Cómo almacenar claves de BitLocker de forma segura en Active Directory

Obtener las claves de recuperación de BitLocker en Active Directory puede ser fundamental si administras varias máquinas unidas a un dominio. Es un poco extraño que Windows no elimine automáticamente esas claves a menos que ajustes algunas políticas, pero una vez configurado, simplifica enormemente la recuperación. Además, si un dispositivo muestra un mensaje de recuperación durante el inicio, es conveniente acceder a AD y obtener la clave en lugar de tener que modificar o reiniciar todo. Así que no se trata solo de mantener todo ordenado, sino también de evitar esos momentos de pánico cuando una unidad se bloquea repentinamente y te encuentras frente a una pantalla de recuperación.

Claro que configurar esto no es del todo sencillo, y algunos errores podrían complicarte la vida, especialmente en dispositivos antiguos o si las políticas de grupo no están alineadas. Pero investigando un poco en los lugares adecuados, puedes asegurarte de que tus claves de recuperación tengan una copia de seguridad correcta y que la recuperación sea facilísima cuando la necesites. Aquí te explicamos cómo hacerlo, con algunos detalles adicionales que te ahorrarán dolores de cabeza más adelante.

¿Cómo almaceno claves de BitLocker en Active Directory?

Configurar la política de grupo para almacenar claves en AD

Este es el primer paso, ya que si sus políticas no se aplican, las claves no se cargarán. Es fundamental: sin la política correcta, las claves de recuperación permanecen en el dispositivo. Normalmente, esto ocurre al activar BitLocker en equipos unidos a un dominio en un entorno administrado o si un dispositivo requiere recuperación en algún momento.

  1. Abra la Consola de administración de directivas de grupo en su controlador de dominio. Normalmente, se encuentra en Administrador del servidor > Herramientas > Administración de directivas de grupo.
  2. Vaya a Configuración del equipo > Políticas > Plantillas administrativas > Componentes de Windows > Cifrado de unidad BitLocker.
  3. Busque y haga doble clic en » Elegir su configuración». Establézcala en «Habilitada».
  4. Activar las contraseñas de recuperación de respaldo y los paquetes de claves : esto es lo que garantiza que la información de recuperación realmente se almacene en AD.
  5. Pulse Aplicar y Aceptar.
  6. Para implementar nuevas políticas inmediatamente, ejecute gpupdate /forcedesde un símbolo del sistema con privilegios elevados o PowerShell en los equipos cliente. Esto fuerza la actualización de la política; de lo contrario, podrían esperar hasta el siguiente ciclo de actualización.

Esto ayuda porque si lo deja deshabilitado, las claves de recuperación permanecerán solo en la máquina local, lo que resultará bastante inútil si el usuario olvida su contraseña o si la unidad falla.

Verificar las claves de BitLocker en Active Directory

Una vez implementadas las políticas, conviene verificar que las claves estén almacenadas correctamente. A veces, las políticas parecen estar habilitadas, pero aún no han cargado la información de recuperación debido a problemas de sincronización o errores durante el cifrado.

  1. Abra Usuarios y equipos de Active Directory. Es posible que deba ejecutarlo como administrador o desde un servidor.
  2. En la barra de menú, vaya a Ver > Funciones avanzadas : esto expone pestañas e información adicionales en los objetos.
  3. Localiza el objeto informático que te interesa. Puedes utilizar la barra de búsqueda si es necesario.
  4. Haga clic derecho sobre él y elija Propiedades.
  5. Vaya a la pestaña Recuperación de BitLocker. Si no la ve, es posible que la política no esté funcionando correctamente o que el dispositivo aún no esté cifrado.
  6. Revise la contraseña de recuperación y la información del paquete de claves. Si están ahí, perfecto; si no, quizás deba solucionar problemas con las políticas o el estado del cifrado.

Recuperar una clave de BitLocker de AD

Esta es la razón principal por la que las claves se almacenan en AD: si una máquina solicita una clave de recuperación, es más fácil obtenerla directamente. Porque, sinceramente, buscar una clave de recuperación en el dispositivo del usuario o en correos electrónicos no es lo ideal.

  1. Abrir usuarios y equipos de Active Directory.
  2. Busque el dispositivo infractor: puede hacerlo por nombre o explorando la OU.
  3. Haga clic derecho y seleccione Propiedades.
  4. Vaya a la pestaña Recuperación de BitLocker.(Si no la ve, asegúrese de que las políticas se apliquen correctamente y que el dispositivo esté cifrado).
  5. Busca y selecciona la entrada de recuperación correspondiente. Normalmente, incluye una marca de tiempo o una descripción que te ayuda a elegir la correcta.
  6. Copie la clave de recuperación de 48 dígitos y luego ingrésela en la PC afectada en el mensaje de recuperación.

Obligar a los dispositivos existentes a cargar claves

Esto puede ser un fastidio si configuraste BitLocker hace tiempo y nunca recibiste la información de recuperación en AD. El proceso es bastante manual, pero vale la pena si necesitas asegurarte de que todos tus dispositivos cifrados estén registrados.

  1. Abra una ventana elevada del símbolo del sistema o de PowerShell en la máquina cliente.
  2. Tipo: manage-bde -protectors -get C:. Asegúrese de que C: sea la letra de su unidad cifrada.
  3. Busque el ID del protector de clave en la salida.
  4. De vuelta en PowerShell o CMD, ejecute: manage-bde -protectors -adbackup C: -id {ProtectorID}. Reemplace {ProtectorID}con lo que encontró anteriormente.
  5. Una vez hecho esto, verifique en Active Directory para ver si aparece la información clave (a veces toma unos minutos o una actualización).

Esto es un poco impredecible según el entorno, pero en una configuración falló la primera vez y luego funcionó después de reiniciar. A veces Windows lo hace más difícil de lo necesario, bueno.

Comprobar claves almacenadas con PowerShell

¿Quieres una visión más completa? PowerShell puede auditar todos los objetos de recuperación en AD, lo cual resulta muy útil, especialmente cuando se gestionan varias máquinas.

  1. Ejecute PowerShell como administrador: haga clic con el botón derecho en el ícono y seleccione Ejecutar como administrador.
  2. Ejecute el comando: Get-ADObject -Filter 'objectClass -eq "msFVE-RecoveryInformation"' -Properties msFVE-RecoveryPassword.
  3. Revise el resultado; debería incluir toda la información de recuperación almacenada. Si falta información o está desactualizada, sabrá dónde concentrar sus esfuerzos.

Preguntas frecuentes

¿BitLocker requiere Active Directory para almacenar claves?

No necesariamente. BitLocker funciona con el almacenamiento local, pero si desea un control centralizado y una recuperación más sencilla, AD es una opción sólida, especialmente para entornos empresariales.

¿Puedo almacenar también la información del propietario de TPM en AD?

Sí, puedes configurar políticas para que la información del propietario del TPM se almacene junto con tus claves de recuperación de BitLocker. Simplemente revisa la configuración de la directiva de grupo para TPM y BitLocker.

¿Necesitas Windows Server para esto?

Sí, los Servicios de Dominio de Active Directory deben ejecutarse en Windows Server o en un entorno compatible. Sin AD, no hay almacenamiento centralizado de claves de recuperación.

¿Puede Azure AD reemplazar el AD local para BitLocker?

Por supuesto. Azure AD puede almacenar claves de recuperación para dispositivos Windows unidos a Azure, por lo que ni siquiera necesita un dominio local: estilo de administración en la nube.

Esta configuración ayuda a mantener las claves de recuperación bajo control, lo que facilita el trabajo del departamento de TI y evita muchos dolores de cabeza cuando las unidades fallan. Simplemente configure la política, verifique el almacenamiento y listo. Al menos, esa es la teoría.

Cómo resolver el error de la aplicación FileCoAuth.exe en Windows
Cómo solucionar el problema de que Microsoft Store se bloquea al funcionar rápidamente