Jak zjistit stav šifrování zařízení spravovaného nástrojem Dell Encryption
Summary: Tento článek popisuje metody zjištění stavu šifrování u produktů Dell Data Security (dříve Dell Data Protection) spravovaných nástrojem Dell Encryption.
Symptoms
Dotčené produkty:
- Dell Encryption
- Dell Data Protection | Encryption
Cause
Není k dispozici
Resolution
Níže uvedené informace popisují umístění v registru a příkazy, které mohou správci pomoci určit stav ochrany zařízení, která nástroj Dell Encryption spravuje prostřednictvím samotného koncového bodu. Tyto informace lze použít k ověření stavu zařízení a k určení problémů s chráněným stavem na koncovém bodě.
Výpočet chráněného stavu zásad Policy-Based Encryption společnosti Dell je založen na stavu „sweep“ zařízení i všech uživatelů v počítači. Další informace o výpočtu chráněného stavu naleznete v článku: Odstraňování problémů s chráněným stavem nástroje Shield.
Data pro stav šifrování zařízení jsou uložena lokálně na koncovém bodě, primárně v registru. Primárním umístěním, které se používá pro data Policy-Based Encryption je HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield. Zde jsou uvedeny primární klíče pro identifikaci stavu:
- DCID (jedná se také o ID pro obnovení): Tento klíč ukazuje, zda bylo zařízení aktivováno.
- GKPort (výchozí hodnota 8000): Tento klíč řídí port, který se používá k aktualizaci zásad.
- GK: Klíč, který řídí server pro přihlášení.
- Server: Klíč pro původní aktivační server.
Chcete-li ověřit stav aktivace zařízení, můžete se zařízení dotázat na kontrolu obsahu umístění HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\RSST. V tomto klíči registru několik klíčů podrobně popisuje stav zařízení:
- _DEVICE_ – jedná se o stav aktivace zařízení. Každé kladné celé číslo představuje aktivované zařízení.
- _INVALID_ – pokud je přítomný tento klíč, přihlášený uživatel není aktivován.
- <RandomCharacters> – identifikátor UCID (User Credant Identifier) se nachází v tomto umístění. Pokud je tato hodnota přítomna a nastavena na 1, pak je tento konkrétní uživatel aktivován a je v době pronájmu zařízení. Období pronájmu zařízení je zásada, která definuje nástroj Dell Security Management Server. Její výchozí hodnota je 30 dní.
Informace týkající se aktuálního stavu sweep šifrování zařízení jsou umístěny v klíči registru HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGshield\SweepTimes. Hodnoty v tomto klíči se mohou lišit a k určení stavu procesu pro každého uživatele se používá jedinečný identifikátor založený na uživateli. Níže je uveden příklad ze zařízení:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\SweepTimes] "_SDENCR_SweepStop"=dword:00000001 "9P18NZD1SweepStop"=dword:00000001 "AllSweepsCompleted"=dword:00000001 "AllSweepsCompletedInXDays"=dword:00000001 "LastUpdate"="20180409 162157"
Rozpis těchto klíčů a jejich význam a použití:
- _SDENCR_SweepStop
- Hodnota 0 znamená, že probíhá proces sweep šifrování ovlivňující klíč System Data Encryption.
- Hodnota 1 znamená, že byl dokončeny všechny procesy sweep System Data Encryption.
- 9P18NZD1SweepStop
- Osm náhodně vygenerovaných znaků slouží jako identifikátory pro konkrétní uživatele.
- Pokud je tento klíč nastaven na hodnotu 0, probíhá proces sweep u uživatele, kterému je identifikátor přiřazen.
- Je-li nastaven na hodnotu 1, na tomto koncovém bodě byl dokončen proces sweep související s klíči Common nebo User Encryption.
- AllSweepsCompleted
- Pokud je klíč nastaven na hodnotu 0, znamená to, že je aktivní proces sweep šifrování, který ovlivňuje klíče Common nebo User Encryption.
- Je-li nastaven na hodnotu 1, na tomto koncovém bodě byl dokončen proces sweep související s klíči Common nebo User Encryption.
- AllSweepsCompletedinXDays
- Je-li klíč nastaven na hodnotu 0, u uživatelů přihlášených během období pronájmu zařízení definovaného v nástroji Dell Security Management Server (DSMS) nebyl dokončen žádný proces sweep.
- Je-li nastavena hodnota 1, šifrování se dokončí u všech uživatelů, kteří se přihlásili během definované doby pronájmu zařízení.
- LastUpdate – Kdy byla interní databáze naposledy dotázána na aktualizace stavu sweep zařízení v rámci této položky registru.
Nástroj Dell Encryption Self-Encrypting Drive Manager a správa Dell Full Disk Encryption shromažďují informace založené na procentu šifrování disku a na tom, zda je prostředí Pre-Boot Authentication (PBA) na disku přítomné. Tyto hodnoty jsou uloženy v registru a naleznete je ve skladových umístěních HKLM\SYSTEM\CurrentControlSet\Services\DellMgmtAgent\Parameters" a "HKLM\Software\Dell\Dell Data Protection\".
Chráněný stav zařízení se určuje podle procenta šifrování disku. Toto zpracování probíhá místně a je na server doručováno prostřednictvím pravidelných intervalů dotazování.
Chcete-li zjistit stav aktivace agenta, zkontrolujte klíč registru Agent ID. Pokud je klíč vyplněn, zařízení se úspěšně zaregistrovalo:
HKLM\Software\Dell\Dell Data Protection\ REG_SZ: AgentID Value: <populated>
Chcete-li zjistit, zda je na koncovém bodě povoleno prostředí Pre-Boot Authentication (PBA), zkontrolujte klíč registru IsPBAActive:
HKLM\SYSTEM\CurrentControlSet\Services\DellMgmtAgent\Parameters DWORD: IsPBAActive Value: 1 (1 is enabled, 0 or not present means no PBA)
Chcete-li zjistit verzi nainstalovaného produktu, zkontrolujte klíč registru:
HKLM\Software\Dell\Dell Data Protection\Branding REG_SZ: EE Value: <version #>
Informace o verzi agenta lze také získat prostřednictvím wmic volání pomocí příkazu:
Wmic path win32_product where (caption like '%%Dell Encryption%%') get version
Výsledky by se měly zobrazit takto:
Obrázek 1: (Pouze v angličtině) Typ Wmic path win32_product where (caption like '%%Dell Encryption%%') get version
Informace o procentech šifrování pro nástroj Dell Full Disk Encryption nelze dotazovat prostřednictvím registru. Tyto informace se vyplní v protokolu DellAgent.log (uložený v adresáři C:\ProgramData\Dell\Dell Data Protection\), pokud je povoleno protokolování ladění. Chcete-li povolit protokolování ladění pro nástroj Dell Full Disk Encryption, přečtěte si článek Zvýšení protokolování v nástroji Dell Encryption Enterprise a Dell Encryption Personal.
Příklad řádku protokolu:
YYYY.MM.DD HH:MM:SS.MMM [ProcessID] (ThreadID) T FDE : SetEncryptionInfo - Set EncryptionPercentage to <Percentage>
Nástroj Dell BitLocker Manager shromažďuje informace, které jsou založeny na procentu šifrování disku a ověření přítomnosti ochrany pomocí klíče pro každý spravovaný svazek. Tato data shromážděná příkazovým řádkem pomocí příkazu manage-bde nebo příkaz PowerShellu get-bitlockervolume.
Chráněný stav zařízení se určuje podle procenta šifrování disku. Toto zpracování probíhá místně na koncovém bodě a je na server doručováno prostřednictvím pravidelných intervalů dotazování.
Příkaz manage-bde -status Zobrazí stav šifrování nástrojem BitLocker pro všechny svazky na disku.
Výstup obsahuje několik hodnot:
- Size – množství místa na svazku.
- Verze nástroje BitLocker – verze použitého nástroje BitLocker
- Režim „Compatibility Mode“ pro nástroj BitLocker má verzi 1.0.
- Režim „New Compatibility Mode“ pro nástroj BitLocker (zavedený v systému Windows 10 verze 1511, neboli Threshold 2) má verzi 2.0.
- Stav převodu – stav svazku pro šifrování
- Percentage Encrypted – procento svazku, který dokončil šifrování.
- Encryption Method – algoritmus používaný k šifrování svazku.
- Stav ochrany – podrobné informace o tom, jestli je nástroj BitLocker povolen,zakázán nebo pozastaven.
- Lock Status – uvádí, zda je svazek uzamčený nebo odemknutý.
- Identifikační pole – Výstupem všech vlastních identifikačních informací pro organizaci.
- Key Protectors – mechanismus používaný k ochraně svazku, může to být TPM, heslo, PIN, USB nebo kombinace těchto položek.
Více informací o manage-bde Příkaz naleznete zde: https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/manage-bde
Tady je několik příkladů výstupů ze spuštění manage-bde -status v určitých intervalech během šifrování:
Disk volumes that can be protected with BitLocker Drive Encryption: Volume C: [] [OS Volume] Size: 59.40 GB BitLocker Version: None Conversion Status: Fully Decrypted Percentage Encrypted: 0.0% Encryption Method: None Protection Status: Protection Off Lock Status: Unlocked Identification Field: None Key Protectors: None Found
Obrázek 2: (Pouze v angličtině) Typ manage-bde -status
Disk volumes that can be protected with BitLocker Drive Encryption: Volume C: [] [OS Volume] Size: 59.40 GB BitLocker Version: 2.0 Conversion Status: Used Space Only Encrypted Percentage Encrypted: 100.0% Encryption Method: XTS-AES 256 Protection Status: Protection On Lock Status: Unlocked Identification Field: Unknown Key Protectors: TPM, Numerical Password
Obrázek 3: (Pouze v angličtině) Typ manage-bde -status
Příkaz get-bitlockervolume | FL lze použít ke shromažďování dat o stavu nástroje BitLocker v zařízení.
Výstup obsahuje několik hodnot:
- ComputerName – název chráněného zařízení.
- MountPoint – písmeno jednotky nebo umístění na disku spravovaného svazku.
- EncryptionMethod – algoritmus sloužící k ochraně dat ve svazku.
- AutoUnlockEnabled – určuje, zda je povolena možnost automatického odemknutí.
- AutoUnlockKeyStored – podrobnosti o tom, zda byl klíč AutoUnlockKey uložen do cache místního počítače nebo se nachází v samostatném umístění.
- MetadataVersion – uvádí verzi nástroje BitLocker, která se na tomto svazku používá.
- Režim „Compatibility Mode“ pro nástroj BitLocker má verzi 1.
- Režim „New Compatibility Mode“ pro nástroj BitLocker (zavedený v systému Windows 10 verze 1511, neboli Threshold2) má verzi 2.
- VolumeStatus – stav svazku (dešifrováno, šifrováno, plně zašifrováno)
- ProtectionStatus – podrobnosti o tom, jestli je BitLocker povolený, zakázaný nebo pozastavený.
- LockStatus – uvádí, zda je svazek uzamčený nebo odemknutý.
- EncryptionPercentage – stav v procentech šifrování svazku.
- WipePercentage – Stav v procentech prázdného místa na disku, které bylo přepsáno.
- VolumeType – typ svazku, obvykle OperatingSystemDrive neboFixedVolume.
- CapacityGB – velikost spravovaného svazku
- KeyProtector – mechanismus používaný k ochraně svazku, může to být TPM, heslo, PIN, USB nebo kombinace těchto položek.
Více informací o get-bitlockervolume Příkaz naleznete zde: https://docs.microsoft.com/en-us/powershell/module/bitlocker/?view=win10-ps
Tady je několik příkladů výstupů ze spuštění get-bitlockervolume | FL v určitých intervalech během šifrování:
ComputerName: DESKTOP-T46E07P
MountPoint: C:
EncryptionMethod: None
AutoUnlockEnabled:
AutoUnlockKeyStored:
MetadataVersion: 0
VolumeStatus: FullyDecrypted
ProtectionStatus: Off
LockStatus: Unlocked
EncryptionPercentage: 0
WipePercentage: 0
VolumeType: OperatingSystem
CapacityGB: 59.39843
KeyProtector: {}
Obrázek 4: (Pouze v angličtině) Typ get-bitlockervolume | FL
ComputerName: DESKTOP-T46E07P
MountPoint: C:
EncryptionMethod: XtsAes256
AutoUnlockEnabled:
AutoUnlockKeyStored: False
MetadataVersion: 2
VolumeStatus: FullyEncrypted
ProtectionStatus: On
LockStatus: Unlocked
EncryptionPercentage: 100
WipePercentage: 0
VolumeType: OperatingSystem
CapacityGB: 59.39843
KeyProtector: {Tpm, RecoveryPassword}
Obrázek 5: (Pouze v angličtině) Typ get-bitlockervolume | FL
Chcete-li kontaktovat podporu, přečtěte si článek Telefonní čísla mezinárodní podpory Dell Data Security.
Přejděte na portál TechDirect a vygenerujte online žádost o technickou podporu.
Další informace a zdroje získáte na fóru komunity Dell Security.