Identifizieren von entsperrten und vollständig entschlüsselten Laufwerken mit PowerShell

Die sich ständig weiterentwickelnde IT-Landschaft erfordert Wachsamkeit in Sachen Sicherheit, insbesondere im Bereich des Datenschutzes. Da Unternehmen durch die digitale Transformation immer stärker auf Daten angewiesen sind, wird der Schutz sensibler Informationen immer wichtiger. Ein zentraler Aspekt des Datenschutzes ist das Verständnins des Status der Festplattenverschlüsselung. Dies bringt uns zu unserem heutigen Schwerpunkt – ein PowerShell-Skript, das die Anzahl der entsperrten und vollständig entschlüsselten Laufwerke ermitteln kann. 

Hintergrund

Die Festplattenverschlüsselung ist seit langem ein Eckpfeiler der Informationssicherheit, insbesondere in Unternehmen, in denen große Mengen sensibler Daten gespeichert werden. IT-Fachleute und Managed Service Provider (MSPs ) bemühen sich, sicherzustellen, dass Festplattenlaufwerke verschlüsselt bleiben, um unbefugten Zugriff zu verhindern. Die Überwachung des Verschlüsselungsstatus wird zu einer kritischen Aufgabe, weshalb effiziente Skripte benötigt werden, die Aufschluss darüber geben, welche Laufwerke möglicherweise anfällig sind. Unser Skript dient genau diesem Zweck.

Das Skript

#Requires -Version 2.0

<#
.SYNOPSIS
    Returns the number of drives in the Unlocked and FullyDecrypted state.
.DESCRIPTION
    Returns the number of drives in the Unlocked and FullyDecrypted state.
.EXAMPLE
    No parameters needed.
.EXAMPLE
    PS C:> Get-UnencryptedDiskCount.ps1
    No Parameters needed
.OUTPUTS
    int
.NOTES
    Minimum OS Architecture Supported: Windows 7, Windows Server 2012
    Uses manage-bde.exe or Get-BitLockerVolume depending on the version of PowerShell
    Release Notes:
    Initial Release
By using this script, you indicate your acceptance of the following legal terms as well as our Terms of Use at https://www.ninjaone.com/terms-of-use.
    Ownership Rights: NinjaOne owns and will continue to own all right, title, and interest in and to the script (including the copyright). NinjaOne is giving you a limited license to use the script in accordance with these legal terms. 
    Use Limitation: You may only use the script for your legitimate personal or internal business purposes, and you may not share the script with another party. 
    Republication Prohibition: Under no circumstances are you permitted to re-publish the script in any script library or website belonging to or under the control of any other software provider. 
    Warranty Disclaimer: The script is provided “as is” and “as available”, without warranty of any kind. NinjaOne makes no promise or guarantee that the script will be free from defects or that it will meet your specific needs or expectations. 
    Assumption of Risk: Your use of the script is at your own risk. You acknowledge that there are certain inherent risks in using the script, and you understand and assume each of those risks. 
    Waiver and Release: You will not hold NinjaOne responsible for any adverse or unintended consequences resulting from your use of the script, and you waive any legal or equitable rights or remedies you may have against NinjaOne relating to your use of the script. 
    EULA: If you are a NinjaOne customer, your use of the script is subject to the End User License Agreement applicable to you (EULA).
.COMPONENT
    Misc
#>

[CmdletBinding()]
param ()

begin {
    function Test-IsElevated {
        $id = [System.Security.Principal.WindowsIdentity]::GetCurrent()
        $p = New-Object System.Security.Principal.WindowsPrincipal($id)
        if ($p.IsInRole([System.Security.Principal.WindowsBuiltInRole]::Administrator))
        { Write-Output $true }
        else
        { Write-Output $false }
    }
    function Get-DriveLetter {
        param()
        Get-Disk | Where-Object { $_.bustype -ne 'USB' } | Get-Partition | Where-Object { $_.DriveLetter } | Select-Object -ExpandProperty DriveLetter
    }
    function Invoke-ManageBDE {
        [CmdletBinding()]
        param ()
        # Check if manage-bde.exe is available
        if ((Get-Command -Name "manage-bde.exe" -ErrorAction SilentlyContinue)) {
            # Get physical drives
            Get-DriveLetter | ForEach-Object {
                $DriveLetter = $_
                $ReturnObj = [PSCustomObject]@{
                    MountPoint = "$_`:"
                }
                # Get data from manage-bde.exe and convert the text to objects for easier processing 
                (manage-bde.exe -status "$_`:") -split "`n" | Where-Object { $_ -like "*:*" } | ForEach-Object {
                    $First = ($_ -split ":")[0].Trim() -replace ' '
                    $Last = ($_ -split ":")[1].Trim() -replace ' '
                    if ($First -notlike "Name" -and $First -notlike "BitLocker Drive Encryption" -and $First -notlike "Volume $DriveLetter") {
                        if ($First -like "ConversionStatus") {
                            # Renames ConversionStatus to VolumeStatus to match Get-BitLockerVolume's output
                            $ReturnObj | Add-Member -MemberType NoteProperty -Name "VolumeStatus" -Value $Last
                        }
                        else {
                            $ReturnObj | Add-Member -MemberType NoteProperty -Name $First -Value $Last
                        }
                    }
                }
                $ReturnObj
            } | Select-Object MountPoint, LockStatus, VolumeStatus
        }
        else {
            Write-Host "Windows Feature BitLocker is not install."
            Write-Output 0
        }
    }
}
process {
    if (-not (Test-IsElevated)) {
        Write-Error -Message "Access Denied. Please run with Administrator privileges."
        exit 1
    }
    $Result = if ($PSVersionTable.PSVersion.Major -le 4) {
        Invoke-ManageBDE
    }
    else {
        try {
            Get-DriveLetter | Get-BitLockerVolume | Select-Object MountPoint, LockStatus, VolumeStatus
        }
        catch {
            Write-Output "Falling back on manage-bde.exe"
            Invoke-ManageBDE
        }
    }
    $UnencryptedDisks = if ($Result) {
        (($Result | Where-Object { "Unlocked" -like $_.LockStatus -and "FullyDecrypted" -like $_.VolumeStatus }).LockStatus).Count
    }
    else {
        (Get-DriveLetter).Count
    }
    
    # Return a count of Unlocked drives
    Write-Host "Unencrypted Disk Count: $UnencryptedDisks"
    # Return an exit code of 2 if more than 1 disk is unencrypted
    if ($UnencryptedDisks -gt 0) {
        exit 2
    }
    exit 0
}
end {}

 

Detailansicht

Das Skript ist sorgfältig strukturiert, um die Anzahl der unverschlüsselten Festplatten zu ermitteln. So erreicht es dieses Ziel:

• Überprüfung der Berechtigungen: Zunächst stellt das Skript sicher, dass es mit Administratorrechten ausgeführt wird. Dadurch wird sichergestellt, dass es ohne Einschränkung auf die erforderlichen Festplatteninformationen zugreifen kann.
• Abrufen von Laufwerksbuchstaben: Das Skript holt die Laufwerksbuchstaben aller nicht über USB angeschlossenen Laufwerke.
• Status der Verschlüsselung: Je nach PowerShell-Version und der Verfügbarkeit bestimmter Dienstprogramme überprüft das Skript den Verschlüsselungsstatus über manage-bde.exe oder Get-BitLockerVolume.
• Zusammenstellung und Anzeige der Ergebnisse: Das Skript zählt die Anzahl der Laufwerke, die „Unlocked“ und „FullyDecrypted“ sind, und zeigt dann das Ergebnis an.
• Exit Codes: Es bietet Exit-Codes, um das Ergebnis anzuzeigen. Ein Exit-Code von ‚2‘ bedeutet, dass mehr als eine unverschlüsselte Festplatte vorhanden ist, während ‚0‘ Entwarnung bedeutet.

Potenzielle Anwendungsfälle

Stellen Sie sich einen IT-Fachmann, Alex, vor, der für ein Gesundheitsunternehmen mit Hunderten von Computern arbeitet. Jedes Gerät enthält sensible Patientendaten, weshalb die Verschlüsselung von entscheidender Bedeutung ist. In regelmäßigen Abständen muss Alex sicherstellen, dass die Laufwerke aller Rechner verschlüsselt sind. Mit diesem Skript kann er effizient Daten sammeln und so mögliche Schwachstellen schnell beheben.

Vergleiche

Es gibt zwar auch andere Methoden, wie z. B. Softwarelösungen von Drittanbietern, die eine Überwachung der Festplattenverschlüsselung anbieten, aber unser Skript zeichnet sich durch seine Einfachheit und die direkte Integration in native Windows-Dienstprogramme aus. Während viele Lösungen lange Einrichtungszeiten oder Lizenzgebühren erfordern, ist dieses PowerShell-Skript leicht, kostengünstig und kann sofort ausgeführt werden.

FAQs

• Benötige ich Administratorrechte, um dieses Skript auszuführen?
  Ja, Sie müssen es mit Administratorrechten ausführen, um genaue Ergebnisse zu erzielen.

• Funktioniert das Skript auf allen Versionen von Windows?
  Es unterstützt Windows 7 und höher, einschließlich Windows Server 2012.

Auswirkungen

Das Skript ist ein hervorragendes Instrument, aber es ist wichtig, seine Ergebnisse zu verstehen. Unverschlüsselte Festplatten in einer Unternehmensumgebung können zu Datenverletzungen führen. Das Skript informiert also nicht nur, es ist ebenfalls ein Frühwarnsystem.

Empfehlungen

• Führen Sie das Skript in regelmäßigen Abständen aus, vor allem, wenn Sie neue Laufwerke oder Systeme in Ihr Netzwerk aufnehmen.
• Integrieren Sie die Ergebnisse mit anderen Überwachungstools, um ein umfassendes Sicherheits-Dashboard zu erhalten.
• Erwägen Sie eine Automatisierung, die das IT-Personal sofort alarmiert, wenn ein unverschlüsseltes Laufwerk entdeckt wird.

Abschließende Überlegungen

Im Zusammenhang mit der Festplattenverschlüsselung ist ein Tool, das Einblicke wie unser PowerShell-Skript bietet, von unschätzbarem Wert. Für Plattformen wie NinjaOne, die sich auf integriertes IT-Management konzentrieren, kann die Integration solcher Skripte den Nutzern einen ganzheitlicheren Blick auf ihre IT-Sicherheit bieten. In einer Zeit, in der Datenschutzverletzungen immer häufiger vorkommen, sind Tools, die in Echtzeit Einblicke in Schwachstellen wie unverschlüsselte Laufwerke geben können, nicht nur hilfreich, sondern unverzichtbar.