Compartir a través de

Implementación del cliente de MBAM como parte de una implementación de Windows

  • Artículo

Se aplica a: Microsoft BitLocker Administration and Monitoring 1.0

El cliente de Microsoft BitLocker Administration and Monitoring (MBAM) permite que los administradores apliquen y controlen el cifrado de unidad BitLocker en los equipos de la empresa. El cliente de BitLocker puede integrarse en una organización mediante la habilitación de la administración y el cifrado de BitLocker en los equipos cliente durante el proceso de implementación de Windows y la creación de imágenes.

Nota

Para revisar los requisitos del sistema de cliente de MBAM, consulte Configuraciones admitidas de MBAM 1.0.

El cifrado de equipos cliente de BitLocker durante la fase inicial de creación de imágenes de una implementación de Windows puede reducir la sobrecarga administrativa en la implementación de MBAM. Este método también garantiza que todos los equipos que se implementen ya tengan BitLocker en ejecución y con la configuración correcta.

Advertencia

En este tema se describe cómo cambiar el Registro de Windows con el Editor del Registro. La modificación incorrecta del Registro de Windows puede provocar graves problemas que requieran la reinstalación de Windows. Haga una copia de seguridad de los archivos del Registro (System.dat and User.dat) antes de modificarlo. Microsoft no garantiza que los problemas derivados de la modificación del Registro se puedan resolver. Cambie el Registro bajo su responsabilidad.

Para cifrar un equipo como parte de la implementación de Windows

  1. Si su organización tiene previsto usar las opciones del protector TPM (Módulo de plataforma segura) o TPM + PIN de BitLocker, debe activar el chip de TPM antes de la implementación inicial de MBAM. Cuando se activa el chip de TPM, se evita un reinicio posterior en el proceso y se garantiza que los chips de TPM estén configurados correctamente, de acuerdo con las necesidades de la organización. Debe activar el chip de TPM manualmente en el BIOS del equipo. Consulte la documentación del fabricante para obtener más información acerca de la configuración del chip de TPM.

  2. Instale al agente de cliente de MBAM.

  3. Es recomendable unir el equipo a un dominio...

    • Si el equipo no está unido a un dominio, la contraseña de recuperación no se almacenará en el servicio de recuperación de claves de MBAM. De forma predeterminada, MBAM no permite el cifrado a menos que se pueda almacenar la clave de recuperación.

    • Si un equipo se inicia en modo de recuperación antes de que la clave de recuperación se almacene en el servidor de MBAM, el equipo deberá restablecer la imagen inicial. No hay ningún método de recuperación disponible.

  4. Abra un símbolo del sistema como administrador, detenga el servicio de MBAM y, a continuación, establezca el servicio en manual o a petición. A continuación, ejecute los comandos siguientes:

    net stop mbamagent

    sc config mbamagent start= demand

  5. Establezca la configuración del Registro para que el agente de MBAM omita la directiva de grupo y ejecute el TPM para cifrar únicamente el sistema operativo. Para esto, ejecute regedit y, a continuación, importe la plantilla de clave de Registro desde C:\Archivos de programa\Microsoft\MDOP MBAM\MBAMDeploymentKeyTemplate.reg.

  6. En regedit, vaya a HKLM\SOFTWARE\Microsoft\MBAM y configure las opciones que aparecen en la tabla siguiente.

    Entrada del Registro Opciones de configuración

    DeploymentTime

    0 = DESACTIVADO

    1 = Utilizar la configuración de directivas de tiempo de implementación (valor predeterminado)

    UseKeyRecoveryService

    0 = No utilizar la custodia de clave (en este caso, no se requieren las dos entradas del Registro siguientes)

    1 = Utilizar la custodia de clave del sistema de recuperación de claves (valor predeterminado)

    Recomendado: el equipo debe ser capaz de comunicarse con el servicio de recuperación de claves. Compruebe que el equipo puede comunicarse con el servicio antes de continuar.

    KeyRecoveryOptions

    0 = Cargar únicamente la clave de recuperación

    1 = Cargar la clave de recuperación y el paquete de recuperación de clave (valor predeterminado)

    KeyRecoveryServiceEndPoint

    Establezca este valor en la dirección URL para el servidor web de recuperación de claves.

    Por ejemplo: http://<nombreDeEquipo>/MBAMRecoveryAndHardwareService/CoreService.svc.

    Nota

    Se pueden establecer aquí los valores de directiva o del Registro de MBAM para reemplazar los valores previamente establecidos.

  7. El agente de MBAM reinicia el sistema durante la implementación del cliente de MBAM. Cuando esté preparado para el reinicio, ejecute el comando siguiente en un símbolo del sistema como administrador:

    net start mbamagent

  8. Cuando se reinicie el equipo y el BIOS pregunte si desea aceptar un cambio del TPM, acepte el cambio.

  9. Durante el proceso de creación de imágenes del sistema operativo de cliente de Windows, cuando esté listo para comenzar el cifrado, reinicie el servicio de agente de MBAM. A continuación, para establecer el inicio en automático, abra un símbolo del sistema como administrador y ejecute los comandos siguientes:

    sc config mbamagent start= auto

    net start mbamagent

  10. Quite los valores de omisión del Registro. Para hacer esto, ejecute regedit, vaya a la entrada del Registro HKLM\SOFTWARE\Microsoft, haga clic con el botón secundario en el nodo MBAM y, a continuación, haga clic en Eliminar.

Vea también

Otros recursos

Implementación de cliente de MBAM 1.0

-----
Para obtener más información acerca de MDOP, consulte la biblioteca de TechNet, busque soluciones de problemas en TechNet Wikio síganos en Facebook o Twitter.
-----