Mayor seguridad con el cifrado Bitlocker para proteger contra ataques de arranque en frío.
Bitlocker es el cifrado por defecto de los sistemas Windows y Microsoft intenta ofrecer aquí un equilibrio entre seguridad y comodidad. Normalmente, el ordenador tiene un chip TPM, éste proporciona la clave y Windows arranca normalmente. Los datos se cifran, pero el usuario no tiene que introducir una contraseña adicional al arrancar.
Lo práctico puede llevar a que el cifrado sea burlado por ataques de arranque en frío y software especial. Un remedio es un PIN, que se introduce antes de arrancar Windows.
Activa bitlocker y encripta el disco duro
Si aún no lo hemos hecho, primero activamos el cifrado de Bitlocker. Para ello, pulsamos con el botón derecho sobre la unidad del sistema y hacemos clic en “Activar BitLocker”. Nota: Bitlocker sólo está disponible en las versiones Professional y Enterprise de Windows.
En el primer paso tenemos que guardar la clave de recuperación, podemos hacerlo por ejemplo en la cuenta de Microsoft, alternativamente también podemos imprimir la clave o guardarla en un archivo de texto. A continuación, haga clic en “Siguiente”. Ejecute el asistente hasta el final y espere a que se cifre el disco duro.
Habilitar el pin de inicio en las políticas de grupo
Una vez habilitado Bitlocker, debemos habilitar el pin de inicio en las políticas de grupo. Para ello, pulsamos la tecla Windows + R y a continuación introducimos “gpedit.msc” y confirmamos con Enter.
Aquí vamos a “Configuración del equipo – Plantillas administrativas – Componentes de Windows – Cifrado de unidad BitLocker – Unidades del sistema operativo. En la parte derecha encontramos la entrada “Solicitar autenticación adicional al inicio”.
En los ajustes activamos la opción y establecemos el ajuste “Configurar PIN de inicio del sistema TPM” en “PIN de inicio necesario para TPM”. Aceptamos la configuración con OK.
Por defecto, sólo se aceptan PIN numéricos. Quienes deseen utilizar una contraseña alfanumérica también pueden definirla en el editor de directivas de grupo.
Configurar el PIN de la unidad
Ahora falta el PIN o contraseña. Podemos establecerlo en el símbolo del sistema con el comando “manage-bde”. Abrimos un símbolo del sistema con derechos de administrador.
A continuación, introducimos el siguiente comando:
manage-bde -protectors -add c: -TPMAndPIN
Ahora podemos introducir un PIN y confirmarlo. Si se produce un error de que no se ha encontrado ningún teclado previo al arranque: “ERROR: Se ha producido un error (código 0x803100b5):”
Con “manage-bde -status” podemos comprobar si todo ha funcionado. Aquí debería aparecer “Contraseña numérica”.
Cambiar el PIN de Bitlocker
También es posible cambiar el PIN en el símbolo del sistema. Para ello, introducimos el siguiente comando:
manage-bde -changepin c:
Reinicia e introduce el PIN
Ahora llega el momento de esperar, probamos si todo funciona. Para ello, reiniciamos el ordenador. Al arrancar el ordenador, nos pide que introduzcamos el PIN:
Windows no se carga hasta que se ha introducido el PIN.
Quitar el PIN de Bitlocker
Por supuesto, también podemos volver a eliminar la entrada del PIN. Primero abrimos de nuevo el editor de directivas de grupo, aquí restablecemos la configuración “Solicitar autenticación adicional al inicio”.
Ahora abrimos de nuevo un símbolo del sistema con derechos de administrador e introducimos el siguiente comando:
manage-bde -protectors -add c: -TPM
A continuación, el ordenador se reinicia como de costumbre sin introducir el PIN de inicio y carga la clave del chip TPM.