Configuración del cifrado de hardware en unidades SED Crucial^® mediante Bitlocker

Las versiones Windows® 8.1 y las más recientes admiten la gestión de claves de cifrado de unidades SED con una aplicación llamada BitLocker®. Antes de activar el cifrado de hardware de Bitlocker, se deben cumplir los siguientes requisitos (un software de cifrado distinto a Bitlocker podría tener más requisitos u otros diferentes).

Tenga en cuenta Los siguientes pasos le permitirán habilitar el cifrado de hardware con BitLocker en SED Crucial compatibles con Microsoft® eDrive. No todos los SED Crucial son compatibles con Microsoft eDrive, por lo que es importante confirmar si su unidad es compatible con esta especificación antes de seguir los pasos que se indican en esta guía. Si sigue estos pasos en una unidad no compatible con Microsoft eDrive, únicamente podrá habilitar el cifrado de software con Bitlocker y no el cifrado de hardware. Si tiene una Crucial MX500 o una SED más antigua, puede seguir los pasos que se indican a continuación. Si tiene una SED Crucial M.2 NVMe, tendrá que seguir la información que hemos proporcionado en el artículo Habilitar el cifrado de hardware para las SSD Crucial NVMe®.

• Módulo TPM: BitLocker solo admite la versión de TPM 1.2 y 2.0 (o más reciente). Además, debe usar un controlador TPM proporcionado por Microsoft (tenga en cuenta que BitLocker también puede funcionar sin TPM, pero en ese caso necesitará una unidad flash USB para configurar la contraseña). Consulte al fabricante del sistema si tiene problemas para averiguar si TPM está disponible.
• UEFI 2.3.1 o posterior: el ordenador host debe tener una versión mínima de UEFI 2.3.1 y tendrá definido EFI_STORAGE_SECURITY_COMMAND_PROTOCOL. De esta forma se permite que la unidad SED envíe y emita comandos de protocolo de seguridad. Consulte al fabricante de su ordenador host si no está seguro de si este requisito se cumple.
  
• Arranque seguro: en el BIOS del sistema, el ajuste Arranque seguro debe estar habilitado; la mayoría de sistemas Windows 8.1 y posteriores incluyen este ajuste habilitado de forma automática. Consulte al fabricante de su sistema si necesita ayuda para habilitarlo.
  
• Compatibilidad con Opal 2.0: el sistema debe admitir los estándares de seguridad de Opal 2.0. El estándar Opal 2.0 no es retrocompatible; las unidades SED de Crucial no son compatibles con Opal 1.0. Consulte al fabricante de su sistema si necesita ayuda para confirmar la compatibilidad de su sistema con Opal.
  
• Microsoft eDrive: Una especificación de seguridad utilizada por Microsoft para habilitar el cifrado de hardware en las SED usando políticas de grupo o BitLocker; se basa en los estándares TCG OPAL e IEEE 1667. La SED debe cumplir con este requisito únicamente cuando se intenta habilitar el cifrado de hardware mediante políticas de grupo o BitLocker en el SO. Es posible que las soluciones de terceros no requieran de manera estricta esta característica para habilitar el cifrado de hardware.
• Modo UEFI: el ordenador host se debe arrancar siempre desde UEFI. Cualquier modo de arranque de “compatibilidad” o “heredado” debe desactivarse. Recomendamos poner el sistema en modo solo UEFI antes de instalar la SED Crucial. CSM (modo de soporte de compatibilidad) también debe desactivarse. Consulte al fabricante de su sistema si necesita ayuda con estos ajustes. 
  
• Dos particiones (una sin cifrar): la SSD debe tener dos particiones (las unidades con Windows instalado suelen tenerlas) y la partición principal se debe cifrar con NTFS. La partición secundaria sin cifrar debe tener al menos 1,5 GB. Esta partición se usa para autenticar y es necesaria para que el cifrado funcione.
  
• Disco básico: BitLocker no es compatible con discos dinámicos. Las unidades con Windows 8 y Windows 10 vienen configuradas como “Disco básico” en la el esquema de partición GPT, lo que es imprescindible para poder usar el cifrado de hardware.     
  

Se recomienda configurar el UEFI del sistema host para aceptar correctamente la SED antes de instalarla físicamente, conforme se describe en el siguiente ejemplo. Los detalles de configuración varían de un sistema a otro, como los nombres de las diversas funciones. Sin embargo, son bastante similares, así que un único ejemplo será suficiente. Para obtener información detallada sobre las configuraciones específicas del UEFI, póngase en contacto con el fabricante de su ordenador.

1. Habilitar arranque seguro. El arranque seguro de Microsoft es un requisito para poder usar los sistemas Windows 8.1 o posteriores. Los ordenadores configurados de fábrica para Windows 8.1/10/11 (según la etiqueta de especificaciones de un Windows 8/10/11) ya tienen habilitado el arranque seguro. Si el sistema host se configuró originalmente para Windows 7 o una versión anterior del sistema operativo, confirme si el Arranque seguro está habilitado, como se muestra a continuación.

2. Compatibilidad CSM/modo de arranque UEFI. El sistema del ordenador host debe estar en modo solo UEFI, como se ilustra. Por lo general, el CMS se desactivará automáticamente en el modo solo UEFI; sin embargo, es aconsejable confirmarlo y desactivar el CSM en caso necesario.

3. Instalar Windows 8.1/10/11. El método más directo para implementar el cifrado de hardware es realizar una instalación nueva y limpia del sistema operativo. Las versiones de BitLocker en las ediciones Windows 8.x, 10 y 11 Enterprise y Professional admiten el cifrado de hardware en las unidades SED. No se necesitan pasos especiales para usar esta característica; siga el proceso de instalación normal del SO descrito por Microsoft.  Tras instalar el SO, continúe con la sección Habilitar BitLocker. 
   Nota: en los ajustes de prioridad de arranque del BIOS, el sistema se debe configurar para arrancar en primer lugar la SSD, no puede tener antes las opciones USB ni CD.
4. Clonación del sistema.  Ya que las unidades SED Crucial admiten eDrive, al activar BitLocker se crean particiones especiales que son necesarias para que las características de eDrive puedan funcionar. Cuando se clona una SSD con eDrive activada, estas particiones especiales podrían no copiarse correctamente en la unidad de destino. La unidad de destino podrá funcionar, pero no se considera un proceso válido y podrían producirse problemas de rendimiento latente. Si el disco de origen se ha cifrado con el método de cifrado de software en Bitlocker, compruebe en primer lugar que Bitlocker está desactivado antes de iniciar la clonación de la imagen en una unidad SED Crucial. Si se usa BitLocker en el modo de cifrado de software en el sistema de origen, será necesario un proceso de descifrado para desactivar BitLocker. Este proceso puede tardar varias horas, según la cantidad de datos de usuario y del SO almacenados en la unidad.

1. Pulse la tecla Windows (por lo general situada entre <Ctrl> y <Alt>); a continuación, escriba Este equipo y pulse Intro.
2. Haga clic con el botón derecho del ratón en el icono de la unidad del sistema y seleccione Activar BitLocker en el menú emergente.

3. A continuación, se mostrará un mensaje de estado confirmando que BitLocker está configurándose, junto con una barra de estado. Este proceso no tardará en completarse.
4. Seleccione una de las opciones para guardar su clave de recuperación detallada por Microsoft. Si bien Crucial no recomienda ningún ajuste, no omita este paso. En algunos casos, podría ser la única forma para recuperar datos de su SSD. Crucial no tiene métodos alternativos de fábrica para recuperar datos si se pierde una contraseña o una clave de autenticación. Tras guardar la clave, seleccione Siguiente para continuar.
   

5. BitLocker preguntará ¿Está listo para cifrar esta unidad? Cuando haga clic en Continuar, será necesario reiniciar el sistema para completar el proceso.

6. Cuando se complete el reinicio, verá el icono de candado de BitLocker en la unidad de su sistema, indicativo de que BitLocker está activado.

En este vídeo se ilustra todo el proceso.