Cómo habilitar BitLocker con MBAM como parte de una implementación de Windows
Se aplica a: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1
En este tema se explica cómo habilitar BitLocker en un equipo de usuario final mediante MBAM como parte del proceso de creación de imágenes e implementación de Windows.
Requisitos previos:
Debe establecerse un proceso existente de implementación de imágenes de Windows: Microsoft Deployment Toolkit (MDT), Microsoft System Center Configuration Manager, o alguna otra herramienta o proceso de creación de imágenes:
El TPM debe estar habilitado en el BIOS y visible para el sistema operativo
La infraestructura de servidor de MBAM debe estar establecida y ser accesible
Debe crearse la partición del sistema que requiere BitLocker
La máquina debe estar unida al dominio durante la creación de imágenes para que MBAM habilite BitLocker por completo
Para habilitar BitLocker con MBAM 2.5 SP1 como parte de una implementación de Windows
En MBAM 2.5 SP1, el enfoque recomendado para habilitar BitLocker durante la implementación de Windows consiste en usar el script
Invoke-MbamClientDeployment.ps1
de PowerShell.El script
Invoke-MbamClientDeployment.ps1
aplica BitLocker durante el proceso de creación de imágenes. Cuando lo requiera la directiva de BitLocker, el agente de MBAM pedirá inmediatamente al usuario de dominio que cree un PIN o una contraseña la primera vez que el usuario de dominio inicie sesión después de la creación de imágenes.Fácil de usar con MDT, System Center Configuration Manager o con procesos independientes de creación de imágenes
Compatible con PowerShell 2.0 o superior
Cifrado del volumen del sistema operativo con el protector de clave de TPM
Totalmente compatible con preaprovisionamiento de BitLocker
Cifrado opcional de FDD
Custodia de OwnerAuth de TPM, incluso en Windows 8 o superior (MBAM todavía debe ser propietario de TPM en Windows 7 para que se produzca la custodia)
Custodia de claves de recuperación y paquetes de claves de recuperación
Notificación inmediata del estado de cifrado
Nuevos proveedores de WMI
Registro detallado
Estricto control de errores
Puede descargar el script
Invoke-MbamClientDeployment.ps1
del Centro de descarga de Microsoft.com. Se trata del script principal que el sistema de implementación llama para configurar el cifrado de unidad de BitLocker y registrar las claves de recuperación con el servidor de MBAM.Métodos de implementación de WMI en MBAM: Se agregan los siguientes métodos de WMI en MBAM 2.5 SP1 para permitir la habilitación de BitLocker mediante el script
Invoke-MbamClientDeployment.ps1
de PowerShell.Clase WMI MBAM_Machine
PrepareTpmAndEscrowOwnerAuth: Lee la OwnerAuth de TPM y la envía a la base de datos de recuperación de MBAM mediante el servicio de recuperación de MBAM. Si no es propietario del TPM y el aprovisionamiento automático no está activado, genera una OwnerAuth de TPM y se apropia de él. Si no puede hacerlo, se devuelve un código de error para solución de problemas.Parámetro Descripción RecoveryServiceEndPoint
Cadena que especifica el extremo de servicio de recuperación de MBAM.
Valores devueltos comunes Mensaje de error S_OK
0 (0x0)
El método se ejecutó correctamente
MBAM_E_TPM_NOT_PRESENT
2147746304 (0x80040200)
El TPM no está presente en el equipo o está deshabilitado en la configuración del BIOS.
MBAM_E_TPM_INCORRECT_STATE
2147746305 (0x80040201)
El TPM no está en el estado correcto (habilitado, activado instalación del propietario permitida).
MBAM_E_TPM_AUTO_PROVISIONING_PENDING
2147746306 (0x80040202)
MBAM no puede apropiarse del TPM porque el aprovisionamiento automático está pendiente. Vuelva a intentarlo después de completar el aprovisionamiento automático.
MBAM_E_TPM_OWNERAUTH_READFAIL
2147746307 (0x80040203)
MBAM no puede leer el valor de autorización de propietario del TPM. Puede que el valor se quitase después una custodia correcta. En Windows 7, MBAM no puede leer el valor si el TPM es propiedad de otros usuarios.
MBAM_E_REBOOT_REQUIRED
2147746308 (0x80040204)
El equipo debe reiniciarse para que el TPM se establezca en el estado correcto. Tendrá que reiniciar manualmente el equipo.
MBAM_E_SHUTDOWN_REQUIRED
2147746309 (0x80040205)
Se debe apagar el equipo y volver a encenderlo para establecer el TPM en el estado correcto. Tendrá que reiniciar manualmente el equipo.
WS_E_ENDPOINT_ACCESS_DENIED
2151481349 (0x803D0005)
El extremo remoto denegó el acceso.
WS_E_ENDPOINT_NOT_FOUND
2151481357 (0x803D000D)
El extremo remoto no existe o no encontró.
WS_E_ENDPOINT_FAILURE
2151481357 (0x803D000F)
El extremo remoto no pudo procesar la solicitud.
WS_E_ENDPOINT_UNREACHABLE
2151481360 (0x803D0010)
No se pudo acceder al extremo remoto.
WS_E_ENDPOINT_FAULT_RECEIVED
2151481363 (0x803D0013)
Se recibió un mensaje que contiene un error del extremo remoto. Asegúrese de que se conecta al extremo de servicio correcto.
WS_E_INVALID_ENDPOINT_URL
2151481376 (0x803D0020)
La dirección URL de extremo no es válida. La dirección URL debe comenzar con "http" o "https".
ReportStatus: Lee el estado de cumplimiento de normas del volumen y lo envía a la base de datos de estado de cumplimiento de MBAM mediante el servicio de informes de estado de MBAM. El estado incluye la intensidad de cifrado, el tipo de protector, el estado de protector y el estado de cifrado. Si no puede hacerlo, se devuelve un código de error para solución de problemas.
Parámetro Descripción ReportingServiceEndPoint
Cadena que especifica el extremo de servicio de informes de estado de MBAM.
Valores devueltos comunes Mensaje de error S_OK
0 (0x0)
El método se ejecutó correctamente
WS_E_ENDPOINT_ACCESS_DENIED
2151481349 (0x803D0005)
El extremo remoto denegó el acceso.
WS_E_ENDPOINT_NOT_FOUND
2151481357 (0x803D000D)
El extremo remoto no existe o no encontró.
WS_E_ENDPOINT_FAILURE
2151481357 (0x803D000F)
El extremo remoto no pudo procesar la solicitud.
WS_E_ENDPOINT_UNREACHABLE
2151481360 (0x803D0010)
No se pudo acceder al extremo remoto.
WS_E_ENDPOINT_FAULT_RECEIVED
2151481363 (0x803D0013)
Se recibió un mensaje que contiene un error del extremo remoto. Asegúrese de que se conecta al extremo de servicio correcto.
WS_E_INVALID_ENDPOINT_URL
2151481376 (0x803D0020)
La dirección URL de extremo no es válida. La dirección URL debe comenzar con "http" o "https".
Clase WMI MBAM_Volume
EscrowRecoveryKey: Lee el paquete de claves y la contraseña numérica de recuperación del volumen y los envía a la base de datos de recuperación de MBAM mediante el servicio de recuperación de MBAM. Si no puede hacerlo, se devuelve un código de error para solución de problemas.Parámetro Descripción RecoveryServiceEndPoint
Cadena que especifica el extremo de servicio de recuperación de MBAM.
Valores devueltos comunes Mensaje de error S_OK
0 (0x0)
El método se ejecutó correctamente
FVE_E_LOCKED_VOLUME
2150694912 (0x80310000)
El volumen está bloqueado.
FVE_E_PROTECTOR_NOT_FOUND
2150694963 (0x80310033)
No se encontró un protector de contraseña numérica para el volumen.
WS_E_ENDPOINT_ACCESS_DENIED
2151481349 (0x803D0005)
El extremo remoto denegó el acceso.
WS_E_ENDPOINT_NOT_FOUND
2151481357 (0x803D000D)
El extremo remoto no existe o no encontró.
WS_E_ENDPOINT_FAILURE
2151481357 (0x803D000F)
El extremo remoto no pudo procesar la solicitud.
WS_E_ENDPOINT_UNREACHABLE
2151481360 (0x803D0010)
No se pudo acceder al extremo remoto.
WS_E_ENDPOINT_FAULT_RECEIVED
2151481363 (0x803D0013)
Se recibió un mensaje que contiene un error del extremo remoto. Asegúrese de que se conecta al extremo de servicio correcto.
WS_E_INVALID_ENDPOINT_URL
2151481376 (0x803D0020)
La dirección URL de extremo no es válida. La dirección URL debe comenzar con "http" o "https".
Implementación de MBAM con Microsoft Deployment Toolkit (MDT) y PowerShell
En MDT, cree un nuevo recurso compartido de implementación o abra un recurso compartido de implementación existente.
Nota
El script
Invoke-MbamClientDeployment.ps1
de PowerShell se puede usar con cualquier proceso o la herramienta de creación de imágenes. Esta sección muestra cómo integrarlo con MDT, pero los pasos son similares a su integración con cualquier otro proceso o herramienta.Advertencia
Si usa preaprovisionamiento de BitLocker (WinPE) y quiere mantener el valor de autorización de propietario de TPM, debe agregar inmediatamente el script
SaveWinPETpmOwnerAuth.wsf
de WinPE antes de que la instalación se reinicie en el sistema operativo completo. Si no usa este script, perderá el valor de autorización de propietario de TPM en el reinicio.Copie
Invoke-MbamClientDeployment.ps1
en <DeploymentShare>\Scripts. Si usa preaprovisionamiento, copie el archivoSaveWinPETpmOwnerAuth.wsf
en <DeploymentShare>\Scripts.Agregue la aplicación de cliente de MBAM 2.5 SP1 al nodo Aplicaciones del recurso compartido de implementación.
En el nodo Aplicaciones, haga clic en Nueva aplicación.
Seleccione Aplicación con archivos de código fuente. Haga clic en Siguiente.
En Nombre de aplicación, escriba "Cliente de MBAM 2.5 SP1". Haga clic en Siguiente.
Vaya al directorio que contiene
MBAMClientSetup-<Version>.msi
. Haga clic en Siguiente.Escriba "Cliente de MBAM 2.5 SP1" como el directorio que se va a crear. Haga clic en Siguiente.
Escriba
msiexec /i MBAMClientSetup-<Version>.msi /quiet
en la línea de comandos. Haga clic en Siguiente.Acepte los valores predeterminados restantes para completar al Asistente para crear nuevas aplicaciones.
En MDT, haga clic con el botón secundario en el nombre del recurso compartido de implementación y haga clic en Properties. Haga clic en la pestaña Rules. Agregue las siguientes líneas:
SkipBitLocker=YES
BDEInstall=TPM
BDEInstallSuppress=NO
BDEWaitForEncryption=YES
Haga clic en Aceptar para cerrar la ventana.
En el nodo Secuencias de tareas, edite una secuencia de tareas existente que se use para la implementación de Windows. Si lo desea, puede crear una nueva secuencia de tareas haciendo clic con el botón secundario en el nodo Secuencias de tareas, seleccionando Nueva secuencia de tareas y completando el asistente.
En La pestaña Secuencia de tareas de la secuencia de tareas seleccionada, siga estos pasos:
En la carpeta Preinstalación, habilite la tarea opcional Habilitar BitLocker (sin conexión) si desea habilitar BitLocker en WinPE, que cifra solo en espacio usado.
Para conservar OwnerAuth de TPM al usar preaprovisionamiento, lo que permite que MBAM la custodie más adelante, haga lo siguiente:
Encuentre el paso Instalar sistema operativo
Agregue un nuevo paso Ejecutar línea de comandos después de él
Denomine este paso Conservar OwnerAuth de TPM
Establezca la línea de comandos en
cscript.exe "%SCRIPTROOT%/SaveWinPETpmOwnerAuth.wsf"
En la carpeta Restaurar estado, elimine la tarea Habilitar BitLocker.
En la carpeta Restaurar estado, en Tareas personalizadas, cree una nueva tarea Instalar aplicación y asígnele el nombre Instalar agente de MBAM. Haga clic en el botón de radio Instalar una sola aplicación y vaya a la aplicación cliente de MBAM 2.5 SP1 que creó antes.
En la carpeta Restaurar estado, en Tareas personalizadas, cree una nueva tarea Ejecutar script de PowerShell (después del paso de la aplicación cliente de MBAM 2.5 SP1) con la configuración siguiente (actualice los parámetros según corresponda para su entorno):
Name : Configurar BitLocker para MBAM
Script de PowerShell:
Invoke-MbamClientDeployment.ps1
Parámetros:
-RecoveryServiceEndpoint
Necesario
Extremo de servicio de recuperación de MBAM
-StatusReportingServiceEndpoint
Opcional:
Extremo de servicio de informes de estado de MBAM
-EncryptionMethod
Opcional:
Método de cifrado (valor predeterminado: AES 128)
-EncryptAndEscrowDataVolume
Modificador
Se especifica para cifrar volúmenes de datos y custodiar claves de recuperación de volúmenes de datos
-WaitForEncryptionToComplete
Modificador
Se especifica para esperar a que el cifrado se complete
-DoNotResumeSuspendedEncryption
Modificador
Se especifica que el script de implementación no reanude el cifrado suspendido
-IgnoreEscrowOwnerAuthFailure
Modificador
Se especifica para omitir error de custodia de autenticación de propietario de TPM. Se debe usar en los escenarios donde MBAM no es capaz de leer la autorización de propietario de TPM; por ejemplo, si el aprovisionamiento automático de TPM está habilitado
-IgnoreEscrowRecoveryKeyFailure
Modificador
Se especifica para omitir el error de custodia de clave de recuperación de volúmenes
-IgnoreReportStatusFailure
Modificador
Se especifica para omitir errores de informes de estado
Para habilitar BitLocker con MBAM 2.5 o versiones anteriores como parte de una implementación de Windows
Instale el cliente de MBAM. Para obtener instrucciones, consulte Implementar el cliente de MBAM mediante una línea de comandos.
Una el equipo a un dominio (recomendado).
Si el equipo no está unido a un dominio, la contraseña de recuperación no se almacenará en el servicio de recuperación de claves de MBAM. De forma predeterminada, MBAM no permite el cifrado a menos que se pueda almacenar la clave de recuperación.
Si un equipo se inicia en modo de recuperación antes de que la clave de recuperación se almacene en el servidor de MBAM, no habrá ningún método de recuperación disponible y el equipo deberá restablecer la imagen inicial.
Abra un símbolo del sistema como administrador y detenga el servicio de MBAM.
Establezca el servicio en Manual o A petición escribiendo los siguientes comandos:
net stop mbamagent
sc config mbamagent start= demand
Establezca los valores del Registro de forma que el cliente de MBAM pase por alto la configuración de la directiva de grupo y defina en su lugar el cifrado para iniciar la implementación de Windows en ese equipo cliente.
Advertencia
Este paso describe cómo modificar el Registro de Windows. Usar incorrectamente el Editor del Registro puede causar problemas graves que pueden obligar a reinstalar Windows. No podemos garantizar que los problemas derivados de un uso incorrecto del Editor del Registro se puedan solucionar. Utilice el Editor del Registro bajo su responsabilidad.
Establezca el TPM para cifrar únicamente el sistema operativo, ejecute Regedit.exe y, después, importe la plantilla de clave del Registro de C:\Archivos de programa\Microsoft\MDOP MBAM\MBAMDeploymentKeyTemplate.reg.
En Regedit.exe, vaya a HKLM\SOFTWARE\Microsoft\MBAM y configure las opciones recogidas en la siguiente tabla.
Nota
Aquí puede establecer configuraciones de directiva de grupo o valores de Registro correspondientes a MBAM. Esta configuración reemplazará los valores definidos anteriormente.
Entrada del Registro Opciones de configuración DeploymentTime
0 = desactivado
1 = usar la configuración de directivas de tiempo de implementación (valor predeterminado). Use esta configuración para habilitar el cifrado cuando Windows se implemente en el equipo cliente.
UseKeyRecoveryService
0 = No utilizar la custodia de clave (en este caso, no se requieren las dos entradas del Registro siguientes)
1 = Utilizar la custodia de clave del sistema de recuperación de claves (valor predeterminado)
Se trata de la configuración recomendada, que hace posible que MBAM almacene las claves de recuperación. El equipo debe ser capaz de comunicarse con el servicio de recuperación de claves de MBAM. Compruebe que el equipo puede comunicarse con el servicio antes de continuar.
KeyRecoveryOptions
0 = Cargar únicamente la clave de recuperación
1 = Cargar la clave de recuperación y el paquete de recuperación de clave (valor predeterminado)
KeyRecoveryServiceEndPoint
Establezca este valor en la dirección URL del servidor donde se ejecuta el servicio de recuperación de claves (por ejemplo, http://<nombre del equipo>/MBAMRecoveryAndHardwareService/CoreService.svc).
El cliente de MBAM reiniciará el sistema durante la implementación del cliente de MBAM. Cuando esté preparado para el reinicio, ejecute el siguiente comando en un símbolo del sistema como administrador:
net start mbamagent
Cuando el equipo se reinicie y el BIOS le pregunte, acepte el cambio del TPM.
Durante el proceso de creación de imágenes del sistema operativo de cliente de Windows, cuando esté listo para comenzar el cifrado, abra un símbolo del sistema como administrador y escriba los siguientes comandos para establecer el inicio en Automático y reiniciar el agente del cliente de MBAM:
sc config mbamagent start= auto
net start mbamagent
Para eliminar los valores de omisión del Registro, ejecute Regedit.exe y vaya a la entrada del Registro HKLM\SOFTWARE\Microsoft. Haga clic con el botón secundario en el nodo MBAM y, luego, haga clic en Eliminar.
¿Tiene alguna sugerencia sobre MBAM? Agregue o vote sugerencias aquí. ¿
Tiene un problema de MBAM? Use el foro de TechNet de MBAM.
Véase también
Conceptos
Planeación para la implementación de clientes de MBAM 2.5