BitLocker es una función de cifrado de Windows que protege tus datos cifrando unidades. Ofrece personalización para la selección de unidades, métodos de cifrado, opciones de recuperación y protectores.

¿Cuáles son las formas de habilitar BitLocker con Applivery?

Applivery te permite habilitar BitLocker de forma silenciosa o con interacción del usuario, usando políticas de configuración o scripts PowerShell personalizados.

¿Qué ajustes de BitLocker son obligatorios en las políticas de Applivery?

Los ajustes 'Permitir cifrado de usuario estándar' y 'Requerir cifrado de dispositivo' deben estar habilitados en las políticas de Applivery para BitLocker.

¿Cómo puedo habilitar BitLocker si los dispositivos no están unidos a Entra ID o Active Directory?

Puedes habilitar BitLocker igualmente usando políticas de configuración de Applivery, pero el despliegue no será silencioso y requerirá interacción del usuario.

¿Puedo habilitar BitLocker silenciosamente con PowerShell si los dispositivos no están unidos a Entra ID o Active Directory?

Sí, puedes usar un script PowerShell para activar BitLocker de forma silenciosa, incluso si los dispositivos no están unidos a Entra ID o Active Directory.

¿Cómo despliego un script PowerShell para la activación de BitLocker con Applivery?

Empaqueta el script PowerShell, un script de tarea programada y un archivo .bat en un .msi, luego cárgalo y despliégalo como una App dentro de una política de Applivery.

¿Qué hace el archivo .bat en el paquete de despliegue de BitLocker con PowerShell?

El archivo .bat crea una tarea programada para ejecutar el script PowerShell, garantizando que se ejecute con los permisos necesarios para la activación de BitLocker.

Desplegar BitLocker con Applivery: Cifrado simplificado

Q: ¿Qué se necesita para la activación silenciosa de BitLocker con Applivery?

Para la activación silenciosa de BitLocker usando políticas de Applivery, el dispositivo debe estar unido a Entra ID o Active Directory para hacer copia de seguridad de las claves de recuperación.

BitLocker es una función de cifrado integrada en Windows que protege tus datos cifrando las unidades. Ofrece amplias opciones de personalización, incluyendo la elección de las unidades a cifrar, los métodos de cifrado, las opciones de recuperación y los protectores.

Con Applivery, puedes habilitar BitLocker usando diferentes enfoques:

De forma silenciosa, sin intervención del usuario, o con interacción del usuario final.
Aplicando políticas de configuración de BitLocker o desplegando scripts PowerShell personalizados.

El mejor método depende de tu entorno Windows y Microsoft específico.

Configurar tu política silenciosa

Para activar BitLocker de forma silenciosa usando las políticas de Applivery, el dispositivo debe estar unido a Entra ID o Active Directory. Esto es necesario para que BitLocker pueda hacer copia de seguridad de las claves de recuperación.

En el panel de Applivery, dirígete a Políticas 1. Elige la política en la que quieres configurar BitLocker.

Luego, en el menú de la izquierda, haz clic en + Añadir configuración 2 y usa la barra de búsqueda para encontrar la configuración de BitLocker 3.

El proceso de despliegue es sencillo: los ajustes de BitLocker pueden personalizarse según sea necesario, pero la política debe incluir las siguientes configuraciones:

Permitir cifrado de usuario estándar – Establecer en 1.

Habilita la política RequireDeviceEncryption para cifrar todas las unidades fijas, incluso si el usuario que ha iniciado sesión actualmente es una cuenta estándar (sin privilegios de administrador).
Permitir advertencia para otro cifrado de disco – Establecer en 0.

Deshabilita la advertencia. A partir de Windows 10 versión 1803, este valor solo puede establecerse en Dispositivos unidos a Azure Active Directory. Cuando se establece en 0, Windows intenta habilitar BitLocker de forma silenciosa.
Requerir cifrado de dispositivo – Establecer en 1.

Aplica el cifrado del dispositivo. Establecer esto en 1 activa el cifrado de todas las unidades — de forma silenciosa o con interacción del usuario — dependiendo del ajuste AllowWarningForOtherDiskEncryption.

Estos ajustes garantizan que se aplique el cifrado, se omitan los permisos de usuario estándar y la clave de recuperación se guarde de forma segura en Entra ID o Active Directory.

Desplegar BitLocker con interacción del usuario

Si los dispositivos no están unidos a Entra ID o Active Directory, puedes habilitar igualmente el cifrado usando las políticas de configuración de Applivery — sin embargo, el despliegue no será silencioso:

Se notificará al usuario que la organización requiere cifrado.
Se pedirá al usuario que inicie el proceso de cifrado.
El usuario elegirá dónde guardar la clave de recuperación.

En este escenario, debes habilitar el ajuste Requerir cifrado de dispositivo.

Si tus usuarios no son administradores locales, también debes habilitar el ajuste Permitir cifrado de usuario estándar.

Configurar el cifrado silencioso con PowerShell

Puedes activar BitLocker de forma silenciosa con un script PowerShell, incluso si tus dispositivos no están unidos a Entra ID o Active Directory.

El siguiente ejemplo habilita BitLocker en la unidad C: usando TPM y un protector de contraseña. Guarda la clave de recuperación en la unidad C: de forma predeterminada, pero puedes personalizar la ubicación de guardado a cualquier carpeta o endpoint de API:

if (($pshome -like "*syswow64*") -and ((Get-WmiObject Win32_OperatingSystem).OSArchitecture -like "64*")) {
    # relaunch this script under 64 bit shell
    & (join-path ($pshome -replace "syswow64", "sysnative")\powershell.exe) -file $myinvocation.mycommand.Definition @args
    exit
}

# Set variables
$mountPoint = "C:"
$recoveryKeyPath = "C:\RecoveryKeys"  # Change this to your desired path
$timestamp = Get-Date -Format "yyyyMMdd_HHmmss"
$computerName = $env:COMPUTERNAME
$recoveryKeyFile = "$recoveryKeyPath\${computerName}_BitLockerKey_$timestamp.txt"

# Ensure the recovery key folder exists
if (-not (Test-Path $recoveryKeyPath)) {
    New-Item -Path $recoveryKeyPath -ItemType Directory | Out-Null
}

# Enable BitLocker with TPM and skip hardware test
Enable-BitLocker -MountPoint $mountPoint -EncryptionMethod XtsAes256 -TPMProtector -UsedSpaceOnly -SkipHardwareTest

# Add Recovery Password Protector
$protector = Add-BitLockerKeyProtector -MountPoint $mountPoint -RecoveryPasswordProtector

# Extract the recovery password and Id
$recoveryPassword = (Get-BitLockerVolume -MountPoint "C:").KeyProtector | Where-Object {$_.KeyProtectorType -eq 'RecoveryPassword'} | Select-Object -ExpandProperty RecoveryPassword
$keyProtectorId = (Get-BitLockerVolume -MountPoint "C:").KeyProtector | Where-Object {$_.KeyProtectorType -eq 'RecoveryPassword'} | Select-Object -ExpandProperty KeyProtectorId

# Save recovery password to file
"Computer Name: $computerName`nDrive: $mountPoint`nKey ID: $keyProtectorId`nRecovery Password: $recoveryPassword`nDate: $timestamp" | Out-File -FilePath $recoveryKeyFile -Encoding UTF8 -Force

Write-Host "Recovery password saved to: $recoveryKeyFile" -ForegroundColor Green
exit 0

Nombra el script activateBitlocker.ps1.

Para evitar problemas de permisos, ejecútalo a través de una tarea programada. Crea otro script llamado scheduledtask.ps1 para configurar la tarea.

$targetFolder = "C:\tempScriptFolder"
$scriptName = "activateBitlocker.ps1" # Change if you chose a different name.
$scriptDestination = "$targetFolder\activateBitlocker.ps1"
$taskName = "EnableBitLocker"

# Path where your Bitlocker activation script is within the msi file
$scriptPath = Join-Path -Path $PSScriptRoot -ChildPath $scriptName

#Creates a folder and copies script to it
New-Item -ItemType Directory -Path $targetFolder -Force | Out-Null
Copy-Item -Path $scriptPath -Destination $scriptDestination -Force

# Creates a scheduled task to execute the script.
schtasks /Create /TN $taskName /TR "Powershell.exe -WindowStyle Hidden -ExecutionPolicy bypass -File `"$scriptDestination`"" /SC ONCE /ST 00:00 /RL HIGHEST /RU SYSTEM /F

Start-Sleep -Seconds 3

# Runs the scheduled task immediately
schtasks /Run /TN $taskName

Start-Sleep -Seconds 3

# Removes the temporary folder and the scheduled task.
Remove-Item -Path $targetFolder -Recurse -Force
schtasks /Delete /TN $taskName /F

Coloca ambos scripts en la misma carpeta, junto con el siguiente archivo .bat:

@echo off
net session >nul 2>&1
if %errorLevel% NEQ 0 (
    powershell.exe -WindowStyle Hidden -ExecutionPolicy bypass -Command "Start-Process -Verb RunAs -FilePath 'cmd.exe' -ArgumentList '/c %~f0'"
    exit /b
)
powershell.exe -WindowStyle Hidden -ExecutionPolicy bypass -File "%~dp0scheduledtask.ps1"

Una vez que los tres archivos estén empaquetados en un único .msi, súbelo a Applivery y despliégalo como una App dentro de una política:

El archivo .bat crea la tarea programada.
Los archivos necesarios se copian temporalmente a la unidad C:.
Se activa el cifrado de BitLocker.
Los archivos temporales se eliminan automáticamente tras la finalización.