Hay un gran número de organizaciones que están debatiendo o probando actualmente implementaciones de Microsoft BitLocker Administration and Monitoring (MBAM). Hay una serie de cosas que la recientemente lanzada gestión empresarial de BitLocker hace bien, tales como informes de cumplimiento, recuperación de claves de un solo uso y gestión del módulo de plataforma de confianza (TPM). Sin embargo, el despliegue de MBAM causa algunos problemas para muchos y voy a discutir algunos temas en este blog que espero proporcionar alguna ayuda a los que actualmente están probando o desplegando.
La página web de ayuda en línea de Microsoft Desktop Optimization Pack (MDOP) proporciona información clave para ayudar en la implantación; sin embargo, faltan algunas piezas. Esperamos que esta información le resulte útil.
Certificados de cifrado de red
Para algunos de ustedes que, como yo, no son gurús de los certificados, pero saben lo suficiente como para comprender el concepto general de los requisitos, puede que se den cuenta de que al revisar la información de MBAM en las páginas de ayuda en línea de MDOP, no se enumeran los requisitos del certificado. Así que con el fin de facilitar su proceso de instalación le daré alguna información que ha funcionado para mí, mientras que la entrega de los compromisos MBAM.
Requisitos básicos
Los requisitos para los certificados relacionados con MBAM son sencillos y normalmente no requieren modificaciones significativas en la PKI de una organización. Los requisitos de uso de clave ampliada (EKU) de los certificados son los siguientes:
Autenticación de clientes (1.3.6.1.5.5.7.3.2)
Autenticación del servidor (1.3.6.1.5.5.7.3.1)
Estos dos EKU suelen encontrarse juntos en la plantilla de certificado de equipo predeterminada de una CA de empresa, pero pueden añadirse fácilmente a cualquier plantilla de equipo que se desee.
Dos certificados deben ser emitidos para su uso con MBAM. El primer certificado se utiliza para cifrar la comunicación entre el servidor SQL que aloja las bases de datos y el servidor de administración y supervisión. El segundo certificado se utiliza para cifrar la comunicación entre el Servidor de Administración y Monitorización y el agente cliente MBAM.
Nota: para que estos dos certificados sean útiles, es necesario que se encadenen a una CA en la que confíe el equipo. Si los sistemas Windows7 o Server2008 no confían en la CA que emitió estos certificados, es posible que tenga que añadir esa CA, o su CA raíz, al almacén de certificados de editores de confianza del sistema..
¿No aparecen los certificados?
Algunos de ustedes pueden haber experimentado nada más que espacio en blanco en el cuadro desplegable del certificado al realizar la instalación de los componentes de MBAM cuando se encuentran en la "página de selección del certificado para cifrar la comunicación de red". Es posible que haya creado correctamente sus certificados, pero para que estén disponibles durante la instalación tienen que ser instalados manualmente en el almacén de certificados personales del ordenador local.
Si recibe un error que hace referencia a que el certificado no cumple los requisitos necesarios, asegúrese de haber realizado las acciones indicadas en la nota mencionada anteriormente.
Modelos de políticas
El último componente en la lista de instalación de MBAM son las Plantillas de Políticas. Aunque este elemento está listado como un componente que se instala, de hecho no realiza cambios en el sistema de ningún tipo. Cuando se marca, este paso simplemente copia los archivos ADMX y ADML a la carpeta local de definiciones de políticas del servidor en el que se "instaló" la función. Los archivos en cuestión junto con sus respectivas rutas de archivo se enumeran a continuación:
| Ubicación de la ruta del archivo | Archivo |
| %windir%\PolicyDefinitions | BitLockerManagement.admx |
| BitLockerUserManagement.admx | |
| %windir%\PolicyDefinitions\en-US | BitLockerManagment.adml |
| BitLockerUserManagement.adml |
Si su organización tiene un servidor o servidores específicos que se utilizan para gestionar la política de grupo, entonces estos archivos deben copiarse en las carpetas de definiciones de políticas locales de cada servidor. Sin embargo, si tiene un almacén central de políticas dentro de SYSVOL para la administración de políticas, copie todos los archivos a las ubicaciones apropiadas para permitir la administración de las políticas de MBAM.
Si todo está copiado en las ubicaciones correctas al editar un GPO debería ver lo siguiente:
Información del Registro del Cliente MBAM
Hay varias claves de registro asociadas con el cliente MBAM que puede manipular para forzar al cliente a entrar en acción. Estos elementos se clasifican a continuación para ser utilizados como una guía de referencia.
Hardware Política de comprobación de compatibilidad
Cuando use Hardware Compatibility Checking con sistemas MBAM, valide su perfil hardware contra las políticas dentro de MBAM. Esto permite controlar la encriptación en sistemas que pueden o no cumplir con los estándares de encriptación de su organización hardware . La desventaja de esto es que cuando un sistema se registra y el perfil hardware aparece como desconocido, el sistema espera 24 horas antes de registrarse de nuevo. Las claves de registro enumeradas aquí son responsables de estas acciones.
| Ruta de la clave de registro | Nombre clave | Valor | Descripción |
| HKLM\Software\Microsoft\MBAM | HWExemptionTimer | Variable | Este ajuste especifica el intervalo en el que el cliente MBAM volverá a comprobar su estado de exención de hardware . |
| HKLM\Software\Microsoft\MBAM | HWExpemtionType | 0 = desconocido1 = incompatible2 = compatible | Este ajuste determina el estado de exención especificado por el perfil hardware asignado. |
El cliente puede ser forzado a registrarse antes de las 24 horas borrando las claves de registro mencionadas y reiniciando el cliente MBAM.
Retraso de arranque
Por defecto el cliente MBAM tiene un retardo aleatorio de 90 minutos, al iniciarse, antes de comunicarse con el servidor de Administración y Monitoreo. Esto fue diseñado para reducir la carga en el servidor MBAM durante el despliegue inicial del cliente MBAM. Sin embargo, este retraso puede ser evitado añadiendo la siguiente clave de registro.
| Ruta de la clave de registro | Nombre clave | Valor | Descripción |
| HKLM\Software\Microsoft\MBAM | NoStartUpDelay | 1 | Especifica el intervalo en el que el cliente se comunica con el servidor MBAM al iniciarse. |
Si esta configuración va a ser temporal, será necesario eliminar la clave del registro después del hecho, ya que ninguna de las configuraciones de directiva de grupo de MBAM sobrescribirá esta clave.
Preguntar al usuario
Al configurar los servicios de MBAM a través de la directiva de grupo hay dos temporizadores de política que se configuran.
Frecuencia de comprobación del estado del cliente (predeterminada: 90 minutos)
Frecuencia de informes de estado (predeterminada: 720 minutos)
Estos temporizadores tienen sus correspondientes ajustes en el registro que pueden ser cambiados manualmente para iniciar sus comprobaciones inmediatamente cuando el cliente MBAM es reiniciado. Esto se realiza generalmente para iniciar más rápidamente la solicitud de usuario para iniciar el proceso de cifrado, así como para forzar la actualización de los informes de estado. Estas claves y los valores a los que deben cambiarse para iniciar sus comprobaciones se enumeran a continuación.
| Ruta de la clave de registro | Nombre clave | Valor | Descripción |
| HKLM\Software\Políticas\Microsoft\FVE
\MDOPBitLockerManagement |
ClientWakeupFrequency | 1 | Esta configuración de directiva administra la frecuencia con la que el cliente comprobará las directivas de protección de BitLocker y el estado del equipo cliente. |
| StatusReportingFrequency | 1 | Esta configuración de directiva le permite administrar la frecuencia de la información sobre cumplimiento y estado que se enviará al servicio de informes. |
Cifrado durante la implantación del sistema operativo
Las siguientes claves de registro se utilizan para configurar MBAM para iniciar el cifrado durante el despliegue del Sistema Operativo Windows 7. Esta información puede ser referenciada desde la fuente original.
| Ruta de la clave de registro | Nombre clave | Valor | Descripción |
| HKLM\Software\Microsoft\MBAM | Tiempo de despliegue | 0 | OFF |
| 1 | Utilizar la configuración de la política de tiempo de despliegue (por defecto) | ||
| UseKeyRecoveryService | 0 | No utilice key escrow (las dos siguientes entradas del registro no son necesarias en este caso) | |
| 1 | Utilizar custodia de claves en el sistema de Recuperación de Claves (por defecto)Recomendado: El ordenador debe poder comunicarse con el servicio de recuperación de claves. Compruebe que el ordenador puede comunicarse con el servicio antes de continuar. | ||
| KeyRecoveryOptions | 0 | Sólo carga la clave de recuperación | |
| 1 | Carga la clave de recuperación y el paquete de recuperación de claves (por defecto) | ||
| KeyRecoveryServiceEndPoint | URL | Set this value to the URL for the Key Recovery web server, for example, https://<computer name>/MBAMRecoveryAndHardwareService/CoreService.svc. |
Puede encontrar información adicional sobre el cifrado a través de MBAM durante el despliegue del sistema operativo aquí: https://onlinehelp.microsoft.com/en-us/mdop/hh285657.aspx
Espero que parte o toda esta información sea útil en sus pruebas o en la implementación de Microsoft BitLocker Administration and Monitoring.
Por favor, asegúrese de visitar el sitio web de Windows 7 Accelerate with System Center en www.css-security.com/countdown para ver vídeos de instalación y tutoriales sobre MBAM. También puede encontrar recursos adicionales, vídeos y hojas de datos sobre la migración desde Windows XP y la implementación de Windows 7.
