Share via

Planeación para los requisitos de directiva de grupo de MBAM 2.5

  • Artículo

Se aplica a: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1

Use la siguiente información para averiguar los tipos de protectores de BitLocker que se pueden usar para administrar los equipos cliente de Microsoft BitLocker Administration and Monitoring (MBAM) en la empresa.

Tipos de protectores de BitLocker que MBAM admite

MBAM admite los siguientes tipos de protectores de BitLocker.

Tipo de unidad o volumen Protectores de BitLocker admitidos

Volúmenes de sistema operativo
  • Módulo de plataforma segura (TPM)

  • TPM+PIN

  • TPM+clave USB: posible únicamente si el volumen de sistema operativo se cifró antes de que MBAM se instalara

  • TPM+PIN+clave USB: posible únicamente si el volumen de sistema operativo se cifró antes de que MBAM se instalara

  • Contraseña: compatible solo con dispositivos con Windows To Go, unidades de datos fijas y dispositivos con Windows 8, Windows 8.1 y Windows 10 que no tengan un TPM

  • Contraseña numérica: se aplica automáticamente como parte del cifrado de volumen y no es necesario configurarla salvo en el modo FIPS de Windows 7.

  • Agente de recuperación de datos (DRA)

Unidades de datos fijas
  • Contraseña

  • Desbloqueo automático

  • Contraseña numérica: se aplica automáticamente como parte del cifrado de volumen y no es necesario configurarla salvo en el modo FIPS de Windows 7.

  • Agente de recuperación de datos (DRA)

Unidades extraíbles
  • Contraseña

  • Desbloqueo automático

  • Contraseña numérica: se aplica automáticamente como parte del cifrado de volumen y no es necesario configurarla.

  • Agente de recuperación de datos (DRA)

Compatibilidad con la directiva de Cifrado en espacio utilizado de BitLocker

En MBAM 2.5 SP1, si habilita Cifrado en espacio utilizado a través de la directiva de grupo de BitLocker, el cliente de MBAM lo respetará.

Esta configuración de directiva de grupo se denomina Aplicar tipo de cifrado de unidad en unidades de sistema operativo y se encuentra en el siguiente nodo de GPO: Configuración del equipo > Plantillas administrativas > Componentes de Windows>Cifrado de unidad BitLocker>Unidades del sistema operativo. Si habilita esta directiva y selecciona el tipo de cifrado como Cifrado solo en espacio utilizado, MBAM respetará la directiva y BitLocker solo cifrará el espacio en disco que se usa en el volumen.

Cómo obtener las plantillas de directiva de grupo de MBAM y modificar las configuraciones

Haga lo siguiente cuando ya esté todo listo para establecer las configuraciones de directiva de grupo de MBAM que quiera:

Pasos necesarios Dónde obtener instrucciones

Copiar las plantillas de directiva de grupo de MBAM del tema sobre cómo obtener las plantillas de directiva de grupo de MDOP (.admx) e instalarlas en un equipo que pueda ejecutar la Consola de administración de directivas de grupo (GPMC) o la Administración avanzada de directivas de grupo (AGPM).

Copia de las plantillas de directiva de grupo de MBAM 2.5

Establecer las configuraciones de directiva de grupo que quiera usar en la empresa.

Edición de la configuración de la directiva de grupo de MBAM 2.5

Descripciones de las configuraciones de directiva de grupo de MBAM

El nodo del GPO MDOP MBAM (Administración de BitLocker) contiene cuatro configuraciones de directiva global y cuatro nodos secundarios del GPO: Administración de cliente, Unidad fija, Unidad del sistema operativo y Unidad extraíble. En las siguientes secciones se describen y proponen configuraciones para las configuraciones de directiva de grupo de MBAM.

Importante

No modifique la configuración de directiva de grupo del nodo Cifrado de unidad BitLocker o, de lo contrario, MBAM no funcionará bien. MBAM establece la configuración de este nodo automáticamente cuando se define la configuración del nodo MDOP MBAM (Administración de BitLocker).

Definiciones de directiva de grupo global

En esta sección se describen las definiciones de directiva de grupo global de MBAM que se encuentran en el siguiente nodo del GPO: Configuración del equipo > Directivas > Plantillas administrativas > Componentes de Windows > MDOP MBAM (Administración de BitLocker).

Nombre de la directiva Información general y configuración de directiva de grupo propuesta

Elegir método de cifrado e intensidad de cifrado de unidad

Configuración sugerida: Habilitada

Configure esta directiva para utilizar un método y una intensidad de cifrado específicos.

Cuando esta directiva no está configurada, BitLocker recurre al método de cifrado predeterminado: AES de 128 bits con difusor.

Nota

Un problema con el informe de cumplimiento del equipo de BitLocker hace que la intensidad de cifrado aparezca como "desconocida", aun cuando se use el valor predeterminado. Para que esto no suceda, asegúrese de habilitar esta configuración e indicar un valor de intensidad de cifrado.

  • AES de 128 bits con difusor (solo en Windows 7)

  • AES 128 en Windows 8, Windows 8.1 y Windows 10

Impedir la sobrescritura de memoria al reiniciar

Configuración sugerida: No configurado

Configure esta directiva para mejorar el rendimiento de reinicio sin sobrescribir secretos de BitLocker en la memoria al reiniciar.

Cuando no está configurada, los secretos de BitLocker se eliminan de la memoria al reiniciar el equipo.

Validar cumplimiento de regla de uso de certificado de tarjeta inteligente

Configuración sugerida: No configurado

Configure esta directiva para utilizar la protección de BitLocker basada en certificados de tarjeta inteligente.

Cuando esta directiva no está configurada, se utiliza el identificador de objeto predeterminado 1.3.6.1.4.1.311.67.1.1 para especificar un certificado.

Proporcionar los identificadores únicos de su organización

Configuración sugerida: No configurado

Configure esta directiva para utilizar un agente de recuperación de datos basado en certificados o el Lector de BitLocker To Go.

Cuando la directiva no está configurada, no se utiliza el campo Identificación.

Si la empresa requiere mayores medidas de seguridad, se puede configurar el campo Identificación para asegurarse de que todos los dispositivos USB tengan este campo establecido y se ajusten a esta configuración de directiva de grupo.

Definiciones de directiva de grupo de administración de cliente

En esta sección se describen las definiciones de directiva de administración de cliente relativas a MBAM en el siguiente nodo del GPO: Configuración del equipo > Directivas >Plantillas administrativas > Componentes de Windows > MDOP MBAM (Administración de BitLocker) > Administración de cliente.

Se puede definir la misma configuración de directiva de grupo en las topologías independiente y de integración de System Center Configuration Manager, con una excepción: deshabilite la configuración Configurar servicios de MBAM > Extremo de servicio de informes de estado de MBAM si va a usar la topología de integración de Configuration Manager, tal y como se indica en la siguiente tabla.

Nombre de la directiva Información general y configuración de directiva de grupo propuesta

Configurar servicios de MBAM

Configuración sugerida: Habilitada

  • Extremo de servicio de recuperación y hardware de MBAM. Use esta opción para habilitar la administración de cifrado de BitLocker del cliente de MBAM. Especifique una ubicación de extremo similar al ejemplo siguiente: http(s)://<nombre del servidor de Administration and Monitoring de MBAM>:<puerto al que está enlazado el servicio web>/MBAMRecoveryAndHardwareService/CoreService.svc.

  • Seleccione la información de recuperación de BitLocker que debe almacenarse. Esta configuración de directiva permite configurar el servicio de recuperación de claves para hacer una copia de seguridad de la información de recuperación de BitLocker. También permite configurar un servicio de informes de estado para la recopilación de informes. La directiva proporciona un método administrativo para recuperar datos cifrados mediante BitLocker a fin de evitar la pérdida de datos debido a la falta de información de claves. La actividad de informes de estado y de recuperación de claves se envía de forma automática y silenciosa a la ubicación del servidor de informes que se haya configurado.

    Si no se configura la configuración de directiva o esta se deshabilita, la información de recuperación de claves no se guardará y la actividad de informes de estado y de recuperación de claves no se enviará al servidor. Cuando esta opción se establece en Contraseña de recuperación y paquete de claves, se realiza una copia de seguridad de la contraseña de recuperación y el paquete de claves de forma automática y silenciosa en la ubicación del servidor de recuperación de claves que se haya configurado.

  • Especifique la frecuencia de comprobación del estado del cliente en minutos. Esta configuración de directiva administra la frecuencia con que comprueba el cliente las directivas de protección de BitLocker y el estado en el equipo cliente. Esta directiva también administra la frecuencia con que se guarda el estado de cumplimiento del cliente en el servidor. El cliente comprueba las directivas de protección de BitLocker y el estado en el equipo cliente, y también hace una copia de seguridad de la clave de recuperación de cliente con la frecuencia configurada.

    Establezca esta frecuencia en función de los requisitos establecidos por su compañía en cuanto a frecuencia de comprobación del estado de cumplimiento en el equipo y frecuencia para realizar copias de seguridad de la clave de recuperación de cliente.

  • MBAM Extremo de servicio de informes de estado:

    Para MBAM en una topología independiente: Debe configurar esta opción para habilitar la administración de cifrado de BitLocker del cliente de MBAM.

    Especifique una ubicación de extremo similar al ejemplo siguiente:

    http(s)://<nombre del servidor de Administration and Monitoring de MBAM>:<puerto al que está enlazado el servicio web>/MBAMComplianceStatusService/StatusReportingService.svc

    Para MBAM en la topología de integración de Configuration Manager: deshabilite esta configuración.

Configurar directiva de exención de usuario

Configuración sugerida: No configurado

Esta configuración de directiva permite configurar una dirección de sitio web, una dirección de correo electrónico o un número de teléfono que se pedirá a un usuario para solicitar una exención de cifrado de BitLocker.

Si se habilita esta configuración de directiva y se proporciona una dirección de sitio web, una dirección de correo electrónico o un número de teléfono, los usuarios verán un cuadro de diálogo con instrucciones para solicitar una exención de la protección de BitLocker. Para obtener más información acerca de la habilitación de exenciones de cifrado de BitLocker para los usuarios, consulte Administración de las exenciones de usuario del cifrado de BitLocker.

Si se deshabilita o no se establece esta configuración de directiva, los usuarios no tendrán la posibilidad de ver las instrucciones para solicitar una exención.

Nota

La exención de usuario se administra por usuario, no por equipo. Si varios usuarios inician sesión en el mismo equipo y un usuario no está exento, el equipo se cifrará.

Configurar el programa para la mejora de la experiencia del usuario

Configuración sugerida: Habilitada

Esta configuración de directiva permite configurar el modo en que los usuarios de MBAM pueden unirse al Programa para la mejora de la experiencia del usuario. Este programa recopila información acerca del hardware del equipo y el modo en que los usuarios utilizan MBAM, sin interrumpir su trabajo. La información ayuda a Microsoft a identificar cuáles son las características de MBAM que hay que mejorar. Microsoft no usa esta información para identificar a los usuarios de MBAM ni para ponerse en contacto con ellos.

Si se habilita esta configuración de directiva, los usuarios se podrán unir al Programa para la mejora de la experiencia del usuario.

Si se deshabilita esta configuración de directiva, los usuarios no se podrán unir al Programa para la mejora de la experiencia del usuario.

Si no se establece esta configuración de directiva, los usuarios tendrán la opción de unirse al Programa para la mejora de la experiencia del usuario.

Proporcionar la dirección URL del vínculo de directiva de seguridad

Configuración sugerida: Habilitada

Use esta configuración de directiva para especificar una dirección URL que se va a mostrar a los usuarios finales como un vínculo denominado "Directiva de seguridad de la compañía". El vínculo apunta a la directiva de seguridad interna de la compañía y proporciona a los usuarios finales información sobre los requisitos de cifrado. El vínculo aparece cuando MBAM pide a los usuarios que cifren una unidad.

Si habilita esta configuración de directiva, se puede configurar una dirección URL para el vínculo de directiva de seguridad.

Si se deshabilita o no se establece esta configuración de directiva, el vínculo de directiva de seguridad no se mostrará a los usuarios.

Definiciones de directiva de grupo de unidad fija

En esta sección se describen las definiciones de directiva de unidad fija de Microsoft BitLocker Administration and Monitoring que se encuentran en el siguiente nodo del GPO: Configuración del equipo > Directivas > Plantillas administrativas > Componentes de Windows > MDOP MBAM (Administración de BitLocker) > Unidad fija.

Nombre de la directiva Información general y configuración de directiva de grupo propuesta

Configuración de cifrado de la unidad de datos fija

Configuración sugerida: Habilitada

Esta configuración de directiva permite administrar si se deben cifrar las unidades de datos fijas.

Si es necesario cifrar el volumen del sistema operativo, haga clic en Habilitar desbloqueo automático de unidades de datos fijas.

Si habilita esta directiva, no debe deshabilitar la directiva Configurar el uso de contraseñas para unidades de datos fijas, a menos que quiera permitir o requerir el uso del desbloqueo automático en las unidades de datos fijas.

En caso de que haya que usar el desbloqueo automático en las unidades de datos fijas, debe configurar los volúmenes del sistema operativo de modo que estén cifrados.

Si se habilita esta configuración de directiva, se solicitará a los usuarios que pongan todas las unidades de datos fijas bajo protección de BitLocker, y las unidades de datos se cifrarán.

Si no se establece esta configuración de directiva, los usuarios no tendrán que poner las unidades de datos fijas bajo protección de BitLocker. Si se aplica esta directiva después de cifrar las unidades de datos fijas, el agente de MBAM descifra las unidades de datos fijas cifradas.

Si se deshabilita esta configuración de directiva, los usuarios no podrán poner sus unidades de datos fijas bajo protección de BitLocker.

Denegar el acceso de escritura a unidades fijas no protegidas por BitLocker

Configuración sugerida: No configurado

Esta configuración de directiva determina si se requiere la protección de BitLocker para unidades de datos fijas en un equipo a fin de obtener acceso de escritura. Esta configuración de directiva se aplica cuando se activa BitLocker.

Si la directiva no está configurada, todas las unidades de datos fijas del equipo se montan con permiso de lectura/escritura.

Permitir el acceso a unidades de datos fijas protegidas por BitLocker desde versiones anteriores de Windows

Configuración sugerida: No configurado

Habilite esta directiva de forma que las unidades fijas con el sistema de archivos FAT se puedan desbloquear y ver en equipos que ejecuten Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2.

Cuando la directiva está habilitada o no está configurada, las unidades fijas formateadas con el sistema de archivos FAT se pueden desbloquear y su contenido se puede ver en equipos que ejecutan Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2. Estos sistemas operativos tienen permiso de solo lectura en las unidades protegidas por BitLocker.

Cuando la directiva está deshabilitada, las unidades fijas formateadas con el sistema de archivos FAT no se pueden desbloquear y su contenido no se puede ver en equipos que ejecutan Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2.

Configurar el uso de contraseñas para unidades fijas

Configuración sugerida: No configurado

Utilice esta directiva para especificar si se requiere una contraseña para desbloquear las unidades de datos fijas protegidas por BitLocker.

Si habilita esta configuración de directiva, los usuarios pueden configurar una contraseña que cumpla los requisitos que se hayan definido. BitLocker permitirá a los usuarios desbloquear una unidad con cualquiera de los protectores que están disponibles en la unidad.

Estas opciones de configuración son válidas cuando BitLocker se activa, no al desbloquear un volumen.

Si deshabilita esta configuración de directiva, los usuarios no podrán utilizar una contraseña.

Cuando la directiva no está configurada, se admiten contraseñas con la configuración predeterminada, que no incluyen los requisitos de complejidad de la contraseña y requieren solo ocho caracteres.

Para una mayor seguridad, habilite esta directiva y seleccione Requerir contraseña para unidad de datos fija, haga clic en Requerir complejidad de la contraseña y establezca la Longitud mínima de la contraseña que quiera.

Si deshabilita esta configuración de directiva, los usuarios no podrán utilizar una contraseña.

Si no establece esta configuración de directiva, se admitirán contraseñas con la configuración predeterminada, que no incluyen los requisitos de complejidad de la contraseña y requieren solo ocho caracteres.

Elegir cómo se pueden recuperar unidades fijas protegidas por BitLocker

Configuración sugerida: No configurado

Configure esta directiva para habilitar al agente de recuperación de datos de BitLocker o para guardar la información de recuperación de BitLocker en Servicios de dominio de Active Directory (AD DS).

Cuando la directiva no está configurada, se admite el agente de recuperación de datos de BitLocker y no se realiza una copia de seguridad de la información de recuperación en AD DS. MBAM no requiere que se realice una copia de seguridad de la información de recuperación en AD DS.

Configuración de cumplimiento de directiva de cifrado

Configuración sugerida: Habilitada

Use esta configuración de directiva para establecer el número de días que las unidades de datos fijas pueden estar no conformes hasta que se les obligue a cumplir las directivas de MBAM. Una vez superado el período de gracia, los usuarios no podrán posponer la acción requerida o solicitar una excepción. Este período de gracia se inicia cuando la unidad de datos fija se establece como no conforme. Sin embargo, la directiva de unidad de datos fija no tiene que estar conforme hasta que no lo haga la unidad del sistema operativo.

Si el período de gracia expira y la unidad de datos fija sigue sin estar conforme, los usuarios no podrán posponer la acción o solicitar una excepción. Si el proceso de cifrado requiere una entrada de usuario, se abrirá un cuadro de diálogo que los usuarios no podrán cerrar hasta que introduzcan la información necesaria.

Escriba 0 en Configurar el número de días de período de gracia para unidades fijas no conformes para forzar el inicio del proceso de cifrado justamente después de que el período de gracia de la unidad del sistema operativo haya expirado.

Si se deshabilita o no se establece esta configuración, los usuarios no estarán forzados a cumplir las directivas de MBAM.

Si no es necesario que el usuario intervenga para agregar un protector, el cifrado se iniciará en segundo plano una vez que expire el período de gracia.

Definiciones de directiva de grupo de unidad del sistema operativo

En esta sección se describen las definiciones de directiva de unidad del sistema operativo de Microsoft BitLocker Administration and Monitoring que se encuentra en el siguiente nodo del GPO: Configuración del equipo > Directivas > Plantillas administrativas > Componentes de Windows > MDOP MBAM (Administración de BitLocker) > Unidad de sistema operativo.

Nombre de la directiva Información general y configuración de directiva de grupo propuesta

Configuración de cifrado de la unidad del sistema operativo

Configuración sugerida: Habilitada

Esta configuración de directiva permite administrar si debe cifrarse la unidad del sistema operativo.

Para mayor seguridad, considere la posibilidad de deshabilitar las siguientes configuraciones de directiva en Sistema > Administración de energía > Configuración de suspensión cuando se habilitan con el protector TPM+PIN:

  • Permitir estados de espera (S1-S3) mientras el equipo está en suspensión (conectado)

  • Permitir estados de espera (S1-S3) mientras el equipo está en suspensión (con batería)

Si ejecuta Microsoft Windows 8 o posterior y desea usar BitLocker en un equipo sin un TPM, active la casilla Permitir BitLocker sin un TPM compatible. En este modo, se requiere una contraseña para el inicio. Si olvida la contraseña, deberá utilizar una de las opciones de recuperación de BitLocker para tener acceso a la unidad.

En un equipo con un TPM compatible, se pueden usar dos tipos de métodos de autenticación durante el inicio para ofrecer una protección adicional para los datos cifrados. Cuando se inicia el equipo, se puede utilizar únicamente el TPM para la autenticación o también se puede requerir la entrada de un número de identificación personal (PIN).

Si se habilita esta configuración de directiva, los usuarios deben poner la unidad del sistema operativo bajo protección de BitLocker y la unidad se cifrará.

Si se deshabilita esta directiva, los usuarios no podrán poner la unidad de sistema operativo bajo protección de BitLocker. Si se aplica esta directiva después de cifrar la unidad del sistema operativo, la unidad se descifrará.

Si no se configura esta directiva, no será necesario poner la unidad del sistema operativo bajo protección de BitLocker.

Permitir PIN de inicio mejorados

Configuración sugerida: No configurado

Use esta configuración de directiva para establecer si se van a usar PIN de inicio mejorados con BitLocker. Los PIN de inicio mejorados permiten usar caracteres tanto en mayúsculas como en minúsculas, además de símbolos, números y espacios. Esta configuración de directiva se aplica cuando se activa BitLocker.

Si se habilita esta configuración de directiva, todos los PIN de inicio nuevos de BitLocker permitirán al usuario final crear PIN mejorados. Sin embargo, no todos los equipos admiten PIN mejorados en el entorno previo al arranque. En consecuencia, recomendamos encarecidamente que los administradores estudien si sus sistemas son compatibles con esta característica antes de habilitar su uso.

Active la casilla Requerir PIN solo de ASCII para ayudar a que los PIN mejorados sean más compatibles con los equipos que limitan el tipo o el número de caracteres que se pueden introducir en el entorno previo al arranque.

Si se deshabilita o no se establece esta configuración de directiva, no se usarán PIN mejorados.

Elegir cómo se pueden recuperar unidades del sistema operativo protegidas por BitLocker

Configuración sugerida: No configurado

Configure esta directiva para habilitar al agente de recuperación de datos de BitLocker o para guardar la información de recuperación de BitLocker en Servicios de dominio de Active Directory (AD DS).

Cuando esta directiva no está configurada, se admite el agente de recuperación de datos y no se hace una copia de seguridad de la información de recuperación en AD DS.

MBAM no requiere una copia de seguridad de la información de recuperación en AD DS para funcionar.

Configurar el uso de contraseñas para unidades de sistema operativo

Configuración sugerida: No configurado

Use esta configuración de directiva para definir las limitaciones de las contraseñas que se usan para desbloquear las unidades de sistema operativo protegidas por BitLocker. Si se permiten protectores que no son de TPM en las unidades de sistema operativo, se puede aprovisionar una contraseña, requerir el cumplimiento de determinados requisitos de complejidad en la contraseña y configurar una longitud mínima de contraseña. Para que la configuración de los requisitos de complejidad sea eficaz, también deberá habilitar la configuración de directiva de grupo "Las contraseñas deben cumplir los requisitos de complejidad", que se encuentra en Configuración del equipo > Configuración de Windows > Configuración de seguridad > Directivas de cuenta > Directiva de contraseñas.

Nota

Estas opciones de configuración son válidas cuando BitLocker se activa, no al desbloquear un volumen. BitLocker permite desbloquear una unidad con cualquiera de los protectores que están disponibles en la unidad.

Si habilita esta configuración de directiva, los usuarios pueden configurar una contraseña que cumpla los requisitos que se hayan definido. Para requerir el cumplimiento de los requisitos de complejidad, haga clic en Requerir complejidad de la contraseña.

Configurar perfil de validación de plataforma de TPM para configuraciones de firmware basadas en BIOS

Configuración sugerida: No configurado

Esta configuración de directiva permite configurar el modo en que el hardware de seguridad del Módulo de plataforma segura (TPM) del equipo protege la clave de cifrado de BitLocker. Esta configuración de directiva no se aplica si el equipo no tiene un TPM compatible o si ya se ha activado BitLocker con la protección del TPM.

Importante

Esta configuración de directiva de grupo es válida únicamente en equipos con configuraciones de BIOS o en equipos con firmware UEFI que tengan un módulo de servicio de compatibilidad habilitado. Los equipos que usan una configuración de firmware UEFI nativo almacenan valores distintos en los registro de configuración de la plataforma (PCR). Use la configuración de directiva de grupo "Configurar perfil de validación de plataforma de TPM para configuraciones de firmware UEFI nativo" para configurar el perfil PCR de TPM de los equipos que usen firmware UEFI nativo.

Si se habilita esta configuración de directiva antes de activar BitLocker, se pueden configurar los componentes de arranque que el TPM valida antes de desbloquear el acceso a la unidad de sistema operativo cifrada por BitLocker. Si cualquiera de estos componentes cambia mientras la protección de BitLocker está en vigor, el TPM no revela la clave de cifrado para desbloquear la unidad y el equipo muestra, en su lugar, la consola de recuperación de BitLocker y solicita al usuario que proporcione bien la contraseña de recuperación, bien la clave de recuperación para desbloquear la unidad.

Si esta configuración de directiva se deshabilita o no está establecida, BitLocker usa el perfil de validación de plataforma predeterminado o el perfil de validación de plataforma especificado por el script de configuración.

Configurar perfil de validación de plataforma del TPM

Configuración sugerida: No configurado

Esta configuración de directiva permite configurar el modo en que el hardware de seguridad del Módulo de plataforma segura (TPM) del equipo protege la clave de cifrado de BitLocker. Esta configuración de directiva no se aplica si el equipo no tiene un TPM compatible o si ya se ha activado BitLocker con la protección del TPM.

Si se habilita esta configuración de directiva antes de activar BitLocker, se pueden configurar los componentes de arranque que el TPM valida antes de desbloquear el acceso a la unidad de sistema operativo cifrada por BitLocker. Si cualquiera de estos componentes cambia mientras la protección de BitLocker está en vigor, el TPM no revela la clave de cifrado para desbloquear la unidad y el equipo muestra, en su lugar, la consola de recuperación de BitLocker y solicita al usuario que proporcione bien la contraseña de recuperación, bien la clave de recuperación para desbloquear la unidad.

Si esta configuración de directiva se deshabilita o no está establecida, BitLocker usa el perfil de validación de plataforma predeterminado o el perfil de validación de plataforma especificado por el script de configuración.

Configurar el perfil de validación de plataforma de TPM para configuraciones de firmware UEFI nativo

Configuración sugerida: No configurado

Esta configuración de directiva permite configurar el modo en que el hardware de seguridad del Módulo de plataforma segura (TPM) del equipo protege la clave de cifrado de BitLocker. Esta configuración de directiva no se aplica si el equipo no tiene un TPM compatible o si ya se ha activado BitLocker con la protección del TPM.

Importante

Esta configuración de directiva de grupo es válida únicamente en equipos con una configuración de firmware UEFI nativo.

Si se habilita esta configuración de directiva antes de activar BitLocker, se pueden configurar los componentes de arranque que el TPM valida antes de desbloquear el acceso a la unidad de sistema operativo cifrada por BitLocker. Si cualquiera de estos componentes cambia mientras la protección de BitLocker está en vigor, el TPM no revela la clave de cifrado para desbloquear la unidad y el equipo muestra, en su lugar, la consola de recuperación de BitLocker y solicita al usuario que proporcione bien la contraseña de recuperación, bien la clave de recuperación para desbloquear la unidad.

Si esta configuración de directiva se deshabilita o no está establecida, BitLocker usa el perfil de validación de plataforma predeterminado o el perfil de validación de plataforma especificado por el script de configuración.

Restablecer los datos de validación de plataforma tras la recuperación de BitLocker

Configuración sugerida: No configurado

Use esta configuración de directiva para controlar si los datos de validación de plataforma se actualizan cuando Windows se inicia tras una recuperación de BitLocker.

Si se habilita esta configuración de directiva, los datos de validación de plataforma se actualizan cuando Windows se inicia tras una recuperación de BitLocker. Si se deshabilita esta configuración de directiva, los datos de validación de plataforma no se actualizan cuando Windows se inicia tras una recuperación de BitLocker. Si esta configuración de directiva no se configura, los datos de validación de plataforma no se actualizarán cuando Windows se inicie tras una recuperación de BitLocker.

Usar perfil mejorado de validación de datos de la configuración de arranque

Configuración sugerida: No configurado

Esta configuración de directiva permite elegir determinadas opciones de datos de la configuración de arranque (BCD) para que se comprueben durante la validación de la plataforma.

Si se habilita esta configuración de directiva, se pueden agregar más opciones, quitar las opciones predeterminadas, o ambas. Si se deshabilita esta configuración de directiva, el equipo revierte a un perfil de BCD similar al perfil de BCD predeterminado que Windows 7 utiliza. Si esta configuración de directiva no se establece, el equipo comprueba las opciones de BCD de Windows predeterminadas.

Nota

Cuando BitLocker usa el arranque seguro para validar la integración de la plataforma y de los datos de la configuración de arranque (tal y como define la directiva "Permitir arranque seguro para validación de integridad"), la directiva "Usar perfil mejorado de validación de datos de la configuración de arranque" se omite.

La configuración que controla la depuración de arranque (0x16000010) siempre se valida y no tiene efecto alguno si se incluye en los campos provistos.

Configuración de cumplimiento de directiva de cifrado

Configuración sugerida: Habilitada

Use esta configuración de directiva para configurar el número de días que los usuarios pueden posponer el cumplimiento de las directivas de MBAM de sus unidades de sistema operativo. Este período de gracia se inicia cuando el sistema operativo se detecta por primera vez como no conforme. Una vez expirado el período de gracia, los usuarios no podrán posponer la acción requerida o solicitar una excepción.

Si el proceso de cifrado requiere una entrada de usuario, se abrirá un cuadro de diálogo que los usuarios no podrán cerrar hasta que introduzcan la información necesaria.

Si se deshabilita o no se establece esta configuración, los usuarios no estarán forzados a cumplir las directivas de MBAM.

Si no es necesario que el usuario intervenga para agregar un protector, el cifrado se iniciará en segundo plano una vez que expire el período de gracia.

Configurar la dirección URL y el mensaje de recuperación previo al arranque

Configuración sugerida: No configurado

Habilite esta configuración de directiva para configurar un mensaje de recuperación personalizado o especificar una dirección URL que luego se muestre en la pantalla de recuperación prearranque de BitLocker cuando se bloquea la unidad del sistema operativo. Esta opción solo está disponible en equipos cliente que ejecutan Windows 10.

Cuando se habilita esta directiva, se puede seleccionar una de estas opciones para el mensaje de recuperación previo al arranque:

  • Usar un mensaje de recuperación personalizado: Seleccione esta opción para incluir un mensaje personalizado en la pantalla de recuperación prearranque de BitLocker. En Opción de mensaje de recuperación personalizado, escriba el mensaje que quiere mostrar. Si también quiere especificar una dirección URL de recuperación, inclúyala como parte del mensaje de recuperación personalizado.

  • Usar una dirección URL de recuperación personalizada: Seleccione esta opción para reemplazar la dirección URL predeterminada que se muestra en la pantalla de recuperación prearranque de BitLocker. En Opción de dirección URL de recuperación personalizada:, escriba la dirección URL que quiere mostrar.

  • Usar la dirección URL y el mensaje de recuperación predeterminados: Seleccione esta opción para mostrar la dirección URL y el mensaje de recuperación predeterminados en la pantalla de recuperación prearranque de BitLocker. Si configuró previamente una dirección URL o un mensaje de recuperación personalizado y desea volver al mensaje predeterminado, debe habilitar esta directiva y seleccione la opción Usar la dirección URL y el mensaje de recuperación predeterminados.

Nota

No todos los idiomas y caracteres se admiten en el prearranque. Se recomienda que pruebe que los caracteres que usa en la dirección URL o el mensaje personalizado aparecen correctamente en la pantalla de recuperación prearranque de BitLocker.

Definiciones de directiva de grupo de unidad extraíble

En esta sección se describen las definiciones de directiva de grupo de unidad extraíble para Microsoft BitLocker Administration and Monitoring que se encuentran en el siguiente nodo del GPO: Configuración del equipo > Directivas > Plantillas administrativas > Componentes de Windows > MDOP MBAM (Administración de BitLocker) > Unidad extraíble.

Nombre de la directiva Información general y configuración de directiva de grupo propuesta

Controlar el uso de BitLocker en unidades extraíbles

Configuración sugerida: Habilitada

Esta directiva controla el uso de BitLocker en unidades de datos extraíbles.

Haga clic en Permitir que los usuarios apliquen la protección de BitLocker en unidades de datos extraíbles para permitir que los usuarios ejecuten el asistente para la instalación de BitLocker en una unidad de datos extraíble.

Haga clic en Permitir que los usuarios suspendan y descifren la protección de BitLocker en unidades de datos extraíbles para permitir que los usuarios quiten el cifrado de BitLocker de la unidad o suspendan el cifrado mientras se realiza el mantenimiento.

Cuando esta directiva está habilitada y se hace clic en Permitir que los usuarios apliquen la protección de BitLocker en unidades de datos extraíbles, el cliente de MBAM guarda la información de recuperación sobre las unidades extraíbles en el servidor de recuperación de claves de MBAM y permite que los usuarios recuperen la unidad si la contraseña se pierde.

Denegar el acceso de escritura a unidades extraíbles no protegidas por BitLocker

Configuración sugerida: No configurado

Habilite esta directiva para permitir solo la escritura en las unidades protegidas por BitLocker.

Cuando esta directiva está habilitada, todas las unidades de datos extraíbles del equipo requieren cifrado para que se permita la escritura.

Permitir el acceso a unidades de datos extraíbles protegidas por BitLocker desde versiones anteriores de Windows

Configuración sugerida: No configurado

Habilite esta directiva de forma que las unidades fijas con el sistema de archivos FAT se puedan desbloquear y ver en equipos que ejecuten Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2.

Cuando esta directiva no está configurada, las unidades extraíbles formateadas con el sistema de archivos FAT se pueden desbloquear en equipos que ejecutan Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2, y su contenido se puede ver. Estos sistemas operativos tienen permiso de solo lectura en las unidades protegidas por BitLocker.

Cuando la directiva está deshabilitada, las unidades extraíbles formateadas con el sistema de archivos FAT no se pueden desbloquear y su contenido no se puede ver en equipos que ejecutan Windows Server 2008, Windows Vista, Windows XP con SP3 o Windows XP con SP2.

Configurar el uso de contraseñas para unidades de datos extraíbles

Configuración sugerida: No configurado

Habilite esta directiva para configurar la protección de contraseña en unidades de datos extraíbles.

Cuando esta directiva no está configurada, se admiten contraseñas con la configuración predeterminada, que no incluyen los requisitos de complejidad de la contraseña y requieren solo ocho caracteres.

Para mayor seguridad, habilite esta directiva y seleccione Requerir contraseña para unidad de datos extraíble, haga clic en Requerir complejidad de la contraseña y establezca la Longitud mínima de la contraseña.

Elegir cómo se pueden recuperar unidades extraíbles protegidas por BitLocker

Configuración sugerida: No configurado

Configure esta directiva para habilitar al agente de recuperación de datos de BitLocker o para guardar la información de recuperación de BitLocker en Servicios de dominio de Active Directory (AD DS).

Cuando se establece como No configurado, se admite el agente de recuperación de datos y no se hace una copia de seguridad de la información de recuperación en AD DS.

MBAM no requiere una copia de seguridad de la información de recuperación en AD DS para funcionar.

¿Tiene alguna sugerencia sobre MBAM?

Agregue o vote sugerencias aquí. Para problemas de MBAM, use el foro de TechNet de MBAM.

Véase también

Otros recursos

Preparación del entorno para MBAM 2.5
Requisitos previos de implementación de MBAM 2.5