MZ����������������������������������������������������������@���PE��L�����������������!������������������������������@��������������������������0������V����@��������������������������������������������������������������������������������������������������������������������������������������������������������.rsrc������������������������������@��@.its��������� ����������������������@��@�������������������������������������������������������������������������������������������������������������������������������������������������������������������0������������������ ���H���X���|�����������|�4���V�S�_�V�E�R�S�I�O�N�_�I�N�F�O�����������������������������������������������������������S�t�r�i�n�g�F�i�l�e�I�n�f�o��������0�c�0�a�0�4�b�0���b�!���F�i�l�e�V�e�r�s�i�o�n�����1�.�0�0�.�0�0� � � � � � � � � � � � � � � � � � � � � � � � � �����l�"���F�i�l�e�D�e�s�c�r�i�p�t�i�o�n�����C�o�m�p�i�l�e�d� �M�i�c�r�o�s�o�f�t� �H�e�l�p� �2�.�0� �T�i�t�l�e���B�����F�i�l�e�S�t�a�m�p�����6�B�E�8�B�0�8�1�0�1�C�A�0�4�2�5���4�����J�����C�o�m�p�i�l�e�r�V�e�r�s�i�o�n�����2�.�5�.�7�1�2�1�0�.�0���8�5�7�9�����V�����C�o�m�p�i�l�e�D�a�t�e�����2�0�0�9�-�0�7�-�1�4�T�0�1�:�5�0�:�1�0��� � � � � � �����>�����T�o�p�i�c�C�o�u�n�t���2�1�����0�0�0�0�0�0�0�0�0�0�0�0������A���L�e�g�a�l�C�o�p�y�r�i�g�h�t���� �2�0�0�5� �M�i�c�r�o�s�o�f�t� �C�o�r�p�o�r�a�t�i�o�n�.� �A�l�l� �r�i�g�h�t�s� �r�e�s�e�r�v�e�d�.���C�C�C�C�C�C�C�C�C�C�C�C�C�����D�����V�a�r�F�i�l�e�I�n�f�o�����$�����T�r�a�n�s�l�a�t�i�o�n�����
����������������������������������������������ti������k������òixITOLITLS����(����������X쌡��^�
V`���������������������� ������������� �������x�������������������������������������������������������������� ����������������������2�������������������������������������������������������������������������������CAOL����P���HH��C��� ��������������������������ITSF���� �������#��������k ����������m|��������������-Y쌡��^�
V�Y쌡��^�
VIFCM��������������������AOLL����������������������������2������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������IFCM����� ��������������AOLL����������������������������/����/$FXFtiAttribute/����/$FXFtiAttribute/BTREE�:��/$FXFtiAttribute/DATA����/$FXFtiAttribute/PROPERTY�RN�/$FXFtiMain/����/$FXFtiMain/BTREE�
��/$FXFtiMain/DATA�%G�/$FXFtiMain/PROPERTY�lN�/$Index/$ATTRNAME��d�/$Index/$PROPBAG�"��/$Index/$STRINGS�(x�/$Index/$SYSTEM�h:
/$Index/$TOC/����/$Index/$TOC/$secstart����/$Index/$TOPICATTR� `�/$Index/$TOPICS��`�/$Index/$URLSTR� @�/$Index/$URLTBL�`(�/$Index/$VTAIDX�dD�/$Index/AssetId/����/$Index/AssetId/$LEAVES�(� /$OBJINST����/assets/���0/assets/03b11f7b-a230-4065-b233-effac772f6b6.xml�t&0/assets/0a5445ee-a28d-4890-84d7-2d77780756be.xml��60/assets/2b33eec4-5d22-4f75-b64d-2bb1039bece3.xml�P�0/assets/30794a62-7882-4e48-a921-b68a5dd5a89d.xml�j10/assets/4b33750b-75c1-4cc8-b783-828d935485c2.xml��Q0/assets/644da3b5-c93b-4044-8281-00563062f3e1.xml�lo0/assets/79e2d689-0363-4c21-ad3d-8239058f0e5c.xml�[F0/assets/9526006a-ad3e-4fee-b8de-e0f3901e736a.xml�!�0/assets/a061e072-fd16-4272-8990-d24265c39e7f.xml�( 0/assets/b7d14af5-8e83-4fad-b8c0-40daefeef213.xml�HZ
/secstart.h1c�"}
/secstart.H1F���
/secstart.H1T�1k
/secstart.H1V�+��/secstart_AssetId.H1K��k�/secstart_BestBet.H1K��k�/secstart_LinkTerm.H1K�rl�/secstart_SubjectTerm.H1K�^o�::DataSpace/NameList��<(::DataSpace/Storage/MSCompressed/Content�Mx,::DataSpace/Storage/MSCompressed/ControlData�T )::DataSpace/Storage/MSCompressed/SpanInfo�L�/::DataSpace/Storage/MSCompressed/Transform/List�<�_::DataSpace/Storage/MSCompressed/Transform/{8CEC5846-07A1-11D9-B15E-000D56BFE6EE}/InstanceData/���i::DataSpace/Storage/MSCompressed/Transform/{8CEC5846-07A1-11D9-B15E-000D56BFE6EE}/InstanceData/ResetTable�EP3::Transform/{8CEC5846-07A1-11D9-B15E-000D56BFE6EE}/������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������������l��G�W�E��Q��p�2�������U�n�c�o�m�p�r�e�s�s�e�d�����M�S�C�o�m�p�r�e�s�s�e�d���FX쌡��^�
V$�����������LZXC��������������������HH��¿Qué opciones de configuración de directiva de grupo se usan con BitLocker?
Es posible configurar la directiva de grupo del Cifrado de unidad BitLocker para unidades protegidas por BitLocker específicas de la organización (o en el equipo local si el equipo no forma parte de un dominio). Esto permite a los administradores del sistema definir directivas basadas en el uso de las unidades. Estas opciones de configuración de directiva se pueden aplicar a lo siguiente:
Todas las unidadesEstas opciones de configuración de directiva se aplican a todas las unidades protegidas con BitLocker.
Unidades de sistema operativoSe trata de la unidad del equipo local en la que está instalado el sistema operativo.
Unidades de datos fijasSe trata de unidades instaladas permanentemente en el equipo local que no se pueden quitar cuando el equipo está en ejecución.
Unidades de datos extraíblesSon unidades diseñadas para quitarlas de un equipo y usarlas en otro cuando el equipo está en ejecución.
Opciones de configuración de directiva de grupo de BitLocker
Las opciones de configuración de la directiva de grupo de BitLocker se encuentran en el Editor de directivas de grupo local o en la Consola de administración de directivas de grupo en Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker. En la siguiente tabla se enumeran las opciones de configuración de la directiva de grupo que se pueden usar para controlar el uso de BitLocker.
Unidad correspondiente
Nombre de opción de configuración
Todas las unidades
Elegir carpeta predeterminada para contraseña de recuperación
Elegir método de cifrado de unidad e intensidad de cifrado
Elegir el modo en el que los usuarios pueden recuperar unidades protegidas con BitLocker (Windows Server 2008 y Windows Vista)
Impedir la sobrescritura de memoria al reiniciar
Proporcionar identificadores únicos para la organización
Almacenar información de recuperación de BitLocker en Servicios de dominio de Active Directory (Windows Server 2008 y Windows Vista)
Validar el cumplimiento de la regla de uso de certificados de tarjeta inteligente
Unidades de sistema operativo
Permitir PIN mejorados para el inicio
Elegir el modo en el que se pueden recuperar unidades de sistema operativo protegidas con BitLocker
Configurar longitud mínima de PIN para el inicio
Configurar perfil de validación de plataforma de TPM
Requerir autenticación adicional al iniciar
Requerir autenticación adicional al iniciar (Windows Server 2008 y Windows Vista)
Unidades de datos fijas
Permitir el acceso a las unidades de datos fijas protegidas con BitLocker en versiones anteriores de Windows
Elegir el modo en el que se pueden recuperar unidades fijas protegidas con BitLocker
Configurar el uso de contraseñas para unidades de datos fijas
Configurar el uso de tarjetas inteligentes en unidades de datos fijas
Denegar el acceso de escritura a las unidades de datos fijas no protegidas con BitLocker
Unidades de datos extraíbles
Permitir el acceso a las unidades de datos extraíbles protegidas con BitLocker en versiones anteriores de Windows
Elegir el modo en el que se pueden recuperar unidades extraíbles protegidas con BitLocker
Configurar el uso de contraseñas para unidades de datos extraíbles
Configurar el uso de tarjetas inteligentes en unidades de datos extraíbles
Controlar el uso de BitLocker en unidades extraíbles
Denegar el acceso de escritura a las unidades de datos extraíbles no protegidas con BitLocker
Escenarios de uso de directiva de grupo
En la tabla siguiente se describen algunos escenarios habituales en los que se pueden usar las opciones de configuración de directiva de grupo.
Escenario
Nombre de opción de configuración
Descripción
Requerir BitLocker en todas las unidades extraíbles.
Denegar el acceso de escritura a las unidades de datos extraíbles no protegidas con BitLocker
Esta opción de configuración de directiva permite especificar si se requiere la protección de BitLocker para que se pueda escribir en las unidades de datos extraíbles de un equipo. Si habilita esta opción de configuración de directiva, las unidades de datos extraíbles protegidas con BitLocker se montarán con acceso de lectura y escritura, mientras que las que no estén protegidas con BitLocker se montarán con acceso de sólo lectura. Si se deshabilita o no se configura esta directiva, se montarán todas las unidades de datos extraíbles del equipo con acceso de lectura y escritura. Si también se habilita la opción de configuración de directiva Discos extraíbles: denegar acceso de escritura ubicada en Configuración de usuario\Plantillas administrativas\Sistema\Acceso a almacenamiento extraíble, el sistema operativo usará aquella opción en lugar de esta opción de directiva de grupo de BitLocker.
Requerir que se almacenen las contraseñas de recuperación en Servicios de dominio de Active Directory (AD DS).
Elegir el modo en el que los usuarios pueden recuperar unidades protegidas con BitLocker (Windows Server 2008 y Windows Vista)Elegir el modo en el que se pueden recuperar unidades de sistema operativo protegidas con BitLockerElegir el modo en el que se pueden recuperar unidades fijas protegidas con BitLockerElegir el modo en el que se pueden recuperar unidades extraíbles protegidas con BitLocker
Estas opciones de configuración de directiva permiten configurar las opciones de recuperación en las unidades protegidas con BitLocker. Las opciones de recuperación son métodos que permiten descifrar una unidad protegida con BitLocker si la clave de descifrado del usuario no está disponible. Las opciones de recuperación incluyen agentes de recuperación de datos basados en certificados, una contraseña de recuperación de 48 dígitos, una clave de recuperación de 256 bits y el almacenamiento de la información de recuperación en AD DS, donde la puede recuperar un administrador. Se puede crear una directiva independiente para unidades de sistema operativo, unidades fijas y unidades extraíbles. Si decide usar esta directiva con un agente de recuperación de datos, también debe configurar la opción de directiva Configurar campo de identificación de BitLocker para asociar un identificador único a una unidad nueva habilitada con BitLocker. Los campos de identificación son necesarios para la administración de agentes de recuperación de datos en unidades protegidas con BitLocker. BitLocker solo administrará y actualizará los agentes de recuperación de datos cuando haya un campo de identificación presente en una unidad y sea idéntico al valor configurado en el equipo.
Requerir el uso de una contraseña compleja con una longitud mínima.
Configurar el uso de contraseñas para unidades de datos fijasConfigurar el uso de contraseñas para unidades de datos extraíbles
Estas opciones de configuración de directiva permiten especificar si se puede usar una contraseña para obtener acceso a las unidades de datos protegidas con BitLocker. Las contraseñas pueden incluir letras, números y símbolos, y deben tener una longitud mínima de ocho caracteres. Si decide habilitar el uso de contraseñas, también puede requerir que se use una contraseña, aplicarle requisitos de complejidad y configurar una longitud mínima superior. Esta directiva solo se puede configurar para unidades de datos fijas y extraíbles.
Requerir el uso de tarjetas inteligentes para BitLocker en unidades de datos.
Configurar el uso de tarjetas inteligentes en unidades de datos extraíblesConfigurar el uso de tarjetas inteligentes en unidades de datos fijas
Estas opciones de configuración de directiva permiten especificar si se pueden usar tarjetas inteligentes para autenticar el acceso de los usuarios a las unidades de datos protegidas por BitLocker de un equipo. Si habilita estas opciones de configuración de directiva, se podrán usar tarjetas inteligentes para autenticar el acceso de los usuarios a las unidades de datos. Ambas opciones de configuración de directiva tienen la opción de requerir la autenticación de tarjeta inteligente antes de habilitar BitLocker en la unidad. Estas opciones se aplican cuando se activa BitLocker, pero no al desbloquear una unidad. BitLocker permitirá desbloquear una unidad sin ninguno de los protectores disponibles en la unidad.
Habilitar en el inicio el uso de números de identificación personal (PIN) más complejos que incluyan letras mayúsculas y minúsculas, símbolos, números y espacios.
Permitir PIN mejorados para el inicio
Esta opción de directiva permite especificar si se pueden usar PIN de inicio mejorados con BitLocker. Los PIN de inicio mejorados permiten el uso de caracteres que incluyen letras en mayúsculas y minúsculas, símbolos, números y espacios. Esta opción de directiva se aplica cuando se activa BitLocker. Si la habilita, todos los PIN de inicio de BitLocker nuevos serán PIN mejorados. Puede que no todos los equipos admitan los PIN mejorados en el entorno previo al arranque. Se recomienda que los usuarios realicen una comprobación del sistema durante la instalación de BitLocker. Esta directiva solo se puede configurar para unidades de sistema operativo.
Para obtener más información acerca del uso de las opciones de directiva de grupo con BitLocker, vea http://go.microsoft.com/fwlink/?LinkId=140286 (puede estar en inglés).
¿Por qué se debe implementar una estrategia de recuperación para el Cifrado de unidad BitLocker?
Disponer de una estrategia de recuperación ayuda a garantizar que los usuarios no pierdan sus datos. La recuperación es importante en las unidades de datos por si un usuario olvida una contraseña o pierde una tarjeta inteligente. Cuando se configuren las unidades de datos para el desbloqueo automático, la recuperación será necesaria si se pierde la clave de desbloqueo automático almacenada en el equipo, por ejemplo en caso de error del disco duro o de reinstalación del sistema operativo.
Cuando se use para proteger una unidad de sistema operativo de un equipo con el hardware de seguridad del Módulo de plataforma de confianza (TPM), el Cifrado de unidad BitLocker de Windows no permitirá que se inicie el sistema operativo si el TPM detecta que se han alterado componentes fundamentales de inicio. Sin embargo, es importante que los usuarios autorizados puedan descifrar los datos. Para ello, BitLocker proporciona distintos métodos de recuperación que se pueden usar para volver a tener acceso a las unidades de sistema operativo protegidas con BitLocker.
Además de los ataques malintencionados, hay otras situaciones en las que puede ser necesario recuperar una unidad de sistema operativo protegida con BitLocker. Entre ellas se incluyen:
Traslado de la unidad protegida con BitLocker a un equipo nuevo.
Actualización de la placa base a una nueva, con un nuevo TPM.
Actualización de la memoria de sólo lectura opcional (opción ROM).
Desactivación, deshabilitación o borrado del TPM.
Actualización de componentes críticos de inicio, como una BIOS, que hacen que el TPM presente errores durante la validación.
Cuando se olvida el número de identificación personal (PIN), en los casos en que se haya habilitado la autenticación con PIN.
Pérdida de la unidad flash USB que contiene la clave de inicio cuando la autenticación con clave de inicio está habilitada.
La creación de un plan para hacer un seguimiento de los métodos de recuperación disponibles para cada equipo permite recuperar los datos si es necesario. El control administrativo del uso de los métodos de recuperación permite evitar que tengan acceso a datos protegidos personas no autorizadas.
Mediante la directiva de grupo, un administrador puede elegir los métodos de recuperación para exigir, impedir o hacer que sea opcional la habilitación de BitLocker para quienes usen el Asistente para la instalación de BitLocker. Por ejemplo, los administradores pueden exigir que se almacene la contraseña de recuperación de la unidad de sistema operativo en los Servicios de dominio de Active Directory (AD DS). La directiva de grupo permite al administrador determinar si la contraseña de recuperación también puede guardarse en un archivo en el disco, imprimirse o verse como texto, o bien si la clave de recuperación puede escribirse en una unidad flash USB. BitLocker puede leer fácilmente la información de una unidad flash USB durante la recuperación, o bien el usuario puede escribir la contraseña de recuperación. Ambos métodos permiten a los usuarios recuperar el acceso a la unidad protegida sin ayuda del administrador.
Referencias adicionales
Guía de instrucciones paso a paso del Cifrado de unidad BitLocker de Windows (http://go.microsoft.com/fwlink/?LinkId=140225 (puede estar en inglés))
Guía paso a paso del Módulo de plataforma segura (TPM) de Windows (http://go.microsoft.com/fwlink/?linkid=139769 (puede estar en inglés))
¿Cómo se activa o desactiva el Cifrado de unidad BitLocker de forma remota?
El Cifrado de unidad BitLocker admite el scripting y puede controlarse mediante el Instrumental de administración de Windows (WMI). La configuración de BitLocker también puede administrarse mediante la directiva de grupo.
En un equipo remoto, WMI es el método recomendado para habilitar o deshabilitar BitLocker.
Para obtener más información acerca del uso de WMI para administrar BitLocker, vea el tema sobre el proveedor de Cifrado de unidad BitLocker http://go.microsoft.com/fwlink/?LinkId=67030 (puede estar en inglés).
Referencias adicionales
Guía de instrucciones paso a paso del Cifrado de unidad BitLocker de Windows (http://go.microsoft.com/fwlink/?LinkId=140225 (puede estar en inglés))
Guía paso a paso de administración del Módulo de plataforma segura (TPM) de Windows (http://go.microsoft.com/fwlink/?linkid=139769 (puede estar en inglés))
¿De qué manera ofrece un mayor nivel de protección el uso de un PIN de BitLocker con el TPM?
El uso del Cifrado de unidad BitLocker en unidades de sistema operativo puede ayudar a aumentar la seguridad combinando el uso de un Módulo de plataforma de confianza (TPM) con un número de identificación personal (PIN) proporcionado por el usuario. Este PIN es una medida de seguridad adicional que proporciona la autenticación multifactor.
De forma predeterminada, el Asistente para la instalación de BitLocker habilita BitLocker y lo configura para utilizar TPM sin un PIN. Puede usar la Directiva de grupo para configurar que el asistente para la instalación permita el uso de un PIN.
Es posible configurar el asistente para la instalación de BitLocker mediante la configuración de la directiva de grupo de modo que permita la opción de escribir un PIN de 4 a 20 dígitos. Si se configura BitLocker con esta opción, el hardware de seguridad del TPM no podrá liberar las claves de cifrado cuando se inicie el equipo o se reanude el uso después de la hibernación, a menos que se escriba el PIN correcto.
Dado que el PIN se debe escribir cada vez que se reinicia el equipo o cuando se reanuda el uso después de la hibernación, probablemente no sea recomendable habilitar el PIN en un equipo que deba reiniciarse con frecuencia en el menor tiempo posible, o bien en los casos en que no sea posible que haya intervención humana cada vez que se reinicia el equipo.
El TPM también detecta el uso de "ataques de diccionario", en los que alguien intenta escribir PIN aleatorios o en secuencia reiteradas veces para obtener acceso.
Los administradores también pueden usar la directiva de grupo para exigir o impedir la creación de un PIN.
Referencias adicionales
Guía de instrucciones paso a paso del Cifrado de unidad BitLocker de Windows (http://go.microsoft.com/fwlink/?LinkId=140225 (puede estar en inglés))
Guía paso a paso del Módulo de plataforma segura (TPM) de Windows (http://go.microsoft.com/fwlink/?linkid=139769 (puede estar en inglés))
¿Se puede usar una clave de inicio de BitLocker con un TPM?
De forma predeterminada, cuando se habilita BitLocker en una unidad de sistema operativo, el asistente para la instalación de BitLocker lo configura para que use el TPM sin una clave de inicio. Puede usar la Directiva de grupo para configurar que el asistente para la instalación permita el uso de una clave de inicio.Nota
No se debe usar esta opción si la configuración de directiva requiere que una unidad extraíble esté protegida con BitLocker para poder escribir datos en la unidad.
En un equipo con un TPM, BitLocker puede ayudar a mejorar la seguridad combinando el uso del TPM con una clave de inicio. Si decide usar una clave de inicio combinada con un TPM, el TPM guarda y sella parte de la clave de cifrado usada para desbloquear el volumen, mientras que otra parte de la clave de cifrado se guarda en una unidad flash USB. Una unidad flash USB que contiene la información de clave necesaria se denomina clave de inicio. Tanto la información guardada en el TPM como la clave de inicio son necesarias para obtener acceso a la unidad protegida con BitLocker.
Es posible configurar el asistente para la instalación de BitLocker con la configuración de directiva de grupo para que ofrezca la opción de crear una clave de inicio al cifrar la unidad. Si se habilita BitLocker con esta opción, el hardware de seguridad del TPM no podrá liberar las claves de cifrado cuando se inicie el equipo o se reanude el uso después de la hibernación, a menos que se inserte la clave de inicio.
Dado que la clave de inicio debe estar presente cada vez que se reinicia el equipo o cuando se reanuda el uso después de la hibernación, probablemente no sea recomendable habilitar la clave de inicio en los casos en que no sea posible que haya intervención humana cada vez que se reinicie el equipo.
Referencias adicionales
Guía de instrucciones paso a paso del Cifrado de unidad BitLocker de Windows (http://go.microsoft.com/fwlink/?LinkId=140225 (puede estar en inglés))
Guía paso a paso del Módulo de plataforma segura (TPM) de Windows (http://go.microsoft.com/fwlink/?linkid=139769 (puede estar en inglés))
¿Cuál es la diferencia entre el cifrado de BitLocker de 128 bits y el de 256 bits?
El Cifrado de unidad BitLocker admite claves de cifrado de 128 bits y de 256 bits. Las claves de cifrado más largas ofrecen un nivel mayor de seguridad y son menos vulnerables a los ataques mediante métodos de "fuerza bruta". Sin embargo, las claves más largas pueden hacer que el cifrado y descifrado de datos sean más lentos. En algunos equipos, el uso de claves más largas puede causar una degradación visible del rendimiento. Puede usar la directiva de grupo para cambiar la longitud de la clave de cifrado usada por BitLocker.
Además, BitLocker admite un algoritmo Difusor para proteger el sistema contra los ataques de manipulación de texto cifrado, un tipo de ataque en el que se realizan cambios en los datos cifrados, con el objeto de intentar detectar patrones o puntos débiles.
En esta versión de Windows, el cifrado predeterminado de BitLocker es AES, con claves de cifrado de 128 bits y Difusor. Puede usar la directiva de grupo para seleccionar el cifrado sin Difusor.
Referencias adicionales
Guía de instrucciones paso a paso del Cifrado de unidad BitLocker de Windows (http://go.microsoft.com/fwlink/?LinkId=140225 (puede estar en inglés))
¿Por qué se debe usar AD DS o Active Directory para realizar copias de seguridad de la información de recuperación de BitLocker?
Hacer copias de seguridad de las contraseñas de recuperación de una unidad de disco protegida con el Cifrado de volumen BitLocker permite a los administradores recuperar la unidad si se bloquea. Esto garantiza que el usuario y la organización siempre puedan tener acceso a los datos cifrados de la unidad.
Hacer copias de seguridad de la información de propietario del Módulo de plataforma segura (TPM) permite que los administradores configuren local y remotamente el hardware de seguridad del TPM de ese equipo.
Servicios de dominio de Active Directory (AD DS) y Active Directory ofrecen un repositorio central de información fundamental para el funcionamiento de la red, y esto puede incluir las contraseñas de recuperación de las unidades protegidas con BitLocker en equipos que forman parte del dominio (o bosque) de Active Directory.
El acceso a los objetos de AD DS o Active Directory está restringido por listas de control de acceso (ACL) y se puede auditar.
Además, puede usar la directiva de grupo para configurar BitLocker de manera que la información de recuperación se guarde automáticamente en AD DS o Active Directory.
Referencias adicionales
Guía de instrucciones paso a paso del Cifrado de unidad BitLocker de Windows (http://go.microsoft.com/fwlink/?LinkId=140225 (puede estar en inglés))
Guía paso a paso del Módulo de plataforma segura (TPM) de Windows (http://go.microsoft.com/fwlink/?linkid=139769 (puede estar en inglés))
¿Cómo se puede saber si este BIOS admite el Cifrado de unidad BitLocker?
Para poder usar el Cifrado de unidad BitLocker con el hardware de seguridad Módulo de plataforma segura (TPM) con el fin de proteger la unidad del sistema operativo, el equipo debe tener un BIOS compatible. Si BitLocker y el complemento Administración de TPM aparentemente no funcionan con el hardware de seguridad de TPM y el BIOS, póngase en contacto con el fabricante del hardware para obtener información específica de configuración y solución de problemas.
También se puede usar BitLocker para proteger la unidad de sistema operativo en equipos que no tengan el hardware de seguridad del TPM compatible. En este caso, el usuario debe insertar en el equipo una unidad flash USB que contenga una clave de inicio de BitLocker antes de encender el equipo. Para usar BitLocker sin un TPM, el BIOS del sistema del equipo debe admitir el uso de unidades flash USB durante el principio del proceso de inicio.
De forma predeterminada, cuando se inicia el asistente para la instalación de BitLocker en una unidad de sistema operativo desde el Panel de control o el Explorador de Windows, busca un TPM compatible antes de habilitar BitLocker. Para usar BitLocker en equipos sin un TPM compatible, se debe modificar la opción de directiva de grupo Requerir autenticación adicional al iniciar y active la casilla Permitir BitLocker sin un TPM compatible. Esto permite a BitLocker usar la información de la clave almacenada en una unidad USB para cifrar el contenido de la unidad. Cuando cifre la unidad con este método, deberá insertar la unidad USB cada vez que se inicie el equipo con el fin de autenticar que tiene permiso para obtener acceso al contenido de la unidad.
Nota
Si usa BitLocker en equipos con Windows Vista o Windows Server 2008, puede habilitar la opción de directiva de configuración Requerir autenticación adicional al iniciar (Windows Server 2008 y Windows Vista) con el fin de configurar la selección de métodos de inicio para estos equipos.
Cuando habilita por primera vez BitLocker y antes de cifrar una unidad, el Asistente para la instalación le permite probar la disponibilidad de las unidades flash USB durante el inicio. Si el BIOS no es compatible con la funcionalidad requerida, no se podrá cifrar la unidad.
Para obtener más información acerca los requisitos del sistema para BitLocker, vea el tema sobre el cifrado de unidad BitLocker: introducción técnica (http://go.microsoft.com/fwlink/?LinkId=140226 (puede estar en inglés)).
Referencias adicionales
Guía de instrucciones paso a paso del Cifrado de unidad BitLocker de Windows (http://go.microsoft.com/fwlink/?linkid=140225 (puede estar en inglés))
Guía paso a paso de administración del Módulo de plataforma segura (TPM) de Windows (http://go.microsoft.com/fwlink/?linkid=139769 (puede estar en inglés))
¿Cómo se usa AD DS o Active Directory para realizar copias de seguridad de la información de recuperación de BitLocker?
Se pueden usar los Servicios de dominio de Active Directory (AD DS) y Active Directory para almacenar la información de recuperación del Cifrado de unidad BitLocker y la información de propietario del Módulo de plataforma segura (TPM).
Almacenamiento de la información de recuperación de BitLocker en AD DS o Active Directory
La información de recuperación de BitLocker se guarda en un objeto secundario de un objeto de equipo en AD DS o Active Directory. Es decir, el objeto de equipo es el contenedor del objeto de recuperación de BitLocker. Pueden existir varios objetos de recuperación de BitLocker para cada objeto de equipo porque a un equipo se pueden asociar varias unidades con BitLocker habilitado.
Cada objeto de recuperación de BitLocker en una unidad con BitLocker habilitado tiene un nombre único y contiene un identificador único global (GUID) para la contraseña de recuperación. El nombre del objeto de recuperación de BitLocker tiene un límite de 64 caracteres, debido a las restricciones de Active Directory. Este nombre incorpora el GUID de la contraseña de recuperación, además de información de fecha y hora.
El formato del nombre es el siguiente: <Object Creation Date and Time>{<Recovery Password GUID>}
Por ejemplo: 2005-09-30T17:08:23-08:00{063EA4E1-220C-4293-BA01-4754620A96E7}
El nombre común (CN) de Active Directory del objeto de recuperación de BitLocker es ms-FVE-RecoveryInformation e incluye atributos tales como ms-FVE-RecoveryPassword y ms-FVE-RecoveryGuid.
Almacenamiento de la información de propietario de TPM en AD DS o Active Directory
Solo existe una contraseña de propietario de TPM por equipo, por lo que el hash de la contraseña de propietario de TPM se almacena como un atributo del objeto de equipo en AD DS o Active Directory. Se guarda en Unicode. El atributo tiene el nombre común ms-TPM-OwnerInformation.
Requisitos de Active Directory
Para almacenar la información de BitLocker y TPM en AD DS o Active Directory, todos los controladores de dominio deben ejecutar Windows Server 2003 con Service Pack 1 o posterior. También es necesario instalar extensiones de esquema en los servidores en los que se ejecuta Windows Server 2003.
Instrucciones paso a paso
Si desea obtener instrucciones paso a paso para configurar Active Directory y la directiva de grupo de modo que admitan el almacenamiento de la información de recuperación y propietario, vea la guía de configuración del Cifrado de unidad BitLocker para la copia de seguridad de la información de recuperación de BitLocker y TPM en Active Directory (http://go.microsoft.com/fwlink/?LinkId=140308 (puede estar en inglés)).
Referencias adicionales
Guía de instrucciones paso a paso del Cifrado de unidad BitLocker de Windows (http://go.microsoft.com/fwlink/?linkid=140225 (puede estar en inglés))
Guía paso a paso del Módulo de plataforma segura (TPM) de Windows (http://go.microsoft.com/fwlink/?linkid=139769 (puede estar en inglés))
Más información acerca del Cifrado de unidad BitLocker
El Cifrado de unidad BitLocker ofrece protección para unidades de sistema operativo, unidades de datos fijas y unidades de datos extraíbles perdidas o robadas. Para ello, BitLocker cifra el contenido de las unidades y exige a los usuarios que autentiquen sus credenciales para obtener acceso a la información. En la unidad en la que está instalado Windows, BitLocker usa el Módulo de plataforma segura (TPM) para detectar si se ha alterado el proceso de inicio crítico del equipo. Además, se puede requerir un PIN o una clave de inicio para que los usuarios tengan acceso a los datos de la unidad. En las unidades de datos fijas y extraíbles, los usuarios pueden obtener acceso a una unidad protegida con BitLocker mediante una contraseña, con una tarjeta inteligente o desbloqueando la unidad automáticamente.
BitLocker para unidades de sistema operativo está diseñado para trabajar con sistemas que tienen hardware de seguridad del TPM y BIOS compatibles. Para que sea compatible con BitLocker, los fabricantes del equipo deben aplicar los estándares definidos por el Trusted Computing Group (TCG). Para obtener más información sobre el TCG, visite el sitio web del Trusted Computing Group (http://go.microsoft.com/fwlink/?LinkId=67440 (puede estar en inglés)).
Habilitación de BitLocker
El asistente para la instalación de BitLocker, que se puede iniciar desde el Panel de control o el Explorador de Windows, se usa para habilitar BitLocker en una unidad de datos fija o extraíble instalada en el equipo o la unidad de sistema operativo de los equipos con un TPM compatible. Si desea habilitar BitLocker en una unidad de sistema operativo de un equipo sin un TPM o usar otras características y opciones de BitLocker, puede modificar las opciones de configuración de la directiva de grupo de BitLocker que controlan qué características son accesibles mediante el asistente para la instalación de BitLocker.
En los equipos con un TPM compatible, las unidades de sistema operativo protegidas por BitLocker se pueden desbloquear de cuatro modos:
TPM solamente. El uso de la validación solo con TPM no requiere ninguna interacción con el usuario para descifrar y ofrecer acceso a la unidad. Si la validación del TPM es correcta, el inicio de sesión de usuario será igual que el estándar. Si el TPM está ausente o se ha cambiado, o bien si el TPM detecta cambios en archivos críticos de inicio del sistema operativo, BitLocker pasa al modo de recuperación, y es necesario usar una contraseña de recuperación para volver a tener acceso a los datos.
TPM con clave de inicio. Además de la protección proporcionada por el TPM, se almacena una parte de la clave de cifrado en una unidad flash USB. Esto se denomina clave de inicio. No se puede obtener acceso a los datos del volumen cifrado si no se dispone de la clave de inicio.
TPM con PIN. Además de la protección proporcionada por el TPM, BitLocker exige que el usuario escriba un número de identificación personal (PIN). No se puede obtener acceso a los datos del volumen cifrado si no se escribe el PIN.
TPM con clave de inicio y PIN. Esta opción solo se puede configurar mediante la herramienta de línea de comandos Manage-bde. Además de la protección de componente principal proporcionada por el TPM, se almacena una parte de la clave de cifrado en una unidad flash USB y se exige un PIN para autenticar el usuario en el TPM. Esto proporciona la autenticación multifactor, lo que significa que si pierde o le roban la unidad USB, no se podrá usar para obtener acceso a la unidad porque también se requiere el PIN correcto.
Nota Se recomienda usar siempre el controlador de TPM de Windows predeterminado con BitLocker. Instalar un controlador TPM que no sea de Microsoft puede impedir que el controlador TPM predeterminado se cargue y hacer que BitLocker indique que no hay ningún TPM en el equipo. En este caso, BitLocker no podrá usar el TPM. Si se configuran las opciones de configuración de directiva de grupo para que requieran el uso de BitLocker con un TPM, no se podrá activar BitLocker hasta que se quite el controlador que no sea de Microsoft.
Si desea usar BitLocker para proteger un sistema operativo en un equipo sin un TPM, existe la opción siguiente:
Clave de inicio solamente. Toda la información necesaria de la clave de cifrado se guarda en una unidad flash USB. El usuario debe insertar la unidad flash USB en el equipo durante el inicio. La clave guardada en la unidad flash USB desbloquea el equipo. Si el equipo no tiene ningún TPM, toda la información necesaria para leer la unidad cifrada se incluye en la clave de inicio. Se recomienda usar un TPM porque ayuda a proteger contra ataques realizados contra el proceso de inicio crítico del equipo.
Cuando se habilita BitLocker en unidades de datos fijas o extraíbles, BitLocker puede usar los métodos de desbloqueo siguientes:
Contraseña. Puede usar una contraseña para desbloquear unidades de datos fijas (por ejemplo, unidades de disco duro internas) y unidades de datos extraíbles (como unidades de disco duro externas y unidades flash USB). Se puede usar la configuración de directiva de grupo para establecer una longitud mínima de la contraseña.
Tarjeta inteligente. Para poder usar una tarjeta inteligente con BitLocker, ésta debe tener un certificado compatible. BitLocker elegirá automáticamente el certificado a menos que tenga varios certificados compatibles, en cuyo caso el usuario deberá elegir el que desee usar.
Seguridad Nota Al cifrar una unidad con una tarjeta inteligente, se creará en la unidad un protector basado en certificados. Este protector contiene la información sin cifrar necesaria para desbloquear la unidad. La clave pública y la huella digital del certificado usado para cifrar la unidad se almacenan sin cifrar en los metadatos del protector de la unidad. Esta información se puede usar para identificar la entidad de certificación (CA) que emitió el certificado.
Desbloqueo automático Las unidades de datos fijas cifradas con BitLocker se pueden configurar para que se desbloqueen automáticamente al iniciar sesión en Windows. Se puede seleccionar el desbloqueo automático de las unidades de datos extraíbles después de cifrar la unidad. Para poder desbloquear automáticamente las unidades de datos fijas, la unidad en la que está instalado Windows también debe estar cifrada con BitLocker.
Acceso al contenido de unidades de datos protegidas por BitLocker
Una vez se ha protegido una unidad con BitLocker, se autentica el acceso a la unidad antes de mostrar el contenido. Las unidades de datos fijas se pueden desbloquear automáticamente después de desbloquear la unidad de sistema operativo. Si la unidad no se desbloquea automáticamente, puede hacer clic en Equipo para ver las unidades del equipo, hacer clic con el botón secundario en la unidad y luego clic en Desbloquear, o bien usar el elemento Cifrado de unidad BitLocker del Panel de control. Según el método de autenticación configurado para el equipo, la unidad se desbloqueará automáticamente o bien le solicitará una tarjeta inteligente o una contraseña. Al insertar unidades de datos extraíbles en el equipo, cuando se detecte que la unidad está protegida por BitLocker, se le solicitará que proporcione una contraseña o una tarjeta inteligente.
Opciones de recuperación
Para evitar perder el acceso a unidades protegidas por BitLocker en caso de error del TPM, contraseñas olvidadas o pérdida de tarjetas inteligentes o unidades USB, es importante que los administradores tengan un medio de obtener acceso a las unidades BitLocker. BitLocker admite los métodos siguientes para recuperar el acceso a las unidades protegidas:
Clave de recuperación o contraseña de recuperación. Puede usar una clave de recuperación o contraseña de recuperación con BitLocker. Si no se dispone de una clave de BitLocker, por ejemplo cuando se pierde una tarjeta inteligente o se olvida una contraseña de usuario, se puede usar una contraseña de recuperación de 48 dígitos para desbloquear la unidad protegida. En lugar de una contraseña, también se puede usar una clave de recuperación almacenada en un archivo en un medio extraíble, como una unidad flash USB, para desbloquear la unidad protegida.
Copia de seguridad de claves en Servicios de dominio de Active Directory. Las contraseñas de recuperación de BitLocker se pueden almacenar en Servicios de dominio de Active Directory. Esto permite a los administradores, como el personal de asistencia técnica, ayudar a los usuarios a recuperar las unidades protegidas por BitLocker si olvidan o pierden la contraseña de recuperación.
Agente de recuperación de datos. Un agente de recuperación de datos es una persona designada, por ejemplo un administrador del sistema, que puede usar sus credenciales administrativas para desbloquear unidades protegidas por BitLocker. BitLocker no está configurado con agentes de recuperación de datos predeterminados, y estos agentes tampoco están habilitados de forma predeterminada. Se deben habilitar y configurar mediante la directiva de grupo.
Referencias adicionales
Guía de instrucciones paso a paso del Cifrado de unidad BitLocker de Windows (http://go.microsoft.com/fwlink/?LinkId=140225 (puede estar en inglés))
� %y�P!��F�E��O�|=TST�TQJ L�(SI픩Tv(N;DW�*T�*RTo�$�WF�vPp
ϼs?=.�D� `�se�6F�r%V �EaB͡�r4P0"���K@A�]�hEF��l����E&d�3@̊,�ԂVe^[��1�-|�>/_}y< �{<_to::oW:8}=y�y�z�tO�<ΛG=oy3t�
3ʯ^<�yy}96_{_w�Om\v|n}՜v O}O.�ro-�{ܭ�_.�z/tqm3?a8ȶ��o8v�o{pxL=mfa&_n�M��9>O��=ol|�g)�跞[{臞ʻ9V+{峼snvd�--˞嗢-~ѓ|;|7g5o9'cg}w<~�S��$l�}bG6ϥsOMtR)|s
(/
u|_N5vO~m6_kͥ͟�>_S5;s>6_m^[ SO1nu$wg7:uV{
㵰sm4x$|�_�{+^J_\-X5C3gu묍~zvy:l:}5N]^Wgs�T_<�vjX]w�݂k\[�]]g�=&eگM_�k�k-�n0ۯ'Iܻ쇝w>w�n]vX�hN!(>l7}cl?}c��Qc�[S�[U=}lc_ۏ>6ۏ?vnkl}�w~۹zq-{ߝw;7_u}7sύ�3vގx$?�`z}s�ﻞw;~\:]kٗzΗlKv
wKwKMmwKl:m.ƿ�;Cs�r�.y�Ư{��};\v��Zwۏ�}O߱�?w;5ﰄU�}^:�}�J!yp:[SJ^{tguJ錳N)ҝ)kS:uJpOιҝ)=S:=:ӯSJ{tg{JtJg{t`{OO}O�O,N)yҝ )ҹS:;t�çJF|tdҹS:s>:+S3>S:s>:;S>;th�O,N)y))>:WS_>S:3>:gS^;t|JtΧJ|tvJN);t~p9:S3;ttҹC)YҝG);txLO9:S>S:3;tԧJwN);t )YW):�SJ,xOέy])3>:S3.:SN�
�|4�>?Ѱhh4<~�
(G04�~�
*G!ˌ|44�|>��
]>�
CGѰh��G?!h*>�
a�GÐ4l|>�
e3�hB>�
i�GaД~4
7�!hXZ>�
q9�CGxh�bY?h|4�\?CGѰ|4�>�
ïGaPh8>�
�GPhX?�dُahh44�}>�
I�Ph4d6}?�hGC��h�>�
SC������������������������������������������������������������������������������������������������������������������������������������������������yw$ga�Q���`�0����0`�����`�0����0`�����`�0����0`�����`�0����0`�����`�0����0`�����`�0����0`�����`�0����0`�����`�0����>`�.DDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDGDV-H�;�>pJ}��v:p+ӦUSg{W�og'�)x+M-Su;,[p_K �1�SqW)t\,|
�8w��;P�A8F|O�#���v}C7�<`(�C���}�G��}$W[�ƃ��17�s\=�.�b\8⦡iiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiii?�[mVmV[[mVmV[[mVmV[[mVmV[[mVmV[[mVmV[[mVmV[[mVmV[[mVmV[[mVmV[[mVmV[[mVmV[[mVmV[[mVmkYMC44M
w4M44MM44MM44MM44MM44MM44MM44MM44MM44MM44MM44MM44MM44MM44MM44MM44MM44MM44MM44MM44MM44MM44MM44MM44MM44MM44MM44MM44MM44MM4=Mq�[mVmV[[mVmV[[mVmV[nZjjګjjګjjګjjګjjګjjګjjګjjګjjګjjګjjګjjڵdz͆iiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiii�۷o�q۷.\}#
pŸ�Q\mEV[[mVmV[[mVmV[[mVmV[[mVmV[[mVmV[[mVmV[[mVmV[[mVmV[[mVmV[[mVmV[[mVmV[[mVmV[[mVmV[[mVmV[[mVmV[[mVmV[[mVmV[[mVmV[[mVmV[[mVmV[[mVmV[[mn|VP4MM44MM44MM44MM44MM44MM44MM44MM44MM44MM44MM44M:?K4M44MM44MM44MM44MM44MM44MM44MM44MM44MM44MM44MM44MM44MM44MM44MM44MM44MM44MM44MM44mM44MM44MM44MM44MM44MM44MM44MM44MM44MM44MM44MM44MM44MM4=M~AiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiwM�44MM44MM44MM44MM44MM44MM44MM44MM44MM44MM44MM44MM44MM44MM44MM44MM4ey�iiݶǪ�;w8�t�@WI{%cC�}�~~/w|_��Yv~;/݃���7\��7G1<:"*k�G���?*_FW#
s\هFR&U�0
l1KS~=Bvf%4�"E/'AC|ó�',N2S瘷�d�L�YI.vz7u��zm]I3�>i/RnnFEl��pwWg|�Ѓb;ye|P��DO���jqfqm,5G-Fqf
v\D!\N�/}��Tx�PI��/p>��\HhQ�s�?Y�?ïJA�Ey�pvz8yݨaykEwzn'@�u�L�mIaȪ�W/�C;��N[A�5\2׆Ȣ{_͐TNa�$[Ey�n˼l`wa'�Z
S<95�ZZBMB��z~j��s�L#xz6-��)DQ{fդh>�W c(NPraOL"K1IT5IMJ�'5%��5O�2]���pE���膈(z�ቨ+*�w?#i
%F^]�xOMIPs'CQNr�])�t���l?IAM(L\�^Hl?jа< L~��ހTR_q+$�i6LHF4ZJY/�Ʀw"N/
PKq�Yxk�QV-�6�?��Gw����gS�Z5K*Ʌ9c
BNHr`<@51=X�)K� �Q�x�ߓh�^7^8254zҝd{�):Bn/~
Ӊ[}*~�|�
&~ZÙR8�Ã�ul^n)$�PTp�ȣw- 8o�>u
�W�� B�,w#ښ�`ɼQ]c[צ�Ǹ}@Bj�I-58ᒺlUnRN�
�b}x"��FE<0
\4�s�:
[H�#e6oDUa`=mK��bL4<�����4pgt���2gYq%Q-��5�Z@aO
�Ws��]�t�[�H��F�WRB�3 "��OZ�R��|H?=M8/4O̯E�xF;�bٜ>V8e[0�XؖڶE��urG��9VZ慌Dpi:h0]�SNvʫW1VC*�s� ҂>F��,�2ẊY5b͌*E�xe#ĮH
>sIϐ#�C:�q��.�gZWwP9�lUx�cJ�(0`�Pt54"_<3
=+@��m�+!��:֬|P&2E,�^K�Yb�N(@��ĭ�3]CU1*6Cr^f�5m#K�X+.�f1GYG�A�E�B6ӶDn�J�{7`fH_ߞl52"#PDZ\��S�yG�#��wt��xj9ZTg)u��f;#?^{)3�0ă�uw�8�z"pQЙ�?~oAg �\�}(ZٰZ�y>p&uZyR/"w�]6�[}EJY/D
o!E3M0�;'JU?k&c
~.6PyTgdA�<8tR$*6.
Sms?Y�HMo%fұ���Ȩ0�^UV-<+uzSaDXX/"A/,�TLw;�Ymo]X��`�%>}�EwW~z�_RSEa*jR; �v:"�t_;90�U(�@?�8iԢk9{K�ɕ/t/R1w3=T6#q1~5@�u�Dʕ12(k�9vÁ_cu:-�>�<"��l�"S;Ex蔶�F]_
Gno�7�_LNA�cV- QuHUtL=4v@^LkHIEI<�XU�'W*q/QM$6yc\zե�atbx:ѝɹ:[V^f��9�FcZywέ�&Av���
QF-ˊiQ&'>5f5=4^�LULFQO8$#��Q�m0L
c,�K�laLmde[`X13-(.b��G
8���PY,_��Df?�֥/O�#�"X/�2MD`�0����0`�����`�0����0`��������0oo9�`��/��g��=cdt=q�gR����㛧0<3ȓ�L�g#u�1z(2z| ^�0رM�5\��7n�E/�wmP}xyp�攚6 qKE��E?�.W2gKx�V� F@�ѐZ�Xg՞�x60p�M{��WRI+naQ�=e<)Bc=D)\�m�9ɻs
2?�Y|�RU>l]a�.k)p5��Ps&�LZKg#<�3�ÏY�K�攟#v4]�/1
;N~ZזXH�<,c@��Ί�S�*ՅaY�^no�e�tɥ�ir��H֡����W?N㳤q�FgV9X2j2AvU
�O|d1[Dm��]�p6L;K̇d*U}�]:c!9N�divzʅM*.Uٻо��º��
/̈́D�ðs��{yԹ�'�
zg^�7�|- tg�FRkI�qUv -0PGwvN�ԳZ\c�oat��cY'qę���BZz[MbC<ܛfX!"K6EJُފUxMI,eJ�0��z�WM�UM��.
�^��Oۉ���E�T쮗�x|u^}Ѥ^��~fMS�s²t0|LvÀ�R՛�W�j�p?r'�Ѩ|�)J
b[N* /EWIr\~�>m�d+Ϙhj+fr�Te87�xBf"oG4?��ow,M6Nx�RDB "Mx�1նEI�J"!HF�_�\[�TIVa{s�X-mW�lId@,� z#�LG��IvX$/>�:۟0|�Hrke�j
^p|=[ZOJ˯%�J3A
�=T7*/�9a�J��X�#�
-vf='�PM�#M|�Hy�"kti!O�ոM?#PK@CD\>"'bP9U?L
_pd1�<0�R��<~⎖d&_eF�ɋZoKñ�z�c0�1uuB[�댏�V1|0D�4ݦR�i-r!ɴ<5X�/K]_נ6h6�CP-ogq0ɺ�z�(y|��;"0VsM(�]D��qvtE#S�8��QXj&f�z�^JAY}-�;UXoezj<1@WӜ8�X�F�7�Fڣ�E3;j>g$y'm�kW%@L/�Px�CV�\�|6��<{�LҾxϸ��6j�J�bY醨�¬*μjO�>%RQ�zc
fZ^S!9�:Q��,т�%"AFg>DUKx(�=��YWlBL`;96VH
J@+�7w�z�.B�{�ȅe?G,ǒn$}9fBTuD�QiT~�8Ҥ-lrq�7@ah�X�6.�6Io$2JHjJjNNKdZ�[f�Dhb|lLN\A2Ek�qʊoѫ'���E�2�f�)R5�+U볳$=a�
�N"+�
>Cfd;��ꠑ?x$H~ �4זxd�
..+%y��8,�W u64ᛠ2(J}kUvG_P�;�Dh
:
,GQ�|z��S~��rAbC:p^^i��'V��)IIŹOO~xj6jZxyq4�UigN5ҥJxZ'NR�͊�Phxu{�zݜ9"
B��a1p,⧰��h@U5dZ_�6@[�y�Xd}� /5m/TY��h3"4n痍`jmnjWj=�[ϷvZ<'R�l4ɑ":bsG^B�8$�`BT$�Ho͓tcAJ�A��zz^"��
"8{6s��w�M�����w.O�h΄(C�)l��?WjmZ�{�Q$
ֳ�(DA\&ؓ4[@\�R\0Y~S�ʕo�ұ-Ɲ$?~TxXJwg7]k�{�ay��#
9b.sF
�z#��K?jG7v��}'7�TILH�e=-I���W; kxc ]�Y}�:^�r2^P''bς�<#
MV/$,y!�EF��orv<^����< /Z���]F%b[-&�b�G'��hg��(D1�c聹%hy !|1KDK�7��7 !�k,L,6�\
@D�{W;zC@7bY�>B~�l_7%[_!ׇ�s�}� �$��젱XС6}Sqi�OcBWR+�^#;!Y93nc�2ҏ@�V1\ogP̄M@滑c-rcCs�ŸZ]y,C+IpD���pXf�@ 'haLI"0�Uī+.ܒ]Z�wPx1Cg:�AuZ�ɘZ�_�ŖD5,`ׁj���Kj5M[�yT�
ug?D+zeǑ�@UP�7/�u��FS0yj�J;CR�z�S=ԩ`�Td瞆P4#*G< ^cԜ�NtZnZٴmg��uá1զ{�3Z={бi�V\p�22*s�8#+(!:|�+�O6^>�
I��cV _�-P�P'
`
SYaoxU��]-|Q,ƚ왇�ȇ/I~dɓ
'�m9~IХERX/#W6�G➫M%�z+gWT̵7@h B[n�«<=)6sа='5�'ǾWr)\..fbh_sg�y�EZAqTj%+A��6RpgBS�~|M�B4�J:�xTZT,��4F>i�Wb +0����c�V��WP.>@|X=XVxŮKT�98IגbߟKc�N,hpip#�Lq~N䢹Q�7Vyf9jX*³8GZ�d3�̥�m]8�#8DxYFnHʀEŵRe56mپ�0w�UK="
&a°��-x@q烺�fmz Z(i6�oJ�b ۷�lp"EDݧ"0%1{E[\j#(;o^'t��^9��BbR)��l�J�UTo^�f
7:A�|]n4^#��%й���7!;�HF;pJ�hTuj\��i,<^qҐɦ֩`I�U�JpdM@%/K
/.*y酚c3�7y7%��/j64g6ǝXh�s��YCq#DGR7.�DL��î�}cA2�/9
(D �'0h}Źpi"i"bZ�2!9Wq7�(-Goo�I/Lg!,RLݦH!
7Q2Pq7)%ac��bzό;�bat9N$FrY8?T5dhQ9H4Ds�ǝډK0xEAuG+㑩�P[que�X�@T}p,LH`O,�FSEc�߹,jR�8r��?n=�H�$�h# >db��5�鱟.;;3F�i&dΕ<@UQ[燦LK%b<0%��#u_Ω���_/2vp=�F鋦1jw��O\d o 2�vJF7e�5�|�H�B1?؏}ޑ"8vu���Q(~<]?:[wV}jr,�ُyo[Z
b� @c�|B}*eE��rL�N>T �U/jK7JM�w�_\�P(eQ�\0F5hzk%6p�|�~csiƩYRɫ"G%+Љd��K�e/O4x`=f_IiA��1;Y�}�6S$"|���{y.�۹ΜxsU��mұy{�-JN�ۚ?Qhq�Ô7E*Oq&).W%b�Eg;�P�y�y?+,K�?,)Q7&3:��8�0O|cn4�tdf�֞C::�]7�V{$?<~�XpzϢm�_�\
�e7HgȓITƐC�ׇa#>Σ&ɻ�~�Qw\djnG%hM�zN$wV{�q4�j~"{p�!b�a"eK��`-x��d�sf*NoyF͇CG6*�,�N��TJ�|-,��UsSÚdxuE9(EL{Ԣ,@
|N}S�2T`ԩp"���ŧϚTEY��/`-�0�Y
�ȱ�V}��S��hJ�6)#�S���{1j!q�>4ҪQ�]=r�i�lo�1��H�@!3kQXu��xL7 @_ ��b,=Fg�t�(?��K��DWY][
]�GL��A�r1;Xc�E-9.u]�o��WMR��(Pc(���iY$z۫/.I3ӌ��FzD/#�*KcXzh*f*JY8DZ5.VxW-�rƶHJ9o4�4[YsM'̮�M6GoT@�m�&)�9M/{hdR2�:�&yA-|EIwE0]gLVs)%zh�d�郾6fIlq֢�j͔+d�*��}ߒy��.
�+�rr�1"ٱ2�ND?�ѷOKQΙiۈIGK�++!QT^%EK}ӎ9 J|Svm
s{�R��h%vh߯?nf�H|�j]�/wN%5
>il|TA2ĥL�9iG#/�Rq57B��̻e�e:�kW�PZ4C]E *=,Ȉq3pycM��s,CFB,
6pqy%U�?l�T�nPLPY*,N:rְ
ns`Nk��EX+&��0`�����`�0����`��`�0�����:t�B,,{�=��
�OBD.=
e``0E(���4��Yh:C�.f��c{wuX��b7�ZPq�9)v�81�X\+��Rb=Ta�g($LIԨ9?2Œo5iZ\\v!�4levt�t]/ҘsZ��&�L1854hʓ$ȥ�PꖱqWR�d�aۣ�$;R2f�31�$%od㜋I�:jkF(_Cq%{�Dr�eH4hʏm-J]l�a�7�U#mn
i"Mւ�ISAVRhswrNb̎9�1f7T%hx�{�B�PLM�_&U%z2�7:K@�0WO#en F.PQ!�C
d�i��f,'1Yf;NxЌȊ ڤ~x쒒)2
d|:WͶ�
�ڠ庑x>iR-�.wbb29.1�I,UC�e�YITmڠ?]Y%RG2nH_��0f0,dq(����h��9H}�ʹD p�Yo>5�� 2{!oAр�o7ս|5�`&~o��~)OȞGQ*/C_j�gJ٠]|�I
$9h�JkH'|/M^=�d� -g�
�.H@H/�r�y�~^ Iy�Ǘ�>|0��NiARN���-i .T$�'vU4��
.�@�D��p:�{��r�FW�;c'Pk��8u�=��"\�H:=O�zx�
G&dT�>{� �I�X�=s�mAtKABFSViGfj|ݗ9s�(��kLdnpIڃg7�_KT.$$Nnv�h#nL>6R}� i_ziJ�?PښOi':сx{�Y>\��E:/��^i��~oKۈ/yX-�`Xzה�Vi3=*��0�vK~v��XXepL��Lt���`�0����0`�����`�0���)�2i :w�,%���z@g�A>`�?�[�lZ{�t���7(|
R4Ye$��w�nhA�*j(\�qC�& e1QSb�b[Ġ7(%�//=+���Y}w@�b�i.|y_ug^�n�����
����� @o"�Dѥu;i�={˖-�}g�+".~{�}/g�/!]*|/E/�}coFa)@���7
3IKWMANLt��A;�dt@Մn��|5Q�0L���GW�?"3*'>�&`�WcX?��T2Q7�h�슪OmBRo�<}�{�&hٻY R]��&2�VG�8l�ٟ 4}U;P%&�L~e�JnŤ?d�mܔ@�G>8�O�|�ߓ`=x��h~�^pǥ.��n|E.!z�0_�ٮc���-5uKWK�)?Ca9�hWq_m'ar)3| FS�/�:�Qi�&C%4F}/m��
}TA��F5Mo>鶞M,7J�PB
i��>w_���^f-��<����y:n�.ϭс;0{۰bŹ�XvnN�>s7pzý>ܹVky�#Jl�a6o�m]Z�YΨ%�{�y!j�&Cl��T!�۸ɛ�(�|~�'K!J!@z:xeʸS@[bhۗoVx?ף�0� [ffVxo?sJx?.sf��ߟ;�tPP ��~�L'�<�k�3 �MN'�4ҁ�Ӑ�D���tO:�˞x�"}>(�ft.k��:9��Û�$T{ �� �o��?@@e"�ʑ)��؋��Z���0V>B�ʞѼQ��
�t�X,>5��ҟG|��`/+�����q�`y���p�)[+�t<�fzY���SBK�ZSu�9>
8KIm�'QZMܨ%;|ޗ�t)A�6Os��K:i�� #9%ҝv�cvDqjYF_�?K[l%Zs``Q/�@ �4@ $�~�]t.������������(���$�������\���������������������x�������$&������PO������[������