Cifrado de Bitlocker utilizando AAD/MDM para la seguridad de los datos en la nube

Con las nuevas características de Windows 10, la productividad de los usuarios ha aumentado a pasos agigantados. Esto se debe a que Windows 10 introdujo su enfoque como `Mobile first, Cloud first. No es más que la integración de los dispositivos móviles con la tecnología de la nube. Windows 10 ofrece la gestión moderna de datos mediante soluciones de gestión de dispositivos basadas en la nube, como Microsoft Enterprise Mobility Suite (EMS) . Con esto, los usuarios pueden acceder a sus datos desde cualquier lugar y en cualquier momento. Sin embargo, este tipo de datos también necesita una buena seguridad, lo que es posible con Bitlocker .

Cifrado de Bitlocker utilizando AAD/MDM para la seguridad de los datos en la nube 1

Cifrado de Bitlocker para la seguridad de los datos en la nube

La configuración de cifrado de Bitlocker ya está disponible en los dispositivos móviles de Windows 10. Sin embargo, estos dispositivos deben tener la capacidad InstantGo para automatizar la configuración. Con InstantGo, el usuario puede automatizar la configuración del dispositivo y realizar una copia de seguridad de la clave de recuperación en la cuenta Azure AD del usuario.

Pero ahora los dispositivos ya no necesitarán la función InstantGo. Con Windows 10 Creators Update, todos los dispositivos de Windows 10 tendrán un asistente en el que se pedirá a los usuarios que inicien el cifrado de Bitlocker independientemente del hardware utilizado. Esto fue principalmente el resultado de la retroalimentación de los usuarios sobre la configuración, donde deseaban tener esta encriptación automatizada sin que los usuarios hicieran nada. Así, ahora la encriptación de Bitlocker se ha convertido en automática y independiente del hardware .

Cómo funciona el cifrado de Bitlocker

Cuando el usuario final inscribe el dispositivo y es un administrador local, el TriggerBitlocker MSI hace lo siguiente:

  • Despliega tres archivos en C:\Ficheros de programa (x86)\BitLockerTrigger\
  • Importa una nueva tarea programada basada en el archivo Enable_Bitlocker.xml incluido

La tarea programada se ejecutará todos los días a las 2 PM y hará lo siguiente:

  • Ejecute Enable_Bitlocker.vbs cuyo propósito principal es llamar Enable_BitLocker.ps1 y asegúrese de ejecutar minimizado.
  • A su vez, Enable_BitLocker.ps1 cifrará la unidad local y almacenará la clave de recuperación en Azure AD y OneDrive for Business (si está configurada).

    • La clave de recuperación sólo se almacena cuando se cambia o no está presente

Los usuarios que no forman parte del grupo de administración local deben seguir un procedimiento diferente. Por defecto, el primer usuario que une un dispositivo a Azure AD es un miembro del grupo de administración local. Si un segundo usuario, que forma parte del mismo arrendatario del DAA, inicia sesión en el dispositivo, será un usuario estándar.

Esta bifurcación es necesaria cuando una cuenta de Device Enrollment Manager se encarga de la unión de Azure AD antes de entregar el dispositivo al usuario final. A estos usuarios se les ha asignado un equipo de Windows con MSI (TriggerBitlockerUser) modificado. Es ligeramente diferente de la de los usuarios de administración local:

La tarea programada de BitlockerTrigger se ejecutará en el contexto del sistema y lo hará:

  • Copie la clave de recuperación a la cuenta de Azure AD del usuario que se unió al AAD.
  • Copia la clave de recuperación a Systemdrive temp (típicamente C:

Se introduce un nuevo script MoveKeyToOD4B.ps1 y se ejecuta diariamente mediante una tarea programada llamada MoveKeyToOD4B . Esta tarea programada se ejecuta en el contexto de los usuarios. La clave de recuperación se moverá de systemdrive temp a la carpeta OneDrive for Business recovery.

Para los escenarios de administración no locales, los usuarios necesitan implementar el archivo TriggerBitlockerUser a través de Intune al grupo de usuarios finales. Esto no se implementa en el grupo/cuenta Device Enrollment Manager utilizado para unir el dispositivo a Azure AD.

Para obtener el acceso a la clave de recuperación, los usuarios deben ir a cualquiera de las siguientes ubicaciones:

  • Cuenta de AD de Azure
  • Una carpeta de recuperación en OneDrive para empresas (si está configurada).

Se sugiere a los usuarios que recuperen la clave de recuperación a través de http://myapps.microsoft.com y naveguen hasta su perfil, o en su carpeta OneDrive for Business.

Para más información sobre cómo habilitar la encriptación Bitlocker, lea el blog completo en Microsoft TechNet .

Contenido Relacionado

Deja un comentario