Acerca de MBAM 2.5

Artículo
11/03/2015

Se aplica a: Microsoft BitLocker Administration and Monitoring 2.5

Microsoft BitLocker Administration and Monitoring (MBAM) 2.5 proporciona una interfaz administrativa simplificada para el Cifrado de unidad BitLocker. BitLocker ofrece una mejor protección frente al robo o la exposición de los datos en caso de pérdida o robo de un equipo. BitLocker cifra todos los datos que se almacenan en las unidades y los volúmenes del sistema operativo Windows y las unidades de datos configuradas.

Introducción a MBAM

MBAM 2.5 tiene las siguientes características:

Permite a los administradores automatizar el proceso de cifrado de volúmenes en los equipos de cliente de toda una empresa.
Permite a los responsables de seguridad determinar rápidamente el estado de cumplimiento de equipos individuales o incluso de la propia empresa.
Permite generar informes y administrar el hardware mediante Microsoft System Center Configuration Manager.
Reduce la carga de trabajo del departamento de soporte técnico para ayudar a los usuarios finales con las solicitudes de clave de recuperación y PIN de BitLocker.
Permite a los usuarios finales recuperar dispositivos cifrados de forma independiente mediante el uso del portal de autoservicio.
Permite a los responsables de seguridad auditar fácilmente el acceso para recuperar información de la clave.
Permite a los usuarios de Windows Enterprise seguir trabajando desde cualquier lugar con la garantía de que los datos de su empresa están protegidos.

MBAM aplica las opciones de directiva de cifrado de BitLocker que configure para la empresa, supervisa el cumplimiento de esas directivas por parte de los equipos cliente y notifica el estado de cifrado de los equipos personales y de la empresa. Además, MBAM le permite obtener acceso a la información de clave de recuperación cuando un usuario olvida el PIN o la contraseña, o cuando cambia el BIOS o los registros de arranque.

Los siguientes grupos podrían estar interesados en utilizar MBAM para administrar BitLocker:

Administradores, profesionales de seguridad de TI y responsables de cumplimiento encargados de garantizar que no se revele información confidencial sin autorización.
Administradores que sean responsables de la seguridad de los equipos de oficinas remotas o sucursales.
Administradores que sean responsables de los equipos cliente que ejecutan Windows

Nota

BitLocker no se trata con detalle en esta documentación de MBAM. Para obtener más información, consulte Introducción al cifrado de unidad BitLocker.

Novedades de MBAM 2.5

En esta sección se describen las nuevas características de MBAM 2.5.

Compatibilidad para Microsoft SQL Server 2014

MBAM agrega compatibilidad para Microsoft SQL Server 2014, además del mismo software que se admite en versiones anteriores de MBAM.

Las plantillas de directivas de grupo de MBAM se descargan por separado.

Las plantillas de directivas de grupo de MBAM deben descargarse por separado desde la instalación de MBAM. En las versiones anteriores de MBAM, el instalador de MBAM incluía una plantilla de directiva de MBAM, que contenía los objetos de directiva de grupo (GPO) específicos de MBAM que definen la configuración de implementación de MBAM para el Cifrado de unidad BitLocker. Estos GPO se han eliminado del instalador de MBAM. Ahora debe descargar los GPO desde Cómo obtener plantillas de directivas de grupo MDOP (.admx) y copiarlos en un servidor o estación de trabajo antes de comenzar con la instalación del cliente de MBAM. Puede copiar las plantillas de directivas de grupo en cualquier servidor o estación de trabajo que ejecute una versión compatible de Windows Server o del sistema operativo Windows.

Importante

No cambie la configuración de la directiva de grupo en el nodo Cifrado de unidad BitLocker, porque si lo hace MBAM no funcionará correctamente. Al realizar la configuración de la directiva de grupo en el nodo MDOP MBAM (Administración de BitLocker), MBAM configura de forma automática el Cifrado de unidad BitLocker.

Los archivos de plantilla que debe copiar en un servidor o estación de trabajo son:

BitLockerManagement.adml
BitLockerManagement.admx
BitLockerUserManagement.adml
BitLockerUserManagement.admx

Copie los archivos de plantilla en la ubicación que mejor se ajuste a sus necesidades. En el caso de los archivos específicos de un idioma, que deben copiarse en una carpeta específica para ese idioma, es necesario disponer de la Consola de administración de directivas de grupo para ver los archivos.

Para instalar los archivos de plantilla de forma local en un servidor o estación de trabajo, copie los archivos en una de las siguientes ubicaciones.

Tipo de archivo	Ubicación del archivo
independiente del idioma (.admx)	%systemroot%\policyDefinitions
específico de un idioma (.adml)	%systemroot%\policyDefinitions\[idioma-cultura] (por ejemplo, el archivo específico para el inglés de Estados Unidos se almacenará en %systemroot%\policyDefinitions\en-us)

Para que las plantillas estén disponibles para todos los administradores de directivas de grupo de un dominio, copie los archivos en una de las siguientes ubicaciones de un controlador de dominio.

Tipo de archivo	Ubicación de archivo de controlador de dominio
Independiente del idioma (.admx)	%systemroot%sysvol\domain\policies\PolicyDefinitions
Específico de un idioma (.adml)	%systemroot%\sysvol\domain\policies\PolicyDefinitions\[idioma-cultura] (por ejemplo, el archivo específico para el inglés de Estados Unidos se almacenará en %systemroot%\sysvol\domain\policies\PolicyDefinitions\en-us)

Para obtener más información sobre archivos de plantilla, consulte Guía paso a paso para administrar archivos .admx de directivas de grupo.

Capacidad para aplicar directivas de cifrado en unidades de datos fijas y de sistema operativo.

MBAM 2.5 le permite aplicar directivas de cifrado en unidades de datos fijas y de sistema operativo en equipos de su organización y limitar el número de días que los usuarios finales pueden solicitar un aplazamiento del requisito de cumplimiento de las directivas de cifrado de MBAM.

Para permitirle configurar la aplicación de la directiva de cifrado, se debe agregar una nueva configuración de directiva de grupo, denominada Configuración de aplicación de directiva de cifrado, para las unidades de datos fijas y de sistema operativo. Esta directiva se describe en la siguiente tabla.

Configuración de directiva de grupo	Descripción	El nodo de Directiva de grupo se utiliza para configurar esta opción
Configuración de aplicación de directiva de cifrado (unidad de sistema operativo)	Para esta configuración, utilice la opción Configurar el número de días del período de gracia para unidades de sistema operativo no conformes para configurar un período de gracia. El período de gracia especifica el número de días que los usuarios finales pueden posponer el cumplimiento de las directivas de MBAM en su unidad de sistema operativo después de que se haya detectado por primera vez que dicha unidad no cumple con las directivas mencionadas. Una vez expirado el período de gracia configurado, los usuarios no podrán posponer la acción requerida o solicitar una excepción. Si es necesaria la interacción del usuario (por ejemplo, si utiliza el Módulo de plataforma segura (TPM) y PIN o si utiliza un protector de contraseña), se mostrará un cuadro de diálogo que los usuarios no podrán cerrar hasta que hayan proporcionado la información requerida. Si el TPM es el único protector, se inicia de inmediato el cifrado en segundo plano sin la interacción del usuario. Los usuarios no pueden solicitar ningún tipo de exención mediante el asistente de cifrado de BitLocker. En su lugar, deben ponerse en contacto con su departamento de soporte técnico o utilizar el procedimiento que se utilice en su organización para realizar solicitudes de exención.	Configuración del equipo > Directivas > Plantillas administrativas > Componentes de Windows > MDOP MBAM (Administración de BitLocker) > Unidad de sistema operativo
Configuración de aplicación de directiva de cifrado (unidades de datos fijas)	Para esta configuración, utilice la opción Configurar el número de días del período de gracia para unidades fijas no conformes para configurar un período de gracia. El período de gracia especifica el número de días que los usuarios finales pueden posponer el cumplimiento de las directivas de MBAM en su unidad fija después de que se haya detectado por primera vez que dicha unidad no cumple con las directivas mencionadas. Este período de gracia se inicia cuando la unidad fija se establece como no conforme. Si utiliza el desbloqueo automático, la directiva no se aplicará hasta que la unidad del sistema operativo cumpla con las directivas mencionadas. Sin embargo, si no está utilizando el desbloqueo automático, el cifrado de la unidad de datos fija puede comenzar antes de que la unidad del sistema operativo esté totalmente cifrada. Una vez expirado el período de gracia configurado, los usuarios no podrán posponer la acción requerida o solicitar una excepción. Si se requiere la interacción del usuario, se mostrará un cuadro de diálogo que el usuario no podrá cerrar hasta que proporcione la información requerida.	Configuración del equipo > Directivas > Plantillas administrativas > Componentes de Windows > MDOP MBAM (Administración de BitLocker) > Unidad fija

Configuración de aplicación de directiva de cifrado (unidad de sistema operativo)

Para esta configuración, utilice la opción Configurar el número de días del período de gracia para unidades de sistema operativo no conformes para configurar un período de gracia.

El período de gracia especifica el número de días que los usuarios finales pueden posponer el cumplimiento de las directivas de MBAM en su unidad de sistema operativo después de que se haya detectado por primera vez que dicha unidad no cumple con las directivas mencionadas.

Una vez expirado el período de gracia configurado, los usuarios no podrán posponer la acción requerida o solicitar una excepción.

Si es necesaria la interacción del usuario (por ejemplo, si utiliza el Módulo de plataforma segura (TPM) y PIN o si utiliza un protector de contraseña), se mostrará un cuadro de diálogo que los usuarios no podrán cerrar hasta que hayan proporcionado la información requerida. Si el TPM es el único protector, se inicia de inmediato el cifrado en segundo plano sin la interacción del usuario.

Los usuarios no pueden solicitar ningún tipo de exención mediante el asistente de cifrado de BitLocker. En su lugar, deben ponerse en contacto con su departamento de soporte técnico o utilizar el procedimiento que se utilice en su organización para realizar solicitudes de exención.

Configuración del equipo > Directivas > Plantillas administrativas > Componentes de Windows > MDOP MBAM (Administración de BitLocker) > Unidad de sistema operativo

Configuración de aplicación de directiva de cifrado (unidades de datos fijas)

Para esta configuración, utilice la opción Configurar el número de días del período de gracia para unidades fijas no conformes para configurar un período de gracia.

El período de gracia especifica el número de días que los usuarios finales pueden posponer el cumplimiento de las directivas de MBAM en su unidad fija después de que se haya detectado por primera vez que dicha unidad no cumple con las directivas mencionadas.

Este período de gracia se inicia cuando la unidad fija se establece como no conforme. Si utiliza el desbloqueo automático, la directiva no se aplicará hasta que la unidad del sistema operativo cumpla con las directivas mencionadas. Sin embargo, si no está utilizando el desbloqueo automático, el cifrado de la unidad de datos fija puede comenzar antes de que la unidad del sistema operativo esté totalmente cifrada.

Una vez expirado el período de gracia configurado, los usuarios no podrán posponer la acción requerida o solicitar una excepción. Si se requiere la interacción del usuario, se mostrará un cuadro de diálogo que el usuario no podrá cerrar hasta que proporcione la información requerida.

Configuración del equipo > Directivas > Plantillas administrativas > Componentes de Windows > MDOP MBAM (Administración de BitLocker) > Unidad fija

Capacidad para proporcionar una dirección URL en el asistente para cifrado de unidad BitLocker que apunte a su directiva de seguridad

Una nueva opción de directiva de grupo, Proporcionar la dirección URL del vínculo de directiva de seguridad, le permite configurar una dirección URL que se mostrará a los usuarios finales como un vínculo denominado Directiva de seguridad de la compañía. Este vínculo se mostrará cuando MBAM solicite a los usuarios que cifren un volumen.

Si habilita esta configuración de directiva, puede configurar la dirección URL del vínculo Directiva de seguridad de la compañía. Si se deshabilita o no se establece esta configuración de directiva, el vínculo Directiva de seguridad de la compañía no se mostrará a los usuarios.

La nueva configuración de directiva de grupo se encuentra en el siguiente nodo del GPO: Configuración del equipo > Directivas > Plantillas administrativas > Componentes de Windows > MDOP MBAM (Administración de BitLocker) > Administración de cliente.

Compatibilidad con claves de recuperación conformes a FIPS

MBAM 2.5 es compatible con las claves de recuperación de BitLocker conformes con la norma federal de procesamiento de información (FIPS) en dispositivos que ejecuten el sistema operativo Windows 8.1. La clave de recuperación no cumplía con FIPS en las versiones anteriores de Windows. De este modo se mejora el proceso de recuperación de unidades en organizaciones que deban cumplir con la norma FIPS, ya que permite a los usuarios finales utilizar el portal de autoservicio o el sitio web de Administration and Monitoring (departamento de soporte técnico) para recuperar sus unidades si olvidan su PIN o su contraseña o si se bloquea el acceso a sus equipos. La nueva característica de cumplimiento de FIPS no se extiende a los protectores de contraseña.

Para habilitar el cumplimiento de FIPS en su organización, debe configurar el conjunto de directivas de grupo de la norma federal de procesamiento de información (FIPS). Para obtener instrucciones sobre la configuración, consulte Configuración de directivas de grupo de BitLocker.

Para equipos cliente que ejecuten los sistemas operativos Windows 8 o Windows 7 sin la revisión de BitLocker instalada, los administradores de TI seguirán usando el protector de agentes de recuperación de datos (DRA) en los entornos conformes a FIPS. Para obtener información sobre DRA, consulte Uso de agentes de recuperación de datos con BitLocker.

Vea Revisión 2 para BitLocker Administration and Monitoring 2.5 para descargar e instalar la revisión de BitLocker para equipos con Windows 7 y Windows 8.

Compatibilidad para implementaciones de alta disponibilidad

MBAM es compatible con los siguientes escenarios de alta disponibilidad además de con las topologías normales de dos servidores y de integración de Configuration Manager:

Grupos de disponibilidad AlwaysOn de SQL Server
Agrupación en clústeres de SQL Server
Equilibrio de carga de red (NLB)
Creación de reflejo de SQL Server
Copia de seguridad de servicio de instantáneas de volumen (VSS)

Para obtener más información acerca de estas características, consulte Planeación de alta disponibilidad de MBAM 2.5.

Cambio en la administración de roles para el sitio web de Administration and Monitoring

En MBAM 2.5, debe crear los grupos de seguridad en Servicios de dominio de Active Directory (AD DS) para administrar los roles que proporcionan derechos de acceso al sitio web de Administration and Monitoring. Los roles permiten a los usuarios que están en grupos de seguridad específicos realizar distintas tareas en el sitio web, como ver informes o ayudar a usuarios finales a recuperar unidades cifradas. En las versiones anteriores de MBAM, los roles se administraban mediante el uso de grupos locales.

En MBAM 2.5, el término "roles" reemplaza al término "roles de administrador", utilizado en versiones anteriores de MBAM. Además, en MBAM 2.5 se ha eliminado el rol "Administradores de sistema de MBAM”.

La siguiente tabla contiene los grupos de seguridad que debe crear en AD DS. Puede asignar a los grupos de seguridad el nombre que desee.

Rol	Derechos de acceso para este rol en el sitio web de Administration and Monitoring
Usuarios de soporte técnico de MBAM	Proporciona acceso a las áreas de administración de TPM y recuperación de unidades del sitio web de MBAM Administration and Monitoring. Los usuarios que tienen acceso a estas áreas deben rellenar todos los campos cuando utilicen cualquiera de estas áreas.
Usuarios de informes de MBAM	Proporciona acceso a los informes en el sitio web de Administration and Monitoring.
Usuarios de soporte técnico avanzado de MBAM	Proporciona acceso a todas las áreas del sitio web de Administration and Monitoring. Para ayudar a los usuarios a recuperar sus unidades, los usuarios de este grupo solo deben escribir la clave de recuperación, no el dominio ni el nombre del usuario final. Si un usuario es miembro de los grupos Usuarios de soporte técnico de MBAM y Usuarios de soporte técnico avanzado de MBAM, los permisos del grupo Usuarios de soporte técnico avanzado de MBAM reemplazan a los permisos del grupo Usuarios de soporte técnico de MBAM.

Una vez que haya creado los grupos de seguridad en AD DS, asigne los usuarios o grupos al grupo de seguridad adecuado para habilitar el correspondiente nivel de acceso al sitio web de Administration and Monitoring. Para permitir a los miembros de cada rol acceder al sitio web de Administration and Monitoring, debe especificar también cada grupo de seguridad al configurar el sitio web de Administration and Monitoring.

Cmdlets de Windows PowerShell para configurar las características de servidor de MBAM

Los cmdlets de Windows PowerShell para MBAM 2.5 le permiten configurar y administrar las características de servidor de MBAM. Cada característica tiene un cmdlet de Windows PowerShell correspondiente que puede utilizar para habilitar o deshabilitar características o para obtener información sobre la característica.

Para obtener información sobre los requisitos previos para usar Windows PowerShell, consulte Configuración de características de servidor de MBAM 2.5 mediante Windows PowerShell.

Para cargar la ayuda de MBAM 2.5 para cmdlets de Windows PowerShell tras instalar el software del servidor de MBAM

Abra Windows PowerShell o el Entorno de scripting integrado de Windows PowerShell (ISE).
Escriba Update-Help –Module Microsoft.MBAM.

La ayuda de Windows PowerShell para MBAM se encuentra disponible en los siguientes formatos:

Formato de ayuda de Windows PowerShell	Más información
En un símbolo del sistema de Windows PowerShell, escriba Get-Help <cmdlet>	Para cargar los últimos cmdlets de Windows PowerShell, siga las instrucciones de la sección anterior relativas a cómo cargar la ayuda de Windows PowerShell para MBAM.
En TechNet, como páginas web	https://go.microsoft.com/fwlink/?LinkId=393498
En el Centro de descarga, como un archivo .docx de Word	https://go.microsoft.com/fwlink/?LinkId=393497
En el Centro de descarga, como un archivo .pdf	https://go.microsoft.com/fwlink/?LinkId=393499

Compatibilidad para PIN solo de ASCII y mejorados, y capacidad para impedir caracteres secuenciales y repetidos

Configuración de directiva de grupo Permitir PIN de inicio mejorados

La configuración de directiva de grupo Permitir PIN de inicio mejorados le permite configurar si se usarán PIN de inicio mejorados con BitLocker. Los PIN de inicio mejorados permiten a los usuarios escribir cualquier tecla de un teclado completo, incluidas letras mayúsculas y minúsculas, símbolos, números y espacios. Si habilita esta configuración de directiva, todos los PIN de inicio de BitLocker nuevos que se establezcan serán PIN mejorados. Si se deshabilita o no se establece esta configuración de directiva, no se podrán usar PIN mejorados.

No todos los equipos son compatibles con la entrada de PIN mejorados en el entorno de ejecución previo al arranque (PXE). Antes de habilitar esta configuración de directiva de grupo para su organización, ejecute una comprobación de sistema durante el proceso de configuración de BitLocker para asegurarse de que el BIOS del equipo sea compatible con el uso de todo el teclado en PXE. Para obtener más información, consulte Planeación para los requisitos de directiva de grupo de MBAM 2.5.

Casilla Requerir PIN solo de ASCII

La configuración de directiva de grupo Permitir PIN de inicio mejorados también contiene una casilla Requerir PIN solo de ASCII. Si los equipos de su organización no son compatibles con el uso de todo el teclado en PXE, debe habilitar la configuración de directiva de grupo Permitir PIN de inicio mejorados y, después, seleccionar la casilla Requerir PIN solo de ASCII para requerir que los PIN mejorados utilicen únicamente caracteres ASCII imprimibles.

Uso forzado de caracteres no secuenciales y no repetidos

MBAM 2.5 impide a los usuarios finales crear PIN que consistan en números repetidos (como 1111) o secuenciales (como 1234). Si un usuario final intenta escribir una contraseña que contenga tres o más números repetidos o secuenciales, el asistente para Cifrado de unidad BitLocker muestra un mensaje de error e impide que el usuario escriba un PIN con los caracteres prohibidos.

Adición del certificado de DRA al informe de cumplimiento del equipo de BitLocker

Se ha agregado un nuevo tipo de protector, el certificado de agente de recuperación de datos (DRA), al informe de cumplimiento del equipo de BitLocker en Configuration Manager. Este tipo de protector se aplica a las unidades de sistema operativo y se muestra en la sección Volúmenes del equipo en la columna Tipos de protector.

Compatibilidad para implementaciones con compatibilidad para bosques múltiples

MBAM 2.5 admite los siguientes tipos de implementaciones de bosques múltiples:

Bosque único con dominio único
Bosque único con árbol único y varios dominios
Bosque único con varios árboles y espacios de nombres separados
Bosques múltiples en una topología de bosque central
Bosques múltiples en una topología de bosque de recursos

No se permite la migración de bosques (pasar de bosque único a múltiples bosques, de múltiples a único, de recurso a todo el bosque, etc.) ni la actualización o cambio a versiones anteriores.

Los requisitos previos para implementar MBAM en implementaciones de bosques múltiples son:

El bosque se debe estar ejecutando en versiones compatibles de Windows Server.
Se requiere confianza bidireccional o unidireccional. Las confianzas unidireccionales requieren que el dominio del servidor confíe en el dominio del cliente. En otras palabras, el dominio del servidor apunta al dominio del cliente.

Compatibilidad de cliente de MBAM para unidades de disco duro cifradas

MBAM es compatible con BitLocker en unidades de disco duro cifradas que cumplen los requisitos de la especificación de TCG para Opal, así como los estándares IEEE 1667. Cuando se habilita BitLocker en estos dispositivos, se generan claves y se realizan funciones de administración en la unidad cifrada. Consulte Unidad de disco de duro cifrada para obtener más información.

Cómo obtener las tecnologías MDOP

MBAM forma parte del Paquete de optimización de escritorio Microsoft (MDOP). MDOP forma parte del programa Microsoft Software Assurance. Para obtener más información sobre el programa Microsoft Software Assurance y cómo adquirir el MDOP, consulte How Do I Get MDOP (Cómo obtener MDOP).

Notas de la versión de MBAM 2.5

Para obtener más información y conocer las noticias de última hora que no se incluyen en la documentación, consulte las Notas de la versión de MBAM 2.5.

¿Tiene alguna sugerencia sobre MBAM?

Agregue o vote sugerencias aquí. Para problemas de MBAM, use el foro de TechNet de MBAM.