La recuperación de una unidad protegida con BitLocker se puede llevar a cabo con un agente de recuperación de datos configurado con el certificado adecuado. Para poder configurar un agente de recuperación de datos para una unidad, debe agregar el agente de recuperación de datos en Directivas de clave pública en la Consola de administración de directivas de grupo (GPMC) o el Editor de directivas de grupo local. Además, debe habilitar y establecer la configuración de directiva Proporcionar identificadores únicos para la organización para asociar un identificador único a una nueva unidad habilitada con BitLocker. Los campos de identificación son necesarios para la administración de los agentes de recuperación de datos en unidades protegidas con BitLocker. BitLocker solo administrará y actualizará los agentes de recuperación de datos cuando un campo de identificación esté presente en una unidad y sea idéntico al valor configurado en el equipo.
Requisitos de certificados
Un certificado debe cumplir los siguientes requisitos de uso de claves y uso de claves mejorado para poder usarlo para cifrar una unidad con BitLocker:
- El atributo de uso de claves debe ser ninguno, Cifrado de clave o uno de los siguientes valores de uso de clave:
CERT_DATA_ENCIPHERMENT_KEY_USAGE
CERT_KEY_AGREEMENT_KEY_USAGE
CERT_KEY_ENCIPHERMENT_KEY_USAGE - El atributo de uso de claves mejorado debe ser ninguno o uno de los siguientes:
1.3.6.1.4.1.311.67.1.1
Un identificador de objeto de uso de claves mejorado admitido por la entidad de certificación
El identificador de objeto de BitLocker se establece en 1.3.6.1.4.1.311.67.1.1 de forma predeterminada. Puede usar la directiva de grupo para cambiar este valor si, por ejemplo, desea compartir un certificado existente con BitLocker. Si el certificado pertenece a un agente de recuperación de datos y solo se usa para recuperar datos protegidos con BitLocker, se recomienda tener uno de estos atributos, pero no es obligatorio. No se produce ninguna validación de certificado al agregar un agente de recuperación de datos a una unidad.
Configuración de un agente de recuperación de datos y un campo de identificación para BitLocker
En los siguientes procedimientos se describe cómo configurar un agente de recuperación de datos y un campo de identificación para BitLocker.
Para poder completar este procedimiento, debe pertenecer como mínimo al grupo Administradores local.
 | Para configurar un agente de recuperación de datos |
Abra GPMC o el Editor de directivas de grupo local.
En el árbol de consola en Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de clave pública, haga clic con el botón secundario en Cifrado de unidad BitLocker.
Haga clic en Agregar Agente de recuperación de datos para iniciar el Asistente para agregar agente de recuperación. Haga clic en Siguiente.
En la página Seleccionar los agentes de recuperación, haga clic en Examinar carpetas y seleccione un archivo .cer como agente de recuperación de datos. Una vez se ha seleccionado el archivo, se importará y aparecerá en la lista Agentes de recuperación en el asistente. Se pueden especificar varios agentes de recuperación de datos. Después de haber especificado todos los agentes de recuperación de datos que desea usar, haga clic en Siguiente.
La página Finalización del Asistente para agregar agente de recuperación del asistente muestra una lista de los agentes de recuperación de datos que se agregarán a la directiva de grupo. Haga clic en Finalizar para confirmar los agentes de recuperación de datos y cerrar el asistente.
Después de cerrarse el asistente, los agentes de recuperación de datos aparecen en el panel de detalles.
| Para configurar un campo de identificación |
En GPMC o en el Editor de directivas de grupo local, expanda el árbol de consola para Configuración del equipo\Plantillas administrativas\Componentes de Windows\Cifrado de unidad BitLocker y, a continuación, haga clic en Cifrado de unidad BitLocker para mostrar la configuración de directiva
En el panel de detalles, haga doble clic en la configuración de directiva Proporcionar identificadores únicos para la organización.
Haga clic en Habilitar. En Campo de identificación de BitLocker, especifique el campo de identificación para la organización.
Haga clic en Aceptar para aplicar y cerrar la configuración de directiva.
 | Nota |
|
Las unidades cifradas con BitLocker antes configurar un campo de identificación no tendrán agentes de recuperación de datos asignados debido a la ausencia de un campo de identificación. Es posible usar Instrumental de administración de Windows (WMI) o la herramienta de la línea de comandos Manage-bde para establecer un campo de identificación en una unidad cifrada anteriormente. Al usar Manage-bde, el campo de identificación se establecerá en el valor especificado en la configuración de directiva Proporcionar identificadores únicos para la organización. Para obtener más información acerca del uso de WMI o Manage-bde, vea |