Compartir a través de


Planeación de los requisitos de directiva de grupo de MBAM 2.0

Se aplica a: Microsoft BitLocker Administration and Monitoring 2.0

Para administrar los equipos cliente de Microsoft BitLocker Administration and Monitoring (MBAM), es necesario tener en cuenta los tipos de protectores de BitLocker que desea admitir en la organización y establecer la correspondiente configuración de directiva de grupo que desea aplicar. En este tema se describe las configuraciones de directiva de grupo disponibles cuando se utiliza Microsoft BitLocker Administration and Monitoring para administrar el Cifrado de unidad BitLocker en la empresa.

MBAM admite los siguientes tipos de protectores de BitLocker para unidades del sistema operativo: Módulo de plataforma segura (TPM), TPM + PIN, TPM + clave USB, TPM + PIN + clave USB, contraseña, contraseña numérica y agente de recuperación de datos. El protector de contraseña solo se admite en dispositivos con Windows To Go y en dispositivos con Windows 8 que no tienen un TPM. MBAM admite los protectores TPM + clave USB y TPM + PIN + clave USB únicamente cuando el volumen del sistema operativo está cifrado antes de instalar MBAM.

MBAM admite los siguientes tipos de protectores de BitLocker para unidades de datos fijas: contraseña, desbloqueo automático, contraseña numérica y agente de recuperación de datos.

El protector de contraseña numérica se aplica automáticamente como parte del cifrado de volumen y no es necesario configurarlo.

Importante

MBAM no utiliza la configuración predeterminada de objeto de directiva de grupo (GPO) de cifrado de unidad BitLocker de Windows y, si se habilita, puede provocar un comportamiento conflictivo. Para habilitar a MBAM para administrar BitLocker, debe definir la configuración de directiva de grupo de MBAM únicamente después de haber instalado la plantilla de directiva de grupo de MBAM.

Los PIN de inicio mejorados pueden contener caracteres en mayúsculas y minúsculas y números. A diferencia de BitLocker, MBAM no admite el uso de símbolos y espacios para PIN mejorados.

Instale la plantilla de directiva de grupo de MBAM en un equipo que pueda ejecutar la Consola de administración de directivas de grupo (GPMC) o la tecnología MDOP de Administración avanzada de directivas de grupo (AGPM). Para editar la configuración de GPO que habilita la funcionalidad de MBAM, primero debe instalar la plantilla de directiva de grupo de MBAM, abrir la GPMC o AGPM para editar el GPO aplicable y, a continuación, desplazarse al siguiente nodo del GPO: Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\MDOP MBAM (Administración de BitLocker).

El nodo del GPO de MDOP MBAM (Administración de BitLocker) contiene cuatro configuraciones de directiva global y cuatro nodos secundarios de configuración del GPO: Administración de cliente, Unidad fija, Unidad del sistema operativo y Unidad extraíble. En las secciones siguientes se proporcionan definiciones y configuraciones sugeridas de directiva que le ayudarán a planear los requisitos de configuración de directiva del GPO de MBAM.

Nota

Para obtener más información acerca de la configuración mínima recomendada del GPO para habilitar a MBAM para administrar el cifrado de BitLocker, consulte Cómo editar MBAM 2.0 [MBAM_2] de la configuración de GPO.

Definiciones de directiva global

En esta sección se describen las definiciones de directiva global de MBAM que se encuentran en el siguiente nodo del GPO: Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\MDOP MBAM (Administración de BitLocker).

Nombre de directiva Información general y configuración sugerida de directiva

Elegir método de cifrado e intensidad de cifrado de unidad

Configuración sugerida: No configurado

Configure esta directiva para utilizar un método y una intensidad de cifrado específicos.

Cuando esta directiva no está configurada, BitLocker usa el método de cifrado predeterminado de AES de 128 bits con difusor o el método de cifrado especificado por el script de instalación.

Impedir la sobrescritura de memoria al reiniciar

Configuración sugerida: No configurado

Configure esta directiva para mejorar el rendimiento de reinicio sin sobrescribir secretos de BitLocker en la memoria al reiniciar.

Cuando no está configurada, los secretos de BitLocker se eliminan de la memoria al reiniciar el equipo.

Validar cumplimiento de regla de uso de certificado de tarjeta inteligente

Configuración sugerida: No configurado

Configure esta directiva para utilizar la protección de BitLocker basada en certificados de tarjeta inteligente.

Cuando esta directiva no está configurada, se utiliza un identificador de objeto predeterminado 1.3.6.1.4.1.311.67.1.1 para especificar un certificado.

Proporcionar los identificadores únicos de su organización

Configuración sugerida: No configurado

Configure esta directiva para utilizar un agente de recuperación de datos basado en certificados o el Lector de BitLocker To Go.

Cuando la directiva no está configurada, no se utiliza el campo Identificación.

Si la empresa requiere mayores medidas de seguridad, se puede configurar el campo Identificación para asegurarse de que todos los dispositivos USB tengan este campo establecido y estén alineados con esta configuración de directiva de grupo.

Definiciones de directiva de administración de cliente

En esta sección se describen las definiciones de directiva de administración de cliente para Microsoft BitLocker Administration and Monitoring, que se encuentran en el siguiente nodo del GPO: Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\MDOP MBAM (Administración de BitLocker)\Administración de cliente.

Nombre de directiva Información general y configuración sugerida de directiva

Configurar servicios de MBAM

Configuración sugerida: Habilitado

  • Extremo de servicio de recuperación y hardware de MBAM. Use esta opción para habilitar la administración de cifrado de BitLocker del cliente de MBAM. Especifique una ubicación de extremo similar al ejemplo siguiente: http://<Nombre de servidor de Administration and Monitoring de MBAM>:<puerto al que está enlazado el servicio web>/MBAMRecoveryAndHardwareService/CoreService.svc.

  • Seleccione la información de recuperación de BitLocker que debe almacenarse. Esta configuración de directiva permite configurar el servicio de recuperación de claves para hacer una copia de seguridad de la información de recuperación de BitLocker. También permite configurar el servicio de informes de estado para la recopilación de informes de cumplimiento y auditoría. La directiva proporciona un método administrativo para recuperar datos cifrados mediante BitLocker a fin de evitar la pérdida de datos debido a la falta de información de claves. La actividad de informes de estado y de recuperación de claves se enviará de forma automática y silenciosa a la ubicación del servidor de informes configurado.

    Si no se configura o si se deshabilita la configuración de directiva, no se guardará la información de recuperación de claves y la actividad de los informes de estado y de recuperación de claves no se enviará al servidor. Cuando esta configuración se establece en Contraseña de recuperación y paquete de claves, se realizará una copia de seguridad de la contraseña de recuperación y el paquete de claves de forma automática y silenciosa en la ubicación del servidor de recuperación de claves configurado.

  • Especifique la frecuencia de comprobación del estado del cliente en minutos. Esta configuración de directiva administra la frecuencia con que comprueba el cliente las directivas de protección de BitLocker y el estado en el equipo cliente. Esta directiva también administra la frecuencia con que se guarda el estado de cumplimiento del cliente en el servidor. El cliente comprueba las directivas de protección de BitLocker y el estado en el equipo cliente, y también hace una copia de seguridad de la clave de recuperación de cliente con la frecuencia configurada.

    Determine la frecuencia en función de los requisitos establecidos por su compañía respecto a la frecuencia de comprobación del estado de cumplimiento en el equipo y la frecuencia para realizar copias de seguridad de la clave de recuperación de cliente.

  • Extremo de servicio de informes de estado de MBAM. Debe configurar esta opción para habilitar la administración de cifrado de BitLocker del cliente de MBAM. Especifique una ubicación de extremo similar al ejemplo siguiente: http(s)://<Nombre de servidor de Administration and Monitoring de MBAM>:<puerto al que está enlazado el servicio web>/MBAMComplianceStatusService/StatusReportingService.svc

Configurar directiva de exención de usuario

Configuración sugerida: No configurado

Esta configuración de directiva permite configurar una dirección de sitio web, una dirección de correo electrónico o un número de teléfono que se pedirá a un usuario para solicitar una exención de cifrado de BitLocker.

Si se habilita esta configuración de directiva y se proporciona una dirección de sitio web, una dirección de correo electrónico o un número de teléfono, los usuarios verán un cuadro de diálogo con instrucciones para solicitar una exención de la protección de BitLocker. Para obtener más información acerca de la habilitación de exenciones de cifrado de BitLocker para los usuarios, consulte Administración de las exenciones de usuario del cifrado de BitLocker.

Si se deshabilita o no se establece esta configuración de directiva, no se presentarán a los usuarios las instrucciones para solicitar una exención.

Nota

La exención de usuario se administra por usuario, no por equipo. Si varios usuarios inician sesión en el mismo equipo y un usuario no está exento, se cifrará el equipo.

Configurar el programa para la mejora de la experiencia del usuario

Esta configuración de directiva permite configurar el modo en que los usuarios de MBAM pueden unirse al Programa para la mejora de la experiencia del usuario. Este programa recopila información acerca del hardware del equipo y el modo en que los usuarios utilizan MBAM, sin interrumpir su trabajo. La información ayuda a Microsoft a identificar cuáles son las características de MBAM que hay que mejorar. Microsoft no usará esta información para identificar a los usuarios de MBAM ni para ponerse en contacto con ellos.

Si se habilita esta configuración de directiva, los usuarios podrán unirse al Programa para la mejora de la experiencia del usuario.

Si se deshabilita esta configuración de directiva, los usuarios no podrán unirse al Programa para la mejora de la experiencia del usuario.

Si no se establece esta configuración de directiva, los usuarios tendrán la opción de unirse al Programa para la mejora de la experiencia del usuario.

Definiciones de directiva de unidad fija

En esta sección se describen las definiciones de directiva de unidad fija para Microsoft BitLocker Administration and Monitoring, que se encuentran en el siguiente nodo del GPO: Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\MDOP MBAM (Administración de BitLocker)\Unidad fija.

Nombre de directiva Información general y configuración sugerida de directiva

Configuración de cifrado de la unidad de datos fija

Configuración sugerida: Habilitado

Esta configuración de directiva permite administrar si se deben cifrar las unidades fijas.

Si es necesario cifrar el volumen del sistema operativo, active la opción Habilitar desbloqueo automático de unidades de datos fijas.

Si habilita esta directiva, no debe deshabilitar la directiva Configurar el uso de contraseñas para unidades de datos fijas a menos que se permita o se requiera el uso del desbloqueo automático en las unidades de datos fijas.

Si se requiere el uso del desbloqueo automático en las unidades de datos fijas, debe configurar que los volúmenes del sistema operativo estén cifrados.

Si se habilita esta configuración de directiva, se solicitará a los usuarios que pongan todas las unidades fijas bajo protección de BitLocker y se cifrarán las unidades.

Si no se establece esta configuración de directiva, los usuarios no tendrán que poner las unidades fijas bajo protección de BitLocker. Si se aplica esta directiva después de cifrar las unidades de datos fijas, el agente de MBAM descifra las unidades fijas cifradas.

Si se deshabilita esta configuración de directiva, los usuarios no podrán poner sus unidades de datos fijas bajo protección de BitLocker.

Denegar el acceso de escritura a unidades fijas no protegidas por BitLocker

Configuración sugerida: No configurado

Esta configuración de directiva determina si se requiere la protección de BitLocker para unidades fijas en un equipo a fin de obtener acceso de escritura. Esta configuración de directiva se aplica cuando se activa BitLocker.

Si la directiva no está configurada, todas las unidades de datos fijas del equipo se montan con acceso de lectura y escritura.

Permitir el acceso a unidades de datos fijas protegidas por BitLocker desde versiones anteriores de Windows

Configuración sugerida: No configurado

Habilite esta directiva para permitir que las unidades fijas con el sistema de archivos FAT se puedan desbloquear y ver en equipos que ejecuten Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2.

Cuando la directiva está habilitada o no está configurada, las unidades fijas formateadas con el sistema de archivos FAT se pueden desbloquear y su contenido se puede ver en equipos que ejecutan Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2. Estos sistemas operativos tienen acceso de solo lectura a las unidades protegidas por BitLocker.

Cuando la directiva está deshabilitada, las unidades fijas formateadas con el sistema de archivos FAT no se pueden desbloquear y su contenido no se puede ver en equipos que ejecutan Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2.

Configurar el uso de contraseñas para unidades fijas

Configuración sugerida: No configurado

Utilice esta directiva para especificar si se requiere una contraseña para desbloquear las unidades de datos fijas protegidas por BitLocker.

Si habilita esta configuración de directiva, los usuarios pueden configurar una contraseña que cumpla los requisitos definidos. BitLocker permitirá a los usuarios desbloquear una unidad con cualquiera de los protectores que están disponibles en la unidad.

Estas opciones de configuración se aplican al activar BitLocker y no al desbloquear un volumen.

Si deshabilita esta configuración de directiva, los usuarios no podrán utilizar una contraseña.

Cuando la directiva no está configurada, se admiten contraseñas con la configuración predeterminada, que no incluyen los requisitos de complejidad de la contraseña y requieren solo ocho caracteres.

Para mayor seguridad, habilite esta directiva y seleccione Requerir contraseña para unidad de datos fija, seleccione Requerir complejidad de la contraseña y establezca la longitud mínima de la contraseña.

Si deshabilita esta configuración de directiva, los usuarios no podrán utilizar una contraseña.

Si no establece esta configuración de directiva, se admitirán contraseñas con la configuración predeterminada, que no incluyen los requisitos de complejidad de la contraseña y requieren solo ocho caracteres.

Elegir cómo se pueden recuperar unidades fijas protegidas por BitLocker

Configuración sugerida: No configurado

Configure esta directiva para habilitar el agente de recuperación de datos de BitLocker o para guardar la información de recuperación de BitLocker en Servicios de dominio de Active Directory (AD DS).

Cuando la directiva no está configurada, se admite el agente de recuperación de datos de BitLocker y no se realiza una copia de seguridad de la información de recuperación en AD DS. MBAM no requiere que se realice una copia de seguridad de la información de recuperación en AD DS.

Definiciones de directiva de unidad del sistema operativo

En esta sección se describen las definiciones de directiva de unidad del sistema operativo para Microsoft BitLocker Administration and Monitoring, que se encuentran en el siguiente nodo del GPO: Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\MDOP MBAM (Administración de BitLocker)\Unidad del sistema operativo.

Nombre de directiva Información general y configuración sugerida de directiva

Configuración de cifrado de la unidad del sistema operativo

Configuración sugerida: Habilitado

Esta configuración de directiva permite administrar si debe cifrarse la unidad del sistema operativo.

Para una mayor seguridad, considere la posibilidad de deshabilitar las siguientes configuraciones de directiva en Sistema/Administración de energía/Configuración de suspensión cuando se habilitan con el protector TPM + PIN:

  • Permitir estados de espera (S1-S3) mientras el equipo está en suspensión (conectado)

  • Permitir estados de espera (S1-S3) mientras el equipo está en suspensión (con batería)

Si ejecuta Microsoft Windows 8 o posterior y desea usar BitLocker en un equipo sin un TPM, active la casilla Permitir BitLocker sin un TPM compatible. En este modo, se requiere una contraseña para el inicio. Si olvida la contraseña, deberá utilizar una de las opciones de recuperación de BitLocker para tener acceso a la unidad.

En un equipo con un TPM compatible, se pueden usar dos tipos de métodos de autenticación durante el inicio para ofrecer una protección adicional para los datos cifrados. Cuando se inicia el equipo, se puede utilizar únicamente el TPM para la autenticación o también se puede requerir la entrada de un número de identificación personal (PIN).

Si se habilita esta configuración de directiva, los usuarios deben poner la unidad del sistema operativo bajo protección de BitLocker y la unidad se cifrará.

Si se deshabilita esta directiva, los usuarios no podrán poner la unidad del sistema operativo bajo protección de BitLocker. Si se aplica esta directiva después de cifrar la unidad del sistema operativo, se descifrará la unidad.

Si no se configura esta directiva, no será necesario poner la unidad del sistema operativo bajo protección de BitLocker.

Configurar perfil de validación de plataforma del TPM

Configuración sugerida: No configurado

Esta configuración de directiva permite configurar el modo en que el hardware de seguridad del TPM en un equipo protege la clave de cifrado de BitLocker. Esta configuración de directiva no se aplica si el equipo no tiene un TPM compatible o si ya se ha activado BitLocker con la protección del TPM.

Cuando esta configuración de directiva no está establecida, el TPM usa el perfil de validación de plataforma predeterminado o el perfil de validación de plataforma especificado por el script de configuración.

Elegir cómo se pueden recuperar unidades del sistema operativo protegidas por BitLocker

Configuración sugerida: No configurado

Configure esta directiva para habilitar el agente de recuperación de datos de BitLocker o para guardar la información de recuperación de BitLocker en Servicios de dominio de Active Directory (AD DS).

Cuando esta directiva no está configurada, se admite el agente de recuperación de datos y no se hace una copia de seguridad de la información de recuperación en AD DS.

MBAM no requiere una copia de seguridad de la información de recuperación en AD DS para funcionar.

Definiciones de directiva de unidad extraíble

En esta sección se describen las definiciones de directiva de unidad extraíble para Microsoft BitLocker Administration and Monitoring, que se encuentran en el siguiente nodo del GPO: Configuración del equipo\Directivas\Plantillas administrativas\Componentes de Windows\MDOP MBAM (Administración de BitLocker)\Unidad extraíble.

Nombre de directiva Información general y configuración sugerida de directiva

Controlar el uso de BitLocker en unidades extraíbles

Configuración sugerida: Habilitado

Esta directiva controla el uso de BitLocker en unidades de datos extraíbles.

Habilite la opción Permitir que los usuarios apliquen la protección de BitLocker en unidades de datos extraíbles para permitir que los usuarios ejecuten el asistente para la instalación de BitLocker en una unidad de datos extraíble.

Habilite la opción Permitir que los usuarios suspendan y descifren la protección de BitLocker en unidades de datos extraíbles para permitir que los usuarios quiten el cifrado de BitLocker de la unidad o suspendan el cifrado mientras se realiza el mantenimiento.

Cuando esta directiva está habilitada y la opción Permitir que los usuarios apliquen la protección de BitLocker en unidades de datos extraíbles está seleccionada, el cliente de MBAM guarda la información de recuperación sobre las unidades extraíbles en el servidor de recuperación de claves de MBAM y permite que los usuarios recuperen la unidad si la contraseña se pierde.

Denegar el acceso de escritura a unidades extraíbles no protegidas por BitLocker

Configuración sugerida: No configurado

Habilite esta directiva para permitir el acceso de solo escritura en las unidades protegidas por BitLocker.

Cuando esta directiva está habilitada, todas las unidades de datos extraíbles del equipo requieren cifrado para que se permita el acceso de escritura.

Permitir el acceso a unidades de datos extraíbles protegidas por BitLocker desde versiones anteriores de Windows

Configuración sugerida: No configurado

Habilite esta directiva para permitir que las unidades fijas con el sistema de archivos FAT se puedan desbloquear y ver en equipos que ejecuten Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2.

Cuando esta directiva no está configurada, las unidades de datos extraíbles formateadas con el sistema de archivos FAT se pueden desbloquear en equipos que ejecutan Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2, y su contenido se puede ver. Estos sistemas operativos tienen acceso de solo lectura a las unidades protegidas por BitLocker.

Cuando la directiva está deshabilitada, las unidades extraíbles formateadas con el sistema de archivos FAT no se pueden desbloquear y su contenido no se puede ver en equipos que ejecutan Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2.

Configurar el uso de contraseñas para unidades de datos extraíbles

Configuración sugerida: No configurado

Habilite esta directiva para configurar la protección de contraseña en unidades de datos extraíbles.

Cuando esta directiva no está configurada, se admiten contraseñas con la configuración predeterminada, que no incluyen los requisitos de complejidad de la contraseña y requieren solo ocho caracteres.

Para mayor seguridad, puede habilitar esta directiva y activar Requerir contraseña para unidad de datos extraíble, seleccionar Requerir complejidad de la contraseña y establecer la longitud mínima de la contraseña.

Elegir cómo se pueden recuperar unidades extraíbles protegidas por BitLocker

Configuración sugerida: No configurado

Configure esta directiva para habilitar el agente de recuperación de datos de BitLocker o para guardar la información de recuperación de BitLocker en Servicios de dominio de Active Directory (AD DS).

Cuando se establece como No configurado, se admite el agente de recuperación de datos y no se hace una copia de seguridad de la información de recuperación en AD DS.

MBAM no requiere una copia de seguridad de la información de recuperación en AD DS para funcionar.

Vea también

Conceptos

Requisitos previos de implementación de MBAM 2.0

-----
Para obtener más información acerca de MDOP, consulte la biblioteca de TechNet, busque soluciones de problemas en TechNet Wikio síganos en Facebook o Twitter.
-----