[How-To] Windows | Como utilizar BitLocker sin dispositivo de protección TPM
En esta publicación vamos a tratar una problemática relacionada con BitLocker y el error “This device cannot use a Trusted Platform Module. Your adminsitrator must set the Allow BitLocker without a compatible TPM option…” cuando queremos activar la protección de BitLocker en Windows 8 y Windows 8.1.
En TecTimes hemos publicado, semanas anteriores, tutoriales de cómo activar BitLocker en sistemas operativos Windows 8 y 8.1, tanto para el disco de datos como para el disco de sistema operativo. Este error podría presentarse en cualquiera de los casos y aquí veremos cómo remediarlo.
[toc]
Introducción
Objetivo
Esta publicación tiene como objetivo demostrar a los administradores de IT y puntualmente administradores de BitLocker cómo remediar una problemática de políticas relacionada a la imposibilidad de activar BitLocker en un equipo con Windows 8.1 sin un dispositivo TPM de hardware.
Audiencia
Este documento está dirigido a Consultores, Profesionales IT y personas que desarrollan tareas de Consultoría, Administración y Soporte o que simplemente están interesados en leer e investigar sobre la tecnología alcanzada por esta publicación.
Comentarios y Corrección de Errores
Hemos realizado nuestro mejor esfuerzo para no cometer errores, pero al fin y al cabo somos seres humanos. Si deseás reportar algún error o darnos feedback de qué te pareció esta publicación, por favor no dejes de comunicarte con nosotros a través de correo electrónico a la siguiente dirección: info@tectimes.net.
Alcance Técnico
Entender cuál es el alcance de la publicación nos ayuda a tener una expectativa real de lo que encontraremos en la misma, de modo tal que quién lo lee no espere ni más ni menos de lo que encontrará. Vamos a describir el objetivo técnico, tecnologías alcanzadas, escenario de trabajo y plan de trabajo en alto nivel.
Objetivo Técnico
El objetivo técnico de este tutorial es remediar el error “This device cannot use a Trusted Platform Module. Your adminsitrator must set the Allow BitLocker without a compatible TPM option…” al querer habilitar la protección de BitLocker en un Equipo con Windows 8.1 que no dispone de un hardware TPM.
Tecnologías Alcanzadas
Las tecnologías alcanzadas por esta publicación son las siguientes:
- Windows 8.1 Professional o superior.
- BitLocker para Windows.
Escenario de Trabajo
El escenario de trabajo que da marco a esta publicación es el siguiente:
- Un Equipo Virtual con Windows 8.1 Professional instalado y configurado para poder habilitar BitLocker.
- No disponemos de un dispositivo TPM para BitLocker.
Plan de Trabajo
El plan de trabajo a desarrollar en esta publicación es el siguiente:
- Identificación del error.
- Análisis del Error.
- Remediación del Error a través de modificación de directivas locales.
Desarrollo
Identificación del error
Cuando tratamos de activar BitLocker en Windows 8.1 (en este caso habilitarlo para la unidad de sistema operativo) nos aparece el siguiente error:
Análisis del Error
Inicialmente, el error habla sobre la imposibilidad de utilizar BitLocker sin un dispositivo de protección TPM (Trusted Platform Module). A través de este análisis, hemos buscado notas oficiales sobre cómo habilitar BitLocker para que se pueda utilizar sin TPM y nos hemos encontrado con la siguiente entrada: https://technet.microsoft.com/en-us/library/jj679890.aspx
En una referencia dice lo siguiente: “If you want to use BitLocker on a computer without a TPM, select the Allow BitLocker without a compatible TPM check box. In this mode, a USB drive is required for startup. Key information that is used to encrypt the drive is stored on the USB drive, which creates a USB key. When the USB key is inserted, access to the drive is authenticated and the drive is accessible. If the USB key is lost or unavailable, you need to use one of the BitLocker recovery options to access the drive”.
Remediación del Error a través de modificación de directivas locales
Como es un equipo fuera de dominio, vamos a proceder a abrir las políticas locales de grupo:
Allí navegaremos hasta “Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption\Operating System Drives” y visualizaremos la directive que dice “Require additional authentication at startup”:
Abriendo dicha política debemos habilitarla e indicar que se permite la utilización de BitLocker sin dispositivo TPM tildando “Allow BitLocker without a compatible TPM (requires a password or a startup key on a USB flash drive”):
Habiendo realizado estos pasos, ya podremos habilitar BitLocker a través del asistente para los discos del sistema operativo.
Conclusiones
Tal como hemos podido observar, el error de BitLocker al no disponer de un dispositivo TPM en el equipo es una limitación que puede remediarse con la configuración de una política de grupo (en este caso local) en unos simples pasos.
Habiendo completado estos pasos, estamos en condiciones de agregar la encriptación de esta tecnología al disco del sistema operativo.
Esperamos que la publicación les haya resultado de interés. ¡Nos vemos pronto!
Referencias y Links
- BitLocker Group Policy Settings: https://technet.microsoft.com/en-us/library/jj679890.aspx
[related items]