Habilitar Bitlocker

<img style="”float:" right;” src="”https://www.recastsoftware.com/wp-content/uploads/2021/10/Recast-Logo-Dark_Horizontal.svg”" alt="&quot;Imagen&quot;" height="”43″" width="”150″">

Habilitar Bitlocker / Bitlocker de aprovisionamiento previo

Este paso le permite activar Bitlocker fácilmente y, al mismo tiempo, ofrece varias opciones que le permiten personalizar cómo se inicia. Recientemente se han agregado varias mejoras a esto, lo que ha eliminado la necesidad de crear previamente varias claves de registro para obtener el resultado deseado. ¡Es cada vez más fácil! Estoy fusionando los dos pasos en uno, ya que tiene sentido, especialmente para demostraciones. He fusionado el paso Habilitar Bitlocker y Bitlocker de aprovisionamiento previo Ingrese a una página, ya que están directamente relacionados y las demostraciones y los resultados de las pruebas tienen sentido cuando se usan en conjunto.

MS Docs

Habilitar el paso de Bitlocker: https://docs.microsoft.com/en-us/mem/configmgr/osd/understand/task-sequence-steps#BKMK_EnableBitLocker

Paso previo al aprovisionamiento: https://docs.microsoft.com/en-us/mem/configmgr/osd/understand/task-sequence-steps#BKMK_PreProvisionBitLocker

Bitlocker de MS Docs

https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-overview

Potencia Shell

Imagen de paso

Habilitar Bitlocker 1

Opciones

  • Al elegir la unidad (también conocida como la partición), probablemente dejará este valor predeterminado que elige la unidad en la que está instalado el sistema (Windows), pero puede elegir manualmente una letra de unidad si desea cifrar una unidad diferente en lugar del sistema. unidad, o si tiene un par de instancias del paso "Habilitar Bitlocker" que desea ejecutar para cifrar varias particiones.
  • Protectores de cifrado.

    • Solo TPM - Más transparente y transparente para el usuario.
    • Llave de inicio solo en USB - Coloca la llave en la unidad USB que debe conectarse a la computadora para desbloquear la unidad.
    • TPM y clave de inicio solo en USB - Se requiere TPM y unidad USB para desbloquear.
    • TPM y ALFILER - BitLocker bloquea el proceso de arranque normal hasta que el usuario proporciona el PIN.
  • Modo de cifrado de disco (Siempre uso XTS_AES_256, convénceme de por qué no debería hacerlo).

    • AES_128
    • AES_256
    • XTS_AES_128
    • XTS_AES_256
  • Usar cifrado de disco completo

    • Comprobado = Disco lleno, incluido el espacio no utilizado. Cifra todo el disco al principio, pero ya está.
    • Desenfrenado = Solo espacio usado, Cifra a medida que agrega archivos
  • Elija dónde crear la clave de recuperación:

    • Servicios de dominio de Active Directory
    • No crear - Esto sería si planea almacenarlos en Azure o MBAM y no los quiere también en AD.
  • Espere a que Bitlocker complete el cifrado de la unidad ... antes de continuar - He visto que esto se usa cuando debe cumplir con las políticas de cumplimiento que garantizan que un dispositivo esté encriptado 100% antes de la implementación.
  • Omita este paso si las computadoras no tienen TPM o si TPM está deshabilitado. - Esto se agregó como medida de protección para evitar fallas cuando se ejecuta en una máquina que no tiene un TPM (como una VM) o una que no tiene una configuración de TPM. Dependiendo de su situación, es posible que prefiera que la secuencia de tareas falle si la máquina no se encripta.

POBLACIÓN

Demostración 1: cifrado de disco completo con aprovisionamiento previo

Secuencia de tareas:
Habilitar Bitlocker 1a

Registro SMSTS de Bitlocker previo a la provisión:
Habilitar Bitlocker 2
Justo después de que se ejecute el paso de pre-aprovisionamiento, puede ver que el estado tiene la unidad ya cifrada con la configuración que queríamos ... pero todavía no hay protectores:
Habilitar Bitlocker 3
Una vez en el sistema operativo completo y en "Habilitar Bitlocker", el registro muestra lo que esperaríamos:
Habilitar Bitlocker 4
Todavía se está encriptando, y se quedará en este paso hasta que se complete la encriptación, que fue iniciada por el paso previo a la provisión.
Habilitar Bitlocker 5
Aquí puede ver que el cifrado se completó, luego se agregaron los protectores. El error fue causado por tener el CD todavía en la unidad cuando intentó agregar los protectores.

Demostración 2: espacio usado solo con aprovisionamiento previo

Esta es la misma configuración que la última prueba, pero desmarcamos la casilla "Usar cifrado de disco completo". En el registro del paso previo al aprovisionamiento, verá que la línea de comando ha cambiado de / full: True a / full: False y el comando manage-bde establecido en "used"
Paso previo al aprovisionamiento:
Habilitar Bitlocker Prov1
Habilitar el paso de Bitlocker:
Habilitar Bitlocker Prov2
En esta imagen del registro, puede ver que aunque el paso Habilitar Bitlocker todavía está configurado para usar el cifrado de disco completo, debido a que ya estaba configurado para el espacio usado anteriormente, el disco permaneció en el modo de solo espacio usado. En este punto, si desea utilizar el disco completo, tendrá que descifrar y luego volver a cifrar en modo de disco completo.

Demostración 3 - Disco lleno - sin aprovisionamiento previo - Habilitar espera

[Habilitar Bitlocker 56 (media / EnableBit06.png)
Esta vez, el aprovisionamiento previo está deshabilitado, el paso se establece en Cifrado completo y Espere a que se complete el cifrado.

Resultados de la prueba

Todas las pruebas se realizaron en HyperV utilizando máquinas virtuales Gen2, 2 CPU virtuales y 2 GB de RAM, Unidad de estado sólido PNY de 120 GB. (Barato)
Habilitar Bitlocker HyperV1Habilitar Bitlocker HyperV2La clave es tener una unidad FÍSICA dedicada en la máquina host para la máquina virtual. Para obtener más información, consulte este Entrada en el blog

Pruebas:

  • Prueba 1: Disco completo con aprovisionamiento previo

    • Tiempo para OSD: 38 minutos
    • Cifrado Bitlocker: 100% completo
  • Prueba 2: Disco lleno sin preaprovisionamiento sin espera habilitada

    • Tiempo para OSD: 12 minutos
    • Cifrado Bitlocker: 12% completo
  • Prueba 3: Disco lleno sin preaprovisionamiento con espera habilitada

    • Tiempo para OSD: 39 minutos
    • Cifrado Bitlocker: 100% de espacio usado
  • Prueba 4: Solo disco usado con aprovisionamiento previo

    • Tiempo para OSD: 12 minutos
    • Cifrado Bitlocker: 100% de espacio usado
  • Prueba 5: Solo disco usado sin preaprovisionamiento

    • Tiempo para OSD: 12 minutos
    • Cifrado Bitlocker: 75% de espacio usado

Estas pruebas muestran la importancia de habilitar el aprovisionamiento previo.

Otras notas

  • Paso de preaprovisionamiento

    • El paso NO es obligatorio, está ahí para ahorrarle tiempo al hacer que el proceso de cifrado comience más temprano que tarde.
    • Si usa el disco completo, pausará el proceso de TS en el paso "Habilitar Bitlocker" mientras espera que se complete el cifrado para agregar protectores.
    • Es agradable de usar si debe usar el disco completo, ya que garantiza que el cifrado esté completo antes de que se complete el OSD y lo inicia al principio del proceso para ahorrar tiempo en general.
  • Habilitar el paso de Bitlocker

    • Da total flexibilidad a la hora de configurar Bitlocker
    • Cuando se usa sin pre-aprovisionamiento, le permite habilitar y continuar, sin ralentizar el OSD, pero dejando la máquina en un estado de "Cifrado" después del OSD.
  • General

    • El espacio usado solo ahorrará tiempo, y si su equipo de seguridad está a bordo con él, hágalo, de lo contrario, el disco completo no lo ralentiza mucho en función de cómo desee configurarlo.
    • Se han realizado tantas mejoras en la experiencia de bitlocker, estoy en un punto en el que ya no necesito "ajustes" para obtener la configuración de Bitlocker durante el OSD para alcanzar mi objetivo, todo está integrado de forma nativa.
    • La mayor consideración es asegurarse de tener la configuración de sus requisitos previos, Configuración de TPM correctamente.

Recursos adicionales

  • Secuencia de comandos para expulsar medios de CD (ejecutar el paso de la línea de comandos)
powershell.exe -NoProfile -Command "(New-Object -ComObject 'Shell.Application'). Espacio de nombres (17) .Items () | Where-Object {$_.Type -eq 'CD Drive'} | foreach {$_.InvokeVerb ('Expulsar')} "
  • Publicaciones de blog de Niall Brady FDE más de cerca, muy bien hecho, que leí después de escribir esto y cubre muchos de los mismos materiales, pero vale la pena echarle un vistazo para echarle otro ojo al proceso, su serie también abarca otras áreas en las que no planeo entrar & Utilice Bitlocker Management durante OSD, otra gran publicación para obtener información sobre bitlocker e incorporar la administración.

  • Panel de administración de Bitlocker Recast: Esta integración ConfigMgr es realmente agradable para tener una idea general de cómo está funcionando su cumplimiento de bitlocker, así como para tomar medidas para corregir las cosas.

  • Solución de problemas: muchas de las veces tuve problemas en un TS para habilitar bitlocker, estaba relacionado con TPM, pero rara vez tuve un problema, como si tuviera problemas de firmware / TPM, saldrían antes en el proceso.

Acerca de Recast Software
1 de cada 3 organizaciones que utilizan Microsoft Configuration Manager confían en Right Click Tools para detectar vulnerabilidades y remediarlas más rápido que nunca.
Descargar herramientas gratuitas
Solicitar precio

Vea cómo Right Click Tools está cambiando la forma en que se administran los sistemas.

Aumente la productividad de inmediato con nuestra versión limitada y gratuita de la edición Community.

Comience con Right Click Tools hoy:

Compartir este:

Ayuda

  • Este campo es para fines de validación y no debe modificarse.

Contacto

  • Este campo es para fines de validación y no debe modificarse.
es_MXSpanish