La contraseña de recuperación para Windows BitLocker no está disponible cuando se establece la directiva compatible con FIPS en Windows
En este artículo se describen los problemas que se producen porque la contraseña de recuperación de Windows BitLocker no es compatible con FIPS en Windows.
Se aplica a: Windows 7 Service Pack 1, Windows Server 2008 R2
Número de KB original: 947249
Introducción
El algoritmo de derivación de claves que se usa con la contraseña de recuperación para el cifrado de unidad BitLocker de Windows no es compatible con los estándares federales de procesamiento de información (FIPS) en Windows. Por lo tanto, es posible que se produzcan los siguientes problemas cuando está habilitada la configuración de cifrado, hash y firma de la criptografía del sistema: Usar algoritmos compatibles con FIPS para el cifrado, el hash y la firma directiva de grupo.
Problema 1
Al agregar manualmente una contraseña de recuperación en un símbolo del sistema, recibe el siguiente mensaje de error:
No se agregó la contraseña numérica. La configuración de directiva de grupo FIPS en el equipo impide la creación de contraseñas de recuperación.
Problema 2
Al intentar cifrar una unidad en la que se requieren contraseñas de recuperación de BitLocker, no se puede cifrar la unidad según lo esperado. Además, aparece un mensaje de error similar al siguiente:
No se puede cifrar el disco. La directiva requiere una contraseña que no se permite con la directiva de seguridad actual sobre el uso de algoritmos FIPS.
Problema 3
Al cifrar una unidad, se crea una clave de recuperación, pero no se crea ninguna contraseña de recuperación como protector de clave.
Problema 4
Una contraseña de recuperación no se archiva en el servicio de directorio de Active Directory.
Más información
Una contraseña de recuperación de BitLocker tiene 48 dígitos. Esta contraseña se usa en un algoritmo de derivación de claves que no es compatible con FIPS. Por lo tanto, si habilita la configuración criptografía del sistema: use algoritmos compatibles con FIPS para el cifrado, el hash y la firma directiva de grupo configuración, no puede crear ni desbloquear una unidad mediante una contraseña de recuperación. Por el contrario, una clave de recuperación de BitLocker es una clave de AES que no requiere que se realice un algoritmo de derivación de claves sobre ella y que sea compatible con FIPS. Por lo tanto, esta configuración de directiva de grupo no afecta a una clave de recuperación.
Para deshabilitar la criptografía del sistema: use algoritmos compatibles con FIPS para el cifrado, el hash y la firma directiva de grupo configuración, siga estos pasos:
Haga clic en Inicio, escriba gpedit.msc en el cuadro Iniciar búsqueda y, a continuación, haga clic en Aceptar.
Nota:
Si se le pide una contraseña de administrador o que confirme la acción, escriba la contraseña o proporcione una confirmación.
Expanda Configuración del equipo, configuración de Windows, configuración de seguridad, directivas localesy, a continuación, haga clic en Opciones de seguridad.
En el panel de detalles, haga doble clic en Criptografía del sistema: use algoritmos compatibles con FIPS para cifrado, hash y firma, haga clic en Deshabilitary, a continuación, haga clic en Aceptar.
Nota:
Un administrador puede configurar esta configuración de directiva de grupo para que se aplique automáticamente desde un controlador de dominio. En esta situación, no puede deshabilitar esta configuración localmente.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de