Cómo identificar unidades desbloqueadas y totalmente descifradas con PowerShell

El panorama en constante evolución de las TI exige ser vigilantes en materia de seguridad, sobre todo en lo que tiene que ver con la protección de datos. A medida que la transformación digital lleva a las empresas a depender cada vez más de los datos, proteger la información sensible se convierte en algo primordial. Un aspecto fundamental de la protección de datos es conocer el estado del cifrado de los discos. Esto nos lleva al tema de este post: un script de PowerShell que puede identificar unidades desbloqueadas y totalmente descifradas. 

Antecedentes

El cifrado de discos es desde hace tiempo una piedra angular de la seguridad de la información, sobre todo en las empresas donde se almacenan grandes volúmenes de datos sensibles. Los profesionales de TI y los proveedores de servicios gestionados (MSP) se esfuerzan por garantizar que las unidades de disco permanezcan cifradas para evitar accesos no autorizados. Supervisar el estado de cifrado se convierte en una tarea crítica, de ahí la necesidad de scripts eficientes que proporcionen claridad sobre qué unidades podrían ser vulnerables. Nuestro script para identificar unidades desbloqueadas y totalmente descifradas responde precisamente a esta necesidad.

El script para identificar unidades desbloqueadas y totalmente descifradas

#Requires -Version 2.0

<#
.SYNOPSIS
    Returns the number of drives in the Unlocked and FullyDecrypted state.
.DESCRIPTION
    Returns the number of drives in the Unlocked and FullyDecrypted state.
.EXAMPLE
    No parameters needed.
.EXAMPLE
    PS C:> Get-UnencryptedDiskCount.ps1
    No Parameters needed
.OUTPUTS
    int
.NOTES
    Minimum OS Architecture Supported: Windows 7, Windows Server 2012
    Uses manage-bde.exe or Get-BitLockerVolume depending on the version of PowerShell
    Release Notes:
    Initial Release
By using this script, you indicate your acceptance of the following legal terms as well as our Terms of Use at https://www.ninjaone.com/terms-of-use.
    Ownership Rights: NinjaOne owns and will continue to own all right, title, and interest in and to the script (including the copyright). NinjaOne is giving you a limited license to use the script in accordance with these legal terms. 
    Use Limitation: You may only use the script for your legitimate personal or internal business purposes, and you may not share the script with another party. 
    Republication Prohibition: Under no circumstances are you permitted to re-publish the script in any script library or website belonging to or under the control of any other software provider. 
    Warranty Disclaimer: The script is provided “as is” and “as available”, without warranty of any kind. NinjaOne makes no promise or guarantee that the script will be free from defects or that it will meet your specific needs or expectations. 
    Assumption of Risk: Your use of the script is at your own risk. You acknowledge that there are certain inherent risks in using the script, and you understand and assume each of those risks. 
    Waiver and Release: You will not hold NinjaOne responsible for any adverse or unintended consequences resulting from your use of the script, and you waive any legal or equitable rights or remedies you may have against NinjaOne relating to your use of the script. 
    EULA: If you are a NinjaOne customer, your use of the script is subject to the End User License Agreement applicable to you (EULA).
.COMPONENT
    Misc
#>

[CmdletBinding()]
param ()

begin {
    function Test-IsElevated {
        $id = [System.Security.Principal.WindowsIdentity]::GetCurrent()
        $p = New-Object System.Security.Principal.WindowsPrincipal($id)
        if ($p.IsInRole([System.Security.Principal.WindowsBuiltInRole]::Administrator))
        { Write-Output $true }
        else
        { Write-Output $false }
    }
    function Get-DriveLetter {
        param()
        Get-Disk | Where-Object { $_.bustype -ne 'USB' } | Get-Partition | Where-Object { $_.DriveLetter } | Select-Object -ExpandProperty DriveLetter
    }
    function Invoke-ManageBDE {
        [CmdletBinding()]
        param ()
        # Check if manage-bde.exe is available
        if ((Get-Command -Name "manage-bde.exe" -ErrorAction SilentlyContinue)) {
            # Get physical drives
            Get-DriveLetter | ForEach-Object {
                $DriveLetter = $_
                $ReturnObj = [PSCustomObject]@{
                    MountPoint = "$_`:"
                }
                # Get data from manage-bde.exe and convert the text to objects for easier processing 
                (manage-bde.exe -status "$_`:") -split "`n" | Where-Object { $_ -like "*:*" } | ForEach-Object {
                    $First = ($_ -split ":")[0].Trim() -replace ' '
                    $Last = ($_ -split ":")[1].Trim() -replace ' '
                    if ($First -notlike "Name" -and $First -notlike "BitLocker Drive Encryption" -and $First -notlike "Volume $DriveLetter") {
                        if ($First -like "ConversionStatus") {
                            # Renames ConversionStatus to VolumeStatus to match Get-BitLockerVolume's output
                            $ReturnObj | Add-Member -MemberType NoteProperty -Name "VolumeStatus" -Value $Last
                        }
                        else {
                            $ReturnObj | Add-Member -MemberType NoteProperty -Name $First -Value $Last
                        }
                    }
                }
                $ReturnObj
            } | Select-Object MountPoint, LockStatus, VolumeStatus
        }
        else {
            Write-Host "Windows Feature BitLocker is not install."
            Write-Output 0
        }
    }
}
process {
    if (-not (Test-IsElevated)) {
        Write-Error -Message "Access Denied. Please run with Administrator privileges."
        exit 1
    }
    $Result = if ($PSVersionTable.PSVersion.Major -le 4) {
        Invoke-ManageBDE
    }
    else {
        try {
            Get-DriveLetter | Get-BitLockerVolume | Select-Object MountPoint, LockStatus, VolumeStatus
        }
        catch {
            Write-Output "Falling back on manage-bde.exe"
            Invoke-ManageBDE
        }
    }
    $UnencryptedDisks = if ($Result) {
        (($Result | Where-Object { "Unlocked" -like $_.LockStatus -and "FullyDecrypted" -like $_.VolumeStatus }).LockStatus).Count
    }
    else {
        (Get-DriveLetter).Count
    }
    
    # Return a count of Unlocked drives
    Write-Host "Unencrypted Disk Count: $UnencryptedDisks"
    # Return an exit code of 2 if more than 1 disk is unencrypted
    if ($UnencryptedDisks -gt 0) {
        exit 2
    }
    exit 0
}
end {}

 

Accede a más de 300 scripts en el Dojo de NinjaOne

Obtén acceso

Análisis detallado

El script para identificar unidades desbloqueadas y totalmente descifradas está estructurado de forma precisa para proporcionar un recuento de los discos sin cifrar. He aquí cómo logra su objetivo:

  • Control de la elevación de los permisos: inicialmente, el script para identificar unidades desbloqueadas y totalmente descifradas se asegura de que se ejecuta con privilegios de administrador. Esto garantiza que pueda acceder a la información necesaria del disco sin restricciones.
  • Recuperación de letras de unidad: el script para identificar unidades desbloqueadas y totalmente descifradas obtiene las letras de unidad de todas las unidades no conectadas a USB.
  • Estado del cifrado: dependiendo de la versión de PowerShell y de la disponibilidad de utilidades específicas, el script comprueba el estado del cifrado mediante manage-bde.exe o Get-BitLockerVolume.
  • Recopilación y visualización de resultados: el script para identificar unidades desbloqueadas y totalmente descifradas cuenta el número de unidades que están «Unlocked» y «FullyDecrypted» y luego muestra el resultado.
  • Códigos de salida: el script para identificar unidades desbloqueadas y totalmente descifradas muestra códigos de salida para indicar el resultado. Un código de salida ‘2’ indica más de un disco sin cifrar, mientras que ‘0’ indica que no hay ninguno.

Posibles casos de uso

Imagina a un profesional de TI, Alex, que trabaja para una empresa del sector sanitario con cientos de ordenadores. Cada dispositivo contiene datos confidenciales de los pacientes, por lo que el cifrado es crucial. Periódicamente, Alex necesita asegurarse de que las unidades de cada máquina están encriptadas. Utilizando este script para identificar unidades desbloqueadas y totalmente descifradas, puede recopilar datos de forma eficaz y, de este modo, abordar rápidamente las posibles vulnerabilidades.

Comparaciones

Aunque existen otros métodos, como soluciones de software de terceros que ofrecen supervisión del cifrado de disco, nuestro script para identificar unidades desbloqueadas y totalmente descifradas destaca por su sencillez y su integración directa con las utilidades nativas de Windows. Mientras que muchas soluciones requieren una configuración prolongada o el pago de licencias, este script de PowerShell es ligero, rentable y puede ejecutarse al instante.

Preguntas frecuentes

  • ¿Necesito derechos administrativos para ejecutar este script para identificar unidades desbloqueadas y totalmente descifradas?
    Sí, es necesario ejecutarlo con privilegios de administrador para obtener resultados precisos.
  • ¿El script funciona en todas las versiones de Windows?
    Es compatible con Windows 7 y versiones superiores, incluido Windows Server 2012.

Implicaciones

Si bien es cierto que el script que te presentamos para identificar unidades desbloqueadas y totalmente descifradas es una herramienta formidable, comprender sus resultados es vital. Los discos sin cifrar en un entorno empresarial pueden dar lugar a filtraciones de datos. Por tanto, el script para identificar unidades desbloqueadas y totalmente descifradas no se limita a informar; es un sistema de alerta temprana.

Recomendaciones

  • Ejecuta el script para identificar unidades desbloqueadas y totalmente descifradas periódicamente, especialmente después de introducir nuevas unidades o sistemas en la red.
  • Integra los resultados con otras herramientas de supervisión para disponer de un completo panel de seguridad.
  • Considera el uso de una automatización que alerte inmediatamente al personal de TI si se detecta una unidad no cifrada.

Reflexiones finales

En el contexto del cifrado de discos, una herramienta que proporcione información como nuestro script PowerShell para identificar unidades desbloqueadas y totalmente descifradas tiene un valor incalculable. Para plataformas como NinjaOne, que se centra en la gestión integrada de las TI, la incorporación de este tipo de scripts puede ofrecer a los usuarios una visión más global de su seguridad informática. En una época en la que las violaciones de datos son cada vez más frecuentes, las herramientas que pueden ofrecer información en tiempo real sobre vulnerabilidades como las unidades sin cifrar no sólo son útiles, sino esenciales.

Próximos pasos

La creación de un equipo de TI próspero y eficaz requiere contar con una solución centralizada que se convierta en tu principal herramienta de prestación de servicios. NinjaOne permite a los equipos de TI supervisar, gestionar, proteger y dar soporte a todos sus dispositivos, estén donde estén, sin necesidad de complejas infraestructuras locales.

Obtén más información sobre NinjaOne Endpoint Management, echa un vistazo a un tour en vivoo tu prueba gratuita de la plataforma NinjaOne.

Categorías:

Quizá también te interese…

Ver demo×
×

¡Vean a NinjaOne en acción!

Al enviar este formulario, acepto la política de privacidad de NinjaOne.

Términos y condiciones de NinjaOne

Al hacer clic en el botón «Acepto» que aparece a continuación, estás aceptando los siguientes términos legales, así como nuestras Condiciones de uso:

  • Derechos de propiedad: NinjaOne posee y seguirá poseyendo todos los derechos, títulos e intereses sobre el script (incluidos los derechos de autor). NinjaOne concede al usuario una licencia limitada para utilizar el script de acuerdo con estos términos legales.
  • Limitación de uso: solo podrás utilizar el script para tus legítimos fines personales o comerciales internos, y no podrás compartirlo con terceros.
  • Prohibición de republicación: bajo ninguna circunstancia está permitido volver a publicar el script en ninguna biblioteca de scripts que pertenezca o esté bajo el control de cualquier otro proveedor de software.
  • Exclusión de garantía: el script se proporciona «tal cual» y «según disponibilidad», sin garantía de ningún tipo. NinjaOne no promete ni garantiza que el script esté libre de defectos o que satisfaga las necesidades o expectativas específicas del usuario.
  • Asunción de riesgos: el uso que el usuario haga del script corre por su cuenta y riesgo. El usuario reconoce que existen ciertos riesgos inherentes al uso del script, y entiende y asume cada uno de esos riesgos.
  • Renuncia y exención: el usuario no hará responsable a NinjaOne de cualquier consecuencia adversa o no deseada que resulte del uso del script y renuncia a cualquier derecho o recurso legal o equitativo que pueda tener contra NinjaOne en relación con su uso del script.
  • CLUF: si el usuario es cliente de NinjaOne, su uso del script está sujeto al Contrato de Licencia para el Usuario Final (CLUF).