Exportar (0) Imprimir
Expandir todo

Configuración de Active Directory para realizar copias de seguridad de información de recuperación de Cifrado de unidad BitLocker de Windows y de Módulo de plataforma segura

Actualizado: junio de 2008

Se aplica a: Windows Server 2008,Windows Vista

Introducción

En este documento se describe la forma de configurar Active Directory® para realizar copias de seguridad de información de recuperación para Cifrado de unidad BitLocker™ de Windows® (BitLocker) y para el Módulo de plataforma segura (TPM). La información de recuperación se refiere a la contraseña de recuperación de cada volumen con BitLocker habilitado y a la información necesaria para identificar los equipos y volúmenes a los que se aplica la información de recuperación. De forma opcional, se puede guardar un paquete con las claves reales que se utilizan para cifrar los datos así como la contraseña de recuperación necesaria para obtener acceso a dichas claves.

noteNota
Active Directory se conoce como Servicios de dominio de Active Directory en Microsoft® Windows Server® 2008.

Al hacer una copia de seguridad de las contraseñas para un volumen de disco protegido de BitLocker se permite a los administradores recuperar un volumen bloqueado. Esto asegura que los datos cifrados pertenecientes a la empresa siempre estarán accesibles para los usuarios autorizados.

Al hacer una copia de seguridad de la información de propietario de TPM para un equipo se permite a los administradores configurar de forma local y remota el hardware de seguridad de TPM en dicho equipo. Por ejemplo, un administrador desea restablecer el TPM con los valores de configuración predeterminados de fábrica en el momento de retirar o reasignar equipos.

ImportantImportante
Puede guardar información de recuperación en Active Directory si los controladores de dominio ejecutan Microsoft® Windows Server® 2003 con Service Pack 1 (SP1), Windows Server 2003 R2 o Windows Server 2008. No se puede guardar información de recuperación en Active Directory si en el controlador de dominio se está ejecutando una versión de Windows Server anterior a Windows Server 2003 con SP1.

Si se está probando una versión preliminar de Windows Server 2008, se debe seguir el mismo proceso descrito para Windows Server 2003 con SP1 o posterior, con una excepción: Si se tiene instalada una versión Beta 3 de Windows Server 2008 o más reciente, no se necesita actualizar el esquema como se describe más adelante en este documento.

ImportantImportante
Realice estos pasos en un entorno de pruebas o de preproducción antes de implementarlo en entornos de producción.

Archivos necesarios

Para que la configuración de Active Directory permita hacer copias de seguridad de información de recuperación, se necesitan los siguientes scripts de ejemplo y el archivo LDF disponible en Microsoft:

  • Add-TPMSelfWriteACE.vbs

  • BitLockerTPMSchemaExtension.ldf

  • List-ACEs.vbs

  • Get-TPMOwnerInfo.vbs

  • Get-BitLockerRecoveryInfo.vbs

Para descargar estos archivos, consulte http://go.microsoft.com/fwlink/?LinkId=78953. El contenido de estos archivos y otra información útil se incluye en los siguientes apéndices:

noteNota
Si ha probado una versión preliminar o beta de Windows Vista, y configuró la instalación de Active Directory con versiones anteriores de las extensiones de scripts o esquema, debe estar completamente seguro de que utiliza las versiones finales de estos archivos. Además, si ha ejecutado una versión anterior de List-ACEs.vbs, debe quitar las entradas de control de acceso (ACE) relacionadas con BitLocker agregadas previamente antes de continuar con el proceso de instalación.

Información general

En esta sección se ofrece información sobre cómo hacer una copia de seguridad de la información de recuperación de BitLocker y TPM en Active Directory.

De forma predeterminada, no se hace copia de seguridad de la información de recuperación. Los administradores pueden configurar los parámetros de la Directiva de grupo para habilitar copia de seguridad de información de recuperación de BitLocker y TPM. Antes de configurar estos parámetros, como administrador de dominio debe asegurar que el esquema de Active Directory se ha extendido a las ubicaciones de almacenamiento necesarias y que se han concedido los permisos de acceso para realizar la copia de seguridad.

También debe configurar Active Directory antes de configurar BitLocker en los equipos cliente. Si se habilita BitLocker primero, la información de recuperación de estos equipos no se incluirá en Active Directory. Para obtener más información, consulte la sección Preguntas y respuestas que aparece más adelante en este documento.

Almacenamiento de información de recuperación de BitLocker en Active Directory

La información de recuperación de BitLocker de respaldo se almacena en un objeto secundario del objeto de equipo. Esto quiere decir que el objeto de equipo es el contenedor de un objeto de recuperación de BitLocker.

Cada objeto de recuperación de BitLocker se compone de la contraseña de recuperación además de otra información de recuperación. Dentro de un objeto de equipo puede haber más de un objeto de recuperación de BitLocker, porque puede haber más de una contraseña de recuperación asociada a un volumen con BitLocker habilitado.

El nombre del objeto de recuperación de BitLocker incorpora un identificador único global (GUID) además de información de fecha y hora, para una longitud fija de 63 caracteres. El formato es el siguiente:

<Fecha y hora de creación de objeto><GUID de recuperación>

Por ejemplo:

2005-09-30T17:08:23-08:00{063EA4E1-220C-4293-BA01-4754620A96E7}

El nombre común (cn) del objeto de recuperación de BitLocker es ms-FVE-RecoveryInformation. Cada objeto ms-FVE-RecoveryInformation tiene los siguientes atributos:

  • ms-FVE-RecoveryPassword

    Este atributo contiene la contraseña de recuperación de 48 dígitos que se utiliza para recuperar un volumen de disco cifrado de BitLocker. Los usuarios introducen esta contraseña para desbloquear un volumen cuando BitLocker entra en modo de recuperación.

  • ms-FVE-RecoveryGuid

    Este atributo contiene un identificador GUID asociado a una contraseña de recuperación de BitLocker. En el modo de recuperación de BitLocker, este GUID se muestra al usuario de forma que se pueda introducir la contraseña de recuperación correcta para desbloquear el volumen. Este GUID también se incluye en el nombre del objeto de recuperación.

  • ms-FVE-VolumeGuid

    Este atributo contiene un identificador GUID asociado a una un volumen de disco compatible con BitLocker.

    La contraseña (guardada en ms-FVE-RecoveryGuid) es única para cada contraseña de recuperación y este identificador de volumen es único por cada volumen cifrado con BitLocker.

  • ms-FVE-KeyPackage

    Este atributo contiene una clave de cifrado BitLocker de volumen protegida por la correspondiente contraseña de recuperación.

    Con este paquete de claves y la contraseña de recuperación (guardada en ms-FVE-RecoveryPassword), se pueden descifrar partes del volumen protegido con BitLocker en caso de que el disco esté dañado. Cada paquete de claves sólo funcionará para un volumen que tenga su correspondiente identificador de volumen (guardado en ms-FVE-VolumeGuid). Se debe utilizar una herramienta especializada para hacer uso de este paquete de claves.

Si se probó BitLocker con Windows Vista antes de su lanzamiento, se deberían tener en cuenta los siguientes cambios realizados sobre los atributos del objeto de recuperación hasta las versiones preliminares o beta de Windows Vista:

  • Se han agregado identificadores GUID al catálogo global para facilitar la búsqueda en todo el bosque (isMemberOfPartialAttributeSet)

  • Se ha eliminado el uso del bit de confidencialidad para atributos de GUID (bit 128 de searchFlags)

  • Se ha restringido el tamaño de cada atributo para minimizar las disminuciones de velocidad de replicación en caso de un ataque por desbordamiento a la base de datos de Active Directory (rangeUpper)

  • Se han actualizado las descripciones de atributo para proporcionar mayor claridad (adminDescription)

  • Se ha configurado un bit adicional para guardar valores de atributo cuando se crean copias de objetos (bit 16 de searchFlags)

  • Se ha configurado un bit adicional para crear un índice por contenedor para atributos de GUID (bit 2 de searchFlags)

Para obtener información más detallada sobre la sintaxis de los atributos, consulte el archivo de extensión de esquema en el Apéndice D: Contenido del archivo BitLockerTPMSchemaExtension.ldf.

Almacenamiento de información de recuperación de TPM en Active Directory

Sólo existe una contraseña de propietario de TPM por equipo. Cuando se inicializa TPM o se cambia esta contraseña, se hace una copia de seguridad del hash de la contraseña de propietario de TPM como un atributo del objeto de equipo.

El nombre común (cn) del atributo de TPM es ms-TPM-OwnerInformation.

Configuración de Active Directory

Realice las siguientes tareas para que la configuración de Active Directory permita realizar copias de seguridad de información de recuperación de BitLocker y TPM.

Comprobación de los requisitos previos generales

Comprobación de los siguientes requisitos previos:

  1. Todos los controladores de dominio accesibles por clientes compatibles con BitLocker deben ejecutar Windows Server 2003 con SP1 o posterior. En cada controlador de dominio, haga clic en Inicio, haga clic con el botón secundario en Mi PC, y después haga clic en la ficha General.

    ImportantImportante
    Si en la ficha General aparece Windows Server 2003 sin información sobre el Service Pack, necesita actualizarlo. Para obtener más información sobre la actualización de Windows Server 2003 con SP1, consulte http://go.microsoft.com/fwlink/?LinkID.

    ImportantImportante
    La copia de seguridad de información de recuperación de BitLocker o TPM no se ha probado ni es compatible con controladores de dominio que ejecutan Windows Server 2000 o Windows Server 2003 sin SP1. Además, los sistemas operativos anteriores carecen de la característica del marcador de confidencialidad de Active Directory que se utiliza para proteger el acceso a la información de recuperación de BitLocker y TPM.

    El marcador de confidencialidad es una característica disponible en Windows Server 2003 con SP1 y posterior. Con esta característica, sólo los administradores de dominio y los delegados adecuados tienen acceso de lectura a los atributos marcados con el marcador de confidencialidad. La extensión de esquema de BitLocker y TPM marca los atributos seleccionados como "confidenciales" utilizando la propiedad "searchFlags". Para obtener más información sobre este marcador, consulte "Cómo funciona el esquema de Active Directory" en:

    BitLocker no impone ningún requisito en niveles funcionales de dominio o bosque. Sin embargo, se deberían quitar los controladores de dominio que ejecutan sistemas operativos anteriores a Windows Server 2003 con SP1 de los entornos de nivel funcional mixto (o actualizados), porque la copia de seguridad de la información de BitLocker y TPM no estará protegida en estos controladores de dominio.

  2. Tiene privilegios de administrador de dominio para el bosque de destino.

  3. Ha obtenido los siguientes archivos:

    • BitLockerTPMSchemaExtension.ldf

    • Add-TPMSelfWriteACE.vbs

Extensión del esquema

El siguiente procedimiento extiende el esquema para permitir que la información se guarde en Active Directory.

Si se ha instalado un controlador de dominio que ejecuta Windows Server 2008 Beta 3 o posterior, ya se realizan de forma automática las extensiones necesarias en el esquema, por lo tanto no es necesario completar este procedimiento.

Si se ha instalado un controlador de dominio que ejecuta Windows Server 2008 Beta 2, se debe actualizar el esquema a sch39 o posterior, o bien completar el siguiente procedimiento.

Extensión del esquema de Active Directory con atributos de BitLocker y TPM
  1. Inicie sesión con una cuenta de dominio en el grupo de Administradores de esquema Esta cuenta se utiliza para extender el esquema.

    De forma predeterminada, la cuenta predefinida Administrador del dominio raíz del bosque forma parte del grupo Administradores de esquema. Para obtener más información, consulte la sección "Concesión de derechos de acceso para realizar cambios de esquema" en "Cómo funciona el esquema de Active Directory" (http://go.microsoft.com/fwlink/?LinkID=79649).

  2. Compruebe que la instalación de Windows Server permite actualizaciones de esquema.

    De forma predeterminada se habilitan las actualizaciones de esquema de Active Directory en Windows Server 2003. Para obtener más información, con los pasos necesarios para habilitar actualizaciones de esquema, consulte el artículo 285172 de Microsoft Knowledge Base (http://go.microsoft.com/fwlink/?LinkId=79644).

  3. Compruebe que tiene acceso al controlador de dominio que funciona como maestro de operaciones de esquema en el bosque de Active Directory. Las actualizaciones de esquema sólo se pueden realizar en el maestro de operaciones de esquema.

  4. Revise BitLockerTPMSchemaExtension.ldf, el archivo LDIF que contiene la extensión de esquema.

    Para obtener información general acerca de los cambios producidos por la extensión de esquema, consulte Información general en un apartado anterior de este documento.

    Para obtener información de referencia sobre extensiones de esquema, consulte "Cómo funciona el esquema de Active Directory" (http://go.microsoft.com/fwlink/?LinkId=79649).

  5. Utilice la herramienta Ldifde en la línea de comandos para extender el esquema en el controlador de dominio que funciona como maestro de operaciones de esquema. Por ejemplo, para importar la extensión de esquema de un dominio llamado nttest.microsoft.com, inicie sesión como usuario del grupo Administradores de esquema y después escriba lo siguiente en una ventana del símbolo del sistema:

    ldifde -i -v -f BitLockerTPMSchemaExtension.ldf -c "DC=X" "DC=nttest,dc=microsoft,dc=com" -k -j .

    Este comando se debe introducir en una sola línea, aunque en este documento se muestre en varias líneas para que sea más fácil leerlo. El punto final (".") forma parte del comando.

    El uso de -k suprime los mensajes de error "Object Already Exists" ("Ya existe el objeto") en el caso de que ya existan partes del esquema. El uso de -j . guarda un archivo de registro extendido en el directorio de trabajo actual.

Para obtener más información acerca de los parámetros de Ldifde, consulte el artículo 237677 de Microsoft Knowledge Base (http). Puede ver una muestra de la salida producida al ejecutar este comando en el Apéndice B: Ejemplo de salida de Ldifde en un apartado posterior de este documento.

Configure los permisos necesarios para poder hacer copia de seguridad de la información de contraseña de TPM

El siguiente procedimiento agrega una entrada de control de acceso (ACE) para que sea posible realizar copias de seguridad de información de recuperación de TPM.

Un cliente de Windows Vista puede realizar copias de seguridad de información de recuperación de BitLocker con el permiso predeterminado del objeto de equipo. Sin embargo, un cliente de Windows Vista no puede hacer copias de seguridad de información de propietario de TPM hasta que no se agregue esta nueva entrada ACE.

Apéndice C: Permisos predeterminados para un objeto de equipo, más adelante en este documento, describe los permisos predeterminados de Active Directory en el objeto de la clase Equipo que contiene la clase información de recuperación de BitLocker y el atributo información de propietario de TPM.

Agregar una entrada ACE que permita realizar copias de seguridad de información de recuperación de TPM
  1. Revise Add-TPMSelfWriteACE.vbs, el script de ejemplo que contiene la extensión de permiso.

  2. Escriba lo siguiente en el símbolo del sistema y presione ENTRAR:

    cscript Add-TPMSelfWriteACE.vbs

Este script agrega una entrada ACE simple al objeto de dominio de nivel superior. La ACE es un permiso heredado que permite a SELF (el propio equipo) escribir en el atributo ms-TPM-OwnerInformation en los objetos de equipo del dominio.

Para obtener más información de referencia, consulte "Uso de scripts para la administración de seguridad de Active Directory" (http://go.microsoft.com/fwlink/?LinkId=79652).

El script de ejemplo suministrado funciona suponiendo lo siguiente:

  • Tiene privilegios de administrador de dominio para configurar permisos del objeto de dominio de nivel superior.

  • El dominio de destino es el mismo que el utilizado por la cuenta de usuario que ejecuta el script.

    Por ejemplo, la ejecución del script como TESTDOMAIN\admin extenderá los permisos a TESTDOMAIN. Podría tener que modificar el script de ejemplo si desea configurar permisos para varios dominios, pero no tiene cuentas de administrador para cada uno de ellos. Busque la variable strPathToDomain en el script y modifíquela para el dominio de destino, por ejemplo:

    "LDAP://DC=testdomain,DC=nttest,DC=microsoft,DC=com"

  • Su dominio se configura de forma que los permisos se heredan desde el objeto de dominio de nivel superior a objetos de equipo de destino.

    Los permisos no tendrán efecto si un contenedor de la jerarquía no permite permisos heredados del padre. De forma predeterminada, se establece la herencia de permisos para Active Directory. Si no tiene la seguridad de que la configuración es distinta de la predeterminada, continúe con los pasos de configuración para establecer el permiso. Después puede comprobar la configuración tal y como se describe a continuación en este documento, o haciendo clic en el botón Permisos efectivos al visualizar las propiedades de un objeto de equipo para comprobar que por si mismo puede escribir el atributo msTPM-OwnerInformation.

Configure la directiva de grupo para habilitar copias de seguridad de información de recuperación de BitLocker y TPM en Active Directory.

Estas instrucciones son para configurar la directiva local en un equipo cliente con Windows Vista. En un entorno de producción, probablemente editaría un objeto de directiva de grupo (GPO) que se aplica a equipos del dominio.

Para obtener más información acerca de cómo configurar GPO de Windows Vista, consulte la "Guía para la administración paso a paso de archivos ADMX de directivas de grupo" (http://go.microsoft.com/fwlink/?LinkId=79653).

noteNota
Se recomienda guardar las opciones predeterminadas en el momento de habilitar la configuración de las directivas de grupo. Asegúrese de leer el texto explicativo antes de realizar cualquier cambio.

Habilitación de la configuración de directivas locales para hacer copias de seguridad de información de recuperación de BitLocker y TPM en Active Directory
  1. Inicie sesión en el equipo como administrador.

  2. Haga clic en Inicio, escriba lo siguiente en el cuadro Iniciar búsqueda y, a continuación, presione ENTRAR:

    gpedit.msc

  3. Para habilitar la configuración de la directiva de grupo para hacer copias de seguridad de información de recuperación de BitLocker en Active Directory:

    1. Abra Configuración del equipo, abra Plantillas administrativas, abra Componentes de Windows y, finalmente, abra Cifrado de unidad BitLocker.

    2. En el panel derecho, haga doble clic en Activar copia de seguridad de BitLocker en Active Directory.

    3. Seleccione la opción Habilitado.

    4. Compruebe que la casilla Requerir copia de seguridad de BitLocker en AD DS está activada.

  4. Para habilitar la configuración de directiva de grupo para hacer copias de seguridad de información de recuperación de TPM en Active Directory:

    1. Abra Configuración del equipo, abra Plantillas administrativas, abra Sistema y, finalmente, abra Servicios de Módulo de plataforma segura.

    2. En el panel derecho, haga doble clic en Activar copia de seguridad de TPM en Active Directory.

    3. Seleccione la opción Habilitado.

    4. Compruebe que la casilla Requerir copia de seguridad de TPM en AD DS está activada.

Comprobación de la configuración de Active Directory

Al unir los equipos cliente basados en Windows Vista al dominio que se acaba de configurar y habilitar BitLocker, se puede comprobar si la copia de seguridad de información de recuperación de BitLocker y TPM en Active Directory es correcta.

Todas las interfaces de usuario y de programación dentro de las características de administración de BitLocker y TPM se ceñirán a la configuración de la directiva de grupo. Cuando se habilita esta configuración, se realiza automáticamente una copia de seguridad de la información de recuperación (por ejemplo las contraseñas de recuperación) en Active Directory siempre que se cree y se cambie esta información.

Si se selecciona la opción de copia de seguridad obligatoria, se bloquea la inicialización de TPM y no se habilita BitLocker con ningún método hasta realizar la copia de seguridad correctamente. En este caso, no se permite que nadie active BitLocker o inicialice el TPM, a menos que el controlador de dominio se configure de forma correcta, el equipo cliente tenga conectividad de red con el controlador de dominio y no se produzcan errores durante el proceso de copia de seguridad.

Comprobación de la copia de seguridad con Windows Vista

Debe utilizar un equipo cliente basado en Windows Vista para comprobar la copia de seguridad.

Se realiza una copia de seguridad de la información de recuperación de BitLocker cuando:

  • Se crea una contraseña de recuperación durante la configuración de BitLocker, utilizando un asistente disponible en el Panel de control.

  • Se crea una contraseña de recuperación después de haber cifrado el disco, utilizando la herramienta de línea de comandos manage-bde.wsf.

Se realiza una copia de seguridad de la información de recuperación de TPM cuando:

  • Se establece la contraseña de propietario de TPM durante la inicialización de TPM.

  • Se modifica la contraseña de propietario de TPM.

Ejemplo de escenario de prueba con Windows Vista

Este ejemplo de escenario de prueba ilustra la forma de comprobar la configuración de Active Directory utilizando Windows Vista. Los scripts de ejemplo incluidos que se descargan ayudan en el proceso de comprobación.

ImportantImportante
Debe realizar comprobaciones adicionales necesarias para tener la seguridad de que todo funciona correctamente en el entorno; no asuma que este escenario comprobará completamente todos los aspectos de la configuración.

Los escenarios de prueba pueden variar dependiendo de las políticas de la organización. Por ejemplo, en organizaciones donde los usuarios son Creador Propietario de objetos de equipo que unen al dominio, sería posible para estos usuarios leer la información de propietario de TPM en sus propios objetos de equipo.

Realización de una prueba de ejemplo
  1. Inicie sesión en un controlador de dominio como administrador de dominio.

  2. Copie los archivos del script de ejemplo en una ubicación adecuada.

  3. Abra una ventana del símbolo del sistema y cambie la ubicación predeterminada a la ubicación donde se encuentran los archivos con los scripts de ejemplo.

  4. En el símbolo del sistema escriba lo siguiente:

    cscript List-ACEs.vbs

    Salida que se espera: Si se asume que se utilizó Add-TPMSelfWriteACE.vbs y que se han quitado otras entradas ACE obsoletas, sólo debería haber una ACE relacionada con BitLocker y el TPM:

    Accessing

    > AceFlags: 10

    > AceType: 5

    > Flags: 3

    > AccessMask: 32

    > ObjectType: {AA4E1A6D-550D-4E05-8C35-4AFCB917A9FE}

    > InheritedObjectType: {BF967A86-0DE6-11D0-A285-00AA003049E2}

    > Trustee: NT AUTHORITY\SELF

    1 ACE(s) found in DC=nttest,DC=microsoft,DC=com related to BitLocker and TPM

  5. Inicie sesión como administrador local (no como administrador de dominio) en un cliente de Windows Vista unido al dominio.

  6. Haga clic en Inicio, escriba lo siguienteen el cuadro Iniciar búsqueda y, a continuación, presione ENTRAR:

    tpm.msc

  7. Haga clic en el vínculo Inicializar TPM o Cambiar contraseña de propietario.

  8. Establezca una contraseña de propietario y seleccione la opción para hacer copia de seguridad de la información o bien imprimiéndola o guardándola en un archivo, según convenga.

    Salida que se espera: La acción se realizará de forma correcta sin mensajes de error.

  9. Utilizando la misma cuenta, abra una ventana del símbolo del sistema con privilegios elevados y, a continuación, sitúese en la carpeta en la que ha guardado una copia de los scripts de ejemplo proporcionados en este documento.

    noteNota
    Para abrir una ventana del símbolo del sistema con privilegios elevados, haga clic con el botón secundario en un acceso directo del símbolo del sistema y, a continuación, haga clic en Ejecutar como administrador.

  10. En el símbolo del sistema escriba lo siguiente:

    cscript Get-TPMOwnerInfo.vbs

    Salida que se espera: El error “Active Directory: La propiedad de directorio no se encuentra en caché. “ No se muestra información porque un administrador que no es de dominio no puede leer el atributo ms-TPM-OwnerInformation.

    noteNota
    Si los usuarios son Creador Propietario de los objetos de equipo que unen al dominio, sería posible para estos usuarios leer la información de propietario de TPM en sus propios objetos de equipo.

  11. Inicie sesión como administrador de dominio en el mismo equipo cliente.

  12. Utilizando esta misma cuenta de administrador de dominio, abra una ventana del símbolo del sistema con privilegios elevados y después sitúese en el directorio en el que ha guardado una copia de los scripts de ejemplo proporcionados en este documento.

  13. En el símbolo del sistema escriba lo siguiente:

    cscript Get-TPMOwnerInfo.vbs

    Salida que se espera: Una cadena que representa el hash de la contraseña creada anteriormente.

    Como administrador de dominio, debe tener acceso de lectura al atributo ms-TPM-OwnerInformation.

  14. En la ventana del símbolo del sistema con privilegios elevados escriba lo siguiente para crear una contraseña de recuperación:

    manage-bde -protectors -add -RecoveryPassword C:

    Salida que se espera: La acción se realizará de forma correcta sin mensajes de error.

  15. En el símbolo del sistema, escriba lo siguiente para leer todos los objetos secundarios de BitLocker en el objeto Active Directory del equipo cliente:

    cscript Get-BitLockerRecoveryInfo.vbs

    Salida que se espera: Un administrador de dominio debería ver una o más contraseñas de recuperación, incluida la creada en el paso 14.

    Un administrador que no es de dominio no podrá leer estas contraseñas.

  16. Elimine todos los objetos secundarios de recuperación de BitLocker que se han creado utilizando herramientas de Active Directory, por ejemplo la herramienta de administración de usuarios y equipos de Active Directory. De forma predeterminada, los clientes que ejecutan Windows Vista no tienen permisos para eliminar contraseñas obsoletas de recuperación de BitLocker .

Solución de problemas comunes

En la siguiente sección se describen problemas habituales y sus soluciones.

Problemas con los permisos de acceso

Si puede leer copias de seguridad de información de recuperación de BitLocker y TPM utilizando una cuenta de administrador que no es de dominio, compruebe si en todos los controladores de dominio de la red se ejecutan instalaciones compatibles con Windows Server.

ImportantImportante
Los controladores de dominio que ejecutan Windows 2000 Server o la versión inicial de Windows Server 2003 no se admiten para poder hacer copias de seguridad de información de recuperación de BitLocker y TPM.

Errores en los scripts

Puede producirse un error cuando se ejecuta un script. En las siguientes secciones se explican las causas de los errores más frecuentes en los scripts y sus soluciones.

Get-TPMOwnerInfo.vbs

Al ejecutar Get-TPMOwnerInfo.vbs, si aparece un error que indica "Active Directory: La propiedad de directorio no se encuentra en caché", significa que no tiene permiso para leer el objeto de atributo información de propietario de TPM en Active Directory.

General

Si aparece un error que indica "El dominio especificado no existe o no se pudo poner en contacto con él", asegúrese de que el equipo se unió al dominio y que hay conectividad de red.

Si aparece un error que indica "No existe tal objeto en el servidor", compruebe que todos los equipos especificados por nombre en la línea de comandos están conectados a la red en este momento.

Los errores vienen acompañados de un número de línea que indica donde sucedió. Consulte el código fuente del script que le ayudará en la solución del problema.

Preguntas y respuestas

En esta sección se ofrecen preguntas relacionadas que el equipo de BitLocker ha recibido desde la primera versión de este documento.

¿Forma parte de Windows Server 2008 este esquema?

Sí, este esquema forma parte de Windows Server 2008. Windows Windows Server 2008 Beta 2 contiene los objetos que permitirán realizar copias de seguridad de toda la información de recuperación de BitLocker y TPM en versiones preliminares de Windows Vista. La actualización de esquema en la versión final de Windows Vista coincide con los cambios planificados para Windows Server 2008 Beta 3.

¿Puedo utilizar la actualización de esquema en un controlador de dominio basado en Windows Server 2003?

Microsoft admite extensiones de esquema de BitLocker sólo en Windows Server 2003 con SP1 o posterior y en Windows Server 2008. La primera versión de Windows Server 2003 no incluye la característica del marcador de confidencialidad que bloquea de manera adecuada el acceso a copias de seguridad de información de recuperación.

¿Ofrece Microsoft soporte técnico para este esquema cuando se utiliza en producción?

Sí, se ofrece soporte de este esquema a través de los canales de soporte técnico normales. Para obtener más información acerca de los canales de soporte técnico de Microsoft, consulte http://go.mi.

¿Hay alguna entrada de registro de evento grabada en el cliente que indique si la copia de seguridad de Active Directory es correcta o no?

En el cliente se graba una entrada de registro de evento que indica si la copia de seguridad de Active Directory es correcta o errónea.

Sin embargo, esta entrada de registro sólo es útil para una extensión. Aunque una entrada de registro indique "Correcto", a continuación la información se podría haber quitado de Active Directory, o BitLocker podría haber sido reconfigurado de tal forma que la información de Active Directory ya no pueda desbloquear la unidad (por ejemplo al quitar el protector clave de contraseña de recuperación). Además, es posible que la entrada de registro sea suplantada.

En última instancia, para determinar si existe una copia de seguridad legítima en Active Directory es necesario consultar Active Directory con las credenciales de administrador de dominio.

¿Qué sucede si se habilita BitLocker en un equipo antes de que dicho equipo se una al dominio?

Debería preguntarse qué sucede si BitLocker se habilita en un equipo antes de aplicar la Directiva de grupo que obligue a realizar la copia de seguridad. ¿Se realizará de forma automática copia de seguridad de la información de recuperación en Active Directory cuando el equipo se una al dominio o bien cuando se aplique posteriormente la Directiva de grupo?

Esta funcionalidad no está disponible en Windows Vista. Por lo general, el primer paso que se realiza con nuevos equipos en una empresa es unirlos al dominio.

La interfaz de Instrumental de administración de Windows (WMI) de BitLocker permite a los administradores escribir un script para realizar copias de seguridad o para sincronizar contraseñas de recuperación existentes de un cliente en línea. Una cuenta de administrador puede obtener una lista de contraseñas de recuperación de un volumen desbloqueado mediante el uso del método GetKeyProtectorNumericalPassword de la interfaz WMI de BitLocker o los parámetros "-protectors -get" de la herramienta de línea de comandos de BitLocker (manage-bde.wsf).

¿Qué sucede si se produce un error en la copia de seguridad en un primer momento? ¿BitLocker lo intentará de nuevo?

Si la copia de seguridad produce un error en un primer momento, por ejemplo si no se puede llegar a un controlador de dominio en el momento de ejecutar el asistente de configuración de BitLocker, no se intenta una y otra vez hacer copia de seguridad de la información de recuperación en Active Directory.

Cuando el administrador activa la casilla Requerir copia de seguridad de BitLocker en AD DS o la casilla Requerir copia de seguridad de TPM en AD DS, si la copia de seguridad produce un error no se puede habilitar BitLocker.

Si el administrador no activa ninguna de estas casillas, se permite que un volumen se cifre mediante BitLocker sin haber realizado correctamente la copia de seguridad de información de recuperación en Active Directory, sin embargo de forma automática BitLocker no lo intentará de nuevo. En su lugar, los administradores pueden escribir un script para realizar la copia de seguridad tal y como se describió en la pregunta anterior, para capturar la información después restablecerse la conectividad.

¿Cifra BitLocker la información de recuperación en el momento de enviarla a Active Directory?

Sí, la transmisión de información de recuperación desde un cliente Windows Vista a Active Directory se protege utilizando Kerberos. Concretamente, la conexión utiliza los marcadores de autenticación ADS_SECURE_AUTHENTICATION, ADS_USE_SEALING y ADS_USE_SIGNING.

Para obtener más información acerca de los marcadores de autenticación de Active Directory, consulte http://go.microsoft.com/fwlink/?LinkId=79643.

noteNota
Una vez que se transmite la información de recuperación, Active Directory no guarda información de recuperación de BitLocker y TPM en formato cifrado. Sin embargo, los permisos de control de acceso se establecen de forma que sólo los administradores de dominio o los delegados correspondientes puedan leer la información guardada cuando el servidor está en línea. Las empresas preocupadas sobre posibles ataques sin conexión a servidores de sucursales deben considerar si habilitan BitLocker en estos servidores, una vez que los actualicen a Windows Server 2008.

¿Te ha resultado útil?
(Caracteres restantes: 1500)
Gracias por sus comentarios

Adiciones de comunidad

AGREGAR
Mostrar:
© 2015 Microsoft