Cómo usar Bitlocker en máquinas que no tienen TPM

Ya sabemos que Bitlocker es una característica de cifrado que viene en las versiones Enterprise y Ultimate tanto de Windows Vista cómo de Windows 7. Para cifrar el disco donde está el sistema operativo es necesario disponer de un TPM (Trusted Platform Module) que será el encargado de guardar la clave de SRK (Storage Root Key). Esta clave servirá para empezar el proceso de descifrado y así poder tener acceso al disco de sistema. Lamentablemente no todos los ordenadores tienen TPM así que hoy vamos a ver los pasos que debemos seguir para poder guardar esta clave en un dispositivo USB externo y así poder aprovecharnos del cifrado que nos ofrece Bitlocker.

Para el que no le guste leer, os dejo un pequeño video de todos los pasos que aparecen en este mismo artículo:

 

  1. Lo primero con lo que nos encontramos cuando intentamos cifrar una unidad de sistema operativo en una máquina que no tiene TPM es con el mensaje de error “Este equipo debe tener un dispositivo de seguridad del Módulo de plataforma segura (TPM) compatible, pero no se encontró ningún TPM. Póngase en contacto con el administrador del sistema para habilitar Bitlocker” bitlockerNonTPM02

  2. Para evitar que nos aparezca este mensaje tendremos que abrir las políticas de grupo de la máquina, o bien hacerlo desde el directorio activo si la máquina fuese parte del mismo.

    1. Para eso debemos ejecutar: “gpedit.msc” y
    2. Navegar a: Configuración del equipo –> Componentes de Windows –> Cifrado de unidad Bitlocker –> Unidades del sistema operativo bitlockerNonTPM03
    3. Una vez en unidades del sistema operativo tendremos que seleccionar la política “Requerir autenticación adicional al iniciar”  
    4. Habilitaremos esta política. (Cómo podemos ver esta política nos permite usar Bitlocker en máquinas sin TPM pero además podemos configurar requerimientos para máquinas que sí tienen Bitlocker, cómo forzar a que tengan o no pin en el arranque etc…)bitlockerNonTPM04
  3. Una vez que hemos habilitado la política debemos forzar la actualización de las políticas o bien esperar a que se actualicen solas, para evitar esperar ejecutaremos: gpupdate /target:Computer /force

  4. Ahora volveremos a intentar cifrar el contenido del disco de sistema:image bitlockerNonTPM05

  5. Al comenzar el proceso de Bitlocker y darse cuenta que no tiene chip TPM nos aparece la esta pantalla. Aquí forzaremos a que nos pida una clave en el inicio que será almacenada en una llave USB.

  6. A continuación le indicaremos en que dispositivo externo vamos a guardar la calve, en mi caso es una llave USB que se llama Bitlocker bitlockerNonTPM06

  7. Una vez finalizado esto nos pedirá que guardemos la clave de recuperación (recordad que esto por políticas también se puede ocultar para que directamente esto se guarde sólo en el directorio activo y que no tengamos que guardarlo, o imprimirlo nosotros mismos.

  8. Finalmente estaremos listos para empezar a cifrar el discobitlockerNonTPM08

  9. En este punto nos pedirá un reinicio.  bitlockerNonTPM09

    NOTA:
    Es importante que en este primer reinicio no quitemos la llave USB, de hacerlo en el siguiente arranque no será capaz de encontrar la clave que usará para cifrar el disco y fallará con este error: “No se encuentra la clave de inicio o la contraseña de recuperación de Bitlocker en el dispositivo USB. Compruebe que tiene el dispositivo USB correcto y que el dispositivo USB está conectado al equipo en un puerto USB activo, reinicie el equipo e inténtelo de nuevo. Si el problema persiste, póngase en contacto con el fabricante del equipo para obtener instrucciones de actualización de BIOS.”
    bitlockerNonTPM10

    Si nos pasa esto verémos también los eventos ID: 24630 y ID: 24609 ambos con Origen: Bitlocker-Driver.

    bitlockerNonTPM12bitlockerNonTPM13

    Si nos aparece esté mensaje de error tendremos que empezar nuevamente con el procedimiento desde el paso 4.

  10. Si no hemos recibido el mensaje de error estaremos felizmente cifrando el disco.

  11. Ya tenemos la partición de sistema operativo cifrada ahora sólo hay que reiniciar la máquina para ver el comportamiento.

    1. Si no tenemos el pendrive pinchado nos dará un mensaje de error en el arranque de la máquina.
    2. Si lo tenemos pinchado directamente arrancará la máquina.
  12. Si hibernamos el sistema también nos hace falta tener la llave USB pinchada para poder recuperar el ordenador.

Si has llegado hasta aquí y te preguntas que es lo que se guarda en la llave USB, se trata de un fichero cifrado con extensión BEK (Bitlocker Encryption Key) que contiene la clave de cifrado del disco, no dudes en hacer una copia de este fichero y dejarlo en un sitio bien seguro, por si algún día necesitas recuperar el contenido del disco.

bitlockerNonTPM11

Ya no nos quedan excusas para ponernos a cifrar todos nuestros equipos, sean antiguos o nuevos con o sin TPM,. Espero que os haya sido de utilidad.

Enjoy

Monaguillo…t