Habilitar Bitlocker
<img style="”float:" right;” src="”https://www.recastsoftware.com/wp-content/uploads/2021/10/Recast-Logo-Dark_Horizontal.svg”" alt=""Imagen"" height="”43″" width="”150″">
Habilitar Bitlocker / Bitlocker de aprovisionamiento previo
Este paso le permite activar Bitlocker fácilmente y, al mismo tiempo, ofrece varias opciones que le permiten personalizar cómo se inicia. Recientemente se han agregado varias mejoras a esto, lo que ha eliminado la necesidad de crear previamente varias claves de registro para obtener el resultado deseado. ¡Es cada vez más fácil! Estoy fusionando los dos pasos en uno, ya que tiene sentido, especialmente para demostraciones. He fusionado el paso Habilitar Bitlocker y Bitlocker de aprovisionamiento previo Ingrese a una página, ya que están directamente relacionados y las demostraciones y los resultados de las pruebas tienen sentido cuando se usan en conjunto.
MS Docs
Habilitar el paso de Bitlocker: https://docs.microsoft.com/en-us/mem/configmgr/osd/understand/task-sequence-steps#BKMK_EnableBitLocker
Paso previo al aprovisionamiento: https://docs.microsoft.com/en-us/mem/configmgr/osd/understand/task-sequence-steps#BKMK_PreProvisionBitLocker
Bitlocker de MS Docs
Potencia Shell
- Get-CMTSStepEnableBitLocker
- Nuevo-CMTSStepEnableBitLocker
- Eliminar-CMTSStepEnableBitLocker
- Set-CMTSStepEnableBitLocker
Imagen de paso
Opciones
- Al elegir la unidad (también conocida como la partición), probablemente dejará este valor predeterminado que elige la unidad en la que está instalado el sistema (Windows), pero puede elegir manualmente una letra de unidad si desea cifrar una unidad diferente en lugar del sistema. unidad, o si tiene un par de instancias del paso "Habilitar Bitlocker" que desea ejecutar para cifrar varias particiones.
-
Protectores de cifrado.
- Solo TPM - Más transparente y transparente para el usuario.
- Llave de inicio solo en USB - Coloca la llave en la unidad USB que debe conectarse a la computadora para desbloquear la unidad.
- TPM y clave de inicio solo en USB - Se requiere TPM y unidad USB para desbloquear.
- TPM y ALFILER - BitLocker bloquea el proceso de arranque normal hasta que el usuario proporciona el PIN.
-
Modo de cifrado de disco (Siempre uso XTS_AES_256, convénceme de por qué no debería hacerlo).
- AES_128
- AES_256
- XTS_AES_128
- XTS_AES_256
-
Usar cifrado de disco completo
- Comprobado = Disco lleno, incluido el espacio no utilizado. Cifra todo el disco al principio, pero ya está.
- Desenfrenado = Solo espacio usado, Cifra a medida que agrega archivos
-
Elija dónde crear la clave de recuperación:
- Servicios de dominio de Active Directory
- No crear - Esto sería si planea almacenarlos en Azure o MBAM y no los quiere también en AD.
- Espere a que Bitlocker complete el cifrado de la unidad ... antes de continuar - He visto que esto se usa cuando debe cumplir con las políticas de cumplimiento que garantizan que un dispositivo esté encriptado 100% antes de la implementación.
- Omita este paso si las computadoras no tienen TPM o si TPM está deshabilitado. - Esto se agregó como medida de protección para evitar fallas cuando se ejecuta en una máquina que no tiene un TPM (como una VM) o una que no tiene una configuración de TPM. Dependiendo de su situación, es posible que prefiera que la secuencia de tareas falle si la máquina no se encripta.
POBLACIÓN
Demostración 1: cifrado de disco completo con aprovisionamiento previo
Secuencia de tareas:
Registro SMSTS de Bitlocker previo a la provisión:
Justo después de que se ejecute el paso de pre-aprovisionamiento, puede ver que el estado tiene la unidad ya cifrada con la configuración que queríamos ... pero todavía no hay protectores:
Una vez en el sistema operativo completo y en "Habilitar Bitlocker", el registro muestra lo que esperaríamos:
Todavía se está encriptando, y se quedará en este paso hasta que se complete la encriptación, que fue iniciada por el paso previo a la provisión.
Aquí puede ver que el cifrado se completó, luego se agregaron los protectores. El error fue causado por tener el CD todavía en la unidad cuando intentó agregar los protectores.
Demostración 2: espacio usado solo con aprovisionamiento previo
Esta es la misma configuración que la última prueba, pero desmarcamos la casilla "Usar cifrado de disco completo". En el registro del paso previo al aprovisionamiento, verá que la línea de comando ha cambiado de / full: True a / full: False y el comando manage-bde establecido en "used"
Paso previo al aprovisionamiento:
Habilitar el paso de Bitlocker:
En esta imagen del registro, puede ver que aunque el paso Habilitar Bitlocker todavía está configurado para usar el cifrado de disco completo, debido a que ya estaba configurado para el espacio usado anteriormente, el disco permaneció en el modo de solo espacio usado. En este punto, si desea utilizar el disco completo, tendrá que descifrar y luego volver a cifrar en modo de disco completo.
Demostración 3 - Disco lleno - sin aprovisionamiento previo - Habilitar espera
[
Esta vez, el aprovisionamiento previo está deshabilitado, el paso se establece en Cifrado completo y Espere a que se complete el cifrado.
Resultados de la prueba
Todas las pruebas se realizaron en HyperV utilizando máquinas virtuales Gen2, 2 CPU virtuales y 2 GB de RAM, Unidad de estado sólido PNY de 120 GB. (Barato)
La clave es tener una unidad FÍSICA dedicada en la máquina host para la máquina virtual. Para obtener más información, consulte este Entrada en el blog
Pruebas:
-
Prueba 1: Disco completo con aprovisionamiento previo
- Tiempo para OSD: 38 minutos
- Cifrado Bitlocker: 100% completo
-
Prueba 2: Disco lleno sin preaprovisionamiento sin espera habilitada
- Tiempo para OSD: 12 minutos
- Cifrado Bitlocker: 12% completo
-
Prueba 3: Disco lleno sin preaprovisionamiento con espera habilitada
- Tiempo para OSD: 39 minutos
- Cifrado Bitlocker: 100% de espacio usado
-
Prueba 4: Solo disco usado con aprovisionamiento previo
- Tiempo para OSD: 12 minutos
- Cifrado Bitlocker: 100% de espacio usado
-
Prueba 5: Solo disco usado sin preaprovisionamiento
- Tiempo para OSD: 12 minutos
- Cifrado Bitlocker: 75% de espacio usado
Estas pruebas muestran la importancia de habilitar el aprovisionamiento previo.
Otras notas
-
Paso de preaprovisionamiento
- El paso NO es obligatorio, está ahí para ahorrarle tiempo al hacer que el proceso de cifrado comience más temprano que tarde.
- Si usa el disco completo, pausará el proceso de TS en el paso "Habilitar Bitlocker" mientras espera que se complete el cifrado para agregar protectores.
- Es agradable de usar si debe usar el disco completo, ya que garantiza que el cifrado esté completo antes de que se complete el OSD y lo inicia al principio del proceso para ahorrar tiempo en general.
-
Habilitar el paso de Bitlocker
- Da total flexibilidad a la hora de configurar Bitlocker
- Cuando se usa sin pre-aprovisionamiento, le permite habilitar y continuar, sin ralentizar el OSD, pero dejando la máquina en un estado de "Cifrado" después del OSD.
-
General
- El espacio usado solo ahorrará tiempo, y si su equipo de seguridad está a bordo con él, hágalo, de lo contrario, el disco completo no lo ralentiza mucho en función de cómo desee configurarlo.
- Se han realizado tantas mejoras en la experiencia de bitlocker, estoy en un punto en el que ya no necesito "ajustes" para obtener la configuración de Bitlocker durante el OSD para alcanzar mi objetivo, todo está integrado de forma nativa.
- La mayor consideración es asegurarse de tener la configuración de sus requisitos previos, Configuración de TPM correctamente.
Recursos adicionales
- Secuencia de comandos para expulsar medios de CD (ejecutar el paso de la línea de comandos)
powershell.exe -NoProfile -Command "(New-Object -ComObject 'Shell.Application'). Espacio de nombres (17) .Items () | Where-Object {$_.Type -eq 'CD Drive'} | foreach {$_.InvokeVerb ('Expulsar')} "
-
Publicaciones de blog de Niall Brady FDE más de cerca, muy bien hecho, que leí después de escribir esto y cubre muchos de los mismos materiales, pero vale la pena echarle un vistazo para echarle otro ojo al proceso, su serie también abarca otras áreas en las que no planeo entrar & Utilice Bitlocker Management durante OSD, otra gran publicación para obtener información sobre bitlocker e incorporar la administración.
-
Panel de administración de Bitlocker Recast: Esta integración ConfigMgr es realmente agradable para tener una idea general de cómo está funcionando su cumplimiento de bitlocker, así como para tomar medidas para corregir las cosas.
-
Solución de problemas: muchas de las veces tuve problemas en un TS para habilitar bitlocker, estaba relacionado con TPM, pero rara vez tuve un problema, como si tuviera problemas de firmware / TPM, saldrían antes en el proceso.
Acerca de Recast Software
1 de cada 3 organizaciones que utilizan Microsoft Configuration Manager confían en Right Click Tools para detectar vulnerabilidades y remediarlas más rápido que nunca.
Descargar herramientas gratuitas
Solicitar precio
Vea cómo Right Click Tools está cambiando la forma en que se administran los sistemas.
Aumente la productividad de inmediato con nuestra versión limitada y gratuita de la edición Community.
Comience con Right Click Tools hoy:
Spanish 
English 
German 
French 
Swedish 
Portuguese 
Finnish 
Italian