Acerca de MBAM 2.5 SP1

  • Artículo

Se aplica a: Microsoft BitLocker Administration and Monitoring 2.5 SP1

MBAM 2.5 SP1 ofrece una interfaz administrativa simplificada para el Cifrado de unidad BitLocker. BitLocker ofrece una mejor protección frente al robo o la exposición de los datos en caso de pérdida o robo de un equipo. BitLocker cifra todos los datos que se almacenan en el sistema operativo Windows y las unidades, y las unidades de datos configuradas.

Introducción a MBAM

MBAM 2.5 SP1 presenta las siguientes características:

  • Permite a los administradores automatizar el proceso de cifrado de volúmenes en los equipos de cliente de toda una empresa.

  • Permite a los responsables de seguridad determinar rápidamente el estado de cumplimiento de equipos individuales o incluso de la propia empresa.

  • Permite generar informes y administrar el hardware mediante Microsoft System Center Configuration Manager.

  • Reduce la carga de trabajo del departamento de soporte técnico para ayudar a los usuarios finales con las solicitudes de clave de recuperación y PIN de BitLocker.

  • Permite a los usuarios finales recuperar dispositivos cifrados de forma independiente mediante el uso del portal de autoservicio.

  • Permite a los responsables de seguridad auditar fácilmente el acceso para recuperar información de la clave.

  • Permite a los usuarios de Windows Enterprise seguir trabajando desde cualquier lugar con la garantía de que los datos de su empresa están protegidos.

MBAM aplica las opciones de directiva de cifrado de BitLocker que configure para la empresa, supervisa el cumplimiento de esas directivas por parte de los equipos cliente y notifica el estado de cifrado de los equipos personales y de la empresa. Además, MBAM le permite obtener acceso a la información de clave de recuperación cuando un usuario olvida el PIN o la contraseña, o cuando cambia el BIOS o los registros de arranque.

Los siguientes grupos podrían estar interesados en utilizar MBAM para administrar BitLocker:

  • Administradores, profesionales de seguridad de TI y responsables de cumplimiento encargados de garantizar que no se revele información confidencial sin autorización.

  • Administradores que sean responsables de la seguridad de los equipos de oficinas remotas o sucursales.

  • Administradores que sean responsables de los equipos cliente que ejecutan Windows

Nota

BitLocker no se trata con detalle en esta documentación de MBAM. Para obtener más información, consulte Introducción al cifrado de unidad BitLocker.

Novedades de MBAM 2.5 SP1

En esta sección se describen las nuevas características de MBAM 2.5 SP1.

Idiomas recién admitidos en el cliente de MBAM 2.5 SP1

Ahora se admiten los siguientes idiomas adicionales en MBAM 2.5 SP1 solo para el cliente de MBAM, incluido el Portal de autoservicio:

  • Checo (República Checa) cs-CZ

  • Danés (Dinamarca) da-DK

  • Neerlandés (Países Bajos) nl-NL

  • Finés (Finlandia) fi-FI

  • Griego (Grecia) el-GR

  • Húngaro (Hungría) hu-HU

  • Noruego, Bokmål (Noruega) nb-NO

  • Polaco (Polonia) pl-PL

  • Portugués (Portugal) pt-PT

  • Eslovaco (Eslovaquia) sk-SK

  • Esloveno (Eslovenia) sl-SL

  • Sueco (Suecia) sv-SE

  • Turco (Turquía) tr-TR

Para obtener una lista de todos los idiomas admitidos para cliente y servidor en MBAM 2.5 y MBAM 2.5 SP1, vea Configuraciones admitidas de MBAM 2.5.

Compatibilidad con Windows 10

MBAM 2.5 SP1 agrega compatibilidad con Windows 10, además del mismo software que se admite en versiones anteriores de MBAM.

Windows 10 se admite tanto en MBAM 2.5 como en MBAM 2.5 SP1.

Compatibilidad con Microsoft SQL Server 2014 SP1

MBAM 2.5 SP1 agrega compatibilidad con Microsoft SQL Server 2014 SP1, además del mismo software que se admite en versiones anteriores de MBAM.

MBAM ya no se incluye con MSI independiente

A partir de MBAM 2.5 SP1, ya no se incluye un archivo de MSI independiente con el producto MBAM. Sin embargo, puede extraer el archivo MSI del archivo ejecutable (.exe) que se incluye con el producto.

MBAM puede custodiar contraseñas OwnerAuth sin ser el propietario de TPM

Antes, si MBAM no era propietario del TPM, no podía custodiar OwnerAuth de TPM en la base de datos de MBAM. Para configurar MBAM para que fuera propietario del TPM y almacenara las contraseñas, había que deshabilitar el aprovisionamiento automático de TPM y borrar el TPM en el equipo cliente.

En Windows 8 y versiones posteriores, MBAM 2.5 SP1 ahora puede custodiar contraseñas OwnerAuth sin ser el propietario de TPM. Durante el inicio del servicio, MBAM realiza consultas para ver si ya es propietario del TPM y, si lo es, solicita las contraseñas del sistema operativo. Las contraseñas se custodian en la base de datos de MBAM. Además, debe establecerse la directiva de grupo para impedir que OwnerAuth se elimine localmente.

En Windows 7, MBAM debe ser propietario del TPM para custodiar automáticamente la información de OwnerAuth de TPM en la base de datos de MBAM. Si MBAM no es propietario del TPM, y la copia de seguridad de Active Directory (AD) de los TPM está configurada a través de una directiva de grupo, deben usarse los cmdlets de importación de datos de Active Directory (AD) de MBAM para copiar la OwnerAuth de TPM desde AD en la base de datos de MBAM. Estos son cinco nuevos cmdlets de PowerShell que rellenan previamente las bases de datos de MBAM con información de propietario del TPM y de recuperación de volúmenes que se almacena en Active Directory.

Para obtener más información, consulte Configure MBAM to escrow the TPM and store OwnerAuth passwords.

MBAM puede desbloquear automáticamente el TPM después de un bloqueo

En equipos con TPM 1.2, ahora puede configurar MBAM para que desbloquee automáticamente el TPM en el caso de bloqueo. Si la característica de restablecimiento automático de bloqueo de TPM está habilitada, MBAM puede detectar que un usuario está bloqueado y obtener la contraseña OwnerAuth de la base de datos de MBAM para desbloquear automáticamente el TPM para el usuario.

Esta característica debe habilitarse en el lado servidor y en la directiva de grupo del lado cliente. Para obtener más información, consulte Configure MBAM to automatically unlock the TPM after a lockout.

Compatibilidad con protectores de contraseña numérica de BitLocker conformes a FIPS

Se agregó compatibilidad de MBAM 2.5 con claves de recuperación de BitLocker conformes al Estándar federal de procesamiento de información (FIPS) en dispositivos que ejecuten el sistema operativo Windows 8.1. Pero Windows no implementó claves de recuperación conforme a FIPS en Windows 7. Por lo tanto, sigue siendo necesario que los dispositivos con Windows 7 y Windows 8 tengan un protector de agente de recuperación de datos (DRA) para recuperación.

El equipo de Windows adaptó versiones anteriores de claves de recuperación conformes a FIPS con una revisión y MBAM 2.5 SP1 incorpora compatibilidad con ellas también.

Nota

Los equipos cliente que ejecutan el sistema operativo Windows 8 aún requieren un protector de DRA, ya que la revisión no era compatible con versiones anteriores en ese sistema operativo. Vea Revisión 2 para BitLocker Administration and Monitoring 2.5 para descargar e instalar la revisión de BitLocker para equipos con Windows 7 y Windows 8. Para obtener información sobre DRA, consulte Uso de agentes de recuperación de datos con BitLocker.

Para habilitar el cumplimiento de FIPS en su organización, debe configurar el conjunto de directivas de grupo de la norma federal de procesamiento de información (FIPS). Para obtener instrucciones sobre la configuración, consulte Configuración de directivas de grupo de BitLocker.

Personalizar la dirección URL y el mensaje de recuperación previo al arranque con la nueva configuración de directiva de grupo

Una nueva configuración de directiva de grupo, Configurar la dirección URL y el mensaje de recuperación previo al arranque, permite configurar un mensaje de recuperación personalizado o especificar una dirección URL que luego se muestra en la pantalla de recuperación prearranque de BitLocker cuando se bloquea la unidad del sistema operativo. Esta opción solo está disponible en equipos cliente que ejecutan Windows 10.

Si habilita esta configuración de directiva, puede seleccionar una de estas opciones para el mensaje de recuperación prearranque:

  • Usar un mensaje de recuperación personalizado: Seleccione esta opción para incluir un mensaje personalizado en la pantalla de recuperación prearranque de BitLocker.

  • Usar una dirección URL de recuperación personalizada: Seleccione esta opción para reemplazar la dirección URL predeterminada que se muestra en la pantalla de recuperación prearranque de BitLocker.

  • Usar la dirección URL y el mensaje de recuperación predeterminados: Seleccione esta opción para mostrar la dirección URL y el mensaje de recuperación predeterminados en la pantalla de recuperación prearranque de BitLocker. Si anteriormente configuró una dirección URL o un mensaje de recuperación personalizado y quiere restablecer el mensaje predeterminado, debe habilitar esta directiva y seleccionar esta opción.

La nueva configuración de directiva de grupo se encuentra en el siguiente nodo del GPO: Configuración del equipo > Directivas > Plantillas administrativas > Componentes de Windows > MDOP MBAM (Administración de BitLocker) > Unidad de sistema operativo. Para obtener más información, consulte Planeación para los requisitos de directiva de grupo de MBAM 2.5.

MBAM agregó compatibilidad con Cifrado en espacio utilizado

En MBAM 2.5 SP1, si habilita Cifrado en espacio utilizado a través de la directiva de grupo de BitLocker, el cliente de MBAM lo respetará.

Esta configuración de directiva de grupo se denomina Aplicar tipo de cifrado de unidad en unidades de sistema operativo y se encuentra en el siguiente nodo de GPO: Configuración del equipo > Plantillas administrativas > Componentes de Windows>Cifrado de unidad BitLocker>Unidades del sistema operativo. Si habilita esta directiva y selecciona el tipo de cifrado como Cifrado solo en espacio utilizado, MBAM respetará la directiva y BitLocker solo cifrará el espacio en disco que se usa en el volumen.

Para obtener más información, consulte Planeación para los requisitos de directiva de grupo de MBAM 2.5.

Compatibilidad de cliente de MBAM para unidades de disco duro cifradas

MBAM es compatible con BitLocker en unidades de disco duro cifradas que cumplen los requisitos de la especificación de TCG para Opal, así como los estándares IEEE 1667. Cuando se habilita BitLocker en estos dispositivos, se generan claves y se realizan funciones de administración en la unidad cifrada. Consulte Unidad de disco de duro cifrada para obtener más información.

Ya no se requiere configuración de delegación al registrar SPN

El requisito para configurar la delegación restringida para los SPN que se registran para la cuenta de grupo de aplicaciones ya no es necesario en MBAM 2.5 SP1. Aunque sigue siendo un requisito para MBAM 2.5.

Habilitar BitLocker con MBAM como parte de una implementación de Windows

En MBAM 2.5 SP1, puede usar un script de PowerShell para configurar el cifrado de unidad BitLocker y custodiar claves de recuperación en el servidor de MBAM.

Para obtener más información, vea Cómo habilitar BitLocker con MBAM como parte de una implementación de Windows.

Puede personalizarse el Portal de autoservicio con PowerShell o con el Asistente para la personalización de SSP

A partir de MBAM 2.5 SP1, el Portal de autoservicio se puede configurar con el Asistente para la personalización, así como con PowerShell. Consulte Configuración de las aplicaciones web de MBAM 2.5.

El explorador web ya no se ejecuta involuntariamente como administrador

Un problema en MBAM 2.5 provocó que vínculos de Ayuda de la herramienta de configuración de servidores abrieran ventanas del explorador con derechos de administrador. Este problema se corrige en MBAM 2.5 SP1.

Ya no es necesario descargar los archivos JavaScript para configurar el Portal de autoservicio cuando la red CDN es inaccesible

En MBAM 2.5 y versiones anteriores, los archivos jQuery que se usan en la configuración del Portal de autoservicio tenían que descargarse con antelación de la red CDN si los clientes que accedían al Portal de autoservicio no tenían acceso a Internet. En MBAM 2.5 SP1, todos los archivos JavaScript se incluyen en el producto, por lo que no es necesario descargarlos.

Se pueden abrir informes en el Generador de informes 3.0

En MBAM 2.5 SP1, los informes están actualizados al esquema más reciente del lenguaje RDL (Report Definition Language), lo que permite que los usuarios abran y personalicen los informes en el Generador de informes 3.0 y los guarden inmediatamente sin dañar el archivo de informe.

Nuevos cmdlets de PowerShell

Los nuevos cmdlets de PowerShell para MBAM 2.5 SP1 permiten configurar y administrar diferentes características de MBAM, como bases de datos, informes y aplicaciones web. Cada característica tiene un cmdlet de PowerShell correspondiente que sirve para habilitar o deshabilitar características, o para obtener información sobre la característica.

Se implementan los siguientes cmdlets para MBAM 2.5 SP1:

  • Write-MbamTpmInformation

  • Write-MbamRecoveryInformation

  • Read-ADTpmInformation

  • Read-ADRecoveryInformation

  • Write-MbamComputerUser

Se implementan los siguientes parámetros en los cmdlets Enable-MbamWebApplication y Test-MbamWebApplication para MBAM 2.5 SP1:

  • DataMigrationAccessGroup

  • TpmAutoUnlock

Para obtener información sobre los cmdlets, vea Consideraciones sobre seguridad de MBAM 2.5 y Ayuda sobre los cmdlets de Microsoft BitLocker Administration and Monitoring.

El agente de MBAM detecta el modo de presentación

El agente de MBAM puede detectar si el equipo está en modo de presentación y evitar invocar la interfaz de usuario de MBAM en ese momento.

El servicio del agente de MBAM ahora está configurado para usar inicio retrasado

Después de la instalación, el servicio ahora establece el servicio del agente MBAM para que use inicio retrasado, lo que reduce la cantidad de tiempo que se tarda en iniciar Windows.

Los volúmenes de datos fijos bloqueados se notifican ahora como conformes

Se cambia la lógica de cálculo de cumplimiento de normas para volúmenes de "Datos fijos bloqueados" para que los volúmenes se notifiquen como "Conforme", pero con un estado de protector y un estado de cifrado de "Desconocido", y un detalle del estado de cumplimiento de "El volumen está bloqueado". Antes, los volúmenes bloqueados se notificaban como "No conforme", un estado de protector de "Cifrado", un estado de cifrado de "Desconocido" y un detalle del estado de cumplimiento de "Error desconocido".

Cómo obtener las tecnologías MDOP

MBAM forma parte del Paquete de optimización de escritorio Microsoft (MDOP). MDOP forma parte del programa Microsoft Software Assurance. Para obtener más información sobre el programa Microsoft Software Assurance y cómo adquirir el MDOP, consulte How Do I Get MDOP (Cómo obtener MDOP).

Notas de la versión de MBAM 2.5 SP1

Para obtener más información y conocer las noticias de última hora que no se incluyen en la documentación, consulte las Notas de la versión de MBAM 2.5 SP1.

¿Tiene alguna sugerencia sobre MBAM?

Agregue o vote sugerencias aquí. Para problemas de MBAM, use el foro de TechNet de MBAM.

Véase también

Conceptos

Microsoft BitLocker Administration and Monitoring 2.5

Otros recursos

Introducción a MBAM 2.5