

Opcionalmente podemos añadir al disco cifrado una contraseña de recuperación numérica la cual, al igual que la clave recuperación nos permite desbloquear una unidad cifrada en caso de que hayamos perdido la contraseña de desbloqueo.

Para ello usaremos el parámetro –rp, en cualquiera de sus dos opciones:

1 manage-bde -on f: -pw -rk g: -rp

Otra posibilidad

1 manage-bde f: -protectors -add -pw -rk g: -rp
1 manage-bde -on f:

En la imagen siguiente vemos cómo añadir una contraseña de recuperación a un disco ya cifrado.

bitlocker_simbolo_sistema_11

Mostrando los métodos de protección de un disco cifrado

Desde la consola de comandos ejecutamos la siguiente sentencia:

1 manage-bde f: -protectors –get

bitlocker_simbolo_sistema_12

Bloquear, desbloquear y autodesbloquear un disco cifrado

Con los comandos anteriores hemos visto como activar un BitLocker en un disco, por defecto el disco cifrado queda desbloqueado y podemos usarlo directamente. En caso de expulsar el disco, al volver a conectarlo a cualquier ordenador nos indicará que el disco está cifrado y nos pedirá que escribamos la clave de desbloqueo. Los siguientes comandos nos permiten manejar el bloqueo del disco cifrado.

Este comando bloquea un disco que se encuentra desbloqueado, en caso de que ya esté bloqueado no hace nada.

1 manage-bde –lock f:

El siguiente comando desbloquea un disco bloqueado utilizando la contraseña de desbloqueo. Nos pide que escribamos la clave de desbloqueo.

1 manage-bde –unlock f: -pw

El siguiente comando desbloquea un disco bloqueado utilizando la clave de recuperación situada en la ruta indicada, es necesario indicar el nombre del fichero que contiene la clave de recuperación ya que podemos tener diferentes claves de recuperación para distintos discos cifrados.

1 manage-bde -unlock f: -rk g:\6DA2A89C-1738-4C59-A3FD-0C8477FEDAB2.BEK

El siguiente comando desbloquea un disco bloqueado utilizando la contraseña de recuperación que generamos con el parámetro –rp.

1 manage-bde -unlock f: -rp 596277-460262-021274-649242-626384-329329-536756-504790

La opción –autounlock permite habilitar o deshabilitar el bloqueo automático de un disco cifrado al ser conectado a un ordenador. Para poder habilitar el desbloqueo automático es necesario que el disco haya sido desbloqueado previamente por cualquiera de los tres métodos anteriores.

Para habilitar el desbloqueo automático escribimos el siguiente comando:

1 manage-bde -autounlock -enable f:

Este comando crea una clave externa asociada en este disco para permitir el desbloqueo automático al conectar el disco a un ordenador. Para deshabilitar el desbloqueo automático de una unidad de disco escribimos el comando:

1 manage-bde -autounlock -disable f:

Es necesario eliminar la clave externa asociada como nos indica el sistema operativo para que desactivar el desbloqueo automático por completo mediante el siguiente comando:

1 manage-bde -protectors F: -delete -id {34C63825-A1DB-4175-8F7C-897E4A696CC5}

El comando nos es indicado por el propio sistema operativo.

Añadiendo un certificado de firma digital como protector de la activación de BitLocker

Mediante este protector podemos hacer que el cifrado de un disco este protegido mediante la clave pública de un certificado de firma digital. Para ello debemos contar con un certificado digital o firma electrónica. De dicho certificado necesitaremos la ruta donde se encuentra la clave pública, (un fichero con extensión .cer).

En la siguiente línea vemos un ejemplo de cómo añadir un protector de certificado digital al disco “F:” y cómo le indicamos la ruta donde está el fichero que contiene la clave pública.

1 manage-bde -protectors -add f: -certificate -cf "g:\certcp.cer"

Como en los ejemplos anteriores, después de añadir el protector a la unidad de disco procedemos a la activación de BitLocker en dicha unidad:

1 manage-bde –on f:

Desactivar BitLocker en una unidad de disco

Para desactivar BitLocker en una unidad de disco, es decir, descifrar una unidad de disco, es preciso que la unidad este desbloqueada, después ejecutamos el siguiente comando desde la consola de comandos del sistema operativo

1 manage-bde –off f:

Activar BitLocker en un disco de arranque

Como ya vimos en el artículo “Proteger los datos de nuestros discos con BitLocker en Windows 10“, el cifrado de unidades de arranque tiene ciertas peculiaridades; en este caso nos vamos a centrar en el caso de que  nuestra máquina necesite una memoria flash USB donde almacenar una clave para desbloquear el disco que contiene el sistema operativo en el arranque.

En primer lugar habrá que generar una clave de arranque “-startupkey” mediante la opción “-protector –add” del comando manage-bde.

El siguiente comando añade un protector de tipo –startupkey para la unidad “E:” y lo guarda en un archivo en la carpeta raíz de la unidad “F:”.

1 manage-bde e: -protectors –add –sk f:\

bitlocker_simbolo_sistema_13

En segundo lugar habrá que copiar el fichero con la clave de arranque generada a una memoria flash USB que será la que se utilice para desbloquear la unidad que contiene el sistema operativo del ordenador durante el arranque.

En tercer lugar activaremos BitLocker en la unidad de disco de arranque y tras el reinicio comenzará el cifrado, es importante no extraer la memoria flash USB que contiene la clave de arranque durante todo el proceso y hasta que finalice el cifrado.

1 manage-bde -on C:

Os recomendamos leer nuestro completo manual de BitLocker donde encontraréis más información sobre esta fantástica herramienta para cifrar nuestros datos:

  • Manual completo de BitLocker sobre cómo cifrar nuestros datos y discos en Windows

Os recomendamos acceder a nuestra sección del sistema operativo Microsoft Windows y también a nuestra sección de seguridad informática, encontraréis más manuales para proteger adecuadamente nuestros datos.