Planeamiento de los requisitos de directiva de grupo de MBAM 2.5
Use la siguiente información para determinar los tipos de protectores de BitLocker que puede usar para administrar los equipos cliente de Administración y supervisión de Microsoft BitLocker (MBAM) en la empresa.
Tipos de protectores de BitLocker compatibles con MBAM
MBAM admite los siguientes tipos de protectores de BitLocker.
| Tipo de unidad o volumen | Protectores de BitLocker admitidos |
|---|---|
| Volúmenes del sistema operativo |
-
Módulo de plataforma segura (TPM) - TPM + PIN - TPM + clave USB : solo se admite cuando el volumen del sistema operativo está cifrado antes de instalar MBAM - TPM + PIN + clave USB : solo se admite cuando el volumen del sistema operativo está cifrado antes de instalar MBAM - Contraseña : solo se admite para dispositivos Windows To Go, unidades de datos fijas y dispositivos Windows 8, Windows 8.1 y Windows 10 que no tienen un TPM - Contraseña numérica : se aplica automáticamente como parte del cifrado de volumen y no es necesario configurarla excepto en el modo FIPS en Windows 7 - Agente de recuperación de datos (DRA) |
| Unidades de datos fijas |
-
Contraseña - Desbloqueo automático - Contraseña numérica : se aplica automáticamente como parte del cifrado de volumen y no es necesario configurarla excepto en el modo FIPS en Windows 7 - Agente de recuperación de datos (DRA) |
| Unidades extraíbles |
-
Contraseña - Desbloqueo automático - Contraseña numérica : se aplica automáticamente como parte del cifrado de volumen y no es necesario configurarla - Agente de recuperación de datos (DRA) |
Compatibilidad con la directiva bitlocker de cifrado de espacio usado
En MBAM 2.5 SP1, si habilita el cifrado de espacio usado a través de la directiva de grupo de BitLocker, el cliente de MBAM lo respeta.
Esta configuración de directiva de grupo se denomina Aplicar el tipo de cifrado de unidad en las unidades del sistema operativo y se encuentra en el siguiente nodo de GPO: Configuración >del equipoPlantillas> administrativasComponentes> de WindowsUnidades de sistema operativoBitLocker Drive Encryption>. Si habilita esta directiva y selecciona el tipo de cifrado como Cifrado solo de espacio usado, MBAM respeta la directiva y BitLocker solo cifrará el espacio en disco que se usa en el volumen.
Cómo obtener las plantillas de directiva de grupo de MBAM y editar la configuración
Cuando esté listo para configurar las opciones de directiva de grupo de MBAM que desee, siga estos pasos:
Copie las plantillas de directiva de grupo de MBAM de las plantillas de directiva de grupo mdop e instálelas en un equipo que sea capaz de ejecutar la Consola de administración de directivas de grupo (GPMC) o la administración avanzada de directivas de grupo (AGPM). Para obtener más información, consulte Copia de las plantillas de directiva de grupo de MBAM 2.5.
Configure las opciones de directiva de grupo que desea usar en la empresa. Para obtener más información, consulte Edición de la configuración de directiva de grupo de MBAM 2.5.
Descripciones de la configuración de directiva de grupo de MBAM
El nodo GPO MDOP MBAM (Administración de BitLocker) contiene cuatro configuraciones de directiva global y cuatro nodos de GPO secundarios: Administración de clientes, Unidad fija, Unidad del sistema operativo y Unidad extraíble. En las secciones siguientes se describe y sugiere la configuración de la directiva de grupo de MBAM.
Importante
No cambie la configuración de la directiva de grupo en el nodo Cifrado de unidad BitLocker o MBAM no funcionará correctamente. MBAM configura automáticamente las opciones de este nodo al configurar las opciones en el nodo MDOP MBAM (Administración de BitLocker).
Definiciones de directivas de grupo globales
En esta sección se describen las definiciones de directiva de grupo global de MBAM en el siguiente nodo gpo:Directivas> de configuración> del equipoPlantillas> administrativasComponentes> de WindowsMDOP MBAM (Administración de BitLocker).
| Nombre de directiva | Información general y configuración de directiva de grupo sugerida |
|---|---|
| Elección del método de cifrado de unidad y la intensidad del cifrado |
Configuración sugerida:Habilitado Configure esta directiva para usar un método de cifrado específico y una intensidad de cifrado. Cuando esta directiva no está configurada, BitLocker usa el método de cifrado predeterminado: AES de 128 bits con Difusor. Nota: Un problema con el informe de cumplimiento de equipos de BitLocker hace que se muestre "desconocido" para la intensidad del cifrado, incluso si usa el valor predeterminado. Para solucionar este problema, asegúrese de habilitar esta configuración y de establecer un valor para la intensidad del cifrado. - AES de 128 bits con difusor: solo para Windows 7 - AES 128 para Windows 8, Windows 8.1, Windows 10 y Windows 11 |
| Impedir la sobrescritura de memoria al reiniciar |
Configuración sugerida:No configurada Configure esta directiva para mejorar el rendimiento del reinicio sin sobrescribir los secretos de BitLocker en la memoria al reiniciar. Cuando esta directiva no está configurada, los secretos de BitLocker se quitan de la memoria cuando se reinicia el equipo. |
| Validación de la regla de uso de certificados de tarjeta inteligente |
Configuración sugerida:No configurada Configure esta directiva para usar la protección de BitLocker basada en certificados de tarjeta inteligente. Cuando esta directiva no está configurada, se usa el identificador 1.3.6.1.4.1.311.67.1.1 de objeto predeterminado para especificar un certificado. |
| Proporcionar los identificadores únicos de la organización |
Configuración sugerida:No configurada Configure esta directiva para usar un agente de recuperación de datos basado en certificados o el lector de BitLocker To Go. Cuando esta directiva no está configurada, no se usa el campo Identificación . Si su empresa requiere medidas de seguridad más altas, puede configurar el campo Identificación para asegurarse de que todos los dispositivos USB tienen este campo establecido y que se alinean con esta configuración de directiva de grupo. |
Definiciones de directiva de grupo de Administración de clientes
En esta sección se describen las definiciones de directivas de administración de cliente para MBAM en el siguiente nodo de GPO:Directivasdeconfiguración >>del equipoPlantillas > administrativasComponentes> de WindowsMDOP MBAM (Administración de BitLocker)>Administración de clientes.
Puede establecer la misma configuración de directiva de grupo para las topologías de integración independiente y de System Center Configuration Manager, con una excepción: Deshabilite la configuración del punto de conexión de servicio de informes de estado de MBAM Services > de MBAM si usa la topología de integración de Configuration Manager, como se indica en la tabla siguiente.
| Nombre de directiva | Información general y configuración de directiva de grupo sugerida |
|---|---|
| Configuración de servicios MBAM |
Configuración sugerida:Habilitado - Punto de conexión de servicio de recuperación y hardware de MBAM: use esta configuración para habilitar la administración de cifrado de BitLocker del cliente DE MBAM. Escriba una ubicación de punto de conexión similar al ejemplo siguiente: http(s)://<Nombre> del servidor de administración y supervisión de MBAM:<el puerto al> que está enlazado el servicio web/MBAMRecoveryAndHardwareService/CoreService.svc. - Seleccione Información de recuperación de BitLocker para almacenar: esta configuración de directiva le permite configurar el servicio de recuperación de claves para hacer una copia de seguridad de la información de recuperación de BitLocker. También le permite configurar un servicio de informes de estado para recopilar informes. La directiva proporciona un método administrativo para recuperar datos cifrados por BitLocker para evitar la pérdida de datos debido a la falta de información clave. El informe de estado y la actividad de recuperación de claves se envían de forma automática y silenciosa a la ubicación configurada del servidor de informes. Si no configura esta configuración de directiva o si la deshabilita, la información de recuperación de claves no se guarda y el informe de estado y la actividad de recuperación de claves no se notifican al servidor. Cuando esta configuración se establece en Contraseña de recuperación y paquete de claves, se realiza una copia de seguridad automática y silenciosa de la contraseña de recuperación y el paquete de claves en la ubicación del servidor de recuperación de claves configurada. - Escriba la frecuencia de estado de comprobación de cliente en minutos: esta configuración de directiva administra la frecuencia con la que el cliente comprueba las directivas de protección de BitLocker y el estado en el equipo cliente. Esta directiva también administra la frecuencia con la que se guarda el estado de cumplimiento del cliente en el servidor. El cliente comprueba las directivas de protección de BitLocker y el estado en el equipo cliente y también realiza una copia de seguridad de la clave de recuperación de cliente con la frecuencia configurada. Establezca esta frecuencia en función de los requisitos establecidos por su empresa en la frecuencia con la que comprobar el estado de cumplimiento del equipo y la frecuencia con la que se realiza la copia de seguridad de la clave de recuperación de cliente. - Punto de conexión de servicio de informes de estado de MBAM: - Para MBAM en una topología independiente: debe configurar esta configuración para habilitar la administración de cifrado de BitLocker del cliente MBAM. Escriba una ubicación de punto de conexión similar al ejemplo siguiente: http(s)://<Nombre> del servidor de administración y supervisión de MBAM:<el puerto al> que está enlazado el servicio web/MBAMComplianceStatusService/StatusReportingService.svc. - Para MBAM en la topología de integración de Configuration Manager: deshabilite esta configuración. |
| Configuración de la directiva de exención de usuarios |
Configuración sugerida:No configurada Esta configuración de directiva le permite configurar una dirección de sitio web, una dirección de correo electrónico o un número de teléfono que indique a un usuario que solicite una exención del cifrado de BitLocker. Si habilita esta configuración de directiva y proporciona una dirección de sitio web, una dirección de correo electrónico o un número de teléfono, los usuarios verán un cuadro de diálogo con instrucciones sobre cómo solicitar una exención de la protección de BitLocker. Para obtener más información sobre cómo habilitar las exenciones de cifrado de BitLocker para los usuarios, consulte Cómo administrar las exenciones de cifrado de BitLocker de usuario. Si deshabilita o no establece esta configuración de directiva, las instrucciones de solicitud de exención no se muestran a los usuarios. Nota: La exención de usuario se administra por usuario, no por equipo. Si varios usuarios inician sesión en el mismo equipo y cualquier usuario no está exento, el equipo se cifra. |
| Configurar el programa de mejora de la experiencia del cliente |
Configuración sugerida:Habilitado Esta configuración de directiva le permite configurar cómo los usuarios de MBAM pueden unirse al Programa de mejora de la experiencia del cliente. Este programa recopila información sobre el hardware del equipo y cómo los usuarios usan MBAM sin interrumpir su trabajo. La información ayuda a Microsoft a identificar qué características de MBAM mejorar. Microsoft no usa esta información para identificar o ponerse en contacto con los usuarios de MBAM. Si habilita esta configuración de directiva, los usuarios pueden unirse al Programa de mejora de la experiencia del cliente. Si deshabilita esta configuración de directiva, los usuarios no podrán unirse al Programa de mejora de la experiencia del cliente. Si no configura esta configuración de directiva, los usuarios pueden unirse al Programa de mejora de la experiencia del cliente. |
| Proporcione la dirección URL del vínculo Directiva de seguridad. |
Configuración sugerida:Habilitado Use esta configuración de directiva para especificar una dirección URL que se muestra a los usuarios finales como un vínculo denominado "Directiva de seguridad de empresa". El vínculo apunta a la directiva de seguridad interna de la empresa y proporciona a los usuarios finales información sobre los requisitos de cifrado. El vínculo aparece cuando MBAM solicita a los usuarios que cifren una unidad. Si habilita esta configuración de directiva, puede configurar la dirección URL del vínculo Directiva de seguridad. Si deshabilita o no establece esta configuración de directiva, el vínculo Directiva de seguridad no se mostrará a los usuarios. |
Definiciones de directiva de grupo de unidad fija
En esta sección se describen las definiciones de directivas de unidad fija para la administración y supervisión de Microsoft BitLocker en el siguiente nodo gpo:Directivasde configuración>> del equipoPlantillas > administrativasComponentes> de WindowsMDOP MBAM (Administración de BitLocker)>Unidad fija.
| Nombre de directiva | Información general y configuración de directiva de grupo sugerida |
|---|---|
| Se ha corregido la configuración de cifrado de la unidad de datos. |
Configuración sugerida:Habilitado Esta configuración de directiva le permite administrar si se deben cifrar unidades de datos fijas. Si es necesario cifrar el volumen del sistema operativo, seleccione Habilitar la unidad de datos fija de desbloqueo automático. Al habilitar esta directiva, no debe deshabilitar la directiva Configurar el uso de contraseña para unidades de datos fijas a menos que esté habilitando o exigiendo el uso de autounlock para unidades de datos fijas. Si tiene que usar el bloqueo automático para las unidades de datos fijas, debe configurar los volúmenes del sistema operativo para cifrarlos. Si habilita esta configuración de directiva, los usuarios deben colocar todas las unidades de datos fijas en la protección de BitLocker y, a continuación, se cifran las unidades de datos. Si no configura esta configuración de directiva, no es necesario que los usuarios coloquen unidades de datos fijas en la protección de BitLocker. Si aplica esta directiva después de cifrar las unidades de datos fijas, el agente de MBAM descifra las unidades de datos fijas cifradas. Si deshabilita esta configuración de directiva, los usuarios no podrán colocar sus unidades de datos fijas en la protección de BitLocker. |
| Denegar el acceso de escritura a unidades fijas no protegidas por BitLocker |
Configuración sugerida:No configurada Esta configuración de directiva determina si es necesaria la protección de BitLocker para que las unidades de datos fijas se puedan escribir en un equipo. Esta configuración de directiva se aplica al activar BitLocker. Cuando la directiva no está configurada, todas las unidades de datos fijas del equipo se montan con permiso de lectura y escritura. |
| Permitir el acceso a unidades fijas protegidas por BitLocker desde versiones anteriores de Windows |
Configuración sugerida:No configurada Habilite esta directiva para que las unidades fijas con el sistema de archivos FAT se puedan desbloquear y ver en equipos que ejecutan Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2. Cuando la directiva está habilitada o no configurada, las unidades fijas con formato con el sistema de archivos FAT se pueden desbloquear y su contenido se puede ver en equipos que ejecutan Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2. Estos sistemas operativos tienen permiso de solo lectura para las unidades protegidas por BitLocker. Cuando la directiva está deshabilitada, las unidades fijas con formato con el sistema de archivos FAT no se pueden desbloquear y su contenido no se puede ver en equipos que ejecutan Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2. |
| Configuración del uso de la contraseña para unidades fijas |
Configuración sugerida:No configurada Use esta directiva para especificar si se necesita una contraseña para desbloquear unidades de datos fijas protegidas por BitLocker. Si habilita esta configuración de directiva, los usuarios pueden configurar una contraseña que cumpla los requisitos que defina. BitLocker permite a los usuarios desbloquear una unidad con cualquiera de los protectores que están disponibles en la unidad. Esta configuración se aplica cuando se activa BitLocker, no cuando se desbloquea un volumen. Si deshabilita esta configuración de directiva, los usuarios no podrán usar una contraseña. Cuando la directiva no está configurada, las contraseñas se admiten con la configuración predeterminada, que no incluye los requisitos de complejidad de contraseñas y que solo requieren ocho caracteres. Para mayor seguridad, habilite esta directiva y, a continuación, seleccione Requerir contraseña para la unidad de datos fija, seleccione Requerir complejidad de contraseña y establezca la longitud mínima de contraseña que desee. Si deshabilita esta configuración de directiva, los usuarios no podrán usar una contraseña. Si no configura esta configuración de directiva, las contraseñas se admiten con la configuración predeterminada, que no incluye los requisitos de complejidad de contraseñas y que solo requieren ocho caracteres. |
| Elegir cómo se pueden recuperar unidades fijas protegidas por BitLocker |
Configuración sugerida:No configurada Configure esta directiva para habilitar el agente de recuperación de datos de BitLocker o para guardar la información de recuperación de BitLocker en Active Directory Domain Services (AD DS). Cuando la directiva no está configurada, se permite el agente de recuperación de datos de BitLocker y no se realiza una copia de seguridad de la información de recuperación en AD DS. MBAM no requiere que se haga una copia de seguridad de la información de recuperación en AD DS. |
| Configuración de cumplimiento de directivas de cifrado |
Configuración sugerida:Habilitado Use esta configuración de directiva para configurar el número de días que las unidades de datos fijas pueden permanecer no conformes hasta que se vean obligadas a cumplir con las directivas de MBAM. Los usuarios no pueden posponer la acción necesaria ni solicitar una exención después del período de gracia. El período de gracia comienza cuando se determina que la unidad de datos fija no es conforme. Sin embargo, la directiva de unidad de datos fija no se aplica hasta que la unidad del sistema operativo sea compatible. Si el período de gracia expira y la unidad de datos fija sigue sin cumplirse, los usuarios no tienen la opción de posponer o solicitar una exención. Si el proceso de cifrado requiere la entrada del usuario, aparece un cuadro de diálogo que los usuarios no pueden cerrar hasta que proporcionen la información necesaria. Escriba 0 en Configure the number of noncompliance grace period days for fixed drives to force the encryption process to begin immediately after the grace period expires for the operating system drive (Configurar el número de días de período de gracia de no cumplimiento para las unidades fijas para forzar que el proceso de cifrado comience inmediatamente después de que expire el período de gracia para la unidad del sistema operativo). Si deshabilita o no configura esta configuración, los usuarios no se verán obligados a cumplir con las directivas de MBAM. Si no se requiere ninguna interacción del usuario para agregar un protector, el cifrado comienza en segundo plano después de que expire el período de gracia. |
Definiciones de directiva de grupo de unidad de sistema operativo
En esta sección se describen las definiciones de directivas de unidad de sistema operativo para la administración y supervisión de Microsoft BitLocker en el siguiente nodo gpo:Directivas> de configuración> del equipoPlantillas> administrativasComponentes> de WindowsMDOP MBAM (Administración de BitLocker)>Unidad del sistema operativo.
| Nombre de directiva | Información general y configuración de directiva de grupo sugerida |
|---|---|
| Configuración de cifrado de unidad del sistema operativo |
Configuración sugerida:Habilitado Esta configuración de directiva le permite administrar si se debe cifrar la unidad del sistema operativo. Para mayor seguridad, considere la posibilidad de deshabilitar la siguiente configuración de directiva en Configuración desuspensión de Administración de> energíadelsistema> al habilitarlas con el protector TPM + PIN:
En un equipo con un TPM compatible, se pueden usar dos tipos de métodos de autenticación en el inicio para proporcionar protección adicional para los datos cifrados. Cuando se inicia el equipo, solo puede usar el TPM para la autenticación, o también puede requerir la entrada de un número de identificación personal (PIN). Si habilita esta configuración de directiva, los usuarios tendrán que colocar la unidad del sistema operativo en protección de BitLocker y, a continuación, la unidad se cifrará. Si deshabilita esta directiva, los usuarios no podrán colocar la unidad del sistema operativo en protección de BitLocker. Si aplica esta directiva después de cifrar la unidad del sistema operativo, la unidad se descifra. Si no configura esta directiva, no es necesario que la unidad del sistema operativo se coloque bajo la protección de BitLocker. |
| Permitir PIN mejorados para el inicio |
Configuración sugerida:No configurada Use esta configuración de directiva para configurar si los PIN de inicio mejorados se usan con BitLocker. Los PIN de inicio mejorados permiten el uso de caracteres como letras mayúsculas y minúsculas, símbolos, números y espacios. Esta configuración de directiva se aplica al activar BitLocker. Si habilita esta configuración de directiva, todos los nuevos PIN de inicio de BitLocker establecidos permitirán al usuario final crear PIN mejorados. Sin embargo, no todos los equipos pueden admitir PIN mejorados en el entorno de prearranque. Se recomienda encarecidamente que los administradores evalúen si sus sistemas son compatibles con esta característica antes de habilitar su uso. Active la casilla Requerir PIN solo ASCII para ayudar a que los PIN mejorados sean más compatibles con equipos que limiten el tipo o el número de caracteres que se pueden escribir en el entorno de prearranque. Si deshabilita o no establece esta configuración de directiva, no se usarán los PIN mejorados. |
| Elegir cómo se pueden recuperar unidades del sistema operativo protegidas con BitLocker |
Configuración sugerida:No configurada Configure esta directiva para habilitar el agente de recuperación de datos de BitLocker o para guardar la información de recuperación de BitLocker en Active Directory Domain Services (AD DS). Cuando esta directiva no está configurada, se permite el agente de recuperación de datos y no se realiza una copia de seguridad de la información de recuperación en AD DS. La operación de MBAM no requiere que se haga una copia de seguridad de la información de recuperación en AD DS. |
| Configuración del uso de contraseñas para unidades de sistema operativo |
Configuración sugerida:No configurada Use esta configuración de directiva para establecer las restricciones de las contraseñas que se usan para desbloquear unidades de sistema operativo protegidas por BitLocker. Si se permiten protectores que no son de TPM en las unidades del sistema operativo, puede aprovisionar una contraseña, aplicar requisitos de complejidad en la contraseña y configurar una longitud mínima para la contraseña. Para que la configuración de requisitos de complejidad sea efectiva, también debe habilitar la configuración de directiva de grupo "La contraseña debe cumplir los requisitos de complejidad" que se encuentra en Configuración > del equipo Configuración de Windows Directivas > de contraseña de la cuenta configuración >> de seguridad. Nota: Esta configuración se aplica cuando se activa BitLocker, no cuando se desbloquea un volumen. BitLocker te permite desbloquear una unidad con cualquiera de los protectores que están disponibles en la unidad. Si habilita esta configuración de directiva, los usuarios pueden configurar una contraseña que cumpla los requisitos que defina. Para aplicar los requisitos de complejidad en la contraseña, seleccione Requerir complejidad de contraseña. |
| Configuración del perfil de validación de la plataforma TPM para configuraciones de firmware basadas en BIOS |
Configuración sugerida:No configurada Esta configuración de directiva le permite configurar cómo el hardware de seguridad del módulo de plataforma segura (TPM) del equipo protege la clave de cifrado de BitLocker. Esta configuración de directiva no se aplica si el equipo no tiene un TPM compatible o si BitLocker ya está activado con protección de TPM. Importante: Esta configuración de directiva de grupo solo se aplica a equipos con configuraciones de BIOS o a equipos con firmware UEFI con un módulo de servicio de compatibilidad (CSM) habilitado. Los equipos que usan una configuración de firmware UEFI nativa almacenan valores diferentes en los registros de configuración de plataforma (PCR). Use la configuración de directiva de grupo "Configurar el perfil de validación de la plataforma TPM para configuraciones de firmware ueFI nativas" para configurar el perfil de PCR de TPM para equipos que usan firmware UEFI nativo. Si habilita esta configuración de directiva antes de activar BitLocker, puede configurar los componentes de arranque que el TPM valida antes de desbloquear el acceso a la unidad del sistema operativo cifrada con BitLocker. Si alguno de estos componentes cambia mientras la protección de BitLocker está en vigor, el TPM no libera la clave de cifrado para desbloquear la unidad y, en su lugar, el equipo muestra la consola de recuperación de BitLocker y requiere que proporcione la contraseña de recuperación o la clave de recuperación para desbloquear la unidad. Si deshabilita o no establece esta configuración de directiva, BitLocker usa el perfil de validación de plataforma predeterminado o el perfil de validación de plataforma especificado por el script de instalación. |
| Configuración del perfil de validación de la plataforma TPM |
Configuración sugerida:No configurada Esta configuración de directiva le permite configurar cómo el hardware de seguridad del módulo de plataforma segura (TPM) del equipo protege la clave de cifrado de BitLocker. Esta configuración de directiva no se aplica si el equipo no tiene un TPM compatible o si BitLocker ya se ha activado con la protección de TPM. Si habilita esta configuración de directiva antes de activar BitLocker, puede configurar los componentes de arranque que el TPM valida antes de desbloquear el acceso a la unidad del sistema operativo cifrada con BitLocker. Si alguno de estos componentes cambia mientras la protección de BitLocker está en vigor, el TPM no libera la clave de cifrado para desbloquear la unidad y, en su lugar, el equipo muestra la consola de recuperación de BitLocker y requiere que proporcione la contraseña de recuperación o la clave de recuperación para desbloquear la unidad. Si deshabilita o no establece esta configuración de directiva, BitLocker usa el perfil de validación de plataforma predeterminado o el perfil de validación de plataforma especificado por el script de instalación. |
| Configuración del perfil de validación de la plataforma TPM para configuraciones de firmware ueFI nativas |
Configuración sugerida:No configurada Esta configuración de directiva le permite configurar cómo el hardware de seguridad del módulo de plataforma segura (TPM) del equipo protege la clave de cifrado de BitLocker. Esta configuración de directiva no se aplica si el equipo no tiene un TPM compatible o si BitLocker ya está activado con protección de TPM. Importante: Esta configuración de directiva de grupo solo se aplica a los equipos con una configuración de firmware UEFI nativa. Si habilita esta configuración de directiva antes de activar BitLocker, puede configurar los componentes de arranque que el TPM valida antes de desbloquear el acceso a la unidad del sistema operativo cifrada con BitLocker. Si alguno de estos componentes cambia mientras la protección de BitLocker está en vigor, el TPM no libera la clave de cifrado para desbloquear la unidad y, en su lugar, el equipo muestra la consola de recuperación de BitLocker y requiere que proporcione la contraseña de recuperación o la clave de recuperación para desbloquear la unidad. Si deshabilita o no establece esta configuración de directiva, BitLocker usa el perfil de validación de plataforma predeterminado o el perfil de validación de plataforma especificado por el script de instalación. |
| Restablecimiento de los datos de validación de la plataforma después de la recuperación de BitLocker |
Configuración sugerida:No configurada Use esta configuración de directiva para controlar si los datos de validación de la plataforma se actualizan cuando windows se inicia después de la recuperación de BitLocker. Si habilita esta configuración de directiva, los datos de validación de la plataforma se actualizan cuando Windows se inicia después de la recuperación de BitLocker. Si deshabilita esta configuración de directiva, los datos de validación de la plataforma no se actualizan cuando Windows se inicia después de la recuperación de BitLocker. Si no configura esta configuración de directiva, los datos de validación de la plataforma se actualizan cuando Windows se inicia después de la recuperación de BitLocker. |
| Uso del perfil de validación de datos de configuración de arranque mejorado |
Configuración sugerida:No configurada Esta configuración de directiva le permite elegir valores específicos de datos de configuración de arranque (BCD) para comprobarlos durante la validación de la plataforma. Si habilita esta configuración de directiva, puede agregar otras opciones, quitar la configuración predeterminada o ambas. Si deshabilita esta configuración de directiva, el equipo revertirá a un perfil BCD similar al perfil BCD predeterminado que usa Windows 7. Si no configura esta configuración de directiva, el equipo comprueba la configuración predeterminada de Windows BCD. Nota: Cuando BitLocker usa arranque seguro para la validación de integridad de datos de configuración de arranque y plataforma (BCD), tal como se define en la directiva "Permitir arranque seguro para la validación de integridad", se omite la directiva "Usar perfil de validación de datos de configuración de arranque mejorados". La configuración que controla la depuración de arranque (0x16000010) siempre se valida y no tiene ningún efecto si se incluye en los campos proporcionados. |
| Configuración de cumplimiento de directivas de cifrado |
Configuración sugerida:Habilitado Use esta configuración de directiva para configurar el número de días que los usuarios pueden posponer para cumplir con las directivas de MBAM para su unidad de sistema operativo. El período de gracia comienza cuando el sistema operativo se detecta por primera vez como no conforme. Una vez expirado este período de gracia, los usuarios no pueden posponer la acción necesaria ni solicitar una exención de ella. Si el proceso de cifrado requiere la entrada del usuario, aparece un cuadro de diálogo que los usuarios no pueden cerrar hasta que proporcionen la información necesaria. Si deshabilita o no configura esta configuración, los usuarios no se verán obligados a cumplir con las directivas de MBAM. Si no se requiere ninguna interacción del usuario para agregar un protector, el cifrado comienza en segundo plano después de que expire el período de gracia. |
| Configuración del mensaje y la dirección URL de recuperación del arranque previo |
Configuración sugerida:No configurada Habilite esta configuración de directiva para configurar un mensaje de recuperación personalizado o para especificar una dirección URL que se muestra en la pantalla de recuperación de BitLocker previa al arranque cuando la unidad del sistema operativo está bloqueada. Esta configuración solo está disponible en equipos cliente que ejecutan Windows 11 y Windows 10. Cuando esta directiva está habilitada, puede seleccionar una de estas opciones para el mensaje de recuperación previa al arranque:
|
Definiciones de directiva de grupo de unidad extraíble
En esta sección se describen las definiciones de directivas de grupo de unidad extraíble para la administración y supervisión de Microsoft BitLocker en el siguiente nodo de GPO:Directivas> de configuración> del equipoPlantillas> administrativasComponentes> de WindowsMDOP MBAM (Administración de BitLocker)>Unidad extraíble.
| Nombre de directiva | Información general y configuración de directiva de grupo sugerida |
|---|---|
| Controlar el uso de BitLocker en unidades extraíbles |
Configuración sugerida:Habilitado Esta directiva controla el uso de BitLocker en unidades de datos extraíbles. Seleccione Permitir a los usuarios aplicar la protección de BitLocker en unidades de datos extraíbles para permitir que los usuarios ejecuten el Asistente para la instalación de BitLocker en una unidad de datos extraíble. Seleccione Permitir que los usuarios suspendan y descifren BitLocker en unidades de datos extraíbles para permitir a los usuarios quitar el cifrado de unidad bitlocker de la unidad o suspender el cifrado mientras se realiza el mantenimiento. Cuando esta directiva está habilitada y selecciona Permitir a los usuarios aplicar la protección de BitLocker en unidades de datos extraíbles, el cliente de MBAM guarda la información de recuperación sobre las unidades extraíbles en el servidor de recuperación de claves de MBAM y permite a los usuarios recuperar la unidad si se pierde la contraseña. |
| Denegar el acceso de escritura a unidades extraíbles no protegidas por BitLocker |
Configuración sugerida:No configurada Habilite esta directiva para permitir solo el permiso de escritura en unidades protegidas por BitLocker. Cuando esta directiva está habilitada, todas las unidades de datos extraíbles del equipo requieren cifrado antes de que se permita el permiso de escritura. |
| Permitir el acceso a unidades extraíbles protegidas por BitLocker desde versiones anteriores de Windows |
Configuración sugerida:No configurada Habilite esta directiva para permitir que las unidades fijas con el sistema de archivos FAT se desbloqueen y vean en equipos que ejecutan Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2. Cuando esta directiva no está configurada, las unidades extraíbles con formato con el sistema de archivos FAT se pueden desbloquear en equipos que ejecutan Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2 y su contenido se puede ver. Estos sistemas operativos tienen permiso de solo lectura para las unidades protegidas por BitLocker. Cuando la directiva está deshabilitada, las unidades extraíbles con formato con el sistema de archivos FAT no se pueden desbloquear y su contenido no se puede ver en equipos que ejecutan Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2. |
| Configuración del uso de contraseña para unidades de datos extraíbles |
Configuración sugerida:No configurada Habilite esta directiva para configurar la protección con contraseña en unidades de datos extraíbles. Cuando esta directiva no está configurada, las contraseñas se admiten con la configuración predeterminada, que no incluye los requisitos de complejidad de contraseñas y que solo requieren ocho caracteres. Para aumentar la seguridad, puede habilitar esta directiva y seleccionar Requerir contraseña para la unidad de datos extraíbles, seleccionar Requerir complejidad de contraseña y establecer la longitud mínima de contraseña preferida. |
| Elegir cómo se pueden recuperar unidades extraíbles protegidas por BitLocker |
Configuración sugerida:No configurada Configure esta directiva para habilitar el agente de recuperación de datos de BitLocker o para guardar la información de recuperación de BitLocker en Active Directory Domain Services (AD DS). Cuando se establece en No configurado, se permite el agente de recuperación de datos y no se realiza una copia de seguridad de la información de recuperación en AD DS. La operación de MBAM no requiere que se haga una copia de seguridad de la información de recuperación en AD DS. |