Encriptación de Bitlocker usando AAD / MDM para Cloud Data Security

Con las nuevas características de Windows 10, la productividad de los usuarios ha aumentado a pasos agigantados. Esto se debe a que Windows 10 introdujo su enfoque como `Móvil primero, Nube primero`. No es más que la integración de dispositivos móviles con la tecnología de la nube. Windows 10 ofrece la administración moderna de datos utilizando soluciones de administración de dispositivos basadas en la nube, como Microsoft Enterprise Mobility Suite (EMS) . Con esto, los usuarios pueden acceder a sus datos desde cualquier lugar y en cualquier momento. Sin embargo, este tipo de datos también necesita una buena seguridad, que es posible con Bitlocker .

Encriptación Bitlocker para seguridad de datos en la nube

La configuración de encriptación de Bitlocker ya está disponible en los dispositivos móviles con Windows 10. Sin embargo, estos dispositivos necesitan tener la capacidad InstantGo para automatizar la configuración. Con InstantGo, el usuario podría automatizar la configuración en el dispositivo y hacer una copia de seguridad de la clave de recuperación en la cuenta de Azure AD del usuario.

Pero ahora los dispositivos ya no necesitarán la capacidad de InstantGo. Con Windows 10 Creators Update, todos los dispositivos con Windows 10 tendrán un asistente en el que se les pedirá a los usuarios que inicien el cifrado de Bitlocker independientemente del hardware utilizado. Esto fue principalmente el resultado de la retroalimentación de los usuarios sobre la configuración, en la que deseaban automatizar este cifrado sin que los usuarios hicieran nada. Por lo tanto, ahora el cifrado Bitlocker se ha convertido en automático y hardware independiente.

¿Cómo funciona el cifrado Bitlocker?

Cuando el usuario final inscribe el dispositivo y es un administrador local, el TriggerBitlocker MSI hace lo siguiente:

• Despliega tres archivos en C: Archivos de programa (x86) BitLockerTrigger
• Importa una nueva tarea programada basada en el incluido Enable_Bitlocker.xml

La tarea programada se ejecutará cada día a las 2 p.m. y hará lo siguiente:

• Ejecute Enable_Bitlocker.vbs cuyo objetivo principal es llamar a Enable_BitLocker.ps1 y asegúrese de ejecutar minimized.
• A su vez, Enable_BitLocker.ps1 cifrará la unidad local y almacene la clave de recuperación en Azure AD y OneDrive for Business (si está configurada)
  • La clave de recuperación solo se almacena cuando ha cambiado o no está presente

Los usuarios que no forman parte del grupo de administración local deben seguir un procedimiento diferente. De forma predeterminada, el primer usuario que se une a un dispositivo a Azure AD es un miembro del grupo de administración local. Si un segundo usuario, que es parte del mismo inquilino de AAD, inicia sesión en el dispositivo, será un usuario estándar.

Esta bifurcación es necesaria cuando una cuenta de Administrador de inscripción de dispositivo se ocupa de la unión de Azure AD antes de entregar sobre el dispositivo para el usuario final. Para tales usuarios, MSI modificado (TriggerBitlockerUser) ha recibido el equipo de Windows. Es ligeramente diferente de la de los usuarios administradores locales:

La tarea programada BitlockerTrigger se ejecutará en el contexto del sistema y:

• Copiará la clave de recuperación en la cuenta Azure AD del usuario que se unió al dispositivo a AAD.
• Copie la clave de recuperación en Systemdrive temp (generalmente C: Temp) temporalmente.

Se presenta un nuevo script MoveKeyToOD4B.ps1 y se ejecuta diariamente a través de una tarea programada llamada MoveKeyToOD4B . Esta tarea programada se ejecuta en el contexto de los usuarios. La clave de recuperación se moverá de systemdrive temp a la carpeta OneDrive for Business recovery.

Para los escenarios de administración no locales, los usuarios necesitan desplegar el archivo TriggerBitlockerUser a través de Intune al grupo de finalización -usuarios. Esto no se implementa en el grupo / cuenta del Administrador de inscripción de dispositivo utilizado para unir el dispositivo a Azure AD.

Para obtener acceso a la clave de recuperación, los usuarios deben ir a cualquiera de las siguientes ubicaciones:

• Cuenta Azure AD
• Una carpeta de recuperación en OneDrive para empresas (si está configurada).

Se sugiere a los usuarios recuperar la clave de recuperación a través de //myapps.microsoft.com y vaya a su perfil, o en su carpeta OneDrive para Business recovery.

Para obtener más información sobre cómo habilitar el cifrado Bitlocker, lea el blog completo en Microsoft TechNet.