Cómo habilitar BitLocker con MBAM como parte de una implementación de Windows

Se aplica a: Microsoft BitLocker Administration and Monitoring 2.5, Microsoft BitLocker Administration and Monitoring 2.5 SP1

En este tema se explica cómo habilitar BitLocker en un equipo de usuario final mediante MBAM como parte del proceso de creación de imágenes e implementación de Windows.

Requisitos previos:

• Debe establecerse un proceso existente de implementación de imágenes de Windows: Microsoft Deployment Toolkit (MDT), Microsoft System Center Configuration Manager, o alguna otra herramienta o proceso de creación de imágenes:

• El TPM debe estar habilitado en el BIOS y visible para el sistema operativo

• La infraestructura de servidor de MBAM debe estar establecida y ser accesible

• Debe crearse la partición del sistema que requiere BitLocker

• La máquina debe estar unida al dominio durante la creación de imágenes para que MBAM habilite BitLocker por completo

Para habilitar BitLocker con MBAM 2.5 SP1 como parte de una implementación de Windows

• En MBAM 2.5 SP1, el enfoque recomendado para habilitar BitLocker durante la implementación de Windows consiste en usar el script Invoke-MbamClientDeployment.ps1 de PowerShell.

  • El script Invoke-MbamClientDeployment.ps1 aplica BitLocker durante el proceso de creación de imágenes. Cuando lo requiera la directiva de BitLocker, el agente de MBAM pedirá inmediatamente al usuario de dominio que cree un PIN o una contraseña la primera vez que el usuario de dominio inicie sesión después de la creación de imágenes.

  • Fácil de usar con MDT, System Center Configuration Manager o con procesos independientes de creación de imágenes

  • Compatible con PowerShell 2.0 o superior

  • Cifrado del volumen del sistema operativo con el protector de clave de TPM

  • Totalmente compatible con preaprovisionamiento de BitLocker

  • Cifrado opcional de FDD

  • Custodia de OwnerAuth de TPM, incluso en Windows 8 o superior (MBAM todavía debe ser propietario de TPM en Windows 7 para que se produzca la custodia)

  • Custodia de claves de recuperación y paquetes de claves de recuperación

  • Notificación inmediata del estado de cifrado

  • Nuevos proveedores de WMI

  • Registro detallado

  • Estricto control de errores

  Puede descargar el script Invoke-MbamClientDeployment.ps1 del Centro de descarga de Microsoft.com. Se trata del script principal que el sistema de implementación llama para configurar el cifrado de unidad de BitLocker y registrar las claves de recuperación con el servidor de MBAM.

  Métodos de implementación de WMI en MBAM: Se agregan los siguientes métodos de WMI en MBAM 2.5 SP1 para permitir la habilitación de BitLocker mediante el script Invoke-MbamClientDeployment.ps1 de PowerShell.

  • Clase WMI MBAM_Machine
    PrepareTpmAndEscrowOwnerAuth: Lee la OwnerAuth de TPM y la envía a la base de datos de recuperación de MBAM mediante el servicio de recuperación de MBAM. Si no es propietario del TPM y el aprovisionamiento automático no está activado, genera una OwnerAuth de TPM y se apropia de él. Si no puede hacerlo, se devuelve un código de error para solución de problemas.

    Parámetro	Descripción
    RecoveryServiceEndPoint	Cadena que especifica el extremo de servicio de recuperación de MBAM.

    Valores devueltos comunes	Mensaje de error
    S_OK 0 (0x0)	El método se ejecutó correctamente
    MBAM_E_TPM_NOT_PRESENT 2147746304 (0x80040200)	El TPM no está presente en el equipo o está deshabilitado en la configuración del BIOS.
    MBAM_E_TPM_INCORRECT_STATE 2147746305 (0x80040201)	El TPM no está en el estado correcto (habilitado, activado instalación del propietario permitida).
    MBAM_E_TPM_AUTO_PROVISIONING_PENDING 2147746306 (0x80040202)	MBAM no puede apropiarse del TPM porque el aprovisionamiento automático está pendiente. Vuelva a intentarlo después de completar el aprovisionamiento automático.
    MBAM_E_TPM_OWNERAUTH_READFAIL 2147746307 (0x80040203)	MBAM no puede leer el valor de autorización de propietario del TPM. Puede que el valor se quitase después una custodia correcta. En Windows 7, MBAM no puede leer el valor si el TPM es propiedad de otros usuarios.
    MBAM_E_REBOOT_REQUIRED 2147746308 (0x80040204)	El equipo debe reiniciarse para que el TPM se establezca en el estado correcto. Tendrá que reiniciar manualmente el equipo.
    MBAM_E_SHUTDOWN_REQUIRED 2147746309 (0x80040205)	Se debe apagar el equipo y volver a encenderlo para establecer el TPM en el estado correcto. Tendrá que reiniciar manualmente el equipo.
    WS_E_ENDPOINT_ACCESS_DENIED 2151481349 (0x803D0005)	El extremo remoto denegó el acceso.
    WS_E_ENDPOINT_NOT_FOUND 2151481357 (0x803D000D)	El extremo remoto no existe o no encontró.
    WS_E_ENDPOINT_FAILURE 2151481357 (0x803D000F)	El extremo remoto no pudo procesar la solicitud.
    WS_E_ENDPOINT_UNREACHABLE 2151481360 (0x803D0010)	No se pudo acceder al extremo remoto.
    WS_E_ENDPOINT_FAULT_RECEIVED 2151481363 (0x803D0013)	Se recibió un mensaje que contiene un error del extremo remoto. Asegúrese de que se conecta al extremo de servicio correcto.
    WS_E_INVALID_ENDPOINT_URL 2151481376 (0x803D0020)	La dirección URL de extremo no es válida. La dirección URL debe comenzar con "http" o "https".

    ReportStatus: Lee el estado de cumplimiento de normas del volumen y lo envía a la base de datos de estado de cumplimiento de MBAM mediante el servicio de informes de estado de MBAM. El estado incluye la intensidad de cifrado, el tipo de protector, el estado de protector y el estado de cifrado. Si no puede hacerlo, se devuelve un código de error para solución de problemas.

    Parámetro	Descripción
    ReportingServiceEndPoint	Cadena que especifica el extremo de servicio de informes de estado de MBAM.

    Valores devueltos comunes	Mensaje de error
    S_OK 0 (0x0)	El método se ejecutó correctamente
    WS_E_ENDPOINT_ACCESS_DENIED 2151481349 (0x803D0005)	El extremo remoto denegó el acceso.
    WS_E_ENDPOINT_NOT_FOUND 2151481357 (0x803D000D)	El extremo remoto no existe o no encontró.
    WS_E_ENDPOINT_FAILURE 2151481357 (0x803D000F)	El extremo remoto no pudo procesar la solicitud.
    WS_E_ENDPOINT_UNREACHABLE 2151481360 (0x803D0010)	No se pudo acceder al extremo remoto.
    WS_E_ENDPOINT_FAULT_RECEIVED 2151481363 (0x803D0013)	Se recibió un mensaje que contiene un error del extremo remoto. Asegúrese de que se conecta al extremo de servicio correcto.
    WS_E_INVALID_ENDPOINT_URL 2151481376 (0x803D0020)	La dirección URL de extremo no es válida. La dirección URL debe comenzar con "http" o "https".

  • Clase WMI MBAM_Volume
    EscrowRecoveryKey: Lee el paquete de claves y la contraseña numérica de recuperación del volumen y los envía a la base de datos de recuperación de MBAM mediante el servicio de recuperación de MBAM. Si no puede hacerlo, se devuelve un código de error para solución de problemas.

    Parámetro	Descripción
    RecoveryServiceEndPoint	Cadena que especifica el extremo de servicio de recuperación de MBAM.

    Valores devueltos comunes	Mensaje de error
    S_OK 0 (0x0)	El método se ejecutó correctamente
    FVE_E_LOCKED_VOLUME 2150694912 (0x80310000)	El volumen está bloqueado.
    FVE_E_PROTECTOR_NOT_FOUND 2150694963 (0x80310033)	No se encontró un protector de contraseña numérica para el volumen.
    WS_E_ENDPOINT_ACCESS_DENIED 2151481349 (0x803D0005)	El extremo remoto denegó el acceso.
    WS_E_ENDPOINT_NOT_FOUND 2151481357 (0x803D000D)	El extremo remoto no existe o no encontró.
    WS_E_ENDPOINT_FAILURE 2151481357 (0x803D000F)	El extremo remoto no pudo procesar la solicitud.
    WS_E_ENDPOINT_UNREACHABLE 2151481360 (0x803D0010)	No se pudo acceder al extremo remoto.
    WS_E_ENDPOINT_FAULT_RECEIVED 2151481363 (0x803D0013)	Se recibió un mensaje que contiene un error del extremo remoto. Asegúrese de que se conecta al extremo de servicio correcto.
    WS_E_INVALID_ENDPOINT_URL 2151481376 (0x803D0020)	La dirección URL de extremo no es válida. La dirección URL debe comenzar con "http" o "https".

• Implementación de MBAM con Microsoft Deployment Toolkit (MDT) y PowerShell

  1. En MDT, cree un nuevo recurso compartido de implementación o abra un recurso compartido de implementación existente.

     Nota

     El script Invoke-MbamClientDeployment.ps1 de PowerShell se puede usar con cualquier proceso o la herramienta de creación de imágenes. Esta sección muestra cómo integrarlo con MDT, pero los pasos son similares a su integración con cualquier otro proceso o herramienta.

     Advertencia

     Si usa preaprovisionamiento de BitLocker (WinPE) y quiere mantener el valor de autorización de propietario de TPM, debe agregar inmediatamente el script SaveWinPETpmOwnerAuth.wsf de WinPE antes de que la instalación se reinicie en el sistema operativo completo. Si no usa este script, perderá el valor de autorización de propietario de TPM en el reinicio.

  2. Copie Invoke-MbamClientDeployment.ps1 en <DeploymentShare>\Scripts. Si usa preaprovisionamiento, copie el archivo SaveWinPETpmOwnerAuth.wsf en <DeploymentShare>\Scripts.

  3. Agregue la aplicación de cliente de MBAM 2.5 SP1 al nodo Aplicaciones del recurso compartido de implementación.

     1. En el nodo Aplicaciones, haga clic en Nueva aplicación.

     2. Seleccione Aplicación con archivos de código fuente. Haga clic en Siguiente.

     3. En Nombre de aplicación, escriba "Cliente de MBAM 2.5 SP1". Haga clic en Siguiente.

     4. Vaya al directorio que contiene MBAMClientSetup-<Version>.msi. Haga clic en Siguiente.

     5. Escriba "Cliente de MBAM 2.5 SP1" como el directorio que se va a crear. Haga clic en Siguiente.

     6. Escriba msiexec /i MBAMClientSetup-<Version>.msi /quiet en la línea de comandos. Haga clic en Siguiente.

     7. Acepte los valores predeterminados restantes para completar al Asistente para crear nuevas aplicaciones.

  4. En MDT, haga clic con el botón secundario en el nombre del recurso compartido de implementación y haga clic en Properties. Haga clic en la pestaña Rules. Agregue las siguientes líneas:

     SkipBitLocker=YES
BDEInstall=TPM
BDEInstallSuppress=NO
BDEWaitForEncryption=YES

     Haga clic en Aceptar para cerrar la ventana.

  5. En el nodo Secuencias de tareas, edite una secuencia de tareas existente que se use para la implementación de Windows. Si lo desea, puede crear una nueva secuencia de tareas haciendo clic con el botón secundario en el nodo Secuencias de tareas, seleccionando Nueva secuencia de tareas y completando el asistente.

     En La pestaña Secuencia de tareas de la secuencia de tareas seleccionada, siga estos pasos:

     1. En la carpeta Preinstalación, habilite la tarea opcional Habilitar BitLocker (sin conexión) si desea habilitar BitLocker en WinPE, que cifra solo en espacio usado.

     2. Para conservar OwnerAuth de TPM al usar preaprovisionamiento, lo que permite que MBAM la custodie más adelante, haga lo siguiente:

        1. Encuentre el paso Instalar sistema operativo

        2. Agregue un nuevo paso Ejecutar línea de comandos después de él

        3. Denomine este paso Conservar OwnerAuth de TPM

        4. Establezca la línea de comandos en cscript.exe "%SCRIPTROOT%/SaveWinPETpmOwnerAuth.wsf"

     3. En la carpeta Restaurar estado, elimine la tarea Habilitar BitLocker.

     4. En la carpeta Restaurar estado, en Tareas personalizadas, cree una nueva tarea Instalar aplicación y asígnele el nombre Instalar agente de MBAM. Haga clic en el botón de radio Instalar una sola aplicación y vaya a la aplicación cliente de MBAM 2.5 SP1 que creó antes.

     5. En la carpeta Restaurar estado, en Tareas personalizadas, cree una nueva tarea Ejecutar script de PowerShell (después del paso de la aplicación cliente de MBAM 2.5 SP1) con la configuración siguiente (actualice los parámetros según corresponda para su entorno):

        • Name                      : Configurar BitLocker para MBAM

        • Script de PowerShell: Invoke-MbamClientDeployment.ps1

        • Parámetros:

          -RecoveryServiceEndpoint	Necesario	Extremo de servicio de recuperación de MBAM
          -StatusReportingServiceEndpoint	Opcional:	Extremo de servicio de informes de estado de MBAM
          -EncryptionMethod	Opcional:	Método de cifrado (valor predeterminado: AES 128)
          -EncryptAndEscrowDataVolume	Modificador	Se especifica para cifrar volúmenes de datos y custodiar claves de recuperación de volúmenes de datos
          -WaitForEncryptionToComplete	Modificador	Se especifica para esperar a que el cifrado se complete
          -DoNotResumeSuspendedEncryption	Modificador	Se especifica que el script de implementación no reanude el cifrado suspendido
          -IgnoreEscrowOwnerAuthFailure	Modificador	Se especifica para omitir error de custodia de autenticación de propietario de TPM. Se debe usar en los escenarios donde MBAM no es capaz de leer la autorización de propietario de TPM; por ejemplo, si el aprovisionamiento automático de TPM está habilitado
          -IgnoreEscrowRecoveryKeyFailure	Modificador	Se especifica para omitir el error de custodia de clave de recuperación de volúmenes
          -IgnoreReportStatusFailure	Modificador	Se especifica para omitir errores de informes de estado

Para habilitar BitLocker con MBAM 2.5 o versiones anteriores como parte de una implementación de Windows

1. Instale el cliente de MBAM. Para obtener instrucciones, consulte Implementar el cliente de MBAM mediante una línea de comandos.

2. Una el equipo a un dominio (recomendado).

   • Si el equipo no está unido a un dominio, la contraseña de recuperación no se almacenará en el servicio de recuperación de claves de MBAM. De forma predeterminada, MBAM no permite el cifrado a menos que se pueda almacenar la clave de recuperación.

   • Si un equipo se inicia en modo de recuperación antes de que la clave de recuperación se almacene en el servidor de MBAM, no habrá ningún método de recuperación disponible y el equipo deberá restablecer la imagen inicial.

3. Abra un símbolo del sistema como administrador y detenga el servicio de MBAM.

4. Establezca el servicio en Manual o A petición escribiendo los siguientes comandos:

   net stop mbamagent

   sc config mbamagent start= demand

5. Establezca los valores del Registro de forma que el cliente de MBAM pase por alto la configuración de la directiva de grupo y defina en su lugar el cifrado para iniciar la implementación de Windows en ese equipo cliente.

   Advertencia

   Este paso describe cómo modificar el Registro de Windows. Usar incorrectamente el Editor del Registro puede causar problemas graves que pueden obligar a reinstalar Windows. No podemos garantizar que los problemas derivados de un uso incorrecto del Editor del Registro se puedan solucionar. Utilice el Editor del Registro bajo su responsabilidad.

   1. Establezca el TPM para cifrar únicamente el sistema operativo, ejecute Regedit.exe y, después, importe la plantilla de clave del Registro de C:\Archivos de programa\Microsoft\MDOP MBAM\MBAMDeploymentKeyTemplate.reg.

   2. En Regedit.exe, vaya a HKLM\SOFTWARE\Microsoft\MBAM y configure las opciones recogidas en la siguiente tabla.

      Nota

      Aquí puede establecer configuraciones de directiva de grupo o valores de Registro correspondientes a MBAM. Esta configuración reemplazará los valores definidos anteriormente.

   Entrada del Registro	Opciones de configuración
   DeploymentTime	0 = desactivado
   	1 = usar la configuración de directivas de tiempo de implementación (valor predeterminado). Use esta configuración para habilitar el cifrado cuando Windows se implemente en el equipo cliente.
   UseKeyRecoveryService	0 = No utilizar la custodia de clave (en este caso, no se requieren las dos entradas del Registro siguientes)
   	1 = Utilizar la custodia de clave del sistema de recuperación de claves (valor predeterminado) Se trata de la configuración recomendada, que hace posible que MBAM almacene las claves de recuperación. El equipo debe ser capaz de comunicarse con el servicio de recuperación de claves de MBAM. Compruebe que el equipo puede comunicarse con el servicio antes de continuar.
   KeyRecoveryOptions	0 = Cargar únicamente la clave de recuperación
   	1 = Cargar la clave de recuperación y el paquete de recuperación de clave (valor predeterminado)
   KeyRecoveryServiceEndPoint	Establezca este valor en la dirección URL del servidor donde se ejecuta el servicio de recuperación de claves (por ejemplo, http://<nombre del equipo>/MBAMRecoveryAndHardwareService/CoreService.svc).

6. El cliente de MBAM reiniciará el sistema durante la implementación del cliente de MBAM. Cuando esté preparado para el reinicio, ejecute el siguiente comando en un símbolo del sistema como administrador:

   net start mbamagent

7. Cuando el equipo se reinicie y el BIOS le pregunte, acepte el cambio del TPM.

8. Durante el proceso de creación de imágenes del sistema operativo de cliente de Windows, cuando esté listo para comenzar el cifrado, abra un símbolo del sistema como administrador y escriba los siguientes comandos para establecer el inicio en Automático y reiniciar el agente del cliente de MBAM:

   sc config mbamagent start= auto

   net start mbamagent

9. Para eliminar los valores de omisión del Registro, ejecute Regedit.exe y vaya a la entrada del Registro HKLM\SOFTWARE\Microsoft. Haga clic con el botón secundario en el nodo MBAM y, luego, haga clic en Eliminar.

   ¿Tiene alguna sugerencia sobre MBAM? Agregue o vote sugerencias aquí. ¿
   Tiene un problema de MBAM? Use el foro de TechNet de MBAM.

Véase también

Conceptos

Planeación para la implementación de clientes de MBAM 2.5

Otros recursos

Implementación de cliente de MBAM 2.5