Cómo usar Bitlocker en máquinas que no tienen TPM


Ya sabemos que Bitlocker es una característica de cifrado que viene en las versiones Enterprise y Ultimate tanto de Windows Vista cómo de Windows 7. Para cifrar el disco donde está el sistema operativo es necesario disponer de un TPM (Trusted Platform Module) que será el encargado de guardar la clave de SRK (Storage Root Key). Esta clave servirá para empezar el proceso de descifrado y así poder tener acceso al disco de sistema. Lamentablemente no todos los ordenadores tienen TPM así que hoy vamos a ver los pasos que debemos seguir para poder guardar esta clave en un dispositivo USB externo y así poder aprovecharnos del cifrado que nos ofrece Bitlocker.

Para el que no le guste leer, os dejo un pequeño video de todos los pasos que aparecen en este mismo artículo:

 

  1. Lo primero con lo que nos encontramos cuando intentamos cifrar una unidad de sistema operativo en una máquina que no tiene TPM es con el mensaje de error “Este equipo debe tener un dispositivo de seguridad del Módulo de plataforma segura (TPM) compatible, pero no se encontró ningún TPM. Póngase en contacto con el administrador del sistema para habilitar Bitlocker” bitlockerNonTPM02
  2. Para evitar que nos aparezca este mensaje tendremos que abrir las políticas de grupo de la máquina, o bien hacerlo desde el directorio activo si la máquina fuese parte del mismo.
    1. Para eso debemos ejecutar: “gpedit.msc” y
    2. Navegar a: Configuración del equipo –> Componentes de Windows –> Cifrado de unidad Bitlocker –> Unidades del sistema operativo bitlockerNonTPM03
    3. Una vez en unidades del sistema operativo tendremos que seleccionar la política “Requerir autenticación adicional al iniciar”  
    4. Habilitaremos esta política. (Cómo podemos ver esta política nos permite usar Bitlocker en máquinas sin TPM pero además podemos configurar requerimientos para máquinas que sí tienen Bitlocker, cómo forzar a que tengan o no pin en el arranque etc…)bitlockerNonTPM04
  3. Una vez que hemos habilitado la política debemos forzar la actualización de las políticas o bien esperar a que se actualicen solas, para evitar esperar ejecutaremos: gpupdate /target:Computer /force
  4. Ahora volveremos a intentar cifrar el contenido del disco de sistema:image bitlockerNonTPM05
  5. Al comenzar el proceso de Bitlocker y darse cuenta que no tiene chip TPM nos aparece la esta pantalla. Aquí forzaremos a que nos pida una clave en el inicio que será almacenada en una llave USB.
  6. A continuación le indicaremos en que dispositivo externo vamos a guardar la calve, en mi caso es una llave USB que se llama Bitlocker bitlockerNonTPM06
  7. Una vez finalizado esto nos pedirá que guardemos la clave de recuperación (recordad que esto por políticas también se puede ocultar para que directamente esto se guarde sólo en el directorio activo y que no tengamos que guardarlo, o imprimirlo nosotros mismos.
  8. Finalmente estaremos listos para empezar a cifrar el discobitlockerNonTPM08
  9. En este punto nos pedirá un reinicio.  bitlockerNonTPM09

    NOTA: Es importante que en este primer reinicio no quitemos la llave USB, de hacerlo en el siguiente arranque no será capaz de encontrar la clave que usará para cifrar el disco y fallará con este error: “No se encuentra la clave de inicio o la contraseña de recuperación de Bitlocker en el dispositivo USB. Compruebe que tiene el dispositivo USB correcto y que el dispositivo USB está conectado al equipo en un puerto USB activo, reinicie el equipo e inténtelo de nuevo. Si el problema persiste, póngase en contacto con el fabricante del equipo para obtener instrucciones de actualización de BIOS.”

    bitlockerNonTPM10

    Si nos pasa esto verémos también los eventos ID: 24630 y ID: 24609 ambos con Origen: Bitlocker-Driver.

    bitlockerNonTPM12bitlockerNonTPM13

    Si nos aparece esté mensaje de error tendremos que empezar nuevamente con el procedimiento desde el paso 4.

  10. Si no hemos recibido el mensaje de error estaremos felizmente cifrando el disco.
  11. Ya tenemos la partición de sistema operativo cifrada ahora sólo hay que reiniciar la máquina para ver el comportamiento.
    1. Si no tenemos el pendrive pinchado nos dará un mensaje de error en el arranque de la máquina.
    2. Si lo tenemos pinchado directamente arrancará la máquina.
  12. Si hibernamos el sistema también nos hace falta tener la llave USB pinchada para poder recuperar el ordenador.

Si has llegado hasta aquí y te preguntas que es lo que se guarda en la llave USB, se trata de un fichero cifrado con extensión BEK (Bitlocker Encryption Key) que contiene la clave de cifrado del disco, no dudes en hacer una copia de este fichero y dejarlo en un sitio bien seguro, por si algún día necesitas recuperar el contenido del disco.

bitlockerNonTPM11

Ya no nos quedan excusas para ponernos a cifrar todos nuestros equipos, sean antiguos o nuevos con o sin TPM,. Espero que os haya sido de utilidad.

Enjoy

Monaguillo…t

Comments (30)

  1. Anonymous says:

    Buenos dias Fernando, Tengo una consulta si me puede colaborar muchas Gracias.

    Tengo cifradas las unidades D, en algunas maquinas del dominio, lo que pasa es que no me deja desbloquear las unidades si el usuario no es administrador de la maquina, ¿Como puedo solucionar esto sin tener que ponerlo como administrador?

    Gracias.

  2. Si tu máquina está unida al dominio deberías aplicar esta política a nivel de dominio. Te recomendaría que creases una unidad organizativa a parte de donde colgar las máquinas antiguas y aplicar esta política en esa unidad organizativa.

    Un saludo

    Monaguillo..t

  3. Hola Yuke,

    Los Discos duros externos conviene cerrarlos ordenadamente, si no lo hacemos así es posible que podamos dañar alguno de los sectores importantes del disco y que luego no nos muestre información. Mi recomendación es que lo intentes pinchar en otro ordenador a ver si el comportamiento es el mismo. Si es así te recomendaría que intentases probar alguna aplicación de recuperación de datos, así por lo menos te garantizas que no sea el disco el que realmente haya sufrido un problema de HW.

    Mucha mucha suerte!!

    Fernando

  4. Anonymous says:

    Hola me gustaría hacer la siguiente consulta ¿Cuando se guarda el fichero en la memoria USB este procedimiento borra los demás archivos de la memoria? ¿Se debe utilizar una memoria en blanco?

  5. Hola Cristian,

    Lo que te ocurre a ti es que la partición de datos la has podido cifrar sin problemas pero la de Sistema Operativo al no tener TPM tienes que seguir los pasos de este artículo y tener la clave de Bitlocker en un Pen drive.

    Un saludo

    Fernando

  6. Hola Eduardo,

    Me alegra haber podido ser de utilidad.

    Muchas gracias por tu comentario

    Un saludo

    Monaguillo..t

  7. Eduardo says:

    Muy Bueno me ayudo en mucho con mi PC no tiene el Chip de TPM Gracias….

  8. Eduardo says:

    como Haria para desabilitar el TPM si mi Maquina esta Unida a un Dominio deberia hacer lo mismo solo que en Administracion de Directivas de grupo nada mas o hay algo adicional ahi Gracias….

  9. Eduardo says:

    ok Gracias funciono muy bien

    Saludos….

  10. Eduardo says:

    tengo una consulta que no es del tema de BitLocker pero quieria preguntarle si no fuera mucha molestia

    quiero instalar un Servidor con los Servicios de AD RMS y llegado a instarlo bien pero necesito como configurar las platillas de seguridad para aplicarlas a documentos de Office 2007. si usted tubiera alguna PPT o un material ke si tubiera se lo agradeceria bastante soy estudiante de MTCS : Windows Server 2008 Active Directory en Peru y agradeceria su apoyo en este momento como professional que es usted  he escuchado sus Webcast en Technet  Agradeceria su gentil respuesta de ante mano y nos estaremos viendo por españa para charla de Windows Azure Gracias….

  11. Eduardo says:

    Mi Correo de Universidad para contarme

    418571@comunidad.senati.edu.pe

    Muchas Gracias….

  12. Yuke says:

    tengo un problema, trate de cifrar mi disco duro externo y mi hermano chico la pasuo y ahora windows no reconoce el disco, nisiquiera muestra q este conectado, ningun mensaje ni nada

  13. cristian conejo says:

    mi pregunta es … mi disco esta partido en dos con una parte si pude activar el bitlocker normalmente y con la otra parte me dice que no tengo tpm … que hago ?????

  14. Guillermo Neumann says:

    muchas gracias por tu ayuda me sirvio de mucho, pero tengo una consulta como puedo usarlo sin el pendrive

  15. Jesus says:

    hola yo se que ya es muy tarde inclusive ni has de estar pendiente ya de este post pero dejame decirte que me sirvio mucho y bueno aunque apenas estoy iniciando con esto de computacion no se si podrias ayudarme pára poder entender mejor lo que hago bueno saludos y gracias

  16. Trojan says:

    Trabajo en servicios informáticos Barcelona (http://www.trojan.es/) y notas como estas siempre ayudan a hacer nuestro trabajo más simple ¡Gracias!

  17. rcespedes says:

    hola, yo tengo windows 7 home premium de 32 bits.

    Tengo un problema aparte de no tener el TPM en mi pc.

    En ejecutar pongo "gpedit.msc" pero me salia (error, no se encuentra). Entonces pense en buscar "gpedit" en internet e instalarlo en mi ordenador, todo bien hasta ahi; vuelvo a seguir tus pasos: "en ejecutar "gpedit.msc" se abre y busco la direcciones tuyas:Configuración del equipo –> Componentes de Windows –> pero no encuentra "Cifrado de unidad Bitlocker".

    Sabrias decirme que puede ser? como lo soluciono?

  18. renid says:

    tengo el mismo problema ….no se como rayos active el bitlocker no puse contraseña ni nada de eso simplemente me apareció blanqueado el disco c …pero e querido seguir estos paso pero ni siquiera me deja utilizar el ejecutar mi sistema operativo es windows 7 ultimate se abre y busco la direcciones tuyas:Configuración del equipo –> Componentes de Windows –> pero no encuentra "Cifrado de unidad Bitlocker"

  19. Jiimy says:

    Hola pero para activar en "Disco local D"  ami no me deja

  20. MAR says:

    Cuando accedes mediante el gpedit.msc, la ruta correcta seria: Configuración del equipo –>antes de Componentes de Windows tienes que acceder a Plantillas Administrativas y luego ahi a Componentes de Windows. Yo no tuve problemas porque trabajo bastante
    con politicas pero por si alguien se "pierde" Muy bueno el articulo, me ha ayudado muchiismo, pero una pregunta… Anivel registro, se podria hacer y ejecutarlo mediante este script esta modificacion que en el articulo se hace a mano???? Muchisimas gracias!!
    Saludos

  21. MAR says:

    Anonymous, no es necesario que la memoria USB que conectas para guardar la clave este vacia. El bitlocker solo utiliza la memoria USB para guardar un archivo mas, que en este caso es la clave. Saludos

  22. Fernando says:

    HOLA PERO EL WINDOWS 8 Q TENGO D UNA NO SALE LA OPCION BITLOKER EXISTE OTRA OPCION PARA CIFRAR’???

  23. ML49448 says:

    Estoy empezando a incursionar en esto que son las pc y sus partes.
    Quiero saber si este chip TPM/FW3.19 de asus sirve para mi placa p9x79 y intel dh61be

  24. israel says:

    hola, siempre solicita la clave despues de activar el bitlocker, al iniciar el SO esto es normal o puedo leerlo desde un usb. gracias

  25. José Chonillo says:

    Hola Fernando, la unidad USB es perfecta cuando la Laptop esta fuera de la organización, pero si la conecto a la red y enciendo el equipo, ¿es posible omitir el uso del USB? de tal forma que el AD pueda pasar las claves de inicio que están en el USB.

    Favor tu ayuda y gracias.

  26. Chrits says:

    Does anyone knows if I’ll always be depending of that USB key, I don’t want to depend of a USB KEY

    Just asking thanks.

  27. Héctor Manuel Oyo Sám says:

    Microsoft Virtual Academy podría ser mucho mejor de lo que es, la verdad, cuando te metes en el sitio está muy bien, muchos cursos en inglés y en español, con muchos atractivos, eventos…,etc.

    El problema viene cuando empiezas a tener problemas en tu panel, cursos que no te dan los puntos, los certificados que no se pueden descargar, y de más. Todo ello se refleja en el Soporte Técnico que esta lleno de quejas de los usuarios y lo peor de todo es
    que Microsoft Virtual Academy no te hace ni caso cuando te quejas. Así sintiéndolo mucho este sitio deja mucho que desear.

  28. jimmy says:

    Jajajaja muy buen explicado, me sirvio mucho . gracias bro

  29. @clicfox says:

    Me ha sido de mucha utilidad. Gracias!

  30. Mark-one says:

    Disculpa se esta cifrando mi HDD de 500 gbs y solo habia ocupado 20 gbs pero con el bitlocker ahora esta lleno solo me dice que tengo 5 gb disponibles a que se debe ayudaaa!!!

Skip to main content