Bitlocker es una de las herramientas más útiles que se han incluido de serie en las últimas versiones de Windows. Bitlocker nos permite encriptar y bloquear carpetas o unidades de disco para almacenar en ellas información sensible. Hoy vamos a ver como podemos suplir una de sus (de momento) carencias como es la dificultad en volver a bloquear una unidad que hayamos desbloqueado previamente.

bitlocker

**corregido y revisado 2019/03**

Con el Bitlocker, el comportamiento habitual es que cuando tenemos una unidad encriptada y encendemos el ordenador, podemos desbloquearla facilmente con un doble click, tras lo cual se muestra un dialogo para introducir la contraseña. Una vez desbloqueada la unidad, no es tan obvio el volver a bloquearla a no ser que reiniciemos la máquina, con lo que se autobloquea de nuevo.

Esta falta de accesibilidad es un problema ya que en muchas ocasiones desbloqueamos una unidad para leer algún fichero y acto seguido queremos volver a bloquearla, esto lo conseguiremos facilmente siguiendo este cybertruco. Vamos a ver en unos pocos pasos, primero cual es el comando para bloquear la unidad a través del CMD y de paso como añadir una opción para lanzar este comando a través del propio explorador de Windows.

Añadir bloqueo con bitlocker

  1. Abrimos un nuevo archivo notepad y escribimos el siguiente comando (reemplazando la letra de unidad que tengamos con Bitlocker).

    manage-bde -lock E: -ForceDismount

    Con la instrucción lock especificamos que queremos bloquear la unidad y con la instrucción ForceDismount especificamos que se fuerce el desmontando de la unidad. Este último parámetro se puede omitir y en caso que tengamos alguna cosa de la unidad abierta nos dará un error. El principio de la instrucción "cmd /c" indica que para la instrucción se ejecute cmd y se cierre después de haber acabado, esta parte puede ser innecesaria en determinados sistemas dependiendo de los privilegios de los usuarios.

  2. Salvamos el fichero con extensión .bat por ejemplo con el nombre de bloquearbitlocker.bat y la salvamos en alguna ruta como por ejemplo c:\ (se puede guardar en cualquier carpeta)

  3. Ahora abrimor el editor de registro ejecutando "regedit" y buscamos la siguiente ruta

    HKEY_CLASSES_ROOT\Drive\shell

  4. Creamos una nueva Clave (Key) llamada runas con el valor por defecto a Lock o a Bloquear por poner un par de ejemplos (esto es lo que aparecerá en el menú del explorador de Windows)

  5. Click-derecho en runas (en el panel de la izquierda) y creamos una nueva clave llamada command

  6. Ponemos su valor por defecto a cmd /c c:\bloquearbitlocker.bat (reemplazando por la ruta y nombre de archivo que hayamos elegido anteriormente)

  7. Otra vez sobre runas creamos un valor de cadena (String Value) y lo llamamos AppliesTo y ponemos el valor a E: (reemplazando por el nombre de unidad en nuestro ordenador)

  8. Ahora en el explorador de Windows, si hacemos click derecho sobre nuestra unidad con Bitlocker ya deberíamos ver la nueva opción para encriptarla de nuevo.

Seleccionando la opción veremos como se inicia el cmd y ejecuta el .bat que bloquea la unidad con Bitlocker sin tener que reiniciar tantas veces como queramos.

Cómo añadir el bloqueo para más unidades

En caso que queramos bloquear otras unidades el proceso es similar, aunque tenemos que previamente hacer una copia del fichero cmd.exe ya que de otra manera la segunda instrucción no se ejecuta correctamente.

Primero de todo, como decíamos, necesitamos crear una copia de nuestro cmd.exe que podemos encontrar en la carpeta %WINDIR%\system32. Situamos la copia en la misma carpeta, en este ejemplo llamamos al archivo cmdg.exe. Abrimos sus propiedades con botón derecho y ajustamos sus opciones de compatibilidad marcando que se debe ejecutar como administrador.

Una vez hecho esto, repetimos todos los pasos anteriores con algunos cambios ya que la unidad que querremos bloquear tendrá otra letra, la clave del registro tendrá otro nombre...A continuación podéis ver los pasos modificados para bloquear por ejemplo la unidad G:

  1. Abrimos un nuevo archivo notepad y escribimos el siguiente comando (reemplazando la letra de unidad que tengamos con Bitlocker).

    manage-bde -lock G: -ForceDismount


    Con la instrucción lock especificamos que queremos bloquear la unidad y con la instrucción ForceDismount especificamos que se fuerce el desmontando de la unidad. Este último parámetro se puede omitir y en caso que tengamos alguna cosa de la unidad abierta nos dará un error. El principio de la instrucción "cmd /c" indica que para la instrucción se ejecute cmd y se cierre después de haber acabado, esta parte puede ser innecesaria en determinados sistemas dependiendo de los privilegios de los usuarios.

  2. Salvamos el fichero con extensión .bat por ejemplo con el nombre de bloquearbitlockerg.bat y la salvamos en alguna ruta como por ejemplo c:\ (se puede guardar en cualquier carpeta)

  3. Ahora abrimor el editor de registro ejecutando "regedit" y buscamos la siguiente ruta

    HKEY_CLASSES_ROOT\Drive\shell

  4. Creamos una nueva Clave (Key) llamada por ejemplo runasg con el valor por defecto a Lock o a Bloquear por poner un par de ejemplos (esto es lo que aparecerá en el menú del explorador de Windows)

  5. Click-derecho en runasg (en el panel de la izquierda) y creamos una nueva clave llamada command

  6. Ponemos su valor por defecto a cmdg /c c:\bloquearbitlockerg.bat (reemplazando por la ruta y nombre de archivo que hayamos elegido anteriormente)

  7. Otra vez sobre runas creamos un valor de cadena (String Value) y lo llamamos AppliesTo y ponemos el valor a G: (reemplazando por el nombre de unidad en nuestro ordenador)

  8. Ahora en el explorador de Windows, si hacemos click derecho sobre nuestra unidad con Bitlocker ya deberíamos ver la nueva opción para encriptarla de nuevo.


*He escrito los pasos basándome en mis sistemas Windows 8.1 e Windows 10 que están en Inglés, si algún paso no es exacto en un sistema en Español, avisadme y lo corregiré.