Ir al contenido principal

Estado de cifrado del disco

Alert when a device's primary partition isn't encrypted. The Encryption Status monitor checks BitLocker on Windows, FileVault on macOS, and LUKS on Linux with no configuration needed.

Introducción

Los endpoints sin cifrar son una de las brechas de cumplimiento más comunes en cualquier entorno. Un portátil perdido con un disco sin cifrar es una filtración de datos; un portátil perdido con un disco cifrado es una pérdida de hardware.

El monitor de estado de cifrado comprueba si la partición principal de cada dispositivo está cifrada y crea una alerta cuando no lo está, o cuando el cifrado se encuentra en un estado inesperado. Funciona en Windows (BitLocker), macOS (FileVault) y Linux (LUKS), y no requiere configuración de umbrales ni duraciones. Agrégalo a una política y comenzará a verificar.

Cómo funciona

El monitor se ejecuta en el agente. Realiza una comprobación booleana: si la partición principal del dispositivo está cifrada, sí o no. No hay umbrales, duraciones ni ámbitos que configurar.

La comprobación solo cubre la partición principal (de arranque). Las unidades secundarias y los volúmenes adicionales no se evalúan. Si necesitas verificar el cifrado en unidades secundarias, combina este monitor con un monitor de scripts que compruebe los volúmenes específicos que te interesen. Consulta Monitor de ejecución de scripts.

🖥️ NOTA DE PLATAFORMA:

  • Windows: Comprueba el estado de protección de BitLocker en el volumen de arranque. Esto refleja si la protección de BitLocker está actualmente activada, no solo si el volumen ha sido cifrado. Un volumen completamente cifrado con la protección suspendida (lo que ocurre temporalmente durante algunas actualizaciones de Windows y cambios de firmware) se notifica como no cifrado.

  • macOS: Comprueba si FileVault está habilitado, mediante una comprobación nativa de macOS.

  • Linux: Comprueba el cifrado LUKS en la partición raíz (/).

Agregar el monitor

Abre la política de monitor que apunta a los dispositivos que deseas comprobar y haz clic en + Agregar nuevo monitor.

Disk Encryption Status

Nombre y tipo

  1. Introduce un Nombre que identifique el propósito del monitor de un vistazo, como «Estado de cifrado del disco» o «Estaciones de trabajo - Cumplimiento de cifrado».

  2. Establece Tipo a Estado de cifrado.

Una vez seleccionado el tipo, el panel confirma que no hay nada más que configurar: el monitor solo supervisa la partición principal del dispositivo, sin ninguna configuración adicional necesaria.

Gravedad

Establece Gravedad según la urgencia con la que tu equipo trata un dispositivo sin cifrar:

  • Información

  • Advertencia

  • Crítico

💡 CONSEJO: Si tus clientes tienen requisitos de cumplimiento (HIPAA, CMMC, certificaciones de ciberseguro), considera usar Crítico. Un endpoint sin cifrar no está degradando el rendimiento, pero representa un hallazgo de cumplimiento abierto cada hora que persiste.

Corrección

Adjunta una automatización para que se ejecute cuando se active esta alerta. Haz clic en el campo Seleccionar una automatización y elige una; usa el icono enlace para abrir la automatización seleccionada en una nueva pestaña, el icono ojo para obtener una vista previa, o el icono × para borrar la selección.

ℹ️ NOTA: Las correcciones se ejecutan cuando se crea la alerta, no cuando se resuelve.

La combinación natural aquí es una automatización basada en la acción Habilitar cifrado del disco acción, que activa BitLocker o FileVault y almacena la clave de recuperación en Level. Eso cierra el ciclo: el monitor detecta la brecha, la automatización la corrige y la resolución automática borra la alerta.

⚠️ ADVERTENCIA: Reflexiona antes de aplicar correcciones automáticas de cifrado en servidores y equipos compartidos. Habilitar BitLocker puede requerir un reinicio para completarse, y cualquier cambio de cifrado tiene implicaciones para las claves de recuperación. Para estaciones de trabajo, la corrección automática suele ser segura. Para servidores, un enfoque de solo notificación con seguimiento manual suele ser la mejor opción.

Notificar destinatarios

Dos casillas de verificación controlan si los destinatarios de la política reciben un correo electrónico:

  • Al crear la alerta envía un correo electrónico cuando se activa la alerta.

  • Al resolver la alerta envía un correo electrónico cuando se resuelve la alerta.

Ambas están desactivadas de forma predeterminada. Los destinatarios se gestionan a nivel de política de monitor, en la Destinatarios sección.

Resolución automática

El interruptor Resolver alerta automáticamente cuando las condiciones se normalicen cierra la alerta automáticamente una vez que la partición principal vuelve a reportarse como cifrada, ya sea porque la automatización de corrección habilitó el cifrado o porque un técnico lo corrigió manualmente.

Está desactivado de forma predeterminada para este monitor. Actívalo si combinas el monitor con corrección automatizada. Déjalo desactivado si deseas que cada hallazgo de cifrado permanezca abierto hasta que alguien lo revise.

Preguntas frecuentes

  • ¿Por qué un dispositivo genera una alerta si sé que el disco está cifrado? En Windows, el monitor lee el estado de protección de BitLocker, no solo el estado de cifrado. Un volumen completamente cifrado pero con la protección suspendida (lo que ocurre temporalmente durante ciertas actualizaciones de Windows) se notifica como no cifrado hasta que se reanude la protección. Si la alerta no se borra después de que finalice la actualización, comprueba manage-bde -status en el dispositivo.

  • ¿Comprueba todas las unidades o solo la del sistema? Solo la partición principal (de arranque). Las unidades secundarias y los volúmenes de datos no se evalúan en ninguna plataforma. Usa un monitor de scripts si necesitas cobertura más allá del volumen de arranque.

  • ¿Puede detectar cifrado de terceros como VeraCrypt o Symantec? No. El monitor verifica los mecanismos nativos del sistema operativo: BitLocker en Windows, FileVault en macOS y LUKS en Linux. Los dispositivos que usen cifrado de disco completo de terceros se notificarán como no cifrados.

  • Agregué el monitor pero algunos dispositivos nunca generan alertas ni aparecen como evaluados. ¿Por qué? Comprueba la versión del agente. Los agentes más antiguos ignoran los tipos de monitor que no reconocen, por lo que los dispositivos con versiones desactualizadas no ejecutarán esta comprobación en absoluto. Actualiza el agente y el monitor los incluirá.

  • ¿Puede la alerta corregir el problema automáticamente? Sí. Adjunta una automatización que use la acción Habilitar cifrado del disco acción como corrección. Level habilita BitLocker o FileVault y almacena la clave de recuperación. Activa la resolución automática para que la alerta se cierre una vez que el cifrado esté activo.

  • ¿Quién puede crear y editar este monitor? Los técnicos con acceso a la política de monitor correspondiente. La configuración de permisos se gestiona en Espacio de trabajo → Permisos.

Artículos relacionados
Monitor de Uso de Disco
Acción: Habilitar cifrado de disco
Acción: Deshabilitar cifrado de disco
Acción: Rotar clave de cifrado de disco
Monitor de Latencia de Disco
¿Ha quedado contestada tu pregunta?