escriba aquí el nombreescriba aquí la descripciónEsta configuración de directiva permite administrar la copia de seguridad de los Servicios de dominio de Active Directory (AD DS) de la información de recuperación del Cifrado de unidad BitLocker. Esto proporciona un método administrativo de recuperación de datos cifrados por BitLocker con el fin de evitar la pérdida de datos debida a la falta de información sobre la clave. Esta directiva se aplica solo a equipos que ejecutan Windows Server 2008 o Windows Vista.
Si habilita esta configuración de directiva, se realizará una copia de seguridad de la información de recuperación del BitLocker en AD DS, de forma automática y sin notificaciones, cuando BitLocker se active en un equipo. Esta configuración de directiva se aplica al activar BitLocker.
Nota: para que la copia de seguridad de AD DS se realice correctamente, es necesario configurar primero las extensiones de esquema adecuadas y el acceso a la configuración de control en el dominio. Consulte la Guía de implementación del Cifrado de unidad BitLocker en Microsoft TechNet para obtener más información sobre la copia de seguridad de AD DS para BitLocker.
La información de recuperación de BitLocker incluye la contraseña de recuperación y algunos datos de identificador único. También puede incluir un paquete que contenga una clave de cifrado de la unidad protegida mediante BitLocker. El paquete de clave está protegido por una o varias contraseñas de recuperación y puede ayudar a realizar una recuperación especializada cuando el disco esté dañado.
Si selecciona la opción "Requerir copia de seguridad de BitLocker en AD DS", BitLocker no podrá activarse salvo que el equipo esté conectado al dominio y que la copia de seguridad de la información de recuperación de BitLocker en AD DS se realice correctamente. Esta opción está seleccionada de forma predeterminada para ayudar a garantizar que la recuperación de BitLocker sea posible. Si no se selecciona esta opción, se intenta realizar la copia de seguridad de AD DS, pero los errores de red u otros errores de copia de seguridad no impiden la configuración de BitLocker. No se vuelve a intentar realizar una copia de seguridad automáticamente y es posible que la contraseña de recuperación no se almacene en AD DS durante la configuración de BitLocker.
Si deshabilita esta configuración de directiva o no la establece, no se realizará ninguna copia de seguridad de la información de recuperación de BitLocker.
Nota: puede ser necesaria la inicialización del Módulo de plataforma segura (TPM) durante la configuración de BitLocker. Habilite la configuración de directiva "Activar copia de seguridad del TPM en los Servicios de dominio de Active Directory" en Sistema\Servicios del Módulo de plataforma segura para asegurarse de que también se realice una copia de seguridad de la información del TPM.
Almacenar información de recuperación de BitLocker en los Servicios de dominio de Active Directory (Windows Server 2008 y Windows Vista)Contraseñas de recuperación y paquetes de clavesSolo contraseñas de recuperaciónEsta configuración de directiva le permite controlar si el asistente para la configuración del Cifrado de unidad BitLocker podrá configurar un método de autenticación adicional que se solicite cada vez que se inicie el equipo. Esta configuración de directiva se aplica al activar BitLocker.
Nota: esta directiva se aplica solo a equipos que ejecutan Windows Server 2008 o Windows Vista.
En un equipo con un Módulo de plataforma segura (TPM) compatible, se pueden usar dos métodos de autenticación de inicio para ofrecer una protección adicional de los datos cifrados. El equipo, cuando se inicia, puede solicitar a los usuarios que inserten una unidad flash USB que contenga una clave de inicio. También puede solicitar a los usuarios que escriban un número de identificación personal (PIN) de inicio de entre 4 y 20 dígitos.
En equipos sin un TPM compatible, será necesaria una unidad flash USB que contenga una clave de inicio. Sin un TPM, los datos cifrados mediante BitLocker solo están protegidos por el material de clave de esta unidad flash USB.
Si habilita esta configuración de directiva, el asistente mostrará la página para permitir que el usuario configure opciones de inicio avanzadas para BitLocker. También puede establecer estas opciones de configuración para equipos con y sin un TPM.
Si deshabilita o no establece esta configuración de directiva, el asistente para la instalación de BitLocker mostrará los pasos básicos que permiten a los usuarios habilitar BitLocker en equipos con un TPM. En este asistente básico, no puede configurarse ninguna clave de inicio o PIN de inicio adicional.
Requerir autenticación adicional al iniciar (Windows Server 2008 y Windows Vista)Requerir autenticación adicional al iniciarEsta configuración de directiva le permite configurar si BitLocker requiere autenticación adicional cada vez que se inicia el equipo y si se usa BitLocker con un Módulo de plataforma segura (TPM). Esta configuración de directiva se aplica al activar BitLocker.
Nota: al iniciar, solo se puede solicitar una de las opciones de autenticación adicional; de lo contrario, se produce un error de directiva.
Si desea usar BitLocker en un equipo sin un TPM, seleccione la casilla "Permitir BitLocker sin un TPM compatible". En este modo, se requiere una unidad USB para iniciar, y la información de clave usada para cifrar la unidad se almacena en la unidad USB, creando una clave USB. Cuando se inserta la clave USB se autentica el acceso a la unidad, que queda accesible. Si la clave USB no está accesible o se pierde, será necesario usar una de las opciones de recuperación de BitLocker para tener acceso a la unidad.
En un equipo sin un TPM compatible, se pueden usar cuatro métodos de autenticación al iniciar para ofrecer protección adicional a los datos cifrados. Cuando el equipo se inicia, puede usar solo el TPM para la autenticación, o solicitar también la inserción de una unidad flash USB que contenga una clave de inicio, que se especifique un número de identificación personal (PIN) de entre 4 y 20 dígitos, o ambos procedimientos.
Si habilita esta configuración de directiva, los usuarios podrán configurar opciones de inicio avanzadas en el asistente para la configuración de BitLocker.
Si deshabilita o no define esta configuración de directiva, los usuarios podrán configurar solo opciones básicas en equipos con un TPM.
Nota: si desea requerir el uso de un PIN de inicio y una unidad flash USB, debe configurar las opciones de BitLocker mediante la herramienta de la línea de comandos manage-bde en lugar de mediante el asistente para la configuración del Cifrado de unidad BitLocker.
Permitir clave y PIN de inicio con TPMRequerir clave y PIN de inicio con TPMNo permitir clave y PIN de inicio con TPMPermitir TPMRequerir TPMNo permitir TPMPermitir PIN de inicio con TPMRequerir PIN de inicio con TPMNo permitir PIN de inicio con TPMPermitir clave de inicio con TPMRequerir clave de inicio con TPMNo permitir clave de inicio con TPMEsta configuración de directiva le permite controlar si el asistente para la configuración del Cifrado de unidad BitLocker puede mostrar y especificar las opciones de recuperación de BitLocker. Esta directiva se aplica solo a equipos que ejecutan Windows Server 2008 o Windows Vista. Esta configuración de directiva se aplica al activar BitLocker.
Hay dos opciones de recuperación que se pueden usar para desbloquear el acceso a los datos cifrados mediante BitLocker. El usuario puede escribir una contraseña de recuperación numérica de 48 dígitos o puede insertar una unidad flash USB que contenga una clave de recuperación de 256 bits.
Si habilita esta configuración de directiva, puede configurar las opciones que el asistente para la configuración presenta a los usuarios para recuperar datos cifrados mediante BitLocker. Guardar en una unidad flash USB almacenará la contraseña de recuperación de 48 dígitos como un archivo de texto y la clave de recuperación de 256 bits como un archivo oculto. Guardar en una carpeta almacenará la contraseña de recuperación de 48 dígitos como un archivo de texto. Imprimir enviará la contraseña de recuperación de 48 dígitos a la impresora predeterminada. Por ejemplo, al deshabilitar la contraseña de recuperación de 48 dígitos, se impide a los usuarios imprimir o guardar la información de recuperación en una carpeta.
Si deshabilita o no establece esta configuración de directiva, el asistente para la configuración de BitLocker presentará a los usuarios formas de almacenar las opciones de recuperación.
Nota: si es necesaria la inicialización del Módulo de plataforma segura (TPM) durante la configuración de BitLocker, la información de propietario del TPM se guardará o se imprimirá junto con la información de recuperación de BitLocker.
Nota: la contraseña de recuperación de 48 dígitos no estará disponible en el modo de compatibilidad con FIPS.
Importante: esta configuración de directiva proporciona un método administrativo de recuperación de datos cifrados por BitLocker para impedir que se pierdan datos debido a la falta de información de clave. Si no permite ambas opciones de recuperación de usuario, deberá habilitar la configuración de directiva "Almacenar información de recuperación de BitLocker en los Servicios de dominio de Active Directory (Windows Server 2008 y Windows Vista)" para evitar un error de directiva.
Elegir cómo pueden los usuarios recuperar unidades protegidas por BitLocker (Windows Server 2008 y Windows Vista)Requerir contraseña de recuperación (predeterminado)No permitir contraseña de recuperaciónRequerir clave de recuperación (predeterminado)No permitir clave de recuperaciónElegir cómo se pueden recuperar unidades del sistema operativo protegidas por BitLockerEsta configuración de directiva le permite controlar cómo se recuperan las unidades de sistema operativo protegidas por BitLocker en ausencia de la información de clave necesaria. Esta configuración de directiva se aplica al activar BitLocker.
La casilla "Permitir agentes de recuperación de datos basados en certificados" se usa para especificar si se puede usar un agente de recuperación de datos en unidades de sistema operativo protegidas por BitLocker. Para poder usar un agente de recuperación de datos, éste debe agregarse desde el elemento Directivas de clave pública de la Consola de administración de directivas de grupo o del Editor de directivas de grupo local. Consulte la Guía de implementación del Cifrado de unidad BitLocker en Microsoft TechNet para obtener más información acerca de la adición de agentes de recuperación de datos.
En "Configurar almacenamiento de usuario de la información de recuperación de BitLocker" seleccione si se permite o se exige que los usuarios generen una contraseña de recuperación de 48 dígitos o una clave de recuperación de 256 bits.
Seleccione "Omitir opciones de recuperación en el asistente para la configuración de BitLocker" para impedir que los usuarios especifiquen opciones de recuperación al habilitar BitLocker en una unidad. Esto significa que no podrá especificar la opción de recuperación que se debe usar al habilitar BitLocker; en su lugar, las opciones de recuperación de BitLocker para la unidad las determina la configuración de directiva.
En "Guardar información de recuperación de BitLocker en AD DS para unidades de sistema operativo", elija qué información de recuperación de BitLocker se debe almacenar en AD DS para unidades de sistema operativo. Si selecciona "Realizar copia de seguridad de contraseñas de recuperación y paquetes de claves", tanto la contraseña de recuperación como el paquete de claves de BitLocker se almacenan en AD DS. El almacenamiento del paquete de claves permite la recuperación de datos de una unidad físicamente dañada. Si selecciona "Realizar copia de seguridad solo de contraseñas de recuperación", solo se almacena en AD DS la contraseña de recuperación.
Active la casilla "No habilitar BitLocker hasta que la información de recuperación se almacene en AD DS para unidades de sistema operativo" si desea impedir que los usuarios habiliten BitLocker a menos que el equipo esté conectado al dominio y la copia de seguridad de la información de recuperación de BitLocker en AD DS se realice correctamente.
Nota: si se activa la casilla "No habilitar BitLocker hasta que la información de recuperación se almacene en AD DS para unidades de sistema operativo", se genera automáticamente una contraseña de recuperación.
Si habilita esta configuración de directiva, podrá controlar los métodos de recuperación de datos de unidades de sistema operativo protegidas por BitLocker disponibles para los usuarios.
Si deshabilita o no define esta configuración de directiva, se admiten las opciones predeterminadas de recuperación de BitLocker. De forma predeterminada, se permite DRA, el usuario puede especificar las opciones de recuperación, incluidas la contraseña de recuperación y la clave de recuperación, y no se realiza copia de seguridad de la información de recuperación en AD DS.
Requerir contraseña de recuperación de 48 dígitosPermitir contraseña de recuperación de 48 dígitosNo permitir contraseña de recuperación de 48 dígitosRequerir clave de recuperación de 256 bitsNo permitir clave de recuperación de 256 bitsPermitir clave de recuperación de 256 bitsElegir cómo se pueden recuperar unidades fijas protegidas por BitLockerEsta configuración de directiva le permite controlar cómo se recuperan las unidades da datos fijas protegidas por BitLocker en ausencia de las credenciales necesarias. Esta configuración de directiva se aplica al activar BitLocker.
La casilla "Permitir agente de recuperación de datos" se usa para especificar si se puede usar un agente de recuperación de datos en unidades de datos fijas protegidas por BitLocker. Para poder usar un agente de recuperación de datos, éste debe agregarse desde el elemento Directivas de clave pública de la Consola de administración de directivas de grupo o del Editor de directivas de grupo local. Consulte la Guía de implementación del Cifrado de unidad BitLocker en Microsoft TechNet para obtener más información acerca de la adición de agentes de recuperación de datos.
En "Configurar almacenamiento de usuario de la información de recuperación de BitLocker" seleccione si se permite o se exige que los usuarios generen una contraseña de recuperación de 48 dígitos o una clave de recuperación de 256 bits.
Seleccione "Omitir opciones de recuperación en el asistente para la configuración de BitLocker" para impedir que los usuarios especifiquen opciones de recuperación al habilitar BitLocker en una unidad. Esto significa que no podrá especificar la opción de recuperación que se debe usar al habilitar BitLocker; en su lugar, las opciones de recuperación de BitLocker para la unidad las determina la configuración de directiva.
En "Guardar información de recuperación de BitLocker en AD DS para unidades de datos fijas", elija qué información de recuperación de BitLocker se debe almacenar en AD DS para unidades de datos fijas. Si selecciona "Realizar copia de seguridad de contraseñas de recuperación y paquetes de claves", tanto la contraseña de recuperación como el paquete de claves de BitLocker se almacenan en AD DS. El almacenamiento del paquete de claves permite la recuperación de datos de una unidad físicamente dañada. Si selecciona "Realizar copia de seguridad solo de contraseñas de recuperación", solo se almacena en AD DS la contraseña de recuperación.
Active la casilla "No habilitar BitLocker hasta que la información de recuperación se almacene en AD DS para unidades de datos fijas" si desea impedir que los usuarios habiliten BitLocker a menos que el equipo esté conectado al dominio y la copia de seguridad de la información de recuperación de BitLocker en AD DS se realice correctamente.
Nota: si se activa la casilla "No habilitar BitLocker hasta que la información de recuperación se almacene en AD DS para unidades de datos fijas", se genera automáticamente una contraseña de recuperación.
Si habilita esta configuración de directiva, podrá controlar los métodos de recuperación de datos de unidades de datos fijas protegidas por BitLocker disponibles para los usuarios.
Si deshabilita o no define esta configuración de directiva, se admiten las opciones predeterminadas de recuperación de BitLocker. De forma predeterminada, se permite DRA, el usuario puede especificar las opciones de recuperación, incluidas la contraseña de recuperación y la clave de recuperación, y no se realiza copia de seguridad de la información de recuperación en AD DS.
Requerir contraseña de recuperación de 48 dígitosPermitir contraseña de recuperación de 48 dígitosNo permitir contraseña de recuperación de 48 dígitosRequerir clave de recuperación de 256 bitsNo permitir clave de recuperación de 256 bitsPermitir clave de recuperación de 256 bitsElegir cómo se pueden recuperar unidades extraíbles protegidas por BitLockerEsta configuración de directiva le permite controlar cómo se recuperan las unidades da datos extraíbles protegidas por BitLocker en ausencia de las credenciales necesarias. Esta configuración de directiva se aplica al activar BitLocker.
La casilla "Permitir agente de recuperación de datos" se usa para especificar si se puede usar un agente de recuperación de datos en unidades de datos extraíbles protegidas por BitLocker. Para poder usar un agente de recuperación de datos, éste debe agregarse desde el elemento Directivas de clave pública de la Consola de administración de directivas de grupo o del Editor de directivas de grupo local. Consulte la Guía de implementación del Cifrado de unidad BitLocker en Microsoft TechNet para obtener más información acerca de la adición de agentes de recuperación de datos.
En "Configurar almacenamiento de usuario de la información de recuperación de BitLocker" seleccione si se permite o se exige que los usuarios generen una contraseña de recuperación de 48 dígitos o una clave de recuperación de 256 bits.
Seleccione "Omitir opciones de recuperación en el asistente para la configuración de BitLocker" para impedir que los usuarios especifiquen opciones de recuperación al habilitar BitLocker en una unidad. Esto significa que no podrá especificar la opción de recuperación que se debe usar al habilitar BitLocker; en su lugar, las opciones de recuperación de BitLocker para la unidad las determina la configuración de directiva.
En "Guardar información de recuperación de BitLocker en AD DS para unidades de datos extraíbles", elija qué información de recuperación de BitLocker se debe almacenar en AD DS para unidades de datos extraíbles. Si selecciona "Realizar copia de seguridad de contraseñas de recuperación y paquetes de claves", tanto la contraseña de recuperación como el paquete de claves de BitLocker se almacenan en AD DS. Si selecciona "Realizar copia de seguridad solo de contraseñas de recuperación", solo se almacena en AD DS la contraseña de recuperación.
Active la casilla "No habilitar BitLocker hasta que la información de recuperación se almacene en AD DS para unidades de datos extraíbles" si desea impedir que los usuarios habiliten BitLocker a menos que el equipo esté conectado al dominio y la copia de seguridad de la información de recuperación de BitLocker en AD DS se realice correctamente.
Nota: si se activa la casilla "No habilitar BitLocker hasta que la información de recuperación se almacene en AD DS para unidades de datos extraíbles", se genera automáticamente una contraseña de recuperación.
Si habilita esta configuración de directiva, podrá controlar los métodos de recuperación de datos de unidades de datos extraíbles protegidas por BitLocker disponibles para los usuarios.
Si deshabilita o no define esta configuración de directiva, se admiten las opciones predeterminadas de recuperación de BitLocker. De forma predeterminada, se permite DRA, el usuario puede especificar las opciones de recuperación, incluidas la contraseña de recuperación y la clave de recuperación, y no se realiza copia de seguridad de la información de recuperación en AD DS.
Requerir contraseña de recuperación de 48 dígitosPermitir contraseña de recuperación de 48 dígitosNo permitir contraseña de recuperación de 48 dígitosRequerir clave de recuperación de 256 bitsNo permitir clave de recuperación de 256 bitsPermitir clave de recuperación de 256 bitsEsta configuración de directiva permite especificar la ruta de acceso predeterminada que se muestra cuando el asistente para la instalación del Cifrado de unidad BitLocker solicita al usuario que escriba la ubicación de una carpeta donde se guardará la contraseña de recuperación. Esta configuración de directiva se aplica cuando se activa BitLocker.
Si habilita esta configuración de directiva, puede especificar la ruta que se usará como ubicación de carpeta predeterminada cuando el usuario seleccione la opción de guardar la contraseña de recuperación en una carpeta. Puede especificar una ruta de acceso completa o incluir en la ruta las variables del entorno del equipo de destino. Si la ruta de acceso no es válida, el asistente para la instalación de BitLocker mostrará la vista de carpetas de nivel superior del equipo.
Si deshabilita o no establece esta configuración de directiva, el asistente para la instalación de BitLocker mostrará la vista de carpetas de nivel superior del equipo cuando el usuario seleccione la opción de guardar la contraseña de recuperación en una carpeta.
Nota: esta configuración de directiva no impide que el usuario guarde la contraseña de recuperación en otra carpeta.
Elegir carpeta predeterminada para la contraseña de recuperaciónEsta configuración de directiva le permite configurar el algoritmo y la intensidad del cifrado que se usan en el Cifrado de unidad BitLocker. Esta configuración de directiva se aplica al activar BitLocker. El cambio del método de cifrado no tendrá ningún efecto si la unidad ya está cifrada o si el cifrado está en curso. Consulte la Guía de implementación del Cifrado de unidad BitLocker en Microsoft TechNet para obtener más información acerca de los métodos de cifrado disponibles.
Si habilita esta configuración de directiva, podrá elegir el algoritmo de cifrado y la intensidad de cifrado de clave que deberá usar BitLocker para cifrar unidades.
Si deshabilita o no establece esta configuración de directiva, BitLocker usará el método de cifrado predeterminado AES 128 bits con difusor o el método de cifrado especificado por el script de instalación.
Elegir método de cifrado e intensidad de cifrado de unidadAES 128 bits con difusor (predeterminado)AES 256 bits con difusorAES 128 bitsAES 256 bitsCifrado de unidad BitLockerEsta configuración de directiva permite configurar el modo en que el hardware de seguridad del Módulo de plataforma segura (TPM) del equipo protege la clave de cifrado de BitLocker. Esta configuración de directiva no se aplica si el equipo no dispone de un TPM compatible o si BitLocker ya se ha activado con protección TPM.
Si habilita esta configuración de directiva antes de activar BitLocker, puede configurar los componentes de arranque que el TPM validará antes de desbloquear el acceso a la unidad del sistema operativo cifrada mediante BitLocker. Si cualquiera de estos componentes cambia mientras la protección del BitLocker permanece activa, el TPM no liberará la clave de cifrado para desbloquear la unidad; en su lugar, el equipo mostrará la consola de recuperación de BitLocker y solicitará que se proporcione la contraseña de recuperación o la clave de recuperación para desbloquear la unidad.
Si deshabilita o no establece esta configuración de directiva, el TPM usa el perfil de validación de plataforma predeterminado o el perfil de validación de plataforma especificado por el script de instalación. Un perfil de validación de plataforma consiste en un conjunto de índices de PCR (Registro de configuración de la plataforma) comprendidos entre 0 y 23. El perfil de validación de plataforma predeterminado protege la clave de cifrado de los cambios en CRTM (Core Root of Trust of Measurement), BIOS y extensiones de la plataforma (PCR 0), Código ROM de opción (PCR 2), Código de registro de arranque maestro (MBR) (PCR 4), Sector de arranque de NTFS (PCR 8), Bloque de arranque de NTFS (PCR 9), Administrador de arranque (PCR 10) y Control de acceso de BitLocker (PCR 11). Las descripciones de opciones de PCR para equipos que usan Extensible Firmware Interface (EFI) son distintas de las opciones de PCR descritas para equipos que usan BIOS estándar. La Guía de implementación del Cifrado de unidad BitLocker en Microsoft TechNet contiene una lista completa de opciones de PCR tanto para EFI como para BIOS estándar.
Advertencia: el cambio del perfil predeterminado de validación de plataforma afecta a la seguridad y capacidad de administración del equipo. La sensibilidad de BitLocker a las modificaciones de plataforma (malintencionadas o no autorizadas) aumenta o disminuye en función de la inclusión o exclusión (respectivamente) de los PCR.
Configurar perfil de validación de plataforma del TPMEsta configuración de directiva controla el rendimiento del reinicio del equipo con el riesgo de revelar secretos de BitLocker. Esta configuración de directiva se aplica cuando se activa BitLocker. Los secretos de BitLocker incluyen material de claves usado para cifrar datos. Esta configuración de directiva se aplica únicamente cuando la protección de BitLocker está habilitada.
Si habilita esta configuración de directiva, la memoria no se sobrescribirá al reiniciarse el equipo. Al impedir la sobrescritura de la memoria se puede mejorar el rendimiento del reinicio, pero aumentará el riesgo de revelar secretos de BitLocker.
Si deshabilita o no define esta configuración de directiva, los secretos de BitLocker se quitarán de la memoria al reiniciarse el equipo.
Impedir la sobrescritura de memoria al reiniciarUnidades del sistema operativoUnidades de datos fijasUnidades de datos extraíblesProporcionar los identificadores únicos de su organizaciónEsta configuración de directiva le permite asociar identificadores organizativos únicos a una nueva unidad que se habilite con BitLocker. Estos identificadores se almacenan como el campo de identificación y el campo de identificación permitido. El campo de identificación le permite asociar un identificador organizativo único a unidades protegidas por BitLocker. El identificador se agrega automáticamente a las nuevas unidades protegidas por BitLocker y se puede actualizar en las unidades existentes protegidas por BitLocker mediante la herramienta de la línea de comandos Manage-BDE. Es necesario un campo de identificación para la administración de agentes de recuperación de datos basados en certificados en unidades protegidas por BitLocker y para posibles actualizaciones del Lector de BitLocker To Go. BitLocker administrará y actualizará agentes de recuperación de datos solo si el campo de identificación de la unidad coincide con el valor configurado en el campo de identificación. De forma similar, BitLocker actualizará el Lector de BitLocker To Go solo cuando el campo de identificación de la unidad coincida con el valor configurado para el campo de identificación.
El campo de identificación permitido se usa en combinación con la configuración de directiva "Denegar el acceso de escritura a unidades extraíbles no protegidas por BitLocker" para ayudarle a controlar el uso de unidades extraíbles en su organización. Se trata de una lista separada por comas de campos de identificación de su organización o de otras organizaciones externas.
Puede configurar los campos de identificación de unidades existentes mediante manage-BDE.exe.
Si habilita esta configuración de directiva, podrá configurar el campo de identificación en unidades protegidas por BitLocker y cualquier campo de identificación permitido por su organización.
Si se monta una unidad protegida por BitLocker en otro equipo habilitado para BitLocker, el campo de identificación y el campo de identificación permitido se usarán para determinar si la unidad pertenece a una organización externa.
Si deshabilita o no define esta configuración de directiva, el campo de identificación no será necesario.
Nota: los campos de identificación son necesarios para la administración de agentes de recuperación de datos basados en certificados en unidades protegidas por BitLocker. BitLocker administrará y actualizará agentes de recuperación de datos basados en certificados solo si el campo de identificación está presente en una unidad y es idéntico al valor configurado en el equipo. El campo de identificación puede ser cualquier valor de 260 caracteres o menos.
Validar cumplimiento de regla de uso de certificado de tarjeta inteligenteEsta configuración de directiva le permite asociar un identificador de objeto de un certificado de tarjeta inteligente a una unidad protegida por BitLocker. Se aplica al activar BitLocker.
El identificador de objeto se especifica en el uso mejorado de clave (EKU) de un certificado. BitLocker puede identificar los certificados que pueden usarse para autenticar un certificado de usuario en una unidad protegida por BitLocker, mediante la comprobación de si el identificador de objeto del certificado coincide con el identificador de objeto definido por esta configuración de directiva.
El identificador de objeto predeterminado es 1.3.6.1.4.1.311.67.1.1
Nota: BitLocker no requiere que un certificado tenga un atributo EKU pero, si no se ha configurado uno para el certificado, debe establecerse en un identificador de objeto (OID) que coincida con el OID configurado para BitLocker.
Si habilita esta configuración de directiva, el identificador de objeto especificado en el cuadro "Identificador de objeto" deberá coincidir con el identificador de objeto del certificado de tarjeta inteligente.
Si deshabilita o no define esta configuración de directiva, se usará un identificador de objeto predeterminado.
Almacenar contraseñas de recuperación y paquetes de clavesAlmacenar solo contraseñas de recuperaciónConfigurar longitud mínima de PIN para el inicioEsta configuración de directiva le permite configurar una longitud mínima para un PIN de inicio del Módulo de plataforma segura (TPM). Se aplica al activar BitLocker. El PIN de inicio debe tener una longitud mínima de 4 dígitos y una longitud máxima de 20 dígitos.
Si habilita esta configuración de directiva, puede requerir que se use un número mínimo de dígitos al establecer el PIN de inicio.
Si deshabilita o no define esta configuración de directiva, los usuarios podrán configurar un PIN de inicio de cualquier longitud entre 4 y 20 dígitos.
Permitir agentes de recuperación de datos basados en certificadosDenegar el acceso de escritura a unidades fijas no protegidas por BitLockerEsta configuración de directiva determina si es necesaria la protección de BitLocker para que se pueda escribir en las unidades de datos fijas de un equipo. Se aplica al activar BitLocker.
Si habilita esta configuración de directiva, todas las unidades de datos fijas que no estén protegidas por BitLocker se montarán como de solo lectura. Si la unidad está protegida por BitLocker, se montará con acceso de lectura y escritura.
Si deshabilita o no define esta configuración de directiva, todas las unidades de datos fijas del equipo se montarán con acceso de lectura y escritura.
Configurar el uso de contraseñas para unidades de datos fijasEsta configuración de directiva especifica si se necesita una contraseña para desbloquear unidades de datos fijas protegidas por BitLocker. Si elige permitir el uso de una contraseña, además de exigir que se use y que se apliquen los requisitos de complejidad, puede configurar una longitud mínima para la misma. Para que los requisitos de complejidad surtan efecto, debe habilitarse también la configuración de directiva de grupo "La contraseña debe cumplir los requisitos de seguridad" ubicada en Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de cuenta\Directiva de contraseñas\.
Nota: estas configuraciones se exigen al activar BitLocker, no al desbloquear un volumen. BitLocker permitirá desbloquear una unidad con cualquiera de estos protectores disponibles.
Si habilita esta configuración de directiva, los usuarios pueden configurar una contraseña que cumpla los requisitos que usted defina. Para requerir el uso de una contraseña, seleccione "Requerir contraseña para unidad de datos fija". Para exigir los requisitos de complejidad de la contraseña, seleccione "Requerir complejidad de la contraseña".
Si se establece "Requerir complejidad de la contraseña", será necesaria una conexión a un controlador de dominio cuando BitLocker esté habilitado con el fin de validar la complejidad de la contraseña. Si se establece "Permitir complejidad de la contraseña", se intentará una conexión a un controlador de dominio para validar si la complejidad cumple las reglas establecidas por la directiva pero, si no se encuentra ningún controlador de dominio, se aceptará la contraseña independientemente de su complejidad y se cifrará la unidad usando esa contraseña como protector. Si se establece "No permitir complejidad de la contraseña", no se validará la complejidad de la contraseña.
Las contraseñas deben tener al menos 8 caracteres. Para configurar una longitud mínima mayor, escriba el número deseado de caracteres en el cuadro "Longitud mínima de la contraseña".
Si deshabilita esta configuración de directiva, no se permitirá al usuario usar una contraseña.
Si no define esta configuración de directiva, se admitirán las contraseñas con la configuración predeterminada, que no incluye requisitos de complejidad y requiere solo 8 caracteres.
Nota: no se puede usar contraseña si está habilitada la compatibilidad con FIPS. La configuración de directiva "Criptografía del sistema: usar algoritmos que cumplan FIPS para cifrado, firma y operaciones hash" en Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad especifica si está habilitada la compatibilidad con FIPS.
Permitir complejidad de la contraseñaNo permitir complejidad de la contraseñaRequerir complejidad de la contraseñaRealizar copia de seguridad de contraseñas de recuperación y paquetes de clavesRealizar copia de seguridad solo de contraseñas de recuperaciónPermitir el acceso a unidades de datos fijas protegidas por BitLocker desde versiones anteriores de WindowsEsta configuración de directiva configura si las unidades de datos fijas con el formato de sistema de archivos FAT pueden desbloquearse y verse en equipos que ejecutan los sistemas operativos Windows Server 2008, Windows Vista, Windows XP con Service Pack 3 (SP3) o Windows XP con Service Pack 2 (SP2).
Si se habilita esta configuración de directiva o no se define, las unidades de datos fijas con el formato de sistema de archivos FAT podrán desbloquearse en equipos que ejecuten los sistemas operativos Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2, y se podrá ver su contenido. Estos sistemas operativos tienen acceso de solo lectura a unidades protegidas por BitLocker.
Si esta configuración de directiva está habilitada, seleccione la casilla "No instalar el Lector de BitLocker To Go en unidades fijas con formato de sistema de archivos FAT" para evitar que los usuarios ejecuten el Lector de BitLocker To Go desde sus unidades fijas. Si el Lector de BitLocker (bitlockertogo.exe) está presente en una unidad para la que no se haya especificado un campo de identificación, o si la unidad tiene el mismo campo de identificación que se especificó en la configuración de directiva "Proporcionar los identificadores únicos de su organización", se pedirá al usuario que actualice BitLocker y se eliminará el Lector de BitLocker To Go de la unidad. En este caso, para que se desbloquee la unidad fija en equipos que ejecutan Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2, deberá instalarse el Lector de BitLocker To Go en el equipo. Si no se selecciona esta casilla, el Lector de BitLocker To Go se instalará en la unidad fija para permitir que los usuarios desbloqueen la unidad en equipos que ejecutan Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2 y que no tengan el Lector de BitLocker instalado.
Si se deshabilita esta configuración de directiva, las unidades de datos fijas con el formato de sistema de archivos FAT no podrán desbloquearse en equipos que ejecuten los sistemas operativos Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2. Bitlockertogo.exe no se instalará.
Nota: esta configuración de directiva no se aplica a unidades con el formato de sistema de archivos NTFS.
Permitir agentes de recuperación de datos basados en certificadosConfigurar el uso de tarjetas inteligentes en unidades de datos fijasEsta configuración de directiva le permite especificar si se pueden usar tarjetas inteligentes para autenticar el acceso del usuario a unidades de datos fijas protegidas por BitLocker en un equipo.
Si habilita esta configuración de directiva, se podrán usar tarjetas inteligentes para autenticar el acceso del usuario a la unidad. Para requerir una autenticación mediante tarjeta inteligente, seleccione la casilla "Requerir el uso de tarjetas inteligentes en unidades de datos fijas".
Nota: esta configuración se aplica al activar BitLocker, no al desbloquear una unidad. BitLocker permitirá desbloquear una unidad con cualquiera de los protectores disponibles en la misma.
Si deshabilita esta configuración de directiva, los usuarios no podrán usar tarjetas inteligentes para autenticar su acceso a unidades de datos fijas protegidas por BitLocker.
Si no establece esta configuración de directiva, se podrán usar tarjetas inteligentes para autenticar el acceso del usuario a una unidad de datos fija protegida por BitLocker.
Configurar el uso de contraseñas para unidades de datos extraíblesEsta configuración de directiva especifica si se necesita una contraseña para desbloquear unidades de datos extraíbles protegidas por BitLocker. Si elige permitir el uso de una contraseña, además de exigir que se use y que se apliquen los requisitos de complejidad, puede configurar una longitud mínima para la misma. Para que los requisitos de complejidad surtan efecto, debe habilitarse también la configuración de directiva de grupo "La contraseña debe cumplir los requisitos de seguridad" ubicada en Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de cuenta\Directiva de contraseñas\.
Nota: estas configuraciones se exigen al activar BitLocker, no al desbloquear un volumen. BitLocker permitirá desbloquear una unidad con cualquiera de estos protectores disponibles.
Si habilita esta configuración de directiva, los usuarios pueden configurar una contraseña que cumpla los requisitos que usted defina. Para requerir el uso de una contraseña, seleccione "Requerir contraseña para unidad de datos extraíble". Para exigir los requisitos de complejidad de la contraseña, seleccione "Requerir complejidad de la contraseña".
Si se establece "Requerir complejidad de la contraseña", será necesaria una conexión a un controlador de dominio cuando BitLocker esté habilitado con el fin de validar la complejidad de la contraseña. Si se establece "Permitir complejidad de la contraseña", se intentará una conexión a un controlador de dominio para validar si la complejidad cumple las reglas establecidas por la directiva pero, si no se encuentra ningún controlador de dominio, se aceptará la contraseña independientemente de su complejidad y se cifrará la unidad usando esa contraseña como protector. Si se establece "No permitir complejidad de la contraseña", no se validará la complejidad de la contraseña.
Las contraseñas deben tener al menos 8 caracteres. Para configurar una longitud mínima mayor, escriba el número deseado de caracteres en el cuadro "Longitud mínima de la contraseña".
Si deshabilita esta configuración de directiva, no se permitirá al usuario usar una contraseña.
Si no define esta configuración de directiva, se admitirán las contraseñas con la configuración predeterminada, que no incluye requisitos de complejidad y requiere solo 8 caracteres.
Nota: no se puede usar contraseña si está habilitada la compatibilidad con FIPS. La configuración de directiva "Criptografía del sistema: usar algoritmos que cumplan FIPS para cifrado, firma y operaciones hash" en Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad especifica si está habilitada la compatibilidad con FIPS.
Denegar el acceso de escritura a unidades extraíbles no protegidas por BitLockerEsta configuración de directiva determina si es necesaria la protección de BitLocker para que se pueda escribir en las unidades de datos extraíbles de un equipo.
Si habilita esta configuración de directiva, todas las unidades de datos extraíbles que no estén protegidas por BitLocker se montarán como de solo lectura. Si la unidad está protegida por BitLocker, se montará con acceso de lectura y escritura.
Si se selecciona la opción "No permitir el acceso de escritura a dispositivos configurados en otra organización", solo se le dará acceso de escritura a las unidades cuyos campos de identificación coincidan con los campos de identificación del equipo. Cuando se tenga acceso a una unidad de datos extraíble, se comprobará si tiene un campo de identificación válido y campos de identificación permitidos. La configuración de directiva "Proporcionar los identificadores únicos de su organización" define estos campos.
Si deshabilita o no define esta configuración de directiva, todas las unidades de datos extraíbles del equipo se montarán con acceso de lectura y escritura.
Nota: la configuración de directiva que se encuentra bajo Configuración del usuario\Plantillas administrativas\Sistema\Acceso de almacenamiento extraíble puede invalidar esta configuración de directiva. Si está habilitada la configuración de directiva "Discos extraíbles: denegar acceso de escritura", esta configuración de directiva se omitirá.
Controlar el uso de BitLocker en unidades extraíblesEsta configuración de directiva controla el uso de BitLocker en unidades de datos extraíbles. Esta configuración de directiva se aplica al activar BitLocker.
Cuando esta configuración de directiva está habilitada, se pueden seleccionar configuraciones de propiedades que controlan cómo pueden configurar BitLocker los usuarios. Elija "Permitir que los usuarios apliquen la protección de BitLocker en unidades de datos extraíbles" para permitir que el usuario ejecute el asistente para la instalación de BitLocker en una unidad de datos extraíble. Elija "Permitir que los usuarios suspendan y descifren la protección de BitLocker en unidades de datos extraíbles" para permitir que el usuario quite el cifrado de BitLocker de la unidad o suspenda el cifrado mientras se realiza el mantenimiento. Consulte la Guía de implementación del Cifrado de unidad BitLocker en Microsoft TechNet para obtener más información sobre la suspensión de la protección de BitLocker.
Si no establece esta configuración de directiva, los usuarios podrán usar BitLocker en unidades de datos extraíbles.
Si deshabilita esta configuración de directiva, los usuarios no podrán usar BitLocker en unidades de datos extraíbles.
Realizar copia de seguridad de contraseñas de recuperación y paquetes de clavesRealizar copia de seguridad solo de contraseñas de recuperaciónPermitir el acceso a unidades de datos extraíbles protegidas por BitLocker desde versiones anteriores de WindowsEsta configuración de directiva configura si las unidades de datos extraíbles con el formato de sistema de archivos FAT pueden desbloquearse y verse en equipos que ejecutan los sistemas operativos Windows Server 2008, Windows Vista, Windows XP con Service Pack 3 (SP3) o Windows XP con Service Pack 2 (SP2).
Si se habilita esta configuración de directiva o no se define, las unidades de datos extraíbles con el formato de sistema de archivos FAT podrán desbloquearse en equipos que ejecuten los sistemas operativos Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2, y se podrá ver su contenido. Estos sistemas operativos tienen acceso de solo lectura a unidades protegidas por BitLocker.
Si esta configuración de directiva está habilitada, seleccione la casilla "No instalar el Lector de BitLocker To Go en unidades extraíbles con formato de sistema de archivos FAT" para evitar que los usuarios ejecuten el Lector de BitLocker To Go desde sus unidades extraíbles. Si el Lector de BitLocker (bitlockertogo.exe) está presente en una unidad para la que no se haya especificado un campo de identificación, o si la unidad tiene el mismo campo de identificación que se especificó en la configuración de directiva "Proporcione los identificadores únicos de su organización", se pedirá al usuario que actualice BitLocker y se eliminará el Lector de BitLocker To Go de la unidad. En este caso, para que se desbloquee la unidad extraíble en equipos que ejecutan Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2, deberá instalarse el Lector de BitLocker To Go en el equipo. Si no se selecciona esta casilla, el Lector de BitLocker To Go se instalará en la unidad extraíble para permitir que los usuarios desbloqueen la unidad en equipos que ejecutan Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2 y que no tengan el Lector de BitLocker instalado.
Si se deshabilita esta configuración de directiva, las unidades de datos extraíbles con el formato de sistema de archivos FAT no podrán desbloquearse en equipos que ejecuten los sistemas operativos Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2. Bitlockertogo.exe no se instalará.
Nota: esta configuración de directiva no se aplica a unidades con el formato de sistema de archivos NTFS.
Permitir agentes de recuperación de datos basados en certificadosConfigurar el uso de tarjetas inteligentes en unidades de datos extraíblesEsta configuración de directiva le permite especificar si se pueden usar tarjetas inteligentes para autenticar el acceso del usuario a unidades de datos extraíbles protegidas por BitLocker en un equipo.
Si habilita esta configuración de directiva, se podrán usar tarjetas inteligentes para autenticar el acceso del usuario a la unidad. Para requerir una autenticación mediante tarjeta inteligente, seleccione la casilla "Requerir el uso de tarjetas inteligentes en unidades de datos extraíbles".
Nota: esta configuración se aplica al activar BitLocker, no al desbloquear una unidad. BitLocker permitirá desbloquear una unidad con cualquiera de los protectores disponibles en la misma.
Si deshabilita esta configuración de directiva, los usuarios no podrán usar tarjetas inteligentes para autenticar su acceso a unidades de datos extraíbles protegidas por BitLocker.
Si no establece esta configuración de directiva, se podrán usar tarjetas inteligentes para autenticar el acceso del usuario a una unidad de datos extraíble protegida por BitLocker.
Permitir los PIN mejorados para el inicioEsta configuración de directiva le permite configurar si se usan PIN de inicio mejorados con BitLocker.
Los PIN de inicio mejorados permiten el uso de caracteres en mayúsculas y minúsculas, símbolos, números y espacios. Esta configuración de directiva se aplica al activar BitLocker.
Si habilita esta configuración de directiva, se establecerá que todos los PIN de inicio de BitLocker sean PIN mejorados.
Nota: no todos los equipos admiten los PIN mejorados en el entorno previo al arranque. Se recomienda que los usuarios realicen una comprobación del sistema al instalar BitLocker.
Si deshabilita o no establece esta configuración de directiva, no se usarán los PIN mejorados.
Requerir copia de seguridad de BitLocker en AD DSSi se selecciona, no se podrá activar BitLocker si la copia de seguridad no se realiza correctamente (valor predeterminado recomendado). Si no se selecciona, se podrá activar BitLocker aunque la copia de seguridad no se realice correctamente. No se vuelve a intentar realizar la copia de seguridad automáticamente.Seleccionar la información de recuperación de BitLocker que debe almacenarse:Una contraseña de recuperación es un número de 48 dígitos que desbloquea el acceso a una unidad protegida por BitLocker.Un paquete de claves contiene una clave de cifrado de BitLocker de una unidad protegida por una o varias contraseñas de recuperaciónLos paquetes de claves ayudan a efectuar una recuperación especializada cuando el disco está dañado. Permitir BitLocker sin un TPM compatible(requiere una clave de recuperación en una unidad flash USB)Opciones para equipos con un TPM:Configurar clave de inicio del TPM:Configurar PIN de inicio del TPM:Importante: si requiere la clave de inicio, no debe permitir el PIN de inicio. i requiere el PIN de inicio, no debe permitir la clave de inicio. De lo contrario, se producirá un error de directiva.Nota: no permitir que las opciones de PIN de inicio y de clave de inicio oculten la página de opciones avanzadas en un equipo con un TPM.Permitir BitLocker sin un TPM compatible(requiere una clave de recuperación en una unidad flash USB)Opciones para equipos con un TPM:Configurar inicio del TPM:Configurar PIN de inicio del TPM:Configurar clave de inicio del TPM:Configurar la clave de inicio y el PIN del TPM:Importante: para evitar la pérdida de datos, debe tener una forma de recuperar las claves de cifrado de BitLocker. Si no permite ninguna de las opciones de recuperación de abajo, deberá habilitar la copia de seguridad de la información de recuperación de BitLocker en AD DS. De lo contrario, se producirá un error de directiva.Configurar contraseña de recuperación de 48 dígitos:Configurar clave de recuperación de 256 bits:Nota: si no permite la contraseña de recuperación y requiere la clave de recuperación, los usuarios no podrán habilitar BitLocker sin guardar en una unidad USB.Permitir agente de recuperación de datosConfigurar almacenamiento de usuario de la información de recuperación de BitLocker:Omitir opciones de recuperación en el asistente para la configuración de BitLockerGuardar información de recuperación de BitLocker en AD DS para unidades de sistema operativoConfigurar almacenamiento de la información de recuperación de BitLocker en AD DS:No habilitar BitLocker hasta que la información de recuperación se almacene en AD DS para unidades de sistema operativoPermitir agente de recuperación de datosConfigurar almacenamiento de usuario de la información de recuperación de BitLocker:Omitir opciones de recuperación en el asistente para la configuración de BitLockerGuardar información de recuperación de BitLocker en AD DS para unidades de datos fijasConfigurar almacenamiento de la información de recuperación de BitLocker en AD DS:No habilitar BitLocker hasta que la información de recuperación se almacene en AD DS para unidades de datos fijasPermitir agente de recuperación de datosConfigurar almacenamiento de usuario de la información de recuperación de BitLocker:Omitir opciones de recuperación en el asistente para la configuración de BitLockerGuardar información de recuperación de BitLocker en AD DS para unidades de datos extraíblesConfigurar almacenamiento de la información de recuperación de BitLocker en AD DS:No habilitar BitLocker hasta que la información de recuperación se almacene en AD DS para unidades de datos extraíblesEspecifique una ruta de acceso completa o incluya las variables de entorno del equipo en la ruta de acceso. Por ejemplo, escriba "\\servidor\carpetaDeCopiaDeSeguridad", o "%variableDeEntornoDeUnidadSegura%\carpetaDeCopiaDeSeguridad"Nota: en todos los casos, el usuario podrá seleccionar otras carpetas donde guardar la contraseña de recuperación.Seleccione el método de cifrado:Un perfil de validación de plataforma consiste en un conjunto de índices de PCR (Registro de configuración de la plataforma). Cada índice de PCR se asocia a componentes que se ejecutan cuando se inicia Windows.Use las casillas para elegir los índices de PCR que se deben incluir en el perfil. Preste atención cuando cambie esta configuración.Se recomienda el valor predeterminado de los PCR 0, 2, 4, 5, 8, 9, 10 y 11.Para que la protección de BitLocker surta efecto, debe incluir el PCR 11.Consulte la documentación para obtener más información acerca de las ventajas y riesgos de cambiar el perfil predeterminado de validación de plataforma del TPM.PCR 0: CRTM (Core Root of Trust of Measurement), BIOS y extensiones de la plataformaPCR 1: Configuración y datos de la placa base y la plataformaPCR 2: Código ROM de opciónPCR 3: Configuración y datos de ROM de opciónPCR 4: Código de registro de arranque maestro (MBR)PCR 5: Tabla de particiones de registro de arranque maestro (MBR)PCR 6: Eventos de activación y transición de estadoPCR 7: Específico del fabricante del equipoPCR 8: Sector de arranque de NTFSPCR 9: Bloque de arranque de NTFSPCR 10: Administrador de arranquePCR 11: Control de acceso de BitLockerPCR 12: Reservado para uso futuroPCR 13: Reservado para uso futuroPCR 14: Reservado para uso futuroPCR 15: Reservado para uso futuroPCR 16: Reservado para uso futuroPCR 17: Reservado para uso futuroPCR 18: Reservado para uso futuroPCR 19: Reservado para uso futuroPCR 20: Reservado para uso futuroPCR 21: Reservado para uso futuroPCR 22: Reservado para uso futuroPCR 23: Reservado para uso futuro1.3.6.1.4.1.311.67.1.1Mínimo de caracteres:Requerir contraseña para unidad de datos fijaConfigure la complejidad de la contraseña para unidades de datos fijas:Longitud mínima de la contraseña para unidades de datos fijas:Nota: debe habilitar la configuración de directiva "La contraseña debe cumplir los requisitos de seguridad" para que surta efecto la configuración de complejidad de la contraseña.Requerir el uso de tarjetas inteligentes en unidades de datos fijasRequerir contraseña para unidad de datos extraíbleConfigure la complejidad de la contraseña para unidades de datos extraíbles:Longitud mínima de la contraseña para unidades de datos extraíbles:Nota: debe habilitar la configuración de directiva "La contraseña debe cumplir los requisitos de seguridad" para que surta efecto la configuración de complejidad de la contraseña.Permitir que los usuarios apliquen la protección de BitLocker en unidades de datos extraíblesPermitir que los usuarios suspendan y descifren la protección de BitLocker en unidades de datos extraíblesNo permitir el acceso de escritura a dispositivos configurados en otra organizaciónRequerir el uso de tarjetas inteligentes en unidades de datos extraíblesNo instalar el Lector de BitLocker To Go en unidades fijas con formato de sistema de archivos FATNo instalar el Lector de BitLocker To Go en unidades extraíbles con formato de sistema de archivos FAT