Implementación de la administración de BitLocker

Se aplica a: Configuration Manager (rama actual)

La administración de BitLocker en Configuration Manager incluye los siguientes componentes:

  • Agente de administración de BitLocker: Configuration Manager habilita este agente en un dispositivo al crear una directiva e implementarla en una colección.

  • Servicio de recuperación: el componente de servidor que recibe datos de recuperación de BitLocker de los clientes. Para obtener más información, vea Recovery service.

Antes de crear e implementar directivas de administración de BitLocker:

Crear una directiva

Al crear e implementar esta directiva, el cliente de Configuration Manager habilita el agente de administración de BitLocker en el dispositivo.

Nota

Para crear una directiva de administración de BitLocker, necesitas el rol Administrador completo en Configuration Manager.

  1. En la consola de Configuration Manager, vaya al área de trabajo Activos y cumplimiento, expanda Endpoint Protection y seleccione el nodo Administración de BitLocker.

  2. En la cinta de opciones, seleccione Crear directiva de control de administración de BitLocker.

  3. En la página General, especifique un nombre y una descripción opcional. Seleccione los componentes que desea habilitar en los clientes con esta directiva:

    • Unidad del sistema operativo: administrar si la unidad del sistema operativo está cifrada

    • Unidad fija: administrar el cifrado de otras unidades de datos en un dispositivo

    • Unidad extraíble: administrar el cifrado de las unidades que puedes quitar de un dispositivo, como una clave USB

    • Administración de cliente: administrar la copia de seguridad del servicio de recuperación de claves de la información de recuperación del cifrado de unidad BitLocker

  4. En la página Configuración, configure las siguientes opciones globales para el cifrado de unidad BitLocker:

    Nota

    Configuration Manager aplica esta configuración al habilitar BitLocker. Si la unidad ya está cifrada o está en curso, cualquier cambio en esta configuración de directiva no cambia el cifrado de la unidad en el dispositivo.

    Si deshabilitas o no configuras estas opciones, BitLocker usa el método de cifrado predeterminado (AES de 128 bits).

    • Para Windows 8.1 dispositivos, habilite la opción para el método de cifrado Drive y la intensidad del cifrado. A continuación, seleccione el método de cifrado.

    • Para Windows 10 dispositivos posteriores, habilite la opción para el método de cifrado Drive y la fuerza del cifrado (Windows 10 o posterior). A continuación, seleccione individualmente el método de cifrado para unidades de sistema operativo, unidades de datos fijas y unidades de datos extraíbles.

    Para obtener más información sobre estas y otras opciones de configuración en esta página, vea Configuración referencia - Configuración.

  5. En la página Unidad del sistema operativo, especifique la siguiente configuración:

    • Cifrado de unidad del Configuración operativo: si habilita esta configuración, el usuario debe proteger la unidad del sistema operativo y BitLocker cifra la unidad. Si lo deshabilita, el usuario no puede proteger la unidad.

    En dispositivos con un TPM compatible, se pueden usar dos tipos de métodos de autenticación en el inicio para proporcionar protección adicional para los datos cifrados. Cuando se inicia el equipo, solo puede usar el TPM para la autenticación, o también puede requerir la entrada de un número de identificación personal (PIN). Configure las siguientes opciones:

    • Seleccione protector para la unidad del sistema operativo: configúrelo para usar un TPM y un PIN, o simplemente el TPM.

    • Configurar la longitud mínima del PIN para el inicio: si necesita un PIN, este valor es la longitud más corta que el usuario puede especificar. El usuario escribe este PIN cuando el equipo se inicia para desbloquear la unidad. De forma predeterminada, la longitud mínima del PIN es 4 .

    Para obtener más información sobre estas y otras opciones de configuración en esta página, vea Configuración reference - OS drive.

  6. En la página Unidad fija, especifique la siguiente configuración:

    • Cifrado fijo de unidades de datos: si habilitas esta configuración, BitLocker requiere que los usuarios pongan todas las unidades de datos fijas bajo protección. A continuación, cifra las unidades de datos. Al habilitar esta directiva, habilite el desbloqueo automático o la configuración de la directiva de contraseña de unidad de datos fija.

    • Configurar el desbloqueo automático para la unidad de datos fija: permitir o requerir que BitLocker desbloquee automáticamente cualquier unidad de datos cifrada. Para usar el desbloqueo automático, también requiere BitLocker para cifrar la unidad del sistema operativo.

    Para obtener más información sobre estas y otras opciones de configuración en esta página, vea Configuración referencia - Unidad fija.

  7. En la página Unidad extraíble, especifique la siguiente configuración:

    • Cifrado de unidad de datos extraíble: al habilitar esta configuración y permitir a los usuarios aplicar la protección de BitLocker, el cliente de Configuration Manager guarda información de recuperación sobre las unidades extraíbles en el servicio de recuperación en el punto de administración. Este comportamiento permite a los usuarios recuperar la unidad si olvidan o pierden el protector (contraseña).

    • Permitir a los usuarios aplicar la protección de BitLocker en unidades de datos extraíbles: los usuarios pueden activar la protección de BitLocker para una unidad extraíble.

    • Directiva de contraseña de unidad de datos extraíble: use esta configuración para establecer las restricciones para que las contraseñas desbloqueen unidades extraíbles protegidas con BitLocker.

    Para obtener más información sobre estas y otras opciones de configuración en esta página, vea Configuración reference - Unidad extraíble.

  8. En la página Administración de clientes, especifique la siguiente configuración:

    Importante

    Para las versiones de Configuration Manager anteriores a 2103, si no tiene un punto de administración con un sitio web habilitado para HTTPS, no configure esta configuración. Para obtener más información, vea Recovery service.

    • Configurar servicios de administración de BitLocker: al habilitar esta configuración, Configuration Manager realiza una copia de seguridad automática y silenciosa de la información de recuperación de claves en la base de datos del sitio. Si deshabilita o no configura esta configuración, Configuration Manager no guarda la información de recuperación de claves.

      • Seleccione Información de recuperación de BitLocker para almacenar: Configúrela para usar una contraseña de recuperación y un paquete de clave, o simplemente una contraseña de recuperación.

      • Permitir que la información de recuperación se almacene en texto sin formato: sin un certificado de cifrado de administración de BitLocker, Configuration Manager almacena la información de recuperación de claves en texto sin formato. Para obtener más información, vea Cifrar datos de recuperación en la base de datos.

    Para obtener más información sobre estas y otras opciones de configuración en esta página, vea Configuración referencia - Administración de clientes.

  9. Complete el asistente.

Para cambiar la configuración de una directiva existente, selecciónelo en la lista y seleccione Propiedades.

Al crear más de una directiva, puede configurar su prioridad relativa. Si implementa varias directivas en un cliente, usa el valor de prioridad para determinar su configuración.

A partir de la versión 2006, puede usar Windows PowerShell cmdlets para esta tarea. Para obtener más información, vea New-CMBlmSetting.

Implementar una directiva

  1. Elija una directiva existente en el nodo Administración de BitLocker. En la cinta de opciones, seleccione Implementar.

  2. Seleccione una colección de dispositivos como destino de la implementación.

  3. Si quieres que el dispositivo cifre o descifra sus unidades en cualquier momento, selecciona la opción Permitir corrección fuera de la ventana de mantenimiento. Si la colección tiene ventanas de mantenimiento, aún corrige esta directiva de BitLocker.

  4. Configurar una programación simple o personalizada. El cliente evalúa su cumplimiento en función de la configuración especificada en la programación.

  5. Seleccione Aceptar para implementar la directiva.

Puede crear varias implementaciones de la misma directiva. Para ver información adicional acerca de cada implementación, seleccione la directiva en el nodo Administración de BitLocker y, a continuación, en el panel de detalles, cambie a la pestaña Implementaciones.

Importante

Si una conexión de protocolo de escritorio remoto (RDP) está activa, el cliente MBAM no inicia las acciones de cifrado de unidad BitLocker. Cierre todas las conexiones de consola remota e inicie sesión en una sesión de consola con una cuenta de usuario de dominio. A continuación, comienza el cifrado de unidad BitLocker y el cliente carga claves y paquetes de recuperación. Si inicias sesión con una cuenta de usuario local, el cifrado de unidad BitLocker no se inicia.

Puedes usar RDP para conectarte de forma remota a la sesión de consola del dispositivo con el /admin modificador. Por ejemplo: mstsc.exe /admin /v:<IP address of device>

Una sesión de consola es cuando estás en la consola física del equipo o una conexión remota que es la misma que si estás en la consola física del equipo.

A partir de la versión 2006, puede usar Windows PowerShell cmdlets para esta tarea. Para obtener más información, vea New-CMSettingDeployment.

Supervisión

Vea las estadísticas básicas de cumplimiento acerca de la implementación de directivas en el panel de detalles del nodo Administración de BitLocker:

  • Recuento de cumplimiento
  • Recuento de errores
  • Recuento de incumplimientos

Cambie a la pestaña Implementaciones para ver el porcentaje de cumplimiento y la acción recomendada. Seleccione la implementación y, a continuación, en la cinta de opciones, seleccione Ver estado. Esta acción cambia la vista al área de trabajo Supervisión, nodo Implementaciones. De forma similar a la implementación de otras implementaciones de directivas de configuración, puede ver el estado de cumplimiento más detallado en esta vista.

Para comprender por qué los clientes informan que no cumplen con la directiva de administración de BitLocker, consulte Códigos de no cumplimiento.

Para obtener más información sobre la solución de problemas, consulta Solucionar problemas de BitLocker.

Use los siguientes registros para supervisar y solucionar problemas:

Registros de cliente

  • Registro de eventos MBAM: en el Visor Windows eventos, vaya a Aplicaciones y servicios > Microsoft > Windows > MBAM. Para obtener más información, consulta Acerca de los registros de eventos de BitLocker y los registros de eventos de cliente.

  • Ruta de acceso de registros de cliente bitlockerManagementHandler.log, %WINDIR%\CCM\Logs de forma predeterminada

Registros de puntos de administración (servicio de recuperación)

  • Registro de eventos del servicio de recuperación: en el Visor de eventos Windows, vaya a Aplicaciones y servicios > Microsoft > Windows > MBAM-Web. Para obtener más información, vea About BitLocker event logs and Server event logs.

  • Registros de seguimiento del servicio de recuperación: <Default IIS Web Root>\Microsoft BitLocker Management Solution\Logs\Recovery And Hardware Service\trace*.etl

Consideraciones de migración

Si actualmente usa Microsoft BitLocker Administration and Monitoring (MBAM), puede migrar la administración a Configuration Manager sin problemas. Al implementar directivas de administración de BitLocker en Configuration Manager, los clientes cargan automáticamente claves y paquetes de recuperación en el servicio de recuperación de Configuration Manager.

Importante

Al migrar de MBAM independiente a la administración de BitLocker de Configuration Manager, si necesita la funcionalidad existente de MBAM independiente, no reutilice los servidores o componentes MBAM independientes con la administración de BitLocker de Configuration Manager. Si reutiliza estos servidores, MBAM independiente dejará de funcionar cuando la administración de BitLocker de Configuration Manager instale sus componentes en esos servidores. No ejecute el script MBAMWebSiteInstaller.ps1 para configurar los portales de BitLocker en servidores MBAM independientes. Al configurar la administración de BitLocker de Configuration Manager, use servidores independientes.

Directiva de grupo

  • La configuración de administración de BitLocker es totalmente compatible con la configuración de directiva de grupo mbam. Si los dispositivos reciben tanto la configuración de directiva de grupo como las directivas de Configuration Manager, configúrelas para que coincidan.

    Nota

    Si existe una configuración de directiva de grupo para MBAM independiente, invalidará la configuración equivalente intentada por Configuration Manager. MBAM independiente usa la directiva de grupo de dominio, mientras que Configuration Manager establece directivas locales para la administración de BitLocker. Las directivas de dominio invalidarán las directivas de administración de BitLocker de Configuration Manager locales. Si la directiva de grupo de dominio MBAM independiente no coincide con la directiva de Configuration Manager, se producirá un error en la administración de BitLocker de Configuration Manager. Por ejemplo, si una directiva de grupo de dominio establece el servidor MBAM independiente para los servicios de recuperación de claves, la administración de BitLocker de Configuration Manager no puede establecer la misma configuración para el punto de administración. Este comportamiento hace que los clientes no informen sus claves de recuperación al servicio de recuperación de claves de administración de BitLocker de Configuration Manager en el punto de administración.

  • Configuration Manager no implementa todas las opciones de directiva de grupo mbam. Si configuras más opciones en la directiva de grupo, el agente de administración de BitLocker en los clientes de Configuration Manager respeta esta configuración.

    Importante

    No establezcas una directiva de grupo para una configuración que la administración de BitLocker de Configuration Manager ya especifica. Solo establece directivas de grupo para las configuraciones que no existen actualmente en la administración de BitLocker de Configuration Manager. Configuration Manager versión 2002 tiene paridad de características con MBAM independiente. Con Configuration Manager versión 2002 y versiones posteriores, en la mayoría de los casos no debería haber ningún motivo para establecer directivas de grupo de dominio para configurar directivas de BitLocker. Para evitar conflictos y problemas, evita el uso de directivas de grupo para BitLocker. Configure todas las opciones a través de directivas de administración de BitLocker de Configuration Manager.

Hash de contraseña de TPM

  • Los clientes MBAM anteriores no cargan el hash de contraseña del TPM en Configuration Manager. El cliente solo carga el hash de contraseña del TPM una vez.

  • Si necesitas migrar esta información al servicio de recuperación de Configuration Manager, borra el TPM en el dispositivo. Después de reiniciarse, carga el nuevo hash de contraseña tpm en el servicio de recuperación.

Nota

La carga del hash de contraseña del TPM pertenece principalmente a las versiones de Windows antes de Windows 10. Windows 10 o posterior de forma predeterminada no guarda el hash de contraseña del TPM, por lo que estos dispositivos normalmente no lo cargan. Para obtener más información, vea Acerca de la contraseña del propietario del TPM.

Volver a cifrar

Configuration Manager no vuelve a cifrar las unidades que ya están protegidas con el cifrado de unidad BitLocker. Si implementas una directiva de administración de BitLocker que no coincide con la protección actual de la unidad, se notifica como no compatible. La unidad aún está protegida.

Por ejemplo, usó MBAM para cifrar la unidad con el algoritmo de cifrado AES-XTS 128, pero la directiva de Configuration Manager requiere AES-XTS 256. La unidad no es compatible con la directiva, aunque la unidad esté cifrada.

Para evitar este comportamiento, primero deshabilita BitLocker en el dispositivo. A continuación, implemente una nueva directiva con la nueva configuración.

Administración en colaboración e Intune

El controlador de cliente de Configuration Manager para BitLocker es consciente de la administración en colaboración. Si el dispositivo se administra de forma mixta y cambia la carga de trabajo Endpoint Protection a Intune, el cliente de Configuration Manager omite su directiva de BitLocker. El dispositivo obtiene una Windows de cifrado de Intune.

Nota

Cambiar las autoridades de administración de cifrado mientras se mantiene el algoritmo de cifrado deseado no requiere acciones adicionales en el cliente. Sin embargo, si cambia las autoridades de administración de cifrado y el algoritmo de cifrado deseado también cambia, tendrá que planear el nuevo cifrado.

Para obtener más información acerca de la administración de BitLocker con Intune, consulte los siguientes artículos:

Siguientes pasos

Acerca del servicio de recuperación de BitLocker

Configurar informes y portales de BitLocker