Compartir a través de


Implementación de la administración de BitLocker

Se aplica a: Configuration Manager (rama actual)

La administración de BitLocker en Configuration Manager incluye los siguientes componentes:

Antes de crear e implementar directivas de administración de BitLocker:

Crear una directiva

Al crear e implementar esta directiva, el cliente de Configuration Manager habilita el agente de administración de BitLocker en el dispositivo.

Nota:

Para crear una directiva de administración de BitLocker, necesita el rol Administrador completo en Configuration Manager.

  1. En la consola de Configuration Manager, vaya al área de trabajo Activos y cumplimiento , expanda Endpoint Protection y seleccione el nodo Administración de BitLocker .

  2. En la cinta de opciones, seleccione Crear directiva de control de administración de BitLocker.

  3. En la página General , especifique un nombre y una descripción opcional. Seleccione los componentes que se habilitarán en los clientes con esta directiva:

    • Unidad del sistema operativo: administrar si la unidad del sistema operativo está cifrada

    • Unidad fija: Administrar el cifrado de otras unidades de datos en un dispositivo

    • Unidad extraíble: administre el cifrado de las unidades que puede quitar de un dispositivo, como una clave USB.

    • Administración de clientes: administrar la copia de seguridad del servicio de recuperación de claves de la información de recuperación de cifrado de unidad BitLocker

  4. En la página Programa de instalación , configure los siguientes valores globales para Cifrado de unidad BitLocker:

    Nota:

    Configuration Manager aplica esta configuración al habilitar BitLocker. Si la unidad ya está cifrada o está en curso, cualquier cambio en esta configuración de directiva no cambia el cifrado de la unidad en el dispositivo.

    Si deshabilita o no establece estas opciones, BitLocker usa el método de cifrado predeterminado (AES de 128 bits).

    • En el caso de los dispositivos Windows 8.1, habilite la opción para El método de cifrado de unidad y la intensidad del cifrado. A continuación, seleccione el método de cifrado.

    • Para dispositivos Windows 10 o posteriores, habilite la opción para El método de cifrado de unidad y la intensidad del cifrado (Windows 10 o posterior). A continuación, seleccione individualmente el método de cifrado para las unidades de sistema operativo, las unidades de datos fijas y las unidades de datos extraíbles.

    Para obtener más información sobre estas y otras opciones de configuración en esta página, consulte Referencia de configuración: configuración.

  5. En la página Unidad del sistema operativo , especifique la siguiente configuración:

    • Configuración de cifrado de unidad del sistema operativo: si habilita esta configuración, el usuario tiene que proteger la unidad del sistema operativo y BitLocker cifra la unidad. Si la deshabilita, el usuario no puede proteger la unidad.

    En dispositivos con un TPM compatible, se pueden usar dos tipos de métodos de autenticación en el inicio para proporcionar protección adicional para los datos cifrados. Cuando se inicia el equipo, solo puede usar el TPM para la autenticación, o también puede requerir la entrada de un número de identificación personal (PIN). Configure las siguientes opciones:

    • Seleccionar protector para la unidad del sistema operativo: configúrelo para usar un TPM y un PIN, o solo el TPM.

    • Configurar la longitud mínima del PIN para el inicio: si necesita un PIN, este valor es la longitud más corta que el usuario puede especificar. El usuario escribe este PIN cuando se inicia el equipo para desbloquear la unidad. De forma predeterminada, la longitud mínima del PIN es 4.

    Para obtener más información sobre estas y otras opciones de configuración en esta página, consulte Referencia de configuración: unidad del sistema operativo.

  6. En la página Unidad fija , especifique la siguiente configuración:

    • Cifrado de unidad de datos fijo: si habilita esta configuración, BitLocker requiere que los usuarios pongan todas las unidades de datos fijas bajo protección. A continuación, cifra las unidades de datos. Al habilitar esta directiva, habilite el desbloqueo automático o la configuración de directiva de contraseña de unidad de datos fija.

    • Configuración del desbloqueo automático para la unidad de datos fija: permitir o requerir que BitLocker desbloquee automáticamente cualquier unidad de datos cifrada. Para usar el desbloqueo automático, también es necesario que BitLocker cifre la unidad del sistema operativo.

    Para obtener más información sobre estas y otras configuraciones en esta página, consulte Referencia de configuración: unidad fija.

  7. En la página Unidad extraíble , especifique la siguiente configuración:

    • Cifrado de unidad de datos extraíble: al habilitar esta configuración y permitir que los usuarios apliquen la protección de BitLocker, el cliente de Configuration Manager guarda información de recuperación sobre las unidades extraíbles en el servicio de recuperación en el punto de administración. Este comportamiento permite a los usuarios recuperar la unidad si olvidan o pierden el protector (contraseña).

    • Permitir a los usuarios aplicar la protección de BitLocker en unidades de datos extraíbles: los usuarios pueden activar la protección de BitLocker para una unidad extraíble.

    • Directiva de contraseña de unidad de datos extraíble: use esta configuración para establecer las restricciones para que las contraseñas desbloqueen unidades extraíbles protegidas por BitLocker.

    Para obtener más información sobre estas y otras configuraciones en esta página, vea Referencia de configuración: unidad extraíble.

  8. En la página Administración de clientes , especifique la siguiente configuración:

    Importante

    En el caso de las versiones de Configuration Manager anteriores a 2103, si no tiene un punto de administración con un sitio web habilitado para HTTPS, no configure esta configuración. Para obtener más información, consulte Servicio de recuperación.

    • Configurar servicios de administración de BitLocker: al habilitar esta configuración, Configuration Manager realiza copias de seguridad de forma automática y silenciosa de la información de recuperación de claves en la base de datos del sitio. Si deshabilita o no establece esta configuración, Configuration Manager no guarda la información de recuperación de claves.

      • Seleccione Información de recuperación de BitLocker para almacenarla: configúrela para usar una contraseña de recuperación y un paquete de claves, o simplemente una contraseña de recuperación.

      • Permitir que la información de recuperación se almacene en texto sin formato: sin un certificado de cifrado de administración de BitLocker, Configuration Manager almacena la información de recuperación de claves en texto sin formato. Para obtener más información, consulte Cifrado de datos de recuperación en la base de datos.

    Para obtener más información sobre estas y otras opciones de configuración en esta página, vea Referencia de configuración: administración de clientes.

  9. Complete el asistente.

Para cambiar la configuración de una directiva existente, selecciónela en la lista y seleccione Propiedades.

Al crear más de una directiva, puede configurar su prioridad relativa. Si implementa varias directivas en un cliente, usa el valor de prioridad para determinar su configuración.

A partir de la versión 2006, puede usar cmdlets de Windows PowerShell para esta tarea. Para obtener más información, vea New-CMBlmSetting.

Implementación de una directiva

  1. Elija una directiva existente en el nodo Administración de BitLocker . En la cinta de opciones, seleccione Implementar.

  2. Seleccione una recopilación de dispositivos como destino de la implementación.

  3. Si desea que el dispositivo cifre o descifre potencialmente sus unidades en cualquier momento, seleccione la opción Permitir corrección fuera de la ventana de mantenimiento. Si la colección tiene ventanas de mantenimiento, sigue solucionando esta directiva de BitLocker.

  4. Configure una programación simple o personalizada . El cliente evalúa su cumplimiento en función de la configuración especificada en la programación.

  5. Seleccione Aceptar para implementar la directiva.

Puede crear varias implementaciones de la misma directiva. Para ver información adicional sobre cada implementación, seleccione la directiva en el nodo Administración de BitLocker y, a continuación, en el panel de detalles, cambie a la pestaña Implementaciones . También puede usar cmdlets de Windows PowerShell para esta tarea. Para obtener más información, vea New-CMSettingDeployment.

Importante

Si hay una conexión de protocolo de escritorio remoto (RDP) activa, el cliente de MBAM no inicia acciones de cifrado de unidad bitlocker. Cierre todas las conexiones de consola remota e inicie sesión en una sesión de consola con una cuenta de usuario de dominio. A continuación, se inicia el cifrado de unidad de BitLocker y el cliente carga claves y paquetes de recuperación. Si inicia sesión con una cuenta de usuario local, el cifrado de unidad BitLocker no se inicia.

Puede usar RDP para conectarse de forma remota a la sesión de consola del dispositivo con el /admin conmutador. Por ejemplo: mstsc.exe /admin /v:<IP address of device>

Una sesión de consola es cuando se encuentra en la consola física del equipo o una conexión remota que es la misma que si se encuentra en la consola física del equipo.

Monitorear

Vea las estadísticas básicas de cumplimiento sobre la implementación de directivas en el panel de detalles del nodo Administración de BitLocker :

  • Recuento de cumplimiento
  • Recuento de errores
  • Recuento de no cumplimiento

Cambie a la pestaña Implementaciones para ver el porcentaje de cumplimiento y la acción recomendada. Seleccione la implementación y, en la cinta de opciones, seleccione Ver estado. Esta acción cambia la vista al área de trabajo Supervisión , nodo Implementaciones . De forma similar a la implementación de otras implementaciones de directivas de configuración, puede ver un estado de cumplimiento más detallado en esta vista.

Para comprender por qué los clientes informan de que no son compatibles con la directiva de administración de BitLocker, consulte Códigos de no cumplimiento.

Para obtener más información sobre la solución de problemas, consulte Solución de problemas de BitLocker.

Use los registros siguientes para supervisar y solucionar problemas:

Registros de cliente

  • Registro de eventos de MBAM: en el Visor de eventos de Windows, vaya a Aplicaciones y servicios>Microsoft>Windows>MBAM. Para obtener más información, consulte Acerca de los registros de eventos de BitLocker y Los registros de eventos de cliente.

  • BitlockerManagementHandler.log y BitlockerManagement_GroupPolicyHandler.log en la ruta de acceso de los registros de cliente de %WINDIR%\CCM\Logs forma predeterminada

Registros de punto de administración (servicio de recuperación)

  • Registro de eventos del servicio de recuperación: en el Visor de eventos de Windows, vaya a Aplicaciones y servicios>Microsoft>Windows>MBAM-Web. Para obtener más información, consulte Acerca de los registros de eventos de BitLocker y Registros de eventos del servidor.

  • Registros de seguimiento del servicio de recuperación: <Default IIS Web Root>\Microsoft BitLocker Management Solution\Logs\Recovery And Hardware Service\trace*.etl

Consideraciones de migración

Si actualmente usa Administración y supervisión de Microsoft BitLocker (MBAM), puede migrar sin problemas la administración a Configuration Manager. Al implementar directivas de administración de BitLocker en Configuration Manager, los clientes cargan automáticamente claves de recuperación y paquetes en el servicio de recuperación de Configuration Manager.

Importante

Al migrar de MBAM independiente a la administración de BitLocker de Configuration Manager, si necesita la funcionalidad existente de MBAM independiente, no reutilice los servidores o componentes de MBAM independientes con la administración de BitLocker de Configuration Manager. Si reutiliza estos servidores, MBAM independiente dejará de funcionar cuando la administración de BitLocker de Configuration Manager instale sus componentes en esos servidores. No ejecute el script MBAMWebSiteInstaller.ps1 para configurar los portales de BitLocker en servidores MBAM independientes. Al configurar la administración de BitLocker de Configuration Manager, use servidores independientes.

Directiva de grupo

  • La configuración de administración de BitLocker es totalmente compatible con la configuración de directiva de grupo de MBAM. Si los dispositivos reciben tanto la configuración de directivas de grupo como las directivas de Configuration Manager, configúrelas para que coincidan.

    Nota:

    Si existe una configuración de directiva de grupo para MBAM independiente, invalidará la configuración equivalente intentada por Configuration Manager. MBAM independiente usa la directiva de grupo de dominio, mientras que Configuration Manager establece directivas locales para la administración de BitLocker. Las directivas de dominio invalidarán las directivas de administración local de BitLocker de Configuration Manager. Si la directiva de grupo de dominio de MBAM independiente no coincide con la directiva de Configuration Manager, se producirá un error en la administración de BitLocker de Configuration Manager. Por ejemplo, si una directiva de grupo de dominio establece el servidor MBAM independiente para los servicios de recuperación de claves, la administración de BitLocker de Configuration Manager no puede establecer la misma configuración para el punto de administración. Este comportamiento hace que los clientes no notifiquen sus claves de recuperación al servicio de recuperación de claves de administración de BitLocker de Configuration Manager en el punto de administración.

  • Configuration Manager no implementa todas las opciones de directiva de grupo de MBAM. Si configura más opciones en la directiva de grupo, el agente de administración de BitLocker en los clientes de Configuration Manager respeta esta configuración.

    Importante

    No establezca una directiva de grupo para una configuración que ya especifique la administración de BitLocker de Configuration Manager. Establezca solo directivas de grupo para las opciones que no existen actualmente en la administración de BitLocker de Configuration Manager. La versión 2002 de Configuration Manager tiene paridad de características con MBAM independiente. Con la versión 2002 y posteriores de Configuration Manager, en la mayoría de los casos no debería haber ningún motivo para establecer directivas de grupo de dominio para configurar directivas de BitLocker. Para evitar conflictos y problemas, evite el uso de directivas de grupo para BitLocker. Configure todas las opciones a través de directivas de administración de BitLocker de Configuration Manager.

Hash de contraseña de TPM

  • Los clientes de MBAM anteriores no cargan el hash de contraseña de TPM en Configuration Manager. El cliente solo carga el hash de contraseña de TPM una vez.

  • Si necesita migrar esta información al servicio de recuperación de Configuration Manager, borre el TPM en el dispositivo. Una vez reiniciado, carga el nuevo hash de contraseña de TPM en el servicio de recuperación.

Nota:

La carga del hash de contraseña de TPM pertenece principalmente a las versiones de Windows anteriores a Windows 10. Windows 10 o posterior de forma predeterminada no guarda el hash de contraseña de TPM, por lo que estos dispositivos no lo cargan normalmente. Para obtener más información, consulte Acerca de la contraseña de propietario de TPM.

Volver a cifrar

Configuration Manager no vuelve a cifrar las unidades que ya están protegidas con cifrado de unidad BitLocker. Si implementa una directiva de administración de BitLocker que no coincide con la protección actual de la unidad, se notifica como no compatible. La unidad sigue estando protegida.

Por ejemplo, ha usado MBAM para cifrar la unidad con el algoritmo de cifrado AES-XTS 128, pero la directiva de Configuration Manager requiere AES-XTS 256. La unidad no es compatible con la directiva, aunque la unidad esté cifrada.

Para evitar este comportamiento, deshabilite primero BitLocker en el dispositivo. A continuación, implemente una nueva directiva con la nueva configuración.

Administración conjunta e Intune

El controlador de cliente de Configuration Manager para BitLocker es compatible con la administración conjunta. Si el dispositivo está administrado conjuntamente y cambia la carga de trabajo de Endpoint Protection a Intune, el cliente de Configuration Manager omite su directiva de BitLocker. El dispositivo obtiene la directiva de cifrado de Windows de Intune.

Nota:

Cambiar las autoridades de administración de cifrado mientras se mantiene el algoritmo de cifrado deseado no requiere ninguna acción adicional en el cliente. Sin embargo, si cambia las autoridades de administración de cifrado y el algoritmo de cifrado deseado también cambia, deberá planear el nuevo cifrado.

Para obtener más información sobre cómo administrar BitLocker con Intune, consulte los artículos siguientes:

Siguientes pasos

Acerca del servicio de recuperación de BitLocker

Configuración de informes y portales de BitLocker