Configuración del algoritmo de cifrado de BitLocker para dispositivos Autopilot
BitLocker cifra automáticamente las unidades internas durante la experiencia rápida (OOBE) para los dispositivos que admiten el modo de espera moderno o cumplen con la especificación de estabilidad de seguridad de hardware (HSTI). De forma predeterminada, BitLocker usa el espacio usado de 128 bits XTS-AES solo para el cifrado automático.
Con Windows Autopilot, puede configurar los valores de cifrado de BitLocker para que se apliquen antes de que se inicie el cifrado automático. Esta configuración garantiza que el tipo o algoritmo de cifrado predeterminado no se aplique automáticamente. Un dispositivo que reciba esta configuración después de cifrar automáticamente tendrá que descifrarse antes de cambiar el algoritmo de cifrado.
Algoritmo de cifrado
El algoritmo de cifrado de BitLocker se usa cuando BitLocker se habilita por primera vez. Durante Autopilot, BitLocker se habilitará después de la parte de configuración del dispositivo de la página de estado de inscripción. Están disponibles los siguientes algoritmos de cifrado:
- AES-CBC de 128 bits
- AES-CBC de 256 bits
- XTS-AES de 128 bits (valor predeterminado)
- XTS-AES de 256 bits
Para obtener más información sobre los algoritmos de cifrado recomendados para su uso, consulte CSP de BitLocker.
Para asegurarse de que el algoritmo de cifrado de BitLocker que desea esté establecido antes de que se produzca el cifrado automático para dispositivos Autopilot:
Configure los valores del método de cifrado en la directiva de cifrado de disco de Endpoint Security. La configuración está disponible enCifrado> de disco de seguridad> de punto de conexiónCreate policy>Platform = Windows 10 y versiones posteriores, Tipo de perfil = BitLocker.
Asigne la directiva al grupo de dispositivos Autopilot. La directiva de cifrado debe asignarse a los dispositivos del grupo, no a los usuarios.
Habilite la página estado de inscripción de Autopilot para estos dispositivos. Si no habilita esta característica, la directiva no se aplicará antes de que se inicie el cifrado.
Cifrado de disco completo vs. solo espacio usado
Hay dos tipos de cifrado, disco completo o solo espacio usado. El tipo de cifrado se determina automáticamente mediante la configuración de la habilitación silenciosa y la compatibilidad de hardware con el modo de espera moderno. Puede aplicarlo configurando la configuración SystemDrivesEncryptionType . Al igual que el algoritmo de cifrado, el tipo de cifrado se usa cuando BitLocker se habilita por primera vez. Para obtener más información sobre el comportamiento esperado del tipo de cifrado, vea Administrar directiva de BitLocker.
Para aplicar el tipo de cifrado de unidad usado:
Configure la opción Aplicar el tipo de cifrado de unidad en las unidades del sistema operativo dentro del catálogo de opciones. Esta configuración está disponible en la categoría Plantillas > administrativas Componentes > de Windows Unidades de sistema operativo de cifrado > de unidad BitLocker del selector de configuración.
Asigne la directiva al grupo de dispositivos Autopilot. La directiva de cifrado debe asignarse a los dispositivos del grupo, no a los usuarios.
Habilite la página estado de inscripción de Autopilot para estos dispositivos. Si no habilita esta característica, la directiva no se aplicará antes de que se inicie el cifrado.
Requisitos
Una versión compatible de Windows.
Siguientes pasos
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de