Bitlocker permite cifrar las unidades lógicas, incluso en la que está instalado el Sistema Operativo.
BitLocker en Windows 7 solo está disponible en las versiones Ultimate y Enterprise, pero en Windows 10 se encuentra disponible también en Windows 10 Profesional.
Para poder cifrar la partición del Sistema Operativo, es necesaria tener una partición reservada para el sistema. Por este motivo, cuando se instala Windows se crea automáticamente la partición de 550MB, por si en un futuro se quiere cifrar C; pues los archivos de sistema necesarios para el inicio no pueden estar cifrados.
BitLocker To Go, permite cifrar dispositivos de almacenamiento portátiles que se extravían fácilmente, como unidades flash USB y unidades de disco duro externas.
Para utilizar BitLocker es necesario que el hardware del PC incorpore el módulo TPM de seguridad (Trusted Platform Module, Módulo de Plataforma Confiable), en su defecto utilizaremos un medio de almacenamiento externo para almacenar la clave.
El objetivo de TPM es dar seguridad basada en hardware, más difícil de romper que la seguridad basada en software.
Para abrir BitLocker ir a:
Panel de control / Sistema y seguridad / Cifrado de unidad BitLocker
Aparece la ventana de la imagen, en la que nos da la opción de activarlo en C y resto de particiones del disco, así como activar BitLocker To Go en las unidades extraíbles.
![Ventana BitLocker. Ilustración Ventana BitLocker.](ventanabitlocker.png)
Se va a desarrollar el ejemplo de cifrar C. Este ejemplo se va a desarrollar en una máquina anfitrión Windows. Para la tarea se va a solicitar cifrar BitLocker To Go en un pendrive, para evitar manipulaciones en las máquinas anfitriones de los alumnos.
En la imagen se ha seleccionado “Activar BitLocker en C”. Al pulsar, se abre la ventana de que el PC no tiene el módulo TPM, por lo que hay que editar la directiva local “Requerir autenticación adicional al iniciar”
![Hay que cambiar directiva. Ilustración de Hay que cambiar directiva.](cambiardirectiva.png)
Tal como se vio en la unidad 4, abrimos el editor de directivas, ejecutando gpedit.msc.
Para llegar y editar la directiva, seguimos los pasos de la imagen:
![Editar directiva. Ilustración de Editar directiva.](editardirectiva.png)
Una vez realizado el cambio de directiva, volvemos al paso anterior para cifrar C. Ahora al seleccionar “Activar BitLocker en C” se abre la ventana siguiente. Seleccionar “Inserte una unidad flash USB”
![Insertar una unidad flash. Ilustración Insertar una unidad flash.](unidadflash.png)
En la siguiente ventana, solo hay que seleccionar nuestra unidad flash y pulsar Guardar.
![Guardar clave en unidad flash. Ilustración de Guardar clave en unidad flash.](guardarclave.png)
En la siguiente ventana, se pregunta dónde queremos guardar la clave de recuperación. Es necesario explicar, que esta clave se necesitará en caso de desastre. Supongamos que en un futuro, fallara el pendrive, pues tendríamos esta clave guardada en un archivo de texto plano en otro sitio; como clave de rescate.
Por este motivo, en este caso se ha decidido “Guardar en un archivo”.
Al pulsar “Guardar en un archivo” hay que seleccionar donde guardar ese archivo. De momento, lo he guardado en el equipo local (tiene que ser en otra unidad distinta de la que se está cifrando, aunque lo coherente será guardarlo en otro extraíble distinto).
![Guardar clave de recuperación. Ilustración Guardar clave de recuperación.](guardarrecuperacion.png)
En la siguiente ventana, se pregunta si queremos cifrar solo el contenido utilizado o toda la unidad. En este caso se ha decidido “sólo espacio utilizado” para tardar menos tiempo por ser un ejemplo didáctico, pero lo normal será “Cifrar la unidad entera”.
Explicar aquí, que cuando se borran los archivos, realmente no se borran, sino que se borra la entrada en el directorio. Para entenderlo, si se copia un archivo de 10 GB, se tarda un rato; sin embargo si se borra, se tardan segundos. ¿Por qué?, porque realmente no se borra el archivo, sino que se borra la entrada al directorio; por eso en muchos casos se puede recuperar la información borrada en un PC. Un software para este fin es Recuva.
![Cifrar unidad entera. Ilustración Cifrar unidad entera.](cifrarunidad.png)
En la siguiente ventana hay 2 opciones. La primera pensada si ciframos particiones del PC, la segunda si ciframos unidades extraíbles. Por tanto en este caso seleccionamos “Modo de cifrado nuevo…”
![Modo de cifrado nuevo. Ilustración Modo de cifrado nuevo.](modocifrado.png)
Finalmente, aparece la ventana de que el sistema va a realizar las comprobaciones y el cifrado de la unidad. Una vez pulsado Continuar, habrá que reiniciar el equipo.
![Comprobar sistema y reiniciar. Ilustración Comprobar sistema y reiniciar.](comprobarsistema.png)
Al reiniciar el equipo, si no ha habido ningún problema, el equipo se encuentra cifrado.
Una vez activado Bitlocker, cada vez que se inicie el equipo habrá que utilizar el dispositivo extraíble donde hemos almacenado la clave.