Acerca de MBAM 2.5 SP1
MBAM 2.5 SP1 proporciona una interfaz administrativa simplificada para el cifrado de unidad BitLocker. BitLocker ofrece protección mejorada contra el robo de datos o la exposición de datos para los equipos que se pierden o roban. BitLocker cifra todos los datos almacenados en el sistema operativo Windows y las unidades y las unidades de datos configuradas.
Introducción a MBAM
MBAM 2.5 SP1 tiene las siguientes características:
Permite a los administradores automatizar el proceso de cifrado de volúmenes en los equipos cliente en toda la empresa.
Permite que los responsables de seguridad determinen rápidamente el estado de cumplimiento de equipos individuales o incluso de la empresa.
Proporciona administración de informes y hardware centralizada con Microsoft System Center Configuration Manager.
Reduce la carga de trabajo en el Departamento de soporte técnico para ayudar a los usuarios finales con solicitudes de PIN de BitLocker y clave de recuperación.
Permite a los usuarios finales recuperar dispositivos cifrados de forma independiente mediante el Portal de autoservicio.
Permite a los responsables de seguridad auditar fácilmente el acceso para recuperar información clave.
Permite a los usuarios de Windows Enterprise continuar trabajando en cualquier lugar con la garantía de que sus datos de la empresa están protegidos.
MBAM aplica las opciones de directiva de cifrado de BitLocker que establezca para su empresa, supervisa el cumplimiento de los equipos cliente con esas directivas e informa sobre el estado de cifrado de los equipos de la empresa y de los individuales. Además, MBAM le permite acceder a la información de la clave de recuperación cuando los usuarios olvidan su PIN o contraseña, o cuando cambian sus registros de BIOS o arranque.
Es posible que los siguientes grupos estén interesados en usar MBAM para administrar BitLocker:
Administradores, profesionales de seguridad de TI y responsables de cumplimiento que son responsables de garantizar que los datos confidenciales no se divulguen sin autorización
Administradores responsables de la seguridad informática en oficinas remotas o sucursales
Administradores responsables de los equipos cliente que ejecutan Windows
Nota
BitLocker no se explica en detalle en esta documentación de MBAM. Para obtener más información, vea Información general sobre el cifrado de unidad BitLocker.
Novedades de MBAM 2.5 SP1
En esta sección se describen las nuevas características de MBAM 2.5 SP1.
Idiomas recién admitidos para el cliente DE MBAM 2.5 SP1
Ahora se admiten los siguientes idiomas adicionales en MBAM 2.5 SP1 solo para el cliente de MBAM, incluido el portal de Self-Service:
Checo (República Checa) cs-CZ
Danés (Dinamarca) da-DK
Neerlandés (Países Bajos) nl-NL
Fi-FI finlandés (Finlandia)
Griego (Grecia) el-GR
Húngara (Hungría) hu-HU
Noruego, Bokmål (Noruega) nb-NO
Polaco (Polonia) pl-PL
Portugués (Portugal) pt-PT
Sk-SK eslovaco (Eslovaquia)
Eslovenia (Eslovenia) sl-SI
Sueco (Suecia) sv-SE
Turco (Türkiye) tr-TR
Para obtener una lista de todos los idiomas admitidos para el cliente y el servidor en MBAM 2.5 y MBAM 2.5 SP1, consulte Configuraciones admitidas de MBAM 2.5.
Compatibilidad con Windows 10
MBAM 2.5 SP1 agrega compatibilidad con Windows 11, Windows 10 y Windows Server 2016, además del mismo software compatible con versiones anteriores de MBAM.
Windows 10 es compatible con MBAM 2.5 y MBAM 2.5 SP1.
Compatibilidad con Microsoft SQL Server 2014 SP1
MBAM 2.5 SP1 agrega compatibilidad con Microsoft SQL Server 2014 SP1, además del mismo software compatible con versiones anteriores de MBAM.
MBAM ya no se incluye con MSI independiente
A partir de MBAM 2.5 SP1, ya no se incluye una MSI independiente con el producto MBAM. Sin embargo, puede extraer la MSI del archivo ejecutable (.exe) que se incluye con el producto.
MBAM puede guardar las contraseñas de OwnerAuth sin tener el TPM
Anteriormente, si MBAM no era el propietario del TPM, no se podía eliminar ownerAuth de TPM en la base de datos MBAM. Para configurar MBAM para que sea el propietario del TPM y almacenar las contraseñas, tenía que deshabilitar el aprovisionamiento automático de TPM y borrar el TPM en el equipo cliente.
En Windows 8 y versiones posteriores, MBAM 2.5 SP1 ahora puede guardar las contraseñas de OwnerAuth sin tener el TPM. Durante el inicio del servicio, MBAM consulta si el TPM ya es propiedad y, si es así, solicita las contraseñas del sistema operativo. A continuación, las contraseñas se transfieren a la base de datos MBAM. Además, directiva de grupo debe establecerse para evitar que OwnerAuth se elimine localmente.
En Windows 7, MBAM debe poseer el TPM para custodiar automáticamente la información de OwnerAuth de TPM en la base de datos DE MBAM. Si MBAM no posee el TPM y la copia de seguridad de Active Directory (AD) del TPM está configurada a través de directiva de grupo, debe usar los cmdlets de importación de datos de Active Directory (AD) de MBAM para copiar OwnerAuth de TPM de AD en la base de datos de MBAM. Estos son cinco nuevos cmdlets de PowerShell que rellenan previamente las bases de datos de MBAM con la información de propietario de TPM y recuperación por volumen almacenada en Active Directory.
Para obtener más información, consulte Consideraciones de seguridad de MBAM 2.5.
MBAM puede desbloquear automáticamente el TPM después de un bloqueo
En los equipos que ejecutan TPM 1.2, ahora puede configurar MBAM para desbloquear automáticamente el TPM en caso de bloqueo. Si la característica de restablecimiento automático de bloqueo de TPM está habilitada, MBAM puede detectar que un usuario está bloqueado y, a continuación, obtener la contraseña ownerAuth de la base de datos MBAM para desbloquear automáticamente el TPM para el usuario.
Esta característica debe estar habilitada tanto en el lado servidor como en directiva de grupo en el lado cliente. Para obtener más información, consulte Consideraciones de seguridad de MBAM 2.5.
Compatibilidad con protectores de contraseña numéricos de BitLocker compatibles con FIPS
En MBAM 2.5, se agregó compatibilidad con las claves de recuperación de BitLocker compatibles con El estándar federal de procesamiento de información (FIPS) en dispositivos que ejecutan el sistema operativo Windows 8.1. Sin embargo, Windows no implementó claves de recuperación compatibles con FIPS en Windows 7. Por lo tanto, los dispositivos Windows 7 y Windows 8 siguen necesitando un protector del Agente de recuperación de datos (DRA) para la recuperación.
El equipo de Windows ha respaldado las claves de recuperación compatibles con FIPS con una revisión y MBAM 2.5 SP1 también ha agregado compatibilidad con ellas.
Nota
Los equipos cliente que ejecutan el sistema operativo Windows 8 siguen necesitando un protector DRA, ya que la revisión no se reportó a ese sistema operativo. Consulta Paquete de revisiones 2 para Administración y supervisión de BitLocker 2.5 para descargar e instalar la revisión de BitLocker para equipos con Windows 7 y Windows 8. Para obtener información sobre DRA, consulte Uso de agentes de recuperación de datos con BitLocker.
Para habilitar el cumplimiento de FIPS en su organización, debe configurar la configuración del Estándar federal de procesamiento de información (FIPS) directiva de grupo. Para obtener instrucciones de configuración, vea Configuración de directiva de grupo BitLocker.
Personalización del mensaje y la dirección URL de la recuperación previa al arranque con la nueva configuración de directiva de grupo
Una nueva configuración de directiva de grupo, Configurar el mensaje y la dirección URL de recuperación previa al arranque, le permite configurar un mensaje de recuperación personalizado o especificar una dirección URL que se muestra en la pantalla de recuperación de BitLocker anterior al arranque cuando la unidad del sistema operativo está bloqueada. Esta configuración solo está disponible en equipos cliente que ejecutan Windows 11 y Windows 10.
Si habilita esta configuración de directiva, puede seleccionar una de estas opciones para el mensaje de recuperación previa al arranque:
Usar mensaje de recuperación personalizado: seleccione esta opción para incluir un mensaje personalizado en la pantalla de recuperación de BitLocker previa al arranque.
Usar dirección URL de recuperación personalizada: seleccione esta opción para reemplazar la dirección URL predeterminada que se muestra en la pantalla de recuperación de BitLocker previa al arranque.
Usar el mensaje de recuperación y la dirección URL predeterminados: seleccione esta opción para mostrar el mensaje de recuperación y la dirección URL predeterminados de BitLocker en la pantalla de recuperación de BitLocker previa al arranque. Si anteriormente configuró un mensaje de recuperación personalizado o una dirección URL y quiere revertir al mensaje predeterminado, debe habilitar esta directiva y seleccionar esta opción.
La nueva configuración de directiva de grupo se encuentra en el siguiente nodo de GPO:Directivas> de configuración> del equipoPlantillas> administrativasComponentes> de WindowsMDOP MBAM (Administración de BitLocker)>Unidad del sistema operativo. Para obtener más información, vea Planning for MBAM 2.5 directiva de grupo Requirements (Planeamiento de los requisitos de MBAM 2.5 directiva de grupo).
MBAM agregó compatibilidad con el cifrado de espacio usado
En MBAM 2.5 SP1, si habilita el cifrado de espacio usado a través de bitlocker directiva de grupo, el cliente de MBAM lo respeta.
Esta configuración de directiva de grupo se denomina Aplicar el tipo de cifrado de unidad en las unidades del sistema operativo y se encuentra en el siguiente nodo de GPO:Plantillas> administrativas de configuración> del equipoComponentes> de WindowsUnidades de sistema operativoBitLocker Drive Encryption>. Si habilita esta directiva y selecciona el tipo de cifrado como Cifrado solo de espacio usado, MBAM respetará la directiva y BitLocker solo cifrará el espacio en disco que se usa en el volumen.
Para obtener más información, vea Planning for MBAM 2.5 directiva de grupo Requirements (Planeamiento de los requisitos de MBAM 2.5 directiva de grupo).
Compatibilidad del cliente de MBAM con unidades de disco duro cifradas
MBAM admite BitLocker en unidades de disco duro cifradas que cumplen los requisitos de especificación de TCG para los estándares de Opal y IEEE 1667. Cuando BitLocker está habilitado en estos dispositivos, generará claves y realizará funciones de administración en la unidad cifrada. Consulte Disco duro cifrado para obtener más información.
La configuración de delegación ya no es necesaria al registrar SPN
El requisito de configurar la delegación restringida para los SPN que se registren para la cuenta del grupo de aplicaciones ya no es necesario en MBAM 2.5 SP1. Sin embargo, sigue siendo un requisito para MBAM 2.5.
Habilitación de BitLocker mediante MBAM como parte de una implementación de Windows
En MBAM 2.5 SP1, puede usar un script de PowerShell para configurar el cifrado de unidad bitLocker y las claves de recuperación de custodia en el servidor MBAM.
Para obtener más información, vea How to Enable BitLocker by Using MBAM as Part of a Windows Deployment (Cómo habilitar BitLocker mediante MBAM como parte de una implementación de Windows).
Self-Service Portal se puede personalizar mediante PowerShell o el Asistente para la personalización de SSP
A partir de MBAM 2.5 SP1, el portal de Self-Service se puede configurar mediante el asistente para personalización, así como mediante PowerShell. Consulte Configuración de las aplicaciones web de MBAM 2.5.
El explorador web ya no se ejecuta involuntariamente como administrador
Un problema en MBAM 2.5 provocaba que los vínculos de ayuda de la herramienta Configuración del servidor provocara que las ventanas del explorador se abran con derechos de administrador. Este problema se ha corregido en MBAM 2.5 SP1.
Ya no es necesario descargar los archivos de JavaScript para configurar el portal de Self-Service cuando no se puede acceder a la red CDN.
En MBAM 2.5 y versiones anteriores, los archivos jQuery usados para la configuración del portal de Self-Service tenían que descargarse de antemano desde la red CDN si los clientes que acceden al portal de Self-Service no tenían acceso a Internet. En MBAM 2.5 SP1, todos los archivos JavaScript se incluyen en el producto, por lo que descargarlos no es necesario.
Los informes se pueden abrir en Report Builder 3.0
En MBAM 2.5 SP1, los informes se han actualizado al esquema de lenguaje de definición de informes más reciente, lo que permite a los usuarios abrir y personalizar los informes en Report Builder 3.0 y guardarlos inmediatamente sin dañar el archivo de informe.
Nuevos cmdlets de PowerShell
Los nuevos cmdlets de PowerShell para MBAM 2.5 SP1 permiten configurar y administrar diferentes características de MBAM, incluidas bases de datos, informes y aplicaciones web. Cada característica tiene un cmdlet de PowerShell correspondiente que puede usar para habilitar o deshabilitar características, o para obtener información sobre la característica.
Se han implementado los siguientes cmdlets para MBAM 2.5 SP1:
Write-MbamTpmInformation
Write-MbamRecoveryInformation
Read-ADTpmInformation
Read-ADRecoveryInformation
Write-MbamComputerUser
Los parámetros siguientes se han implementado en los cmdlets Enable-MbamWebApplication y Test-MbamWebApplication para MBAM 2.5 SP1:
DataMigrationAccessGroup
TpmAutoUnlock
Para obtener información sobre los cmdlets, consulte Consideraciones de seguridad de MBAM 2.5 y Ayuda de cmdlets de administración y supervisión de Microsoft BitLocker.
El agente de MBAM detecta el modo de presentación
El agente de MBAM puede detectar cuándo el equipo está en modo de presentación y evitar invocar la interfaz de usuario de MBAM en ese momento.
El servicio de agente de MBAM ahora configurado para usar el inicio retrasado
Después de la instalación, el servicio ahora establecerá el servicio de agente de MBAM para que use el inicio retrasado, lo que reduce la cantidad de tiempo que se tarda en iniciar Windows.
Los volúmenes de datos fijos bloqueados ahora notifican como compatibles
La lógica de cálculo de cumplimiento de los volúmenes "Datos fijos bloqueados" se ha cambiado para notificar los volúmenes como "Conforme", pero con un estado de protector y un estado de cifrado "Desconocido" y con un detalle de estado de cumplimiento de "El volumen está bloqueado". Anteriormente, los volúmenes bloqueados se notificaban como "No compatible", un estado de protector de "Cifrado", un estado de cifrado "Desconocido" y un detalle de estado de cumplimiento de "Un error desconocido".
Obtención de tecnologías MDOP
MBAM forma parte del Paquete de optimización de escritorio (MDOP) de Microsoft. MDOP forma parte del programa Microsoft Software Assurance. Para obtener más información sobre el programa Microsoft Software Assurance y cómo adquirir MDOP, consulte How Do I Get MDOP?.
Notas de la versión de MBAM 2.5 SP1
Para obtener más información y noticias de última hora que no se incluyen en esta documentación, consulte Notas de la versión de MBAM 2.5 SP1.
¿Tienes una sugerencia para MBAM?
Para problemas de MBAM, use el foro de TechNet de MBAM.