Requerir autenticación adicional al iniciar (Windows Server 2008 y Windows Vista)

Esta configuración de directiva le permite controlar si el asistente para la configuración del Cifrado de unidad BitLocker podrá configurar un método de autenticación adicional que se solicite cada vez que se inicie el equipo. Esta configuración de directiva se aplica al activar BitLocker.

Nota: esta directiva se aplica solo a equipos que ejecutan Windows Server 2008 o Windows Vista.

En un equipo con un Módulo de plataforma segura (TPM) compatible, se pueden usar dos métodos de autenticación de inicio para ofrecer una protección adicional de los datos cifrados. El equipo, cuando se inicia, puede solicitar a los usuarios que inserten una unidad flash USB que contenga una clave de inicio. También puede solicitar a los usuarios que escriban un número de identificación personal (PIN) de inicio de entre 4 y 20 dígitos.

En equipos sin un TPM compatible, será necesaria una unidad flash USB que contenga una clave de inicio. Sin un TPM, los datos cifrados mediante BitLocker solo están protegidos por el material de clave de esta unidad flash USB.

Si habilita esta configuración de directiva, el asistente mostrará la página para permitir que el usuario configure opciones de inicio avanzadas para BitLocker. También puede establecer estas opciones de configuración para equipos con y sin un TPM.

Si deshabilita o no establece esta configuración de directiva, el asistente para la instalación de BitLocker mostrará los pasos básicos que permiten a los usuarios activar BitLocker en equipos con un TPM. En este asistente básico, no puede configurarse ninguna clave de inicio o PIN de inicio adicional.

Compatible con: Windows Server 2008 y Windows Vista

Permitir BitLocker sin un TPM compatible (requiere contraseña o clave de inicio en una unidad flash USB)
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSOFTWARE\Policies\Microsoft\FVE
Value NameEnableNonTPM
Value TypeREG_DWORD
Default Value1
True Value1
False Value0

Opciones para equipos con un TPM:

Configurar clave de inicio del TPM:


  1. Permitir clave de inicio con TPM
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUsePartialEncryptionKey
    Value TypeREG_DWORD
    Value2
  2. Requerir clave de inicio con TPM
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUsePartialEncryptionKey
    Value TypeREG_DWORD
    Value1
  3. No permitir clave de inicio con TPM
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUsePartialEncryptionKey
    Value TypeREG_DWORD
    Value0

Configurar PIN de inicio del TPM:


  1. Permitir PIN de inicio con TPM
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUsePIN
    Value TypeREG_DWORD
    Value2
  2. Requerir PIN de inicio con TPM
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUsePIN
    Value TypeREG_DWORD
    Value1
  3. No permitir PIN de inicio con TPM
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSOFTWARE\Policies\Microsoft\FVE
    Value NameUsePIN
    Value TypeREG_DWORD
    Value0

Importante: si requiere la clave de inicio, no debe permitir el PIN de inicio.

i requiere el PIN de inicio, no debe permitir la clave de inicio. De lo contrario, se producirá un error de directiva.

Nota: no permitir que las opciones de PIN de inicio y de clave de inicio oculten la página de opciones avanzadas en un equipo con un TPM.


volumeencryption.admx

Plantillas administrativas (equipos)

Plantillas administrativas (usuarios)