Cómo habilitar y configurar BitLocker en Windows usando comandos CMD

¿Qué es BitLocker y qué nos proporciona?

BitLocker es un Microsoft programa de seguridad que brinda protección a los discos duros o SSD mediante el cifrado de datos, esta tecnología viene por defecto en las versiones de Windows Vista en adelante, por lo tanto, la última versión de Windows 10 también incorpora esta funcionalidad como importante. Para los sistemas operativos de servidor de Microsoft, tenemos BitLocker instalado por defecto en Windows Server 2008 en adelante.

Gracias a esta tecnología de Microsoft podemos cifrar los datos de discos duros internos o externos, así como de memorias USB, y todo ello mediante un algoritmo de cifrado simétrico seguro como es el AES, en sus diferentes versiones configurables a través del sistema operativo interno. opciones En este artículo te hemos explicado previamente todo sobre BitLocker, ya que te hemos enseñado a activarlo y configurarlo detalladamente a través de la interfaz gráfica de usuario.

Hay varias formas de habilitar BitLocker en una unidad de disco:

• Panel de Control
• Centro de actividades
• Explorador de archivos
• Línea de comando con símbolo del sistema
• PowerShell

Hoy te vamos a mostrar cómo activarlo y configurarlo a través de la línea de comandos usando el símbolo del sistema o CMD en los sistemas operativos Windows.

Ingrese a la consola de comandos de Windows

En esta ocasión vamos a ver cómo activar BitLocker desde la línea de comandos, para ello utilizaremos el comando Manage-bde; Para poder ejecutar este comando necesitamos permisos de administrador, por lo que tenemos que ingresar a la línea de comando con permisos de administrador, para ello, en Windows 10, hacemos clic en el ícono de la lupa en la barra de tareas y escribimos CMD.

En la parte superior vemos la aplicación encontrada, «Símbolo del sistema», al pulsar con el botón derecho del ratón sobre ella aparece un menú contextual en el que elegiremos la opción «Ejecutar como administrador». Al elegir esta opción nos pide confirmación de que queremos ejecutar la consola de comandos del sistema operativo con privilegios de administrador.

Damos clic en el botón “Sí” y se abre la ventana de la consola de comandos de Microsoft Windows.

Una vez que estemos aquí, podemos comenzar a ejecutar los diferentes comandos para activar, desactivar y configurar BitLocker en detalle.

Todos los comandos para administrar BitLocker

En este tutorial aprenderás todos los comandos que debes utilizar para realizar distintas acciones con BitLocker, como por ejemplo activarlo en nuestro sistema operativo, verificar el estado de uso de BitLocker, también podemos configurarlo para encriptar una unidad de disco o partición, así como una memoria flash. El comando fundamental para realizar todas estas tareas es “manage-bde”, y lo usaremos a lo largo del tutorial.

A continuación, tienes todos los detalles para aprovechar al máximo la tecnología BitLocker para proteger todos los datos contenidos en los diferentes discos.

Habilite BitLocker desde el símbolo del sistema o CMD

Manage-bde es una herramienta de línea de comandos que nos permite habilitar el cifrado de BitLocker en el arranque interno, los datos internos y las unidades de disco externas, incluidas las unidades flash USB. Manage-bde tiene incluso más parámetros que los que muestra la herramienta BitLocker ejecutada desde el panel de control.

manage-bde /?

Nos muestra una lista de todos los parámetros que podemos utilizar.

manage-bde -status

Nos muestra la situación de encriptación de todos los discos conectados al sistema.

manage-bde -status  F:

Nos muestra la situación de cifrado del disco conectado a la unidad F.

Para activar el cifrado de un disco con BitLocker es necesario proporcionar “protectores” para el cifrado, estos protectores pueden ser de varios tipos:

• Una contraseña de desbloqueo (con los requisitos mínimos de seguridad: longitud 8 caracteres, mayúsculas, minúsculas, números y caracteres especiales).
• Una clave de recuperación.
• Una contraseña de recuperación.
• Un certificado de firma digital.

Como mínimo, deberá proporcionar un protector de contraseña de desbloqueo y una clave de recuperación como vimos al usar BitLocker desde el Panel de control, el Centro de actividades o Explorador de archivos.

Desde la línea de comandos podemos hacerlo de dos formas:

Opción 1

Proporcionar la contraseña de desbloqueo y la clave de recuperación en el comando “Manage-bde –on -pw -rk ”.

manage-bde -on f: -pw -rk g:

El comando anterior nos pide una contraseña de desbloqueo y genera una clave de recuperación en el disco "G:" y luego comienza el cifrado del disco "F:". El disco donde se almacena la clave de recuperación no puede ser un disco cifrado con BitLocker.

En la ubicación indicada nos guarda un archivo .BEK con la clave de recuperación y nos muestra en pantalla información sobre los protectores añadidos: la clave de recuperación y la contraseña. Aparece un identificador en el nombre del archivo que BitLocker nos pedirá para usar la clave de recuperación que corresponde a un disco encriptado específico.

Opción 2

La segunda opción es proporcionar la contraseña de desbloqueo y la clave de recuperación primero en el comando "Administrar-bde –protectores –añadir -pw -rk ” y habilitando BitLocker luego en dicha unidad de disco con el comando «Manage-bde –on »

manage-bde f: -protectors -add -pw -rk g:

El comando anterior nos pide que ingresemos y confirmemos una contraseña de desbloqueo para la unidad "F:" y luego genera una clave de recuperación y la guarda en la ruta especificada, unidad "G:". Luego activamos BitLocker en el disco «F:» ejecutando el comando:

manage-bde –on f:

El sistema nos dice que el cifrado de la unidad F ha comenzado:

Y un cuadro de diálogo nos muestra el progreso del proceso de cifrado.

Podemos ejecutar el comando “fvenotify.exe ” para mostrar el cuadro de diálogo anterior en caso de que no aparezca. La siguiente imagen muestra el resultado de ejecutar “manage-bde –status f:”.

Una vez que hemos aprendido cómo habilitarlo, ahora vamos a realizar otras acciones esenciales para administrar BitLocker correctamente.

Agregar un protector de contraseña de recuperación

Opcionalmente, podemos añadir una contraseña de recuperación numérica al disco cifrado que, al igual que la clave de recuperación, nos permite desbloquear un disco cifrado en caso de que hayamos perdido la contraseña de desbloqueo. Para ello utilizaremos el parámetro –rp, en cualquiera de sus dos opciones:

manage-bde -on f: -pw -rk g: -rp

Otra posibilidad

manage-bde f: -protectors -add -pw -rk g: -rp manage-bde -on f:

En la siguiente imagen vemos cómo agregar una contraseña de recuperación a un disco ya encriptado.

Mostrar los métodos para proteger un disco cifrado

Desde la consola de comandos ejecutamos la siguiente sentencia:

manage-bde f: -protectors –get

Bloquear, desbloquear y desbloquear automáticamente un disco cifrado

Con los comandos anteriores hemos visto como activar un BitLocker en un disco, por defecto se desbloquea el disco cifrado y podemos usarlo directamente. En caso de expulsar el disco, al volver a conectarlo a cualquier ordenador, nos indicará que el disco está encriptado y nos pedirá que escribamos la clave de desbloqueo. Los siguientes comandos nos permiten manejar el bloqueo del disco de cifrado.

Este comando bloquea un disco que está desbloqueado, si ya está bloqueado no hace nada.

manage-bde –lock f:

El siguiente comando desbloquea un disco bloqueado usando la contraseña de desbloqueo. Nos pide que escribamos la clave de desbloqueo.

manage-bde –unlock f: -pw

El siguiente comando desbloquea un disco bloqueado usando la clave de recuperación ubicada en la ruta indicada, es necesario indicar el nombre del archivo que contiene la clave de recuperación ya que podemos tener diferentes claves de recuperación para diferentes discos encriptados.

manage-bde -unlock f: -rk g:6DA2A89C-1738-4C59-A3FD-0C8477FEDAB2.BEK

El siguiente comando desbloquea un disco bloqueado usando la contraseña de recuperación que generamos con el parámetro –rp.

manage-bde -unlock f: -rp 596277-460262-021274-649242-626384-329329-536756-504790

La opción –autounlock le permite habilitar o deshabilitar el bloqueo automático de un disco encriptado cuando está conectado a una computadora. Para habilitar el desbloqueo automático es necesario que el disco haya sido desbloqueado previamente por alguno de los tres métodos anteriores.

Para habilitar el desbloqueo automático escribimos el siguiente comando:

manage-bde -autounlock -enable f:

Este comando crea una clave externa asociada en este disco para permitir el desbloqueo automático al conectar el disco a una computadora. Para deshabilitar el desbloqueo automático de una unidad de disco escribimos el comando:

manage-bde -autounlock -disable f:

Es necesario eliminar la clave foránea asociada tal como lo indica el sistema operativo para que puedas deshabilitar completamente el desbloqueo automático mediante el siguiente comando:

manage-bde -protectors F: -delete -id {34C63825-A1DB-4175-8F7C-897E4A696CC5}

El comando nos lo indica el propio sistema operativo.

Agregar un certificado de firma digital como protector

Mediante este protector podemos realizar la encriptación de un disco este protegido mediante la clave pública de un certificado de firma digital. Para ello debemos disponer de un certificado digital o firma electrónica. De este certificado necesitaremos la ruta donde se encuentra la clave pública, (un archivo con extensión .cer).

En la siguiente línea vemos un ejemplo de cómo agregar un protector de certificado digital al disco “F:” y cómo indicamos la ruta donde se encuentra el archivo que contiene la clave pública.

manage-bde -protectors -add f: -certificate -cf "g:certcp.cer"

Como en los ejemplos anteriores, luego de agregar el protector a la unidad de disco se procede a la activación de BitLocker en dicha unidad:

manage-bde –on f:

Desactivar BitLocker en una unidad de disco

Para deshabilitar BitLocker en una unidad de disco, es decir para descifrar una unidad de disco, es necesario que la unidad esté desbloqueada, luego ejecutamos el siguiente comando desde la consola de comandos del sistema operativo

manage-bde –off f:

En este momento tendremos BitLocker deshabilitado en esta unidad de disco, el comando es muy fácil de recordar, por lo que siempre podremos ejecutarlo sin tener que mirar la documentación.

Habilitar BitLocker en un disco de inicio

Como vimos en el artículo” Proteger los datos de nuestros discos con BitLocker en Windows 10 “, el cifrado de la unidad de arranque tiene ciertas peculiaridades; en este caso nos vamos a centrar en el caso de que nuestra máquina necesite una memoria flash USB donde almacenar una clave para desbloquear el disco que contiene el sistema operativo al inicio.

Primero, deberá generar una clave de inicio "-startupkey" usando la opción "-protector -add" del comando manage-bde.

El siguiente comando agrega un protector de tipo –startupkey para la unidad “E:” y lo guarda en un archivo en la carpeta raíz de la unidad “F:”.

manage-bde e: -protectors –add –sk f:

En segundo lugar, el archivo con la clave de inicio generada debe copiarse en una memoria flash USB que se utilizará para desbloquear la unidad que contiene el sistema operativo de la computadora durante el inicio.

Tercero, activaremos BitLocker en la unidad de disco de arranque y luego del reinicio comenzará el cifrado, es importante no quitar la memoria flash USB que contiene la clave de arranque durante todo el proceso y hasta que finalice el cifrado.

manage-bde -on C:

Como has visto, podemos activar y desactivar esta tecnología de seguridad a través de la línea de comandos, ideal para realizar todas las acciones a través del CMD sin utilizar la interfaz gráfica de usuario de Windows. Esperamos que con este tutorial hayas podido conocer en detalle cómo se utiliza BitLocker para proteger los datos de tus discos duros, SSD y también unidades de almacenamiento USB externas.