Compartir a través de

Cómo habilitar BitLocker mediante MBAM como parte de una implementación de Windows

  • Artículo

Importante

Estas instrucciones no se aplican a la administración de BitLocker de Configuration Manager. El Invoke-MbamClientDeployment.ps1 script de PowerShell no se admite para su uso con la administración de BitLocker en Configuration Manager. Esto incluye la escrobación de claves de recuperación de BitLocker durante una secuencia de tareas de Configuration Manager.

A partir de Configuration Manager, versión 2103, Configuration Manager BitLocker Management ya no usa el sitio de servicios de recuperación de claves de MBAM para custodiar las claves. Si intenta usar el Invoke-MbamClientDeployment.ps1 script de PowerShell con Configuration Manager, la versión 2103 o posterior puede dar lugar a problemas graves con el sitio de Configuration Manager. Entre los problemas conocidos se incluyen la creación de una gran cantidad de directivas destinadas a todos los dispositivos, lo que puede provocar tormentas de directivas. Este comportamiento provoca una grave degradación del rendimiento en Configuration Manager principalmente en SQL y con puntos de administración. Para obtener más información, consulte Uso del agente de MBAM para custodiar las claves de recuperación de BitLocker genera directivas excesivas en Configuration Manager, versión 2103.

Administración de BitLocker a partir de Configuration Manager, versión 2203 admite de forma nativa la escrobación de la clave de BitLocker durante una secuencia de tareas con la tarea Habilitar secuencia de tareas de BitLocker mediante la opción Almacenar automáticamente la clave de recuperación en la>base de datos de Configuration Manager. Para obtener más información, vea Escrow BitLocker recovery password to the site during a task sequence(Escrow BitLocker recovery password to the site during a task sequence).

La integración independiente de MBAM con Configuration Manager solo se admite a través de Configuration Manager, versión 1902. Desde Configuration Manager, la versión 1902 no es compatible, ya no se admite el uso de MBAM independiente y el Invoke-MbamClientDeployment.ps1 script de PowerShell con versiones compatibles actualmente de Configuration Manager. Para obtener más información, consulte Versiones de Configuration Manager compatibles con MBAM. Los clientes que usan MBAM independiente con Configuration Manager deben migrar a Administración de BitLocker de Configuration Manager.

En este artículo se explica cómo habilitar BitLocker en el equipo de un usuario mediante administración y supervisión de Microsoft BitLocker (MBAM) como parte del proceso de creación de imágenes e implementación de Windows.

Nota

Si ve una pantalla negra en el reinicio después de que la fase de instalación concluya indicando que la unidad no se puede desbloquear, consulte Versiones anteriores de Windows no se inician después del paso "Configurar Windows y Configuration Manager" si se usa BitLocker de aprovisionamiento previo con Windows 10, versión 1511.

Requisitos previos

  • Debe haber un proceso de implementación de imágenes de Windows existente( Microsoft Deployment Toolkit (MDT), Microsoft System Center Configuration Manager o alguna otra herramienta o proceso de creación de imágenes.

  • TPM debe estar habilitado en el BIOS y visible para el sistema operativo.

  • La infraestructura de servidor de MBAM debe estar en su lugar y ser accesible

  • Se debe crear la partición del sistema requerida por BitLocker.

  • La máquina debe estar unida a un dominio durante la creación de imágenes antes de que MBAM habilite completamente BitLocker.

Para habilitar BitLocker con MBAM 2.5 SP1 como parte de una implementación de Windows

Habilitación de BitLocker durante la implementación de Windows con el script de Invoke-MbamClientDeployment.ps1 PowerShell

En MBAM 2.5 SP1, el enfoque recomendado para habilitar BitLocker durante una implementación de Windows es usar el Invoke-MbamClientDeployment.ps1 script de PowerShell.

  • El Invoke-MbamClientDeployment.ps1 script implementa BitLocker durante el proceso de creación de imágenes. Cuando lo requiere la directiva de BitLocker, el agente de MBAM solicita inmediatamente al usuario del dominio que cree un PIN o una contraseña cuando el usuario del dominio inicie sesión por primera vez después de la creación de imágenes.

  • Fácil de usar con MDT, System Center Configuration Manager o procesos de creación de imágenes independientes

  • Compatible con PowerShell 2.0 o posterior

  • Cifrado del volumen del sistema operativo con el protector de clave de TPM

  • Totalmente compatible con el aprovisionamiento previo de BitLocker

  • Opcionalmente, cifre fdds

  • Escrow TPM OwnerAuth

    • Para Windows 7, MBAM debe poseer el TPM para que se produzca la custodia.
    • Para Windows 8.1, Windows 10 RTM y Windows 10, versión 1511, se admite la custodia del propietario de TPMAuth.
    • Para Windows 10, versión 1607 o posterior, solo Windows puede tomar posesión del TPM. Cuando aprovisiona el TPM, Windows no mantiene la contraseña de propietario del TPM. Para obtener más información, consulte Contraseña de propietario de TPM.

  • Claves de recuperación de custodia y paquetes de claves de recuperación

  • Notificar el estado de cifrado inmediatamente

  • Nuevos proveedores WMI

  • Registro detallado

  • Control de errores sólido

Puede descargar el Invoke-MbamClientDeployment.ps1 script desde scripts de implementación de cliente de MBAM. Esta descarga es el script principal al que llama el sistema de implementación para configurar el cifrado de unidad BitLocker y las claves de recuperación de registros con el servidor MBAM.

Métodos de implementación de WMI para MBAM

Para admitir la habilitación de BitLocker mediante el Invoke-MbamClientDeployment.ps1 script de PowerShell, MBAM 2.5 SP1 incluye los siguientes métodos WMI:

MBAM_Machine Clase WMI

  • PrepareTpmAndEscrowOwnerAuth: lee ownerAuth de TPM y lo envía a la base de datos de recuperación de MBAM mediante el servicio de recuperación de MBAM. Si el TPM no es propiedad de y el autoaprovisionamiento no está activado, genera una propiedad OwnerAuth de TPM y toma la propiedad. Si se produce un error, se devuelve un código de error para la solución de problemas.

    Nota

    Para Windows 10, versión 1607 o posterior, solo Windows puede tomar posesión del TPM. Además, Windows no conservará la contraseña de propietario de TPM al aprovisionar el TPM. Para obtener más información, consulte Contraseña de propietario de TPM.

    Parámetro Descripción
    RecoveryServiceEndPoint Cadena que especifica el punto de conexión del servicio de recuperación de MBAM.

    Esta es una lista de mensajes de error comunes:

    Valores devueltos comunes Mensaje de error
    S_OK
    0 (0x0)    		 El método se realizó correctamente.
    MBAM_E_TPM_NOT_PRESENT
    2147746304 (0x80040200)    		 TPM no está presente en el equipo o está deshabilitado en la configuración del BIOS.
    MBAM_E_TPM_INCORRECT_STATE
    2147746305 (0x80040201)    		 TPM no está en el estado correcto (se habilita, se activa y se permite la instalación del propietario).
    MBAM_E_TPM_AUTO_PROVISIONING_PENDING
    2147746306 (0x80040202)    		 MBAM no puede asumir la propiedad de TPM porque el autoaprovisionamiento está pendiente. Inténtelo de nuevo una vez completado el autoaprovisionamiento.
    MBAM_E_TPM_OWNERAUTH_READFAIL
    2147746307 (0x80040203)    		 MBAM no puede leer el valor de autorización del propietario de TPM. El valor puede quitarse después de una custodia correcta. En Windows 7, si otros usuarios poseen el TPM, MBAM no puede leer el valor.
    MBAM_E_REBOOT_REQUIRED
    2147746308 (0x80040204)    		 El equipo debe reiniciarse para establecer TPM en el estado correcto. Es posible que tenga que reiniciar manualmente el equipo.
    MBAM_E_SHUTDOWN_REQUIRED
    2147746309 (0x80040205)    		 El equipo debe apagarse y volver a activarse para establecer TPM en el estado correcto. Es posible que tenga que reiniciar manualmente el equipo.
    WS_E_ENDPOINT_ACCESS_DENIED
    2151481349 (0x803D0005)    		 El punto de conexión remoto deniega el acceso.
    WS_E_ENDPOINT_NOT_FOUND
    2151481357 (0x803D000D)    		 El punto de conexión remoto no existe o no se pudo encontrar.
    **WS_E_ENDPOINT_FAILURE
    2151481357 (0x803D000F)    		 El punto de conexión remoto no pudo procesar la solicitud.
    WS_E_ENDPOINT_UNREACHABLE
    2151481360 (0x803D0010)    		 No se puede acceder al punto de conexión remoto.
    WS_E_ENDPOINT_FAULT_RECEIVED
    2151481363 (0x803D0013)    		 Se recibió un mensaje que contiene un error desde el punto de conexión remoto. Asegúrese de conectarse al punto de conexión de servicio correcto.
    WS_E_INVALID_ENDPOINT_URL 2151481376 (0x803D0020) La dirección URL de dirección del punto de conexión no es válida. La dirección URL debe empezar por http o https.

  • ReportStatus: lee el estado de cumplimiento del volumen y lo envía a la base de datos de estado de cumplimiento de MBAM mediante el servicio de informes de estado de MBAM. El estado incluye la intensidad del cifrado, el tipo de protector, el estado del protector y el estado de cifrado. Si se produce un error, se devuelve un código de error para la solución de problemas.

    Parámetro Descripción
    ReportingServiceEndPoint Cadena que especifica el punto de conexión del servicio de informes de estado de MBAM.

    Esta es una lista de mensajes de error comunes:

    Valores devueltos comunes Mensaje de error
    S_OK
    0 (0x0)    		 El método se realizó correctamente
    WS_E_ENDPOINT_ACCESS_DENIED
    2151481349 (0x803D0005)    		 El punto de conexión remoto deniega el acceso.
    WS_E_ENDPOINT_NOT_FOUND
    2151481357 (0x803D000D)    		 El punto de conexión remoto no existe o no se pudo encontrar.
    WS_E_ENDPOINT_FAILURE
    2151481357 (0x803D000F)    		 El punto de conexión remoto no pudo procesar la solicitud.
    WS_E_ENDPOINT_UNREACHABLE
    2151481360 (0x803D0010)    		 No se puede acceder al punto de conexión remoto.
    WS_E_ENDPOINT_FAULT_RECEIVED
    2151481363 (0x803D0013)    		 Se recibió un mensaje que contiene un error desde el punto de conexión remoto. Asegúrese de conectarse al punto de conexión de servicio correcto.
    WS_E_INVALID_ENDPOINT_URL
    2151481376 (0x803D0020)    		 La dirección URL de dirección del punto de conexión no es válida. La dirección URL debe empezar por http o https.

MBAM_Volume Clase WMI

  • EscrowRecoveryKey: lee la contraseña numérica de recuperación y el paquete de claves del volumen y los envía a la base de datos de recuperación de MBAM mediante el servicio de recuperación de MBAM. Si se produce un error, se devuelve un código de error para la solución de problemas.

    Parámetro Descripción
    RecoveryServiceEndPoint Cadena que especifica el punto de conexión del servicio de recuperación de MBAM.

    Esta es una lista de mensajes de error comunes:

    Valores devueltos comunes Mensaje de error
    S_OK
    0 (0x0)    		 El método se realizó correctamente
    FVE_E_LOCKED_VOLUME
    2150694912 (0x80310000)    		 El volumen está bloqueado.
    FVE_E_PROTECTOR_NOT_FOUND
    2150694963 (0x80310033)    		 No se encontró un protector numérico de contraseña para el volumen.
    WS_E_ENDPOINT_ACCESS_DENIED
    2151481349 (0x803D0005)    		 El punto de conexión remoto deniega el acceso.
    WS_E_ENDPOINT_NOT_FOUND
    2151481357 (0x803D000D)    		 El punto de conexión remoto no existe o no se pudo encontrar.
    WS_E_ENDPOINT_FAILURE
    2151481357 (0x803D000F)    		 El punto de conexión remoto no pudo procesar la solicitud.
    WS_E_ENDPOINT_UNREACHABLE
    2151481360 (0x803D0010)    		 No se puede acceder al punto de conexión remoto.
    WS_E_ENDPOINT_FAULT_RECEIVED
    2151481363 (0x803D0013)    		 Se recibió un mensaje que contiene un error desde el punto de conexión remoto. Asegúrese de conectarse al punto de conexión de servicio correcto.
    WS_E_INVALID_ENDPOINT_URL
    2151481376 (0x803D0020)    		 La dirección URL de dirección del punto de conexión no es válida. La dirección URL debe empezar por http o https.

Implementación de MBAM mediante Microsoft Deployment Toolkit (MDT) y PowerShell

  1. En MDT, cree un nuevo recurso compartido de implementación o abra un recurso compartido de implementación existente.

    Nota

    Puede usar el script de Invoke-MbamClientDeployment.ps1 PowerShell con cualquier proceso o herramienta de creación de imágenes. En esta sección se muestra cómo integrarlo mediante MDT, pero los pasos son similares a la integración con cualquier otro proceso o herramienta.

    Precaución

    Si usa la preaprovisionamiento de BitLocker en Windows PE y quiere mantener el valor de autorización del propietario del TPM, debe agregar el SaveWinPETpmOwnerAuth.wsf script en Windows PE inmediatamente antes de que se reinicie la instalación en el sistema operativo completo. Si no usa este script, perderá el valor de autorización del propietario de TPM al reiniciar.

  2. Copie Invoke-MbamClientDeployment.ps1 en <DeploymentShare>\Scripts. Si usa el aprovisionamiento previo, copie el SaveWinPETpmOwnerAuth.wsf archivo en <DeploymentShare>\Scripts.

  3. Agregue la aplicación cliente MBAM 2.5 SP1 al nodo Aplicaciones del recurso compartido de implementación.

    1. En el nodo Aplicaciones , seleccione Nueva aplicación.
    2. Seleccione Aplicación con archivos de origen. Selecciona Siguiente.
    3. En Nombre de la aplicación, escriba "MBAM 2.5 SP1 Client". Selecciona Siguiente.
    4. Vaya al directorio que contiene MBAMClientSetup-<Version>.msi. Selecciona Siguiente.
    5. Escriba "MBAM 2.5 SP1 Client" como el directorio que se va a crear. Selecciona Siguiente.
    6. Escriba msiexec /i MBAMClientSetup-<Version>.msi /quiet en la línea de comandos. Selecciona Siguiente.
    7. Acepte los valores predeterminados restantes para completar el Asistente para nueva aplicación.

  4. En MDT, haga clic con el botón derecho en el nombre del recurso compartido de implementación y seleccione Propiedades. Seleccione la pestaña Reglas . Agregue las líneas siguientes:

    SkipBitLocker=YES``BDEInstall=TPM``BDEInstallSuppress=NO``BDEWaitForEncryption=YES

    Seleccione Aceptar para cerrar la ventana.

  5. En el nodo Secuencias de tareas, edite una secuencia de tareas existente que se usa para la implementación de Windows. Si lo desea, puede crear una nueva secuencia de tareas haciendo clic con el botón derecho en el nodo Secuencias de tareas , seleccionando Nueva secuencia de tareas y completando el asistente.

    En la pestaña Secuencia de tareas de la secuencia de tareas seleccionada, siga estos pasos:

    1. En la carpeta Preinstalar , habilite la tarea opcional Habilitar BitLocker (sin conexión) si quiere que BitLocker esté habilitado en WinPE, lo que cifra solo el espacio usado.

    2. Para conservar ownerAuth de TPM al usar el aprovisionamiento previo, lo que permite a MBAM conservarlo más adelante, haga lo siguiente:

      1. Buscar el paso Instalar sistema operativo

      2. Agregar un nuevo paso ejecutar línea de comandos después

      3. Asigne al paso el nombre Persist TPM OwnerAuth

      4. Establecer la línea de comandos en cscript.exe "%SCRIPTROOT%/SaveWinPETpmOwnerAuth.wsf"

        Nota

        Para Windows 10, versión 1607 o posterior, solo Windows puede tomar posesión del TPM. Al aprovisionar el TPM, Windows no mantiene la contraseña de propietario del TPM. Para obtener más información, consulte Contraseña de propietario de TPM.

    3. En la carpeta Restauración de estado , elimine la tarea Habilitar BitLocker .

    4. En la carpeta Restauración de estado en Tareas personalizadas, cree una nueva tarea Instalar aplicación y asígnele el nombre Instalar agente MBAM. Seleccione el botón de radio Instalar aplicación única y vaya a la aplicación cliente MBAM 2.5 SP1 creada anteriormente.

    5. En la carpeta Restauración de estado en Tareas personalizadas, cree una nueva tarea Ejecutar script de PowerShell (después del paso de aplicación cliente MBAM 2.5 SP1) con la siguiente configuración (actualice los parámetros según corresponda para su entorno):

      • Nombre: Configuración de BitLocker para MBAM

      • Script de PowerShell: Invoke-MbamClientDeployment.ps1

      • Parámetros:

        Parámetro Requisitos Descripción
        -RecoveryServiceEndpoint Obligatorio Punto de conexión del servicio de recuperación de MBAM.
        -StatusReportingServiceEndpoint Opcional Punto de conexión del servicio de informes de estado de MBAM.
        -EncryptionMethod Opcional Método de cifrado (valor predeterminado: AES 128).
        -EncryptAndEscrowDataVolume Conmutador Especifique para cifrar los volúmenes de datos y custodiar las claves de recuperación del volumen de datos.
        -WaitForEncryptionToComplete Conmutador Especifique que espere a que se complete el cifrado.
        -DoNotResumeSuspendedEncryption Conmutador Especifique que el script de implementación no reanudará el cifrado suspendido.
        -IgnoreEscrowOwnerAuthFailure Conmutador Especifique para omitir el error de custodia de autenticación del propietario del TPM. Debe usarse en escenarios en los que MBAM no pueda leer la autenticación de propietario de TPM. Por ejemplo, si está habilitado el aprovisionamiento automático de TPM.
        -IgnoreEscrowRecoveryKeyFailure Conmutador Especifique para omitir el error de custodia de la clave de recuperación de volumen.
        -IgnoreReportStatusFailure Conmutador Especifique para pasar por alto el error de informes de estado.

Para habilitar BitLocker con MBAM 2.5 o una versión anterior como parte de una implementación de Windows

  1. Instale el cliente de MBAM. Para obtener instrucciones, consulte Cómo implementar el cliente de MBAM mediante una línea de comandos.

  2. Unir el equipo a un dominio (recomendado).

    • Si el equipo no está unido a un dominio, la contraseña de recuperación no se almacena en el servicio de recuperación de claves MBAM. De forma predeterminada, MBAM no permite que se produzca el cifrado a menos que se pueda almacenar la clave de recuperación.

    • Si un equipo se inicia en modo de recuperación antes de que la clave de recuperación se almacene en el servidor MBAM, no hay ningún método de recuperación disponible y el equipo tiene que volver a crear una imagen.

  3. Abra un símbolo del sistema como administrador y detenga el servicio MBAM.

  4. Establezca el servicio en Manual o A petición escribiendo los siguientes comandos:

    net stop mbamagent

    sc config mbamagent start= demand

  5. Establezca los valores del Registro para que el cliente de MBAM ignore la configuración de directiva de grupo y, en su lugar, establezca el cifrado para iniciar la hora en que Windows se implementa en ese equipo cliente.

    Precaución

    En este paso se describe cómo modificar el Registro de Windows. El uso incorrecto del Editor del Registro puede causar problemas graves que pueden requerir la reinstalación de Windows. No podemos garantizar que se puedan resolver los problemas resultantes del uso incorrecto del Editor del Registro. Use el Editor del Registro a su propio riesgo.

    1. Establezca el TPM solo para el cifrado del sistema operativo, ejecute Regedit.exe y, a continuación, importe la plantilla de clave del Registro desde C:\Program Files\Microsoft\MDOP MBAM\MBAMDeploymentKeyTemplate.reg.

    2. En Regedit.exe, vaya a HKLM\SOFTWARE\Microsoft\MBAMy configure los valores que aparecen en la tabla siguiente.

      Nota

      Puede establecer la configuración de directiva de grupo o los valores del Registro relacionados con MBAM aquí. Esta configuración invalida los valores establecidos anteriormente.

      Entrada del Registro Opciones de configuración
      DeploymentTime 0 = Desactivado
      1 = Use la configuración de directiva de tiempo de implementación (valor predeterminado): use esta opción para habilitar el cifrado en el momento en que Windows se implementa en el equipo cliente.
      UseKeyRecoveryService 0 = No use la custodia de clave. Las dos entradas del Registro siguientes no son necesarias en este caso.
      1 = Usar custodia de clave en el sistema de recuperación de claves (valor predeterminado)
      Se recomienda esta configuración, que permite a MBAM almacenar las claves de recuperación. El equipo debe poder comunicarse con el servicio de recuperación de claves MBAM. Compruebe que el equipo puede comunicarse con el servicio antes de continuar.
      KeyRecoveryOptions 0 = Solo carga la clave de recuperación
      1 = Carga de la clave de recuperación y el paquete de recuperación de claves (valor predeterminado)
      KeyRecoveryServiceEndPoint Establezca este valor en la dirección URL del servidor que ejecuta el servicio De recuperación de claves, por ejemplo, https://<computer name>/MBAMRecoveryAndHardwareService/CoreService.svc.

  6. El cliente de MBAM reinicia el sistema durante la implementación del cliente MBAM. Cuando esté listo para este reinicio, ejecute el siguiente comando en un símbolo del sistema como administrador:

    net start mbamagent

  7. Cuando se reinicien los equipos y el BIOS le solicite, acepte el cambio de TPM.

  8. Durante el proceso de creación de imágenes del sistema operativo cliente de Windows, cuando esté listo para iniciar el cifrado, abra un símbolo del sistema como administrador y escriba los siguientes comandos para establecer el inicio en Automático y reiniciar el agente cliente de MBAM:

    sc config mbamagent start= auto

    net start mbamagent

  9. Para eliminar los valores del Registro de omisión, ejecute Regedit.exe y vaya a la entrada del HKLM\SOFTWARE\Microsoft Registro. Haga clic con el botón derecho en el nodo MBAM y, a continuación, seleccione Eliminar.

Implementación del cliente de MBAM 2.5

Planeamiento de la implementación de cliente de MBAM 2.5