Compartir a través de

Configurar MDT para BitLocker

  • Artículo

Este tema muestra cómo configurar, con MDT, el entorno para BitLocker, la herramienta de cifrado de volumen de disco integrada en Windows 10 Enterprise y Windows 10 Pro. BitLocker de Windows 10 tiene dos requisitos en lo que a implementación del sistema operativo se refiere:

  • Un protector, que puede estar almacenado en el chip del Módulo de plataforma segura (TPM) o como una contraseña. Técnicamente, también puedes usar una unidad USB para almacenar el protector; aunque no es un enfoque práctico, ya que la unidad USB puede ser objeto de pérdidas o robos. Por lo tanto, recomendamos que uses en su lugar un chip TPM y/o una contraseña.

  • Varias particiones en el disco duro.

Para configurar el entorno para BitLocker, tendrás que hacer lo siguiente:

  1. Configurar Active Directory para BitLocker.

  2. Descargar los distintos scripts y herramientas de BitLocker.

  3. Configurar la secuencia de tareas de implementación del sistema operativo para BitLocker.

  4. Configurar las reglas (CustomSettings.ini) para BitLocker.

Nota  

Aunque no es un requisito para BitLocker, recomendamos configurar BitLocker para almacenar la clave de recuperación y la información del propietario de TPM en Active Directory. Para más información sobre estas características, consulta Copia de seguridad BitLocker y la información de recuperación TPM en AD DS. Si tienes acceso a Microsoft BitLocker Administration and Monitoring (MBAM), que forma parte de Microsoft Desktop Optimization Pack (MDOP), dispondrás de características adicionales de administración para BitLocker.

 

Para este tema, usaremos DC01, un controlador de dominio miembro del dominio contoso.com para la empresa ficticia Contoso Corporation. Para más información sobre la configuración necesaria para este tema, consulta Implementar Windows 10 con Microsoft Deployment Toolkit.

Configurar Active Directory para BitLocker

Para habilitar BitLocker para almacenar la clave de recuperación y la información de TPM en Active Directory, deberás crear una directiva de grupo en Active Directory. Para esta sección, puesto que usaremos Windows Server 2012 R2, no es necesario ampliar el esquema. Sin embargo, sí que necesitarás establecer los permisos adecuados en Active Directory.

Nota  

Dependiendo de la versión de esquema de Active Directory, es posible que necesites actualizar el esquema antes de poder almacenar información de BitLocker en Active Directory.

 

En Windows Server 2012 R2 (así como en Windows Server 2008 R2 y Windows Server 2012), tendrás acceso a las características Utilidades de administración de cifrado de unidad BitLocker, que te ayudarán a administrar BitLocker. Al instalar las características, se incluye el Visor de contraseñas de recuperación de Active Directory de BitLocker y se extienden a los usuarios de Active Directory y a los equipos con la información de recuperación de BitLocker.

Figura 2

Figura 2. Información de recuperación de BitLocker en un objeto de equipo del dominio contoso.com.

Agregar las utilidades de administración de cifrado de unidad BitLocker

Las Utilidades de administración de cifrado de unidad BitLocker se agregan como características mediante el Administrador del servidor (o Windows PowerShell):

  1. En DC01, inicia sesión como CONTOSO\Administrator y, mediante el Server Manager, haz clic en Add roles and features.

  2. En la página Before you begin, haz clic en Next.

  3. En la página Select installation type, selecciona Role-based or feature-based installation y haz clic en Next.

  4. En la página Select destination server, selecciona DC01.contoso.com y haz clic en Next.

  5. En la página Select server roles, haz clic en Next.

  6. En la página Select features, expande Remote Server Administration Tools, expande Feature Administration Tools, selecciona las características siguientes y después haz clic en Next:

    1. Utilidades de administración de cifrado de unidad BitLocker

    2. Herramientas de cifrado de unidad BitLocker

    3. Visor de contraseñas de recuperación de BitLocker

  7. En la página Confirm installation selections, haz clic en Install y después haz clic en Close.

Figura 3

Figura 3. Selección de las utilidades de administración de cifrado de unidad BitLocker.

Crear la directiva de grupo de BitLocker

Con estos pasos, podrás habilitar la copia de seguridad de la información de recuperación de BitLocker y TPM en Active Directory. También podrás habilitar la directiva para el perfil de validación de TPM.

  1. En DC01, mediante la Administración de directivas de grupo, haz clic con el botón secundario en la unidad organizativa (OU) Contoso y selecciona Create a GPO in this domain, and Link it here.

  2. Asigna el nombre BitLocker Policy a la nueva directiva de grupo.

  3. Expande la unidad organizativa Contoso UO, haz clic con el botón secundario en la BitLocker Policy y selecciona Edit. Configura las siguientes opciones de la directiva:

    Computer Configuration/Policies/Administrative Templates/Windows Components/BitLocker Drive Encryption/Operating System Drives

    1. Habilita la directiva Choose how BitLocker-protected operating system drives can be recovered y configura las opciones siguientes:

      1. Permitir agente de recuperación de datos (opción predeterminada)

      2. Guardar información de recuperación de BitLocker en Active Directory Domain Services (opción predeterminada)

      3. No habilitar BitLocker hasta que la información de recuperación se almacene en AD DS para unidades de sistema operativo

    2. Habilita la directiva Configure TPM platform validation profile for BIOS-based firmware configurations.

    3. Habilita la directiva Configure TPM platform validation profile for native UEFI firmware configurations.

      Computer Configuration/Policies/Administrative Templates/System/Trusted Platform Module Services

    4. Habilita la directiva Turn on TPM backup to Active Directory Domain Services.

Nota  

Si obtienes continuamente el error "Windows BitLocker Drive Encryption Information. The system boot information has changed since BitLocker was enabled. You must supply a BitLocker recovery password to start this system." después de cifrar un equipo con BitLocker, es posible que también debas cambiar las directivas de grupo "Configure TPM platform validation profile". Este cambio dependerá del hardware que estés usando.

 

Establecer permisos en Active Directory para BitLocker

Además de la directiva de grupo creada anteriormente, debes configurar los permisos en Active Directory para poder almacenar la información de recuperación de TPM. En estos pasos, damos por sentado que has descargado el script TPMSelfWriteACE.vbs de Microsoft en C:\Setup\Scripts en DC01.

  1. En DC01, inicia un símbolo del sistema de PowerShell con privilegios elevados (ejecutar como administrador).

  2. Configura los permisos ejecutando el comando siguiente:

    cscript C:\Setup\Scripts\Add-TPMSelfWriteACE.vbs

Figura 4

Figura 4. Ejecución del script TPMSelfWriteACE.vbs en DC01.

Agregar las herramientas de configuración de BIOS de Dell, HP y Lenovo

Si deseas automatizar la habilitación del chip de TPM como parte del proceso de implementación, debes descargar las herramientas del proveedor y agregarlas a las secuencias de tareas, de forma directa o en un contenedor de scripts.

Agregar herramientas de Dell

Las herramientas de Dell están disponibles mediante el Dell Client Configuration Toolkit (CCTK). El archivo ejecutable de Dell se denomina cctk.exe. Este es un comando de muestra que permite habilitar TPM y establecer una contraseña de BIOS con la herramienta cctk.exe:

cctk.exe --tpm=on --valsetuppwd=Password1234

Agregar herramientas de HP

Las herramientas de HP forman parte de HP System Software Manager. El archivo ejecutable de HP se denomina BiosConfigUtility.exe. Esta utilidad usa un archivo de configuración para la configuración de la BIOS. Este es un comando de muestra que permite habilitar TPM y establecer una contraseña de BIOS con la herramienta BiosConfigUtility.exe:

BIOSConfigUtility.EXE /SetConfig:TPMEnable.REPSET /NewAdminPassword:Password1234

Este es el contenido de muestra del archivo TPMEnable.REPSET:

English
Activate Embedded Security On Next Boot
*Enable
Embedded Security Activation Policy
*No prompts
F1 to Boot
Allow user to reject
Embedded Security Device Availability
*Available

Agregar herramientas de Lenovo

Las herramientas de Lenovo son un conjunto de VBScripts disponible como parte de la Configuración del BIOS de Lenovo de acuerdo con la guía Windows Management Instrumentation Deployment Guide (Guía de implementación del Instrumental de administración de Windows). Lenovo también proporciona una descarga individual de los scripts. Este es un comando de muestra que permite habilitar TPM con las herramientas de Lenovo:

cscript.exe SetConfig.vbs SecurityChip Active

Configurar la secuencia de tareas de Windows 10 para habilitar BitLocker

Al configurar la secuencia de tareas para ejecutar cualquier herramienta de BitLocker, tanto de forma directa como con un script personalizado, te resultará útil agregar lógica para detectar si la BIOS ya está configurada en la máquina. En esta secuencia de tareas, usaremos un script de muestra (ZTICheckforTPM.wsf) tomado de la página web de Deployment Guys para comprobar el estado en el chip de TPM. Puedes descargar este script de la publicación de blogs de Deployment Guys Check to see if the TPM is enabled (Comprobar si TPM está habilitado). En la siguiente secuencia de tareas, hemos agregado cinco acciones:

  • Comprobar el estado de TPM. Ejecuta el script ZTICheckforTPM.wsf para determinar si está habilitado TPM. Según el estado, el script establecerá las propiedades TPMEnabled y TPMActivated en true o false.

  • Configurar la BIOS para TPM. Se ejecutan las herramientas del proveedor (en este caso, HP, Dell y Lenovo). Para asegurarse de que se ejecute esta acción solo cuando sea necesario, agrega una condición para que se ejecute la acción solo cuando el chip de TPM no esté activado. Usa las propiedades de ZTICheckforTPM.wsf.

    Nota  

    Es habitual que las organizaciones incluyan estas herramientas en scripts para obtener funciones adicionales de registro y control de errores.

     

  • Reiniciar el equipo. Esta acción se explica por sí sola: reinicia el equipo.

  • Comprobar el estado de TPM. Ejecuta el script ZTICheckforTPM.wsf una vez más.

  • Habilitar BitLocker. Ejecuta la acción integrada para activar BitLocker.

Temas relacionados

Configurar las reglas de uso compartido de implementación de MDT

Configurar MDT para scripts de UserExit

Simular una implementación de Windows 10 en un entorno de prueba

Usar la base de datos de MDT para la fase de información de implementación de Windows 10

Asignar aplicaciones usando roles en MDT

Usar los servicios web en MDT

Usar runbooks de Orchestrator con MDT