Sådan bestemmer du krypteringsstatus for en Dell Encryption Managed Device
Summary: Denne artikel beskriver metoderne til bestemmelse af krypteringsstatus for Dell Data Security-produkter (tidligere Dell Data Protection), der administreres af Dell Encryption.
Symptoms
Berørte produkter:
- Dell Encryption
- Dell Data Protection | Encryption
Cause
Ikke relevant
Resolution
Oplysningerne nedenfor beskriver registreringsdatabaseplaceringer og kommandoer, der kan hjælpe en administrator med at bestemme beskyttelsesstatus for enheder, som Dell Encryption administrerer via selve slutpunktet. Disse oplysninger kan bruges til at validere enhedens status og hjælpe med at afgøre problemer med beskyttet status på et slutpunkt.
Beregningen af beskyttet status for Dells politikbaserede kryptering er baseret på "oprydningstilstanden" for både enheden og eventuelle brugere på computeren. Du kan finde flere oplysninger om, hvordan beskyttet status beregnes, under: Fejlfinding af beskyttet status for Shield.
Data for enhedens krypteringsstatus gemmes lokalt på slutpunktet, primært i registreringsdatabasen. Den primære placering, der bruges til politikbaserede krypteringsdata, er HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield. Her er de primære nøgler til at identificere status:
- DCID (dette er også gendannelses-id'et): Nøglevisningsenheden er blevet aktiveret.
- GKPort (standard 8000): Nøgle til kontrolelementsport, der bruges til politikopdateringer.
- GK: Nøgle til styring af check-in server.
- Server: Nøgle til oprindelig aktiveringsserver.
For at validere enhedens aktiveringsstatus kan vi anmode enheden om at kontrollere indholdet af HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\RSST. I denne registreringsdatabasenøgle beskriver flere nøgler enhedens status:
- _DEVICE_ – dette er aktiveringsstatussen for enheden. Ethvert positivt heltal er en aktiveret enhed.
- _INVALID_ – hvis den findes, aktiveres den bruger, der er logget på, ikke.
- <RandomCharacters> – UCID (User Credant Identifier) findes på denne placering. Hvis denne værdi findes og er angivet til 1, aktiveres den pågældende bruger og befinder sig inden for leasingperioden for enheden. Enhedens leasingperiode er en politik, der definerer Dell Security Management Server, og standardværdien er 30 dage.
Oplysninger om enhedens aktuelle status for kryptering findes i registreringsdatabasenøglen HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGshield\SweepTimes. Værdierne i denne nøgle kan variere, og der bruges et unikt brugerbaseret id til at bestemme oprydningstilstanden for hver bruger. Nedenfor er et eksempel fra en enhed:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\SweepTimes] "_SDENCR_SweepStop"=dword:00000001 "9P18NZD1SweepStop"=dword:00000001 "AllSweepsCompleted"=dword:00000001 "AllSweepsCompletedInXDays"=dword:00000001 "LastUpdate"="20180409 162157"
En opdeling af disse nøgler og deres betydning og brug:
- _SDENCR_SweepStop
- En værdi på 0 angiver, at en krypteringsrydning, der påvirker systemdatakrypteringsnøglen, er i gang.
- En værdi på 1 angiver, at alle systemdatakrypteringsaktioner er fuldført.
- 9P18NZD1Oprydning
- De otte tilfældigt genererede tegn er identifikatorer for specifikke brugere.
- Når denne nøgle er angivet til 0, er der en oprydning i gang for den bruger, som id'et svarer til.
- Når indstillingen er indstillet til 1, fuldføres oprydninger, der korrelerer med almindelige krypteringsnøgler eller brugerkrypteringsnøgler på dette slutpunkt.
- AllSweepsCompleted
- Når den er indstillet til 0, angiver dette, at der er et aktivt krypteringsoprydningssted, der påvirker almindelige nøgler eller brugerkrypteringsnøgler.
- Når indstillingen er indstillet til 1, fuldføres oprydninger, der korrelerer med almindelige krypteringsnøgler eller brugerkrypteringsnøgler på dette slutpunkt.
- AllSweepsCompletedinXDays
- Når indstillingen er indstillet til 0, er krypterings-oprydninger ikke fuldført for alle brugere, der har logget på den Dell Security Management Server (DSMS)-definerede enhedsleasingperiode.
- Når indstillingen er indstillet til 1, udføres krypteringsoprydninger for alle brugere, der er logget på inden for den definerede enhedsleasingperiode.
- LastUpdate – Det er sidste gang, at den interne database blev spurgt om opdateringer til enhedens oprydningsstatus i denne post i registreringsdatabasen.
Dell Encryption Self-Encrypting Drive Manager og Dell Full Disk Encryption-administrationen indsamler oplysninger, der er baseret på diskens krypteringsprocent og valideringen af PBA-miljøet (Pre-Boot Authentication) på disken. Disse værdier gemmes i registreringsdatabasen og kan findes i HKLM\SYSTEM\CurrentControlSet\Services\DellMgmtAgent\Parameters" og "HKLM\Software\Dell\Dell Data Protection\.
Enhedens beskyttede status bestemmes af diskens krypteringsprocent. Denne behandling udføres lokalt og leveres til serveren gennem regelmæssige afstemningsintervaller.
Du kan bestemme agentens aktiveringsstatus ved at kontrollere registreringsdatabasenøglen til agent-id'et. Hvis nøglen er udfyldt, er enheden registreret:
HKLM\Software\Dell\Dell Data Protection\ REG_SZ: AgentID Value: <populated>
Du kan finde ud af, om PBA (Pre-Boot Authentication) er aktiveret på slutpunktet, ved at kontrollere registreringsdatabasenøglen IsPBAActive:
HKLM\SYSTEM\CurrentControlSet\Services\DellMgmtAgent\Parameters DWORD: IsPBAActive Value: 1 (1 is enabled, 0 or not present means no PBA)
Du kan finde ud af, hvilken version af det installerede produkt du har, ved at kontrollere registreringsdatabasenøglen:
HKLM\Software\Dell\Dell Data Protection\Branding REG_SZ: EE Value: <version #>
Helpdesk-medarbejderversionsoplysninger kan også indsamles via wmic Kalder ved hjælp af kommandoen:
Wmic path win32_product where (caption like '%%Dell Encryption%%') get version
Resultaterne skal vises som:
Figur 1: (Kun på engelsk) Type Wmic path win32_product where (caption like '%%Dell Encryption%%') get version
Oplysninger om krypteringsprocent for Dell Full Disk Encryption kan ikke forespørges via registreringsdatabasen. Disse oplysninger udfyldes i DellAgent.log (gemt i C:\ProgramData\Dell\Dell Data Protection\ , hvis fejlfindingslogføring er aktiveret. Hvis du vil aktivere fejlfindingslogføring for Dell Full Disk Encryption, skal du se Forøg logføring i Dell Encryption Enterprise og Dell Encryption Personal.
Eksempel på loglinje:
YYYY.MM.DD HH:MM:SS.MMM [ProcessID] (ThreadID) T FDE : SetEncryptionInfo - Set EncryptionPercentage to <Percentage>
Dell BitLocker Manager indsamler oplysninger, der er baseret på diskens krypteringsprocent og valideringen af de vigtigste beskyttere, der er til stede for hver administreret diskenhed. Disse data, som kommandolinjen indsamler ved hjælp af enten manage-bde eller PowerShell-kommandoen get-bitlockervolume.
Enhedens beskyttede status bestemmes af diskens krypteringsprocent. Denne behandling er lokal i slutpunktet og leveres til serveren gennem regelmæssige forespørgselsintervaller.
Kommandoen manage-bde -status Viser status for BitLocker-kryptering for alle diskenheder.
Outputtet indeholder flere værdier:
- Størrelse - Mængden af plads på diskenheden.
- BitLocker-version – anvendt version af BitLocker
- "Kompatibilitetstilstand" til BitLocker har version 1.0.
- "Ny krypteringstilstand" til BitLocker (introduceret i Windows 10 version 1511, aka Threshold 2) har en version på 2.0.
- Konverteringsstatus – Status for diskenheden til kryptering
- Procentdel krypteret – Procentdel af diskenheden, der har fuldført kryptering.
- Krypteringsmetode - Algoritme, der bruges til at kryptere lydstyrken.
- Beskyttelsesstatus – Angiver, om BitLocker er aktiveret, deaktiveret eller suspenderet.
- Låsestatus – Angiver, om diskenheden er låst eller låst op.
- Identifikationsfelt – Viser alle brugerdefinerede identifikationsoplysninger for organisationen.
- Nøglebeskyttere – Mekanismen, der bruges til at beskytte diskenheden, kan være TPM, adgangskode, pinkode, USB eller en kombination af disse elementer.
Flere oplysninger om manage-bde Kommandoen kan findes her: https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/manage-bde
Her er nogle eksempler på output fra kørsel af manage-bde -status Kommando med bestemte intervaller under krypteringen:
Disk volumes that can be protected with BitLocker Drive Encryption: Volume C: [] [OS Volume] Size: 59.40 GB BitLocker Version: None Conversion Status: Fully Decrypted Percentage Encrypted: 0.0% Encryption Method: None Protection Status: Protection Off Lock Status: Unlocked Identification Field: None Key Protectors: None Found
Figur 2: (Kun på engelsk) Type manage-bde -status
Disk volumes that can be protected with BitLocker Drive Encryption: Volume C: [] [OS Volume] Size: 59.40 GB BitLocker Version: 2.0 Conversion Status: Used Space Only Encrypted Percentage Encrypted: 100.0% Encryption Method: XTS-AES 256 Protection Status: Protection On Lock Status: Unlocked Identification Field: Unknown Key Protectors: TPM, Numerical Password
Figur 3: (Kun på engelsk) Type manage-bde -status
Kommandoen over get-bitlockervolume | FL kan bruges til at indsamle data om status for BitLocker på enheden.
Outputtet indeholder flere værdier:
- ComputerName – Navnet på den enhed, der skal beskyttes.
- MountPoint – Kør bogstav eller placering på disken for den diskenhed, der administreres.
- EncryptionMethod - Algoritme, der bruges til at beskytte dataene på diskenheden.
- AutoUnlockEnabled – Om indstillingen AutoUnlock er aktiveret.
- AutoUnlockKeyStored - Detaljer om AutoUnlockKey er cachelagret på den lokale computer, eller om den er placeret et separat sted.
- MetadataVersion – Beskriver den version af BitLocker, der bruges på denne diskenhed.
- "Kompatibilitetstilstand" til BitLocker har versionen 1.
- "Ny krypteringstilstand" til BitLocker (introduceret i Windows 10 version 1511, også kaldet Threshold2) har en version på 2.
- VolumeStatus – Status for diskenheden (dekrypteret, krypterende, fuldt krypteret)
- ProtectionStatus – Angiver, om BitLocker er aktiveret, deaktiveret eller suspenderet.
- LockStatus – Angiver, om diskenheden er låst eller låst op.
- EncryptionPercentage – Status i procent af diskenhedens kryptering.
- WipePercentage – Status i procentdelen af den tomme plads på drevet, der er blevet overskrevet.
- VolumeType – Diskenhedstypen, typisk OperatingSystemDrive ellerFixedVolume
- CapacityGB – størrelsen på den administrerede diskenhed
- KeyProtector - Den mekanisme, der bruges til at beskytte lydstyrken, dette kan være TPM, adgangskode, PIN,USB eller en kombination af disse elementer.
Flere oplysninger om get-bitlockervolume Kommandoen kan findes her: https://docs.microsoft.com/en-us/powershell/module/bitlocker/?view=win10-ps
Her er nogle eksempler på output fra kørsel af get-bitlockervolume | FL Kommando med bestemte intervaller under krypteringen:
ComputerName: DESKTOP-T46E07P
MountPoint: C:
EncryptionMethod: None
AutoUnlockEnabled:
AutoUnlockKeyStored:
MetadataVersion: 0
VolumeStatus: FullyDecrypted
ProtectionStatus: Off
LockStatus: Unlocked
EncryptionPercentage: 0
WipePercentage: 0
VolumeType: OperatingSystem
CapacityGB: 59.39843
KeyProtector: {}
Figur 4: (Kun på engelsk) Type get-bitlockervolume | FL
ComputerName: DESKTOP-T46E07P
MountPoint: C:
EncryptionMethod: XtsAes256
AutoUnlockEnabled:
AutoUnlockKeyStored: False
MetadataVersion: 2
VolumeStatus: FullyEncrypted
ProtectionStatus: On
LockStatus: Unlocked
EncryptionPercentage: 100
WipePercentage: 0
VolumeType: OperatingSystem
CapacityGB: 59.39843
KeyProtector: {Tpm, RecoveryPassword}
Figur 5: (Kun på engelsk) Type get-bitlockervolume | FL
For at kontakte support kan du bruge internationale supporttelefonnumre til Dell Data Security.
Gå til TechDirect for at oprette en anmodning om teknisk support online.
Hvis du vil have yderligere indsigt og ressourcer, skal du tilmelde dig Dell Security Community-forummet.