Cifrado de los datos de recuperaciónEncrypt recovery data

Se aplica a: Configuration Manager (rama actual)Applies to: Configuration Manager (current branch)

Al crear una directiva de administración de BitLocker, Configuration Manager implementa el servicio de recuperación en un punto de administración.When you create a BitLocker management policy, Configuration Manager deploys the recovery service to a management point. En la página Administración de cliente de la directiva de administración de BitLocker, al configurar los servicios de administración de BitLocker, el cliente realiza una copia de seguridad de la información de recuperación de claves en la base de datos del sitio.On the Client Management page of the BitLocker management policy, when you Configure BitLocker Management Services, the client backs up key recovery information to the site database. Esta información incluye claves de recuperación de BitLocker, paquetes de recuperación y hashes de contraseña de TPM.This information includes BitLocker recovery keys, recovery packages, and TPM password hashes. Cuando los usuarios estén bloqueados en su dispositivo protegido, puede usar esta información para ayudarles a recuperar el acceso al dispositivo.When users are locked out of their protected device, you can use this information to help them recover access to the device.

Dado el carácter confidencial de esta información, debe protegerla en las siguientes circunstancias:Given the sensitive nature of this information, you need to protect it in the following circumstances:

  • Configuration Manager requiere una conexión HTTPS entre el cliente y el servicio de recuperación para cifrar los datos en tránsito a través de la red.Configuration Manager requires an HTTPS connection between the client and the recovery service to encrypt the data in transit across the network. Hay dos opciones:There are two options:

    • HTTPS: habilite el sitio web de IIS en el punto de administración que hospeda el servicio de recuperación, no en todo el rol de punto de administración.HTTPS-enable the IIS website on the management point that hosts the recovery service, not the entire management point role. Esta opción solo se aplica a Configuration Manager, versión 2002.This option only applies to Configuration Manager version 2002.

    • Configure el punto de administración para HTTPS.Configure the management point for HTTPS. En las propiedades del punto de administración, la configuración de Conexiones de cliente debe ser HTTPS.On the properties of the management point, the Client connections setting must be HTTPS. Esta opción se aplica a las versiones 1910 o 2002 de Configuration Manager.This option applies to Configuration Manager versions 1910 or 2002.

      Nota

      Actualmente no admite HTTP mejorado.It currently doesn't support Enhanced HTTP.

  • Considere también la posibilidad de cifrar estos datos cuando se almacenan en la base de datos del sitio.Consider also encrypting this data when stored in the site database. Si instala un certificado SQL, Configuration Manager cifra los datos en SQL.If you install a SQL certificate, Configuration Manager encrypts your data in SQL.

    Si no quiere crear un certificado de cifrado de administración de BitLocker, opte por el almacenamiento en texto sin formato de los datos de recuperación.If you don't want to create a BitLocker management encryption certificate, opt-in to plain-text storage of the recovery data. Al crear una directiva de administración de BitLocker, habilite la opción Permite que la información de recuperación se almacene en texto sin formato.When you create a BitLocker management policy, enable the option to Allow recovery information to be stored in plain text.

    Nota

    Otra capa de seguridad consiste en cifrar toda la base de datos del sitio.Another layer of security is to encrypt the entire site database. Si habilita el cifrado en la base de datos, no habrá ningún problema funcional en Configuration Manager.If you enable encryption on the database, there aren't any functional issues in Configuration Manager.

    Use el cifrado con precaución, especialmente en entornos a gran escala.Encrypt with caution, especially in large-scale environments. En función de las tablas que cifre y de la versión de SQL, es posible que observe una degradación del rendimiento de hasta un 25 %.Depending upon the tables you encrypt and the version of SQL, you may notice up to a 25% performance degradation. Actualice los planes de recuperación y copia de seguridad para poder recuperar correctamente los datos cifrados.Update your backup and recovery plans, so that you can successfully recover the encrypted data.

Requisitos de certificadosCertificate requirements

Certificado de autenticación de servidor HTTPSHTTPS server authentication certificate

En la rama actual de Configuration Manager, versión 1910, para integrar el servicio de recuperación de BitLocker se necesita un punto de administración habilitado para HTTPS.In Configuration Manager current branch version 1910, to integrate the BitLocker recovery service you had to HTTPS-enable a management point. La conexión HTTPS es necesaria para cifrar las claves de recuperación en la red desde el cliente de Configuration Manager al punto de administración.The HTTPS connection is necessary to encrypt the recovery keys across the network from the Configuration Manager client to the management point. La configuración del punto de administración y de todos los clientes para HTTPS puede resultar complicada para muchos clientes.Configuring the management point and all clients for HTTPS can be challenging for many customers.

A partir de la versión 2002, el requisito de HTTPS es para el sitio web de IIS que hospeda el servicio de recuperación, no para todo el rol de punto de administración.Starting in version 2002, the HTTPS requirement is for the IIS website that hosts the recovery service, not the entire management point role. Este cambio reduce los requisitos de certificado, pero sigue cifrando las claves de recuperación en tránsito.This change relaxes the certificate requirements, and still encrypts the recovery keys in transit.

Ahora la propiedad Conexiones de cliente del punto de administración puede ser HTTP o HTTPS.Now the Client connections property of the management point can be HTTP or HTTPS. Si el punto de administración está configurado para HTTP, para admitir el servicio de recuperación de BitLocker:If the management point is configured for HTTP, to support the BitLocker recovery service:

  1. Adquiera un certificado de autenticación de servidor.Acquire a server authentication certificate. Enlace el certificado al sitio web de IIS en el punto de administración que hospeda el servicio de recuperación de BitLocker.Bind the certificate to the IIS website on the management point that hosts the BitLocker recovery service.

  2. Configure los clientes de modo que confíen en el certificado de autenticación de servidor.Configure clients to trust the server authentication certificate. Hay dos métodos para conseguir esta relación de confianza:There are two methods to accomplish this trust:

    • Usar un certificado de un proveedor de certificados público y de confianza global.Use a certificate from a public and globally trusted certificate provider. Por ejemplo, DigiCert, VeriSign o Thawte, entre otros.For example, but not limited to, DigiCert, Thawte, or VeriSign. Los clientes de Windows incluyen entidades de certificación raíz de confianza (CA) de estos proveedores.Windows clients include trusted root certificate authorities (CAs) from these providers. Al usar un certificado de autenticación de servidor emitido por uno de estos proveedores, los clientes deben confiar automáticamente en él.By using a server authentication certificate that's issued by one of these providers, your clients should automatically trust it.

    • Use un certificado emitido por una entidad de certificación de la infraestructura de clave pública (PKI) de la organización.Use a certificate issued by a CA from your organization's public key infrastructure (PKI). La mayoría de las implementaciones de PKI agregan las entidades de certificación raíz de confianza a clientes Windows.Most PKI implementations add the trusted root CAs to Windows clients. Por ejemplo, mediante el uso de Servicios de certificados de Active Directory con una directiva de grupo.For example, using Active Directory Certificate Services with group policy. Si emite el certificado de autenticación de servidor desde una entidad de certificación en la que los clientes no confían automáticamente, agregue el certificado raíz de confianza de la entidad de certificación a los clientes.If you issue the server authentication certificate from a CA that your clients don't automatically trust, add the CA trusted root certificate to clients.

Sugerencia

Los únicos clientes que necesitan comunicarse con el servicio de recuperación son aquellos a los que se planea destinar una directiva de administración de BitLocker que incluye una regla de Administración de cliente.The only clients that need to communicate with the recovery service are those clients that you plan to target with a BitLocker management policy and includes a Client Management rule.

En el cliente, use BitLockerManagementHandler.log para solucionar problemas de esta conexión.On the client, use the BitLockerManagementHandler.log to troubleshoot this connection. En el caso de la conectividad con el servicio de recuperación, el registro muestra la dirección URL que el cliente está usando.For connectivity to the recovery service, the log shows the URL that the client is using. Busque una entrada que comience por Checking for Recovery Service at.Locate an entry that starts with Checking for Recovery Service at.

Nota

Si el sitio tiene más de un punto de administración, habilite HTTPS en todos los puntos de administración del sitio con los que un cliente administrado por BitLocker podría comunicarse potencialmente.If your site has more than one management point, enable HTTPS on all management points at the site with which a BitLocker-managed client could potentially communicate. Si el punto de administración de HTTPS no está disponible, el cliente podría conmutar por error a un punto de administración de HTTP y, posteriormente, no poder realizar la custodia de su clave de recuperación.If the HTTPS management point is unavailable, the client could fail over to an HTTP management point, and then fail to escrow its recovery key.

Esta recomendación se aplica a ambas opciones: habilitar el punto de administración para HTTPS o habilitar el sitio web de IIS que hospeda el servicio de recuperación en el punto de administración.This recommendation applies to both options: enable the management point for HTTPS, or enable the IIS website that hosts the recovery service on the management point.

Certificado de cifrado de SQLSQL encryption certificate

Use este certificado SQL para que Configuration Manager cifre los datos de recuperación de BitLocker en la base de datos de sitio.Use this SQL certificate for Configuration Manager to encrypt BitLocker recovery data in the site database. Puede usar su propio proceso para crear e implementar el certificado de cifrado de administración de BitLocker, siempre que cumpla los siguientes requisitos:You can use your own process to create and deploy the BitLocker management encryption certificate, as long as it meets the following requirements:

  • El nombre del certificado de cifrado de administración de BitLocker debe ser BitLockerManagement_CERT.The name of the BitLocker management encryption certificate must be BitLockerManagement_CERT.

  • Cifre este certificado con una clave maestra de base de datos.Encrypt this certificate with a database master key.

  • Los siguientes usuarios de SQL necesitan permisos de control en el certificado:The following SQL users need Control permissions on the certificate:

    • RecoveryAndHardwareCoreRecoveryAndHardwareCore
    • RecoveryAndHardwareReadRecoveryAndHardwareRead
    • RecoveryAndHardwareWriteRecoveryAndHardwareWrite
  • Implemente el mismo certificado en todas las bases de datos del sitio de la jerarquía.Deploy the same certificate at every site database in your hierarchy.

  • Cree el certificado con la versión más reciente de SQL Server en su entorno.Create the certificate with the latest version of SQL Server in your environment. Por ejemplo:For example:

    • Los certificados creados con SQL Server 2016 o versiones posteriores son compatibles con SQL Server 2014 o versiones anteriores.Certificates created with SQL Server 2016 or later are compatible with SQL Server 2014 or earlier.
    • Los certificados creados con SQL Server 2014 o versiones anteriores no son compatibles con SQL Server 2016 o versiones posteriores.Certificates created with SQL Server 2014 or earlier aren't compatible with SQL Server 2016 or later.

Scripts de ejemploExample scripts

Estos scripts SQL son ejemplos para crear e implementar un certificado de cifrado de administración de BitLocker en la base de datos del sitio de Configuration Manager.These SQL scripts are examples to create and deploy a BitLocker management encryption certificate in the Configuration Manager site database.

Creación de certificadoCreate certificate

Este script de ejemplo realiza las siguientes acciones:This sample script does the following actions:

  • Crea un certificadoCreates a certificate
  • Establece los permisosSets the permissions
  • Crea una clave maestra de base de datosCreates a database master key

Antes de usar este script en un entorno de producción, cambie los valores siguientes:Before you use this script in a production environment, change the following values:

  • Nombre de la base de datos del sitio (CM_ABC)Site database name (CM_ABC)
  • Contraseña para crear la clave maestra (MyMasterKeyPassword)Password to create the master key (MyMasterKeyPassword)
  • Fecha de expiración de certificado (20391022)Certificate expiry date (20391022)
USE CM_ABC
IF NOT EXISTS (SELECT name FROM sys.symmetric_keys WHERE name = '##MS_DatabaseMasterKey##')
BEGIN
    CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'MyMasterKeyPassword'
END

IF NOT EXISTS (SELECT name from sys.certificates WHERE name = 'BitLockerManagement_CERT')
BEGIN
    CREATE CERTIFICATE BitLockerManagement_CERT AUTHORIZATION RecoveryAndHardwareCore
    WITH SUBJECT = 'BitLocker Management',
    EXPIRY_DATE = '20391022'

    GRANT CONTROL ON CERTIFICATE ::BitLockerManagement_CERT TO RecoveryAndHardwareRead
    GRANT CONTROL ON CERTIFICATE ::BitLockerManagement_CERT TO RecoveryAndHardwareWrite
END

Copia de seguridad del certificadoBack up certificate

Este script de ejemplo hace una copia de seguridad de un certificado.This sample script backs up a certificate. Al guardar el certificado en un archivo, puede restaurarlo en otras bases de datos en la jerarquía del sitio.When you save the certificate to a file, you can then restore it to other site databases in the hierarchy.

Antes de usar este script en un entorno de producción, cambie los valores siguientes:Before you use this script in a production environment, change the following values:

  • Nombre de la base de datos del sitio (CM_ABC)Site database name (CM_ABC)
  • Ruta y nombre de archivo (C:\BitLockerManagement_CERT_KEY)File path and name (C:\BitLockerManagement_CERT_KEY)
  • Contraseña de la clave de exportación (MyExportKeyPassword)Export key password (MyExportKeyPassword)
USE CM_ABC
BACKUP CERTIFICATE BitLockerManagement_CERT TO FILE = 'C:\BitLockerManagement_CERT'
    WITH PRIVATE KEY ( FILE = 'C:\BitLockerManagement_CERT_KEY',
        ENCRYPTION BY PASSWORD = 'MyExportKeyPassword')

Importante

Almacene el archivo de certificado exportado y la contraseña asociada en una ubicación segura.Store the exported certificate file and associated password in a secure location.

Restauración de certificadosRestore certificate

Este script de ejemplo restaura un certificado desde un archivo.This sample script restores a certificate from a file. Utilice este proceso para implementar un certificado creado en otra base de datos del sitio.Use this process to deploy a certificate that you created on another site database.

Antes de usar este script en un entorno de producción, cambie los valores siguientes:Before you use this script in a production environment, change the following values:

  • Nombre de la base de datos del sitio (CM_ABC)Site database name (CM_ABC)
  • Contraseña de clave maestra (MyMasterKeyPassword)Master key password (MyMasterKeyPassword)
  • Ruta y nombre de archivo (C:\BitLockerManagement_CERT_KEY)File path and name (C:\BitLockerManagement_CERT_KEY)
  • Contraseña de la clave de exportación (MyExportKeyPassword)Export key password (MyExportKeyPassword)
USE CM_ABC
IF NOT EXISTS (SELECT name FROM sys.symmetric_keys WHERE name = '##MS_DatabaseMasterKey##')
BEGIN
    CREATE MASTER KEY ENCRYPTION BY PASSWORD = 'MyMasterKeyPassword'
END

IF NOT EXISTS (SELECT name from sys.certificates WHERE name = 'BitLockerManagement_CERT')
BEGIN

CREATE CERTIFICATE BitLockerManagement_CERT AUTHORIZATION RecoveryAndHardwareCore
FROM FILE  = 'C:\BitLockerManagement_CERT'
    WITH PRIVATE KEY ( FILE = 'C:\BitLockerManagement_CERT_KEY',
        DECRYPTION BY PASSWORD = 'MyExportKeyPassword')

GRANT CONTROL ON CERTIFICATE ::BitLockerManagement_CERT TO RecoveryAndHardwareRead
GRANT CONTROL ON CERTIFICATE ::BitLockerManagement_CERT TO RecoveryAndHardwareWrite
END

Comprobación de certificadoVerify certificate

Use este script SQL para comprobar que SQL ha creado correctamente el certificado con los permisos necesarios.Use this SQL script to verify that SQL successfully created the certificate with the required permissions.

USE CM_ABC
declare @count int
select @count = count(distinct u.name) from sys.database_principals u
join sys.database_permissions p on p.grantee_principal_id = u.principal_id or p.grantor_principal_id = u.principal_id
join sys.certificates c on c.certificate_id = p.major_id
where u.name in('RecoveryAndHardwareCore', 'RecoveryAndHardwareRead', 'RecoveryAndHardwareWrite') and
c.name = 'BitLockerManagement_CERT' and p.permission_name like 'CONTROL'
if(@count >= 3) select 1
else select 0

Si el certificado es válido, el script devuelve un valor de 1.If the certificate is valid, the script returns a value of 1.

Vea tambiénSee also

Para obtener más información sobre estos comandos SQL, consulte los siguientes artículos:For more information on these SQL commands, see the following articles: