Cifrado de datos de recuperación a través de la red

  • Artículo

Se aplica a: Configuration Manager (rama actual)

Al crear una directiva de administración de BitLocker, Configuration Manager implementa el servicio de recuperación en un punto de administración. En la página Administración de clientes de la directiva de administración de BitLocker, al configurar los servicios de administración de BitLocker, el cliente realiza una copia de seguridad de la información de recuperación de claves en la base de datos del sitio. Esta información incluye claves de recuperación de BitLocker, paquetes de recuperación y hashes de contraseña de TPM. Cuando los usuarios están bloqueados fuera de su dispositivo protegido, puede usar esta información para ayudarles a recuperar el acceso al dispositivo.

Dada la naturaleza confidencial de esta información, debe protegerla.

Importante

A partir de la versión 2103, la implementación del servicio de recuperación cambió. Ya no usa componentes de MBAM heredados, pero todavía se conoce conceptualmente como servicio de recuperación. Todos los clientes de la versión 2103 usan el componente del motor de procesamiento de mensajes del punto de administración como su servicio de recuperación. Custodian sus claves de recuperación en el canal de notificación de cliente seguro. Con este cambio, puede habilitar el sitio de Configuration Manager para HTTP mejorado. Esta configuración no afecta a la funcionalidad de administración de BitLocker en Configuration Manager.

Cuando el sitio y los clientes ejecutan Configuration Manager versión 2103 o posterior, los clientes envían sus claves de recuperación al punto de administración a través del canal de notificación de cliente seguro. Si algún cliente está en la versión 2010 o anterior, necesita un servicio de recuperación habilitado para HTTPS en el punto de administración para custodiar sus claves.

Requisitos del certificado HTTPS

Nota:

Estos requisitos solo se aplican si el sitio es la versión 2010 o anterior, o si implementa directivas de administración de BitLocker en dispositivos con Configuration Manager versión de cliente 2010 o anterior.

Configuration Manager requiere una conexión segura entre el cliente y el servicio de recuperación para cifrar los datos en tránsito a través de la red. Use una de las siguientes opciones:

Nota:

Si el sitio tiene más de un punto de administración, habilite HTTPS en todos los puntos de administración del sitio con los que un cliente administrado por BitLocker podría comunicarse potencialmente. Si el punto de administración HTTPS no está disponible, el cliente podría conmutar por error a un punto de administración HTTP y, a continuación, no puede custodiar su clave de recuperación.

Esta recomendación se aplica a ambas opciones: habilitar el punto de administración para HTTPS o habilitar el sitio web de IIS que hospeda el servicio de recuperación en el punto de administración.

Configuración del punto de administración para HTTPS

En versiones anteriores de Configuration Manager rama actual, para integrar el servicio de recuperación de BitLocker tenía que habilitar HTTPS en un punto de administración. La conexión HTTPS es necesaria para cifrar las claves de recuperación a través de la red desde el cliente Configuration Manager hasta el punto de administración. Configurar el punto de administración y todos los clientes para HTTPS puede ser un desafío para muchos clientes.

Habilitación de HTTPS en el sitio web de IIS

El requisito HTTPS es ahora para el sitio web de IIS que hospeda el servicio de recuperación, no para todo el rol de punto de administración. Esta configuración relaja los requisitos del certificado y sigue cifrando las claves de recuperación en tránsito.

La propiedad Conexiones de cliente del punto de administración puede ser HTTP o HTTPS. Si el punto de administración está configurado para HTTP, para admitir el servicio de recuperación de BitLocker:

  1. Adquirir un certificado de autenticación de servidor. Enlace el certificado al sitio web de IIS en el punto de administración que hospeda el servicio de recuperación de BitLocker.

  2. Configure los clientes para que confíen en el certificado de autenticación del servidor. Hay dos métodos para lograr esta confianza:

    • Use un certificado de un proveedor de certificados público y de confianza global. Los clientes de Windows incluyen entidades de certificación raíz (CA) de confianza de estos proveedores. Al usar un certificado de autenticación de servidor emitido por uno de estos proveedores, los clientes deben confiar automáticamente en él.

    • Use un certificado emitido por una entidad de certificación de la infraestructura de clave pública (PKI) de su organización. La mayoría de las implementaciones de PKI agregan las CA raíz de confianza a los clientes de Windows. Por ejemplo, usar Servicios de certificados de Active Directory con la directiva de grupo. Si emite el certificado de autenticación de servidor desde una ENTIDAD de certificación en la que los clientes no confían automáticamente, agregue el certificado raíz de confianza de ca a los clientes.

Sugerencia

Los únicos clientes que necesitan comunicarse con el servicio de recuperación son aquellos clientes a los que tiene previsto dirigirse con una directiva de administración de BitLocker e incluyen una regla de administración de cliente .

Solución de problemas de la conexión

En el cliente, use BitLockerManagementHandler.log para solucionar problemas de esta conexión. Para la conectividad con el servicio de recuperación, el registro muestra la dirección URL que usa el cliente. Busque una entrada en el registro basada en la versión de Configuration Manager:

  • En la versión 2103 y posteriores, la entrada comienza con Recovery keys escrowed to MP
  • En la versión 2010 y versiones anteriores, la entrada comienza con Checking for Recovery Service at

Pasos siguientes

Cifrar los datos de recuperación en la base de datos es un requisito previo opcional antes de implementar la directiva por primera vez.

Implementación del cliente de administración de BitLocker