Configuración de cifrado de hardware en las SED de Crucial^® por medio de BitLocker

Windows® 8.1 y posteriores son automáticamente compatibles la gestión de claves de cifrado de SED por medio de una aplicación llamada BitLocker®. Antes de activar el cifrado de hardware de BitLocker, deben cumplirse los siguientes requisitos (el software de cifrado que no sea BitLocker puede tener requisitos adicionales o distintos).

Tenga en cuenta que los siguientes pasos le permitirán habilitar el cifrado de hardware por medio de BitLocker en las SED Crucial que son compatibles con Microsoft® eDrive. No todas las SED Crucial son compatibles con Microsoft eDrive, por lo que es importante confirmar si su unidad admite esta especificación antes de seguir los pasos de esta guía. Si sigue estos pasos en una unidad que no es compatible con Microsoft eDrive, solo podrá habilitar el cifrado de software usando Bitlocker y no el cifrado de hardware. Si tiene una SED serie MX500 de Crucial o una SED más antigua, puede continuar con los pasos a continuación. Si tiene una SED Crucial M.2 NVMe, deberá seguir la información que hemos proporcionado en el artículo Habilitar el cifrado de hardware para las SSD Crucial NVMe®.

• Módulo tipo TPM: BitLocker solo admite TPM versión 1.2 y 2.0 (o más recientes). Además, debe utilizar un controlador TPM proporcionado por Microsoft (tenga en cuenta que BitLocker también puede funcionar sin TPM, pero necesitará una unidad flash USB para establecer la contraseña). Póngase en contacto con el fabricante de su sistema si necesita ayuda para identificar si su TPM está disponible.
• UEFI 2.3.1 o superior: la computadora host debe tener como mínimo UEFI 2.3.1 y debe tener definido el EFI_STORAGE_SECURITY_COMMAND_PROTOCOL. Esto permite enviar comandos de protocolo de seguridad hacia y desde la SED. Póngase en contacto con el fabricante de su computadora host si no está seguro de que se cumpla con este requisito.
  
• Arranque seguro: en la configuración de la BIOS del sistema debe estar habilitado el Arranque seguro, la mayoría de los sistemas Windows 8.1 y superiores lo traen habilitado automáticamente. Póngase en contacto con el fabricante de su sistema para obtener asistencia para habilitarlo.
  
• Compatibilidad con Opal 2.0: el sistema debe admitir los estándares de seguridad de Opal 2.0. El estándar Opal 2.0 no es de compatibilidad retroactiva; las SED de Crucial no son compatibles con Opal 1.0. Póngase en contacto con el fabricante de su sistema si necesita ayuda para verificar que su sistema cumple los requisitos de Opal.
  
• Microsoft eDrive: Una especificación de seguridad usada por Microsoft para habilitar el cifrado de hardware en las SED por medio de BitLocker o políticas de grupo y se basa en los estándares TCG OPAL e IEEE 1667. Esto solo se requiere en una SED cuando se intenta habilitar el cifrado de hardware por medio de BitLocker o políticas de grupo dentro del SO. Es posible que las soluciones de terceras partes no requieran estrictamente esta función para habilitar el cifrado de hardware.
• Modo UEFI: la computadora host siempre debe arrancar desde UEFI. Cualquier modo de arranque “compatible” o “heredado” debe estar deshabilitado. Recomendamos poner el sistema en modo solo UEFI antes de instalar la SED de Crucial. También debe deshabilitarse el CSM (modo de soporte de compatibilidad). Póngase en contacto con el fabricante de su sistema para obtener ayuda con estos ajustes. 
  
• Dos particiones (una no cifrada): la SSD debe tener dos particiones (las unidades con Windows instalado suelen hacerlo de cualquier forma) y la partición principal que se cifrará debe ser NTFS. Esta partición secundaria sin cifrar debe tener un tamaño mínimo de 1.5 GB. Esta partición se usa con fines de autenticación y es necesaria para que funcione el cifrado.
  
• Disco básico: BitLocker no admite los discos dinámicos. Las unidades Windows 8 y Windows 10 vienen configuradas como Disco básico con la partición GPT, el ajuste necesario para usar el cifrado de hardware.     
  

Se recomienda configurar el UEFI del sistema host para aceptar correctamente la SED antes de instalarla físicamente, conforme se describe en el siguiente ejemplo. Los detalles de configuración del sistema varían de un sistema a otro, como los nombres de las diversas funciones. Sin embargo, son bastante similares como para que sirva un único ejemplo. Para obtener detalles sobre las configuraciones específicas del UEFI, póngase en contacto con el fabricante de su computadora.

1. Habilitar Arranque seguro. El arranque seguro de Microsoft es un requisito para ejecutar los sistemas Windows 8.1 o más reciente. Las computadoras que se han configurado de fábrica para Windows 8.1/10/11 (según la etiqueta de especificaciones de Windows 8/10/11) ya tienen habilitado el arranque seguro. Si el sistema host se configuró originalmente para Windows 7 o una versión anterior del sistema operativo, confirme si el Arranque seguro está habilitado, como se muestra a continuación.

2. Modo de arranque UEFI/Compatibilidad CSM. El sistema de la computadora host debe estar en modo solo UEFI, como se muestra continuación. Generalmente, el CMS se desactivará automáticamente en el modo solo UEFI; sin embargo, se debe confirmarlo y desactivar el CSM de ser necesario.

3. Instalar Windows 8.1/10/11. El método más directo para implementar el cifrado de hardware es realizar una instalación nueva y limpia del sistema operativo. Las versiones BitLocker en las ediciones Windows 8.x, 10 y 11 Enterprise y Professional admiten cifrado de hardware en SED. No se necesitan pasos especiales para esta función; siga el proceso de instalación normal del SO descrito por Microsoft.  Después de instalar el SO, continúe con la sección Habilitar BitLocker. 
   Nota: en los ajustes de prioridad de arranque del BIOS, el sistema se debe configurar para arrancar en primer lugar la SSD, no puede tener antes las opciones USB ni CD.
4. Clonación del sistema.  Debido a que las unidades SED Crucial admiten eDrive, al activar BitLocker se crean particiones especiales que se requieren para que las características de eDrive puedan funcionar. Cuando se clona una SSD con eDrive activada, estas particiones especiales podrían no copiarse de forma adecuada en la unidad de destino. La unidad de destino podrá funcionar, pero no se considera un proceso válido y podrían producirse problemas de rendimiento latente. Si el disco de origen se ha cifrado con el cifrado de software en BitLocker, compruebe en primer lugar que BitLocker está desactivado antes de iniciar la clonación de la imagen en una unidad SED de Crucial. Si se usa BitLocker en el modo de cifrado de software en el sistema de origen, será necesario un proceso de descifrado para desactivar BitLocker. Esto puede tardar varias horas, dependiendo de la cantidad de datos del usuario y del SO almacenados en la unidad.

1. Presione la tecla Windows (generalmente entre <Ctrl> y <Alt>); luego, escriba Esta PC y presione Intro.
2. Haga clic con el botón derecho en el ícono de la unidad del sistema y seleccione Desactivar BitLocker en el menú emergente.

3. A continuación, aparecerá un cuadro de estado que confirma que BitLocker está configurándose, junto con una barra de estado. Esto se completará en unos instantes.
4. Seleccione una de las opciones para guardar su clave de recuperación indicada por Microsoft. Si bien Crucial no recomienda ninguna opción preferida, no omita este paso. En algunas circunstancias, podría ser la única forma para recuperar datos de su SSD. Crucial no tiene métodos alternativos de fábrica para recuperar datos si se pierde una clave de autenticación o una contraseña. Después de guardar la clave, seleccione Siguiente para continuar.
   

5. BitLocker le preguntará ¿Está listo para cifrar esta unidad? Cuando haga clic en Continuar, será necesario reiniciar el sistema para completar el proceso.

6. Después de que se complete el reinicio, verá el ícono de candado de BitLocker en la unidad de su sistema, lo que indica que BitLocker está activado.

El video a continuación ilustra todo el proceso.