De forma predeterminada en Windows 10 tanto los administradores como los usuarios estándar pueden cambiar el PIN o la contraseña de BitLocker para el volumen del sistema operativo o la contraseña de BitLocker para volúmenes de datos fijos de forma predeterminada
Si no desea que los usuarios estándar puedan cambiar el PIN o la contraseña de Bitlocker en una PC, esta publicación le mostrará cómo detener, evitar o prohibir que los usuarios estándar puedan cambiar los PIN o contraseñas de las unidades cifradas de BitLocker 10)
Los administradores y usuarios estándar tienen la capacidad de elegir PIN y contraseñas que corresponden a un mnemotécnico personal en lugar de requerir que el usuario recuerde un conjunto de caracteres generado aleatoriamente y permite a los profesionales de TI usar la misma configuración inicial de PIN o contraseña para todas las imágenes de la computadora. Esto también presenta la oportunidad para que los usuarios elijan contraseñas y PIN que son más susceptibles a adivinar contraseñas, ataques de diccionario y ataques de ingeniería social y les brinda a los usuarios la posibilidad de desbloquear cualquier computadora que todavía use la asignación original de PIN o contraseña. Se requiere que la Política de grupo requiera la complejidad de la contraseña y la complejidad del PIN para ayudar a garantizar que los usuarios tengan el cuidado adecuado al configurar las contraseñas y los PIN.
Evitar que los usuarios estándar cambien los PIN o contraseñas de BitLocker
Los usuarios estándar deben ingresar el PIN o la contraseña actual para que la unidad cambie el PIN o la contraseña de BitLocker. Si un usuario ingresa un PIN o contraseña actuales incorrectos, la tolerancia predeterminada para los intentos de reintento se establece en 5 . Una vez que se alcanza el límite de reintentos, un usuario estándar no podrá cambiar el PIN o la contraseña de BitLocker. El contador de reintentos se establece en cero cuando se reinicia la computadora o cuando un administrador restablece el PIN o la contraseña de BitLocker.
Debe iniciar sesión como administrador para habilitar o deshabilitar los PIN mejorados para el inicio de BitLocker.
Abra el Editor de directivas de grupo local y en el panel izquierdo del Editor de directivas de grupo local, navegue a la siguiente ubicación:
- Configuración del equipo> Plantillas administrativas- Componentes de Windows- Cifrado de unidad BitLocker- Unidades del sistema operativo
En el panel derecho de Unidades del sistema operativo en el Editor de directivas de grupo local, haga doble clic en No permitir que los usuarios estándar cambien la directiva de PIN o contraseña para editarla.
Esta configuración de directiva le permite configurar si los usuarios estándar pueden o no cambiar los PIN de volumen de BitLocker, siempre que puedan proporcionar primero el PIN existente. Esta configuración de directiva se aplica cuando activa BitLocker. Si habilita esta configuración de directiva, los usuarios estándar no podrán cambiar los PIN o contraseñas de BitLocker. Si deshabilita o no configura esta configuración de directiva, los usuarios estándar podrán cambiar los PIN y contraseñas de BitLocker.
Para permitir que los usuarios estándar cambien los PIN o contraseñas de BitLocker
Seleccione el botón de radio para No configurado o deshabilitado , y haga clic en Aceptar.
Para deshabilitar a los usuarios estándar de cambiar los PIN o contraseñas de BitLocker
- Seleccione el botón de opción Activado y haga clic en Aceptar.
- Ahora puede salir del Editor de directivas de grupo y reiniciar su computadora para que los cambios surtan efecto.