Planeación para los requisitos de directiva de grupo de MBAM 1.0

Artículo
12/19/2014

Se aplica a: Microsoft BitLocker Administration and Monitoring 1.0

La administración de cliente de Microsoft BitLocker Administration and Monitoring (MBAM) requiere que se aplique la configuración de directiva de grupo personalizada. En este tema se describen las opciones de directiva de grupo para objetos de directiva de grupo (GPO) cuando se utiliza MBAM para administrar el cifrado de unidad BitLocker en la empresa.

Importante

MBAM no utiliza la configuración predeterminada del GPO para el cifrado de unidad BitLocker de Windows. Si se habilita la configuración predeterminada, puede provocar un comportamiento conflictivo. Para habilitar MBAM a fin de administrar BitLocker, se debe definir la configuración de directiva del GPO después de instalar la plantilla de directiva de grupo de MBAM.

Después de instalar la plantilla de directiva de grupo de MBAM, se puede ver y modificar la configuración de directiva del GPO de MBAM personalizada disponible que habilita a MBAM para administrar el cifrado de BitLocker de la empresa. La plantilla de directiva de grupo de MBAM se debe instalar en un equipo que pueda ejecutar la consola de administración de directivas de grupo (GPMC) o la tecnología MDOP de Administración avanzada de directivas de grupo (AGPM). A continuación, para editar los GPO aplicables, abra el GPMC o AGPM y vaya al siguiente nodo del GPO: Configuración del equipo\Plantillas administrativas\Componentes de Windows\MDOP MBAM (Administración de BitLocker).

El nodo del GPO de MDOP MBAM (Administración de BitLocker) contiene cuatro configuraciones de directiva global y cuatro nodos secundarios de configuración del GPO, respectivamente. Las cuatro configuraciones de directiva global del GPO son: Administración de cliente, Unidad fija, Unidad del sistema operativo y Unidad extraíble. En las secciones siguientes se proporcionan definiciones y configuraciones sugeridas de directiva que le ayudarán a planear los requisitos de configuración de directiva del GPO de MBAM.

Nota

Para obtener más información acerca de la configuración mínima sugerida del GPO para habilitar a MBAM para que administre el cifrado de BitLocker, consulte Cambiar la configuración del GPO de MBAM 1.0.

Definiciones de directiva global

En esta sección se describen las definiciones de directiva global de MBAM, que se pueden encontrar en el siguiente nodo del GPO: Configuración del equipo\Plantillas administrativas\Componentes de Windows\MDOP MBAM (Administración de BitLocker).

Nombre de directiva	Información general y configuración sugerida de directiva
Elegir método de cifrado e intensidad de cifrado de unidad	Configuración sugerida: No configurado Configure esta directiva para utilizar un método y una intensidad de cifrado específicos. Cuando esta directiva no está configurada, BitLocker usa el método de cifrado predeterminado de AES de 128 bits con difusor o el método de cifrado especificado por el script de instalación.
Impedir la sobrescritura de memoria al reiniciar	Configuración sugerida: No configurado Configure esta directiva para mejorar el rendimiento de reinicio sin sobrescribir secretos de BitLocker en la memoria al reiniciar. Cuando no está configurada, los secretos de BitLocker se eliminan de la memoria al reiniciar el equipo.
Validar cumplimiento de regla de uso de certificado de tarjeta inteligente	Configuración sugerida: No configurado Configure esta directiva para utilizar la protección de BitLocker basada en certificados de tarjeta inteligente. Cuando esta directiva no está configurada, se utiliza un identificador de objeto predeterminado 1.3.6.1.4.1.311.67.1.1 para especificar un certificado.
Proporcionar los identificadores únicos de su organización	Configuración sugerida: No configurado Configure esta directiva para utilizar un agente de recuperación de datos basado en certificados o el Lector de BitLocker To Go. Cuando la directiva no está configurada, no se utiliza el campo Identificación. Si la empresa requiere mayores medidas de seguridad, se puede configurar el campo Identificación para asegurarse de que todos los dispositivos USB tengan este campo establecido y estén alineados con esta configuración de directiva de grupo.

Definiciones de directiva de administración de cliente

En esta sección se describen las definiciones de directiva de administración de cliente para MBAM, que se encuentran en el siguiente nodo del GPO: Configuración del equipo\Plantillas administrativas\Componentes de Windows\MDOP MBAM (Administración de BitLocker) \ Administración de cliente.

Nombre de directiva	Información general y configuración sugerida de directiva
Configurar servicios de MBAM	Configuración sugerida: Habilitado Extremo de servicio de recuperación y hardware de MBAM. Es la primera opción de directiva que se debe configurar para habilitar la administración del cifrado de BitLocker de cliente de MBAM. Para esta configuración, especifique la ubicación del extremo de modo similar al siguiente ejemplo: http://<Nombre de servidor de Administration and Monitoring de MBAM>:<puerto al que está enlazado el servicio web>/MBAMRecoveryAndHardwareService/CoreService.svc. Seleccione la información de recuperación de BitLocker que debe almacenarse. Esta configuración de directiva permite configurar el servicio de recuperación de claves para hacer una copia de seguridad de la información de recuperación de BitLocker. También permite configurar el servicio de informes de estado para la recopilación de informes de cumplimiento y auditoría. La directiva proporciona un método administrativo para recuperar datos cifrados mediante BitLocker a fin de evitar la pérdida de datos debido a la falta de información de claves. La actividad de informes de estado y de recuperación de claves se enviará de forma automática y silenciosa a la ubicación del servidor de informes configurado. Si no se configura o se deshabilita la configuración de directiva, no se guardará la información de recuperación de claves, y la actividad de informes de estado y de recuperación de claves no se enviará al servidor. Cuando esta configuración se establece en Contraseña de recuperación y paquete de claves, se realizará una copia de seguridad de la contraseña de recuperación y el paquete de claves de forma automática y silenciosa en la ubicación del servidor de recuperación de claves configurado. Especifique la frecuencia de comprobación del estado del cliente en minutos. Esta configuración de directiva administra la frecuencia con que comprueba el cliente las directivas de protección de BitLocker y el estado en el equipo cliente. Esta directiva también administra la frecuencia con que se guarda el estado de cumplimiento del cliente en el servidor. El cliente comprueba la directivas de protección de BitLocker y el estado en el equipo cliente, y también hace una copia de seguridad de la clave de recuperación de cliente con la frecuencia configurada. Determine la frecuencia en función de los requisitos establecidos por su empresa respecto a la frecuencia de comprobación del estado de cumplimiento en el equipo y la frecuencia para realizar copias de seguridad de la clave de recuperación de cliente. Extremo de servicio de informes de estado de MBAM. Es la segunda opción de directiva que se debe configurar para habilitar la administración del cifrado de BitLocker de cliente de MBAM. Para esta configuración, especifique la ubicación del extremo mediante al siguiente ejemplo: http://<Nombre de servidor de Administration and Monitoring de MBAM>:<puerto al que está enlazado el servicio web>/MBAMComplianceStatusService/StatusReportingService.svc.
Permitir la comprobación de compatibilidad de hardware	Configuración sugerida: Habilitado Esta configuración de directiva permite administrar la comprobación de compatibilidad de hardware antes de habilitar la protección de BitLocker en unidades de equipos cliente de MBAM. Debe habilitar esta opción de directiva si la empresa dispone de hardware informático más antiguo o equipos que no admiten el Módulo de plataforma segura (TPM). Si se cumple alguno de estos criterios, habilite la comprobación de compatibilidad de hardware para asegurarse de que MBAM se aplique únicamente a los modelos de equipos que admiten BitLocker. Si todos los equipos de la organización admiten BitLocker, no es necesario implementar la compatibilidad de hardware y se puede establecer esta directiva como No configurado. Si se habilita esta configuración de directiva, el modelo de equipo se validará con la lista de compatibilidad de hardware una vez cada 24 horas, antes de que la directiva habilite la protección de BitLocker en una unidad de equipo. Nota Antes de habilitar esta configuración de directiva, asegúrese de configurar la opción Extremo de servicio de recuperación y hardware de MBAM en las opciones de directiva de Configurar servicios de MBAM. Si deshabilita o no configura esta configuración de directiva, el modelo de equipo no se validará con la lista de compatibilidad de hardware.
Configurar directiva de exención de usuario	Configuración sugerida: No configurado Esta configuración de directiva permite configurar una dirección de sitio web, una dirección de correo electrónico o un número de teléfono que se pedirá a un usuario para solicitar una exención de cifrado de BitLocker. Si se habilita esta configuración de directiva y se proporciona una dirección de sitio web, una dirección de correo electrónico o un número de teléfono, los usuarios verán un cuadro de diálogo con instrucciones para solicitar una exención de la protección de BitLocker. Para obtener más información acerca de la habilitación de exenciones de cifrado de BitLocker para los usuarios, consulte Administración de las exenciones de usuario del cifrado de BitLocker. Si se deshabilita o no se configura esta configuración de directiva, los usuarios no verán las instrucciones para solicitar una exención. Nota La exención de usuario se administra por usuario, no por equipo. Si varios usuarios inician sesión en el mismo equipo y un usuario no está exento, se cifrará el equipo.

Configurar servicios de MBAM

Configuración sugerida: Habilitado

Extremo de servicio de recuperación y hardware de MBAM. Es la primera opción de directiva que se debe configurar para habilitar la administración del cifrado de BitLocker de cliente de MBAM. Para esta configuración, especifique la ubicación del extremo de modo similar al siguiente ejemplo: http://<Nombre de servidor de Administration and Monitoring de MBAM>:<puerto al que está enlazado el servicio web>/MBAMRecoveryAndHardwareService/CoreService.svc.
Seleccione la información de recuperación de BitLocker que debe almacenarse. Esta configuración de directiva permite configurar el servicio de recuperación de claves para hacer una copia de seguridad de la información de recuperación de BitLocker. También permite configurar el servicio de informes de estado para la recopilación de informes de cumplimiento y auditoría. La directiva proporciona un método administrativo para recuperar datos cifrados mediante BitLocker a fin de evitar la pérdida de datos debido a la falta de información de claves. La actividad de informes de estado y de recuperación de claves se enviará de forma automática y silenciosa a la ubicación del servidor de informes configurado.

Si no se configura o se deshabilita la configuración de directiva, no se guardará la información de recuperación de claves, y la actividad de informes de estado y de recuperación de claves no se enviará al servidor. Cuando esta configuración se establece en Contraseña de recuperación y paquete de claves, se realizará una copia de seguridad de la contraseña de recuperación y el paquete de claves de forma automática y silenciosa en la ubicación del servidor de recuperación de claves configurado.
Especifique la frecuencia de comprobación del estado del cliente en minutos. Esta configuración de directiva administra la frecuencia con que comprueba el cliente las directivas de protección de BitLocker y el estado en el equipo cliente. Esta directiva también administra la frecuencia con que se guarda el estado de cumplimiento del cliente en el servidor. El cliente comprueba la directivas de protección de BitLocker y el estado en el equipo cliente, y también hace una copia de seguridad de la clave de recuperación de cliente con la frecuencia configurada.

Determine la frecuencia en función de los requisitos establecidos por su empresa respecto a la frecuencia de comprobación del estado de cumplimiento en el equipo y la frecuencia para realizar copias de seguridad de la clave de recuperación de cliente.
Extremo de servicio de informes de estado de MBAM. Es la segunda opción de directiva que se debe configurar para habilitar la administración del cifrado de BitLocker de cliente de MBAM. Para esta configuración, especifique la ubicación del extremo mediante al siguiente ejemplo: http://<Nombre de servidor de Administration and Monitoring de MBAM>:<puerto al que está enlazado el servicio web>/MBAMComplianceStatusService/StatusReportingService.svc.

Permitir la comprobación de compatibilidad de hardware

Configuración sugerida: Habilitado

Esta configuración de directiva permite administrar la comprobación de compatibilidad de hardware antes de habilitar la protección de BitLocker en unidades de equipos cliente de MBAM.

Debe habilitar esta opción de directiva si la empresa dispone de hardware informático más antiguo o equipos que no admiten el Módulo de plataforma segura (TPM). Si se cumple alguno de estos criterios, habilite la comprobación de compatibilidad de hardware para asegurarse de que MBAM se aplique únicamente a los modelos de equipos que admiten BitLocker. Si todos los equipos de la organización admiten BitLocker, no es necesario implementar la compatibilidad de hardware y se puede establecer esta directiva como No configurado.

Si se habilita esta configuración de directiva, el modelo de equipo se validará con la lista de compatibilidad de hardware una vez cada 24 horas, antes de que la directiva habilite la protección de BitLocker en una unidad de equipo.

Nota

Antes de habilitar esta configuración de directiva, asegúrese de configurar la opción Extremo de servicio de recuperación y hardware de MBAM en las opciones de directiva de Configurar servicios de MBAM.

Si deshabilita o no configura esta configuración de directiva, el modelo de equipo no se validará con la lista de compatibilidad de hardware.

Configurar directiva de exención de usuario

Configuración sugerida: No configurado

Esta configuración de directiva permite configurar una dirección de sitio web, una dirección de correo electrónico o un número de teléfono que se pedirá a un usuario para solicitar una exención de cifrado de BitLocker.

Si se habilita esta configuración de directiva y se proporciona una dirección de sitio web, una dirección de correo electrónico o un número de teléfono, los usuarios verán un cuadro de diálogo con instrucciones para solicitar una exención de la protección de BitLocker. Para obtener más información acerca de la habilitación de exenciones de cifrado de BitLocker para los usuarios, consulte Administración de las exenciones de usuario del cifrado de BitLocker.

Si se deshabilita o no se configura esta configuración de directiva, los usuarios no verán las instrucciones para solicitar una exención.

Nota

La exención de usuario se administra por usuario, no por equipo. Si varios usuarios inician sesión en el mismo equipo y un usuario no está exento, se cifrará el equipo.

Definiciones de directiva de unidad fija

En esta sección se describen las definiciones de directiva de unidad fija para MBAM, que se pueden encontrar en el siguiente nodo del GPO: Configuración del equipo\Plantillas administrativas\Componentes de Windows\MDOP MBAM (Administración de BitLocker) \ Unidad fija.

Nombre de directiva	Información general y configuración sugerida de directiva
Configuración de cifrado de la unidad de datos fija	Configuración sugerida: Habilitado, y seleccione la casilla Habilitar desbloqueo automático de unidades de datos fijas si se requiere el cifrado del volumen del sistema operativo. Esta configuración de directiva permite administrar si las unidades fijas se van o no a cifrar. Si se habilita esta directiva, no deshabilite la directiva Configurar el uso de contraseñas para unidades de datos fijas . Si la casilla Habilitar desbloqueo automático de unidades de datos fijas está activada, se debe cifrar el volumen del sistema operativo. Si se habilita esta configuración de directiva, se solicitará a los usuarios que pongan todas las unidades fijas bajo protección de BitLocker, que cifrará todas las unidades. Si no se configura o se deshabilita esta directiva, los usuarios no tendrán que poner las unidades fijas bajo protección de BitLocker. Si se deshabilita esta directiva, el agente de MBAM descifrará cualquier unidad fija cifrada. Si no es necesario cifrar el volumen del sistema operativo, desactive la casilla Habilitar desbloqueo automático de unidades de datos fijas.
Denegar el acceso de escritura a unidades fijas no protegidas por BitLocker	Configuración sugerida: No configurado Esta configuración de directiva determina si se requiere la protección de BitLocker para unidades fijas en un equipo a fin de obtener acceso de escritura. Esta configuración de directiva se aplica cuando se activa BitLocker. Si la directiva no está configurada, todas las unidades fijas del equipo se montan con permisos de lectura/escritura.
Permitir el acceso a unidades de datos fijas protegidas por BitLocker desde versiones anteriores de Windows	Configuración sugerida: No configurado Habilite esta directiva para desbloquear y ver las unidades fijas formateadas con el sistema de archivos FAT (Tabla de asignación de archivos) en equipos que ejecutan Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2. Estos sistemas operativos tienen permisos de sólo lectura para unidades protegidas por BitLocker. Cuando la directiva está deshabilitada, las unidades fijas formateadas con el sistema de archivos FAT no se pueden desbloquear y su contenido no se puede ver en equipos que ejecutan Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2.
Configurar el uso de contraseñas para unidades fijas	Configuración sugerida: No configurado Habilite esta directiva para configurar la protección de contraseña en unidades fijas. Cuando la directiva no está configurada, se admiten contraseñas con la configuración predeterminada, que no incluyen los requisitos de complejidad de la contraseña y requieren solo ocho caracteres. Para mayor seguridad, habilite esta directiva y seleccione Requerir contraseña para unidad de datos fija, seleccione Requerir complejidad de la contraseña y establezca la longitud mínima de la contraseña.
Elegir cómo se pueden recuperar unidades fijas protegidas por BitLocker	Configuración sugerida: No configurado Configure esta directiva para habilitar al agente de recuperación de datos de BitLocker o para guardar la información de recuperación de BitLocker en Servicios de dominio de Active Directory (AD DS). Cuando esta directiva no está configurada, se admite el agente de recuperación de datos de BitLocker y no se realiza una copia de seguridad de la información de recuperación en AD DS. MBAM no requiere que se realice una copia de seguridad de la información de recuperación en AD DS.

Definiciones de directiva de unidad del sistema operativo

En esta sección se describen las definiciones de directiva de unidad del sistema operativo para MBAM, que se encuentran en el siguiente nodo del GPO: Configuración del equipo\Plantillas administrativas\Componentes de Windows\MDOP MBAM (Administración de BitLocker) \ Unidad del sistema operativo.

Nombre de directiva	Información general y configuración sugerida de directiva
Configuración de cifrado de la unidad del sistema operativo	Configuración sugerida: Habilitado Esta configuración de directiva determina si se cifrará la unidad del sistema operativo. Configure esta directiva para hacer lo siguiente: Aplicar la protección de BitLocker a la unidad del sistema operativo. Configurar el uso de PIN para utilizar un PIN del Módulo de plataforma segura (TPM) para la protección del sistema operativo. Configurar PIN de inicio mejorados para admitir caracteres en mayúsculas y minúsculas y números. MBAM no admite el uso de símbolos y espacios para PIN mejorados, aunque BitLocker admite símbolos y espacios. Si se habilita esta configuración de directiva, los usuarios deberán proteger la unidad del sistema operativo mediante BitLocker. Si no se configura o se deshabilita, los usuarios no tendrán que proteger la unidad del sistema operativo mediante BitLocker. Si se deshabilita esta directiva, el agente de MBAM descifra el volumen del sistema operativo si está cifrado. Cuando está habilitada, esta configuración de directiva requiere que los usuarios protejan el sistema operativo mediante el uso de la protección de BitLocker y la unidad se cifra. Se puede seleccionar el método de protección de la unidad del sistema operativo en función de los requisitos de cifrado. Para mayores requisitos de seguridad, utilice TPM + PIN, permita los PIN mejorados y establezca la longitud mínima del PIN en ocho caracteres. Cuando esta directiva está habilitada con el protector TPM + PIN, se puede considerar la deshabilitación de las siguientes directivas en Sistema / Administración de energía / Configuración de suspensión: Permitir estados de espera (S1-S3) mientras el equipo está en suspensión (conectado) Permitir estados de espera (S1-S3) mientras el equipo está en suspensión (con batería)
Configurar perfil de validación de plataforma del TPM	Configuración sugerida: No configurado Esta configuración de directiva permite configurar el modo en que el hardware de seguridad del TPM en un equipo protege la clave de cifrado de BitLocker. Esta configuración de directiva no se aplica si el equipo no tiene un TPM compatible o si BitLocker ya tiene habilitada la protección del TPM. Cuando esta directiva no está configurada, el TPM usa el perfil de validación de plataforma predeterminado o el perfil de validación de plataforma especificado por el script de configuración.
Elegir cómo se pueden recuperar unidades del sistema operativo protegidas por BitLocker	Configuración sugerida: No configurado Configure esta directiva para habilitar al agente de recuperación de datos de BitLocker o para guardar la información de recuperación de BitLocker en Servicios de dominio de Active Directory (AD DS). Cuando esta directiva no está configurada, se admite el agente de recuperación de datos y no se hace una copia de seguridad de la información de recuperación en AD DS. MBAM no requiere una copia de seguridad de la información de recuperación en AD DS para funcionar.

Configuración de cifrado de la unidad del sistema operativo

Configuración sugerida: Habilitado

Esta configuración de directiva determina si se cifrará la unidad del sistema operativo.

Configure esta directiva para hacer lo siguiente:

Aplicar la protección de BitLocker a la unidad del sistema operativo.
Configurar el uso de PIN para utilizar un PIN del Módulo de plataforma segura (TPM) para la protección del sistema operativo.
Configurar PIN de inicio mejorados para admitir caracteres en mayúsculas y minúsculas y números. MBAM no admite el uso de símbolos y espacios para PIN mejorados, aunque BitLocker admite símbolos y espacios.

Si se habilita esta configuración de directiva, los usuarios deberán proteger la unidad del sistema operativo mediante BitLocker.

Si no se configura o se deshabilita, los usuarios no tendrán que proteger la unidad del sistema operativo mediante BitLocker.

Si se deshabilita esta directiva, el agente de MBAM descifra el volumen del sistema operativo si está cifrado.

Cuando está habilitada, esta configuración de directiva requiere que los usuarios protejan el sistema operativo mediante el uso de la protección de BitLocker y la unidad se cifra. Se puede seleccionar el método de protección de la unidad del sistema operativo en función de los requisitos de cifrado.

Para mayores requisitos de seguridad, utilice TPM + PIN, permita los PIN mejorados y establezca la longitud mínima del PIN en ocho caracteres.

Cuando esta directiva está habilitada con el protector TPM + PIN, se puede considerar la deshabilitación de las siguientes directivas en Sistema / Administración de energía / Configuración de suspensión:

Permitir estados de espera (S1-S3) mientras el equipo está en suspensión (conectado)
Permitir estados de espera (S1-S3) mientras el equipo está en suspensión (con batería)

Configurar perfil de validación de plataforma del TPM

Configuración sugerida: No configurado

Esta configuración de directiva permite configurar el modo en que el hardware de seguridad del TPM en un equipo protege la clave de cifrado de BitLocker. Esta configuración de directiva no se aplica si el equipo no tiene un TPM compatible o si BitLocker ya tiene habilitada la protección del TPM.

Cuando esta directiva no está configurada, el TPM usa el perfil de validación de plataforma predeterminado o el perfil de validación de plataforma especificado por el script de configuración.

Elegir cómo se pueden recuperar unidades del sistema operativo protegidas por BitLocker

Configuración sugerida: No configurado

Configure esta directiva para habilitar al agente de recuperación de datos de BitLocker o para guardar la información de recuperación de BitLocker en Servicios de dominio de Active Directory (AD DS).

Cuando esta directiva no está configurada, se admite el agente de recuperación de datos y no se hace una copia de seguridad de la información de recuperación en AD DS.

MBAM no requiere una copia de seguridad de la información de recuperación en AD DS para funcionar.

Definiciones de directiva de unidad extraíble

En esta sección se describen las definiciones de directiva de unidad extraíble para MBAM, que se encuentran en el siguiente nodo del GPO: Configuración del equipo\Plantillas administrativas\Componentes de Windows\MDOP MBAM (Administración de BitLocker) \ Unidad extraíble.

Nombre de directiva	Información general y configuración sugerida de directiva
Controlar el uso de BitLocker en unidades extraíbles	Configuración sugerida: Habilitado Esta directiva controla el uso de BitLocker en unidades de datos extraíbles. Habilite la opción Permitir que los usuarios apliquen la protección de BitLocker en unidades de datos extraíbles para permitir que los usuarios ejecuten el asistente para la instalación de BitLocker en una unidad de datos extraíble. Habilite la opción Permitir que los usuarios suspendan y descifren la protección de BitLocker en unidades de datos extraíbles para permitir que los usuarios quiten el cifrado de BitLocker de la unidad o suspendan el cifrado mientras se realiza el mantenimiento. Cuando esta directiva está habilitada y la opción Permitir que los usuarios apliquen la protección de BitLocker en unidades de datos extraíbles está seleccionada, el cliente de MBAM guarda la información de recuperación sobre las unidades extraíbles en el servidor de recuperación de claves de MBAM y permite que los usuarios recuperen la unidad si la contraseña se pierde.
Denegar el acceso de escritura a unidades extraíbles no protegidas por BitLocker	Configuración sugerida: No configurado Habilite esta directiva para admitir permisos de sólo escritura en las unidades protegidas por BitLocker. Cuando esta directiva está habilitada, todas las unidades de datos extraíbles del equipo requieren cifrado antes de que se admitan los permisos de escritura.
Permitir el acceso a unidades de datos extraíbles protegidas por BitLocker desde versiones anteriores de Windows	Configuración sugerida: No configurado Habilite esta directiva para desbloquear y ver las unidades fijas formateadas con el sistema de archivos FAT (Tabla de asignación de archivos) en equipos que ejecutan Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2. Estos sistemas operativos tienen permisos de sólo lectura para unidades protegidas por BitLocker. Cuando la directiva está deshabilitada, las unidades extraíbles formateadas con el sistema de archivos FAT no se pueden desbloquear y su contenido no se puede ver en equipos que ejecutan Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2.
Configurar el uso de contraseñas para unidades de datos extraíbles	Configuración sugerida: No configurado Habilite esta directiva para configurar la protección de contraseña en unidades de datos extraíbles. Cuando esta directiva no está configurada, se admiten contraseñas con la configuración predeterminada, que no incluyen los requisitos de complejidad de la contraseña y requieren solo ocho caracteres. Para mayor seguridad, habilite esta directiva y seleccione Requerir contraseña para unidad de datos extraíble, seleccione Requerir complejidad de la contraseña y establezca la longitud mínima de la contraseña.
Elegir cómo se pueden recuperar unidades extraíbles protegidas por BitLocker	Configuración sugerida: No configurado Se puede configurar esta directiva para habilitar al agente de recuperación de datos de BitLocker o para guardar la información de recuperación de BitLocker en Servicios de dominio de Active Directory (AD DS). Cuando esta directiva se establece como No configurado, se admite el agente de recuperación de datos y no se hace una copia de seguridad de la información de recuperación en AD DS. MBAM no requiere una copia de seguridad de la información de recuperación en AD DS para funcionar.

Vea también

Otros recursos

Preparación del entorno para MBAM 1.0

-----
Para obtener más información acerca de MDOP, consulte la biblioteca de TechNet, busque soluciones de problemas en TechNet Wikio síganos en Facebook o Twitter.
-----

Planeación para los requisitos de directiva de grupo de MBAM 1.0

Definiciones de directiva global

Definiciones de directiva de administración de cliente

Definiciones de directiva de unidad fija

Definiciones de directiva de unidad del sistema operativo

Definiciones de directiva de unidad extraíble

Vea también

Otros recursos

Recursos adicionales