Dell Encryptionilla hallitun laitteen salauksen tilan selvittäminen
Summary: Tässä artikkelissa esitellään tavat, joilla määritetään Dell Encryptionilla hallittujen Dell Data Security (aiemmin Dell Data Protection) -tuotteiden salauksen tila.
Symptoms
Tuotteet, joita asia koskee:
- Dell Encryption
- Dell Data Protection | Encryption
Cause
Ei sovellettavissa
Resolution
Alla on tietoja rekisterisijainneista ja -komennoista, joiden avulla järjestelmänvalvoja voi selvittää niiden laitteiden suojaustilan, joita Dell Encryption hallitsee päätepisteen kautta. Näiden tietojen avulla voidaan tarkistaa laitteen tila ja määrittää päätepisteen suojatun tilan ongelmia.
Dellin käytäntöpohjaisen salauksen suojaustilan laskenta perustuu laitteen sekä tietokoneen käyttäjien sweep state -tarkastustilaan. Lisätietoja suojatun tilan laskentatavasta: Shieldin suojatun tilan vianmääritys (englanninkielinen)
Laitteen salauksen tilan tiedot tallennetaan paikallisesti päätepisteeseen, ensisijaisesti rekisteriin. Ensisijainen sijainti, jota käytetään käytäntöpohjaisessa salauksessa, on HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield. Tilan voi tunnistaa näistä ensisijaisista avaintiedoista:
- DCID (tämä on myös palautustunnus): Avain, joka näyttää, että laite on aktivoitu.
- GKPort (oletus 8000): Käytäntöpäivitysten hallintaportin avain
- GK: Avain, jolla hallitaan tarkistuspalvelinta.
- Server: Alkuperäisen aktivointipalvelimen avain.
Laitteen aktivoinnin tilan voi tarkistaa kohteen HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\RSST sisällöstä. Rekisteriavaimessa on useita avaimia, jotka kuvaavat laitteen tilaa:
- _DEVICE_ – laitteen aktivoinnin tila. Mikä tahansa positiivinen kokonaisluku on aktivoitu laite.
- _INVALID_ – jos avain on olemassa, sisään kirjautunut käyttäjä ei ole aktivoitu.
- <RandomCharacters> – User Credant Identifier (UCID) on tässä sijainnissa. Jos tämä arvo on olemassa ja se on 1, kyseinen käyttäjä aktivoidaan ja on laitteen leasing-ajan sisällä. Device Lease Period on käytäntö, joka määrittää Dell Security Management Serverin ja jonka oletusarvo on 30 päivää.
Laitteen nykyistä salaustarkastusta koskevat tiedot ovat rekisteriavaimessa HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGshield\SweepTimes. Tämän avaimen arvot voivat vaihdella, ja kunkin käyttäjän tyhjennystilan määrittämiseen käytetään yksilöllistä käyttäjäpohjaista tunnistetta. Seuraavassa on esimerkki laitteesta:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\SweepTimes] "_SDENCR_SweepStop"=dword:00000001 "9P18NZD1SweepStop"=dword:00000001 "AllSweepsCompleted"=dword:00000001 "AllSweepsCompletedInXDays"=dword:00000001 "LastUpdate"="20180409 162157"
Erittely näistä avaimista sekä niiden merkityksestä ja käytöstä:
- _SDENCR_SweepStop
- Arvo 0 tarkoittaa, että järjestelmätietojen salausavaimeen vaikuttava salaustarkastus on käynnissä.
- Arvo 1 tarkoittaa, että kaikki järjestelmän tietojen salausmääritykset on tehty.
- 9P18NZD1SweepStop
- Kahdeksan satunnaisesti luotua merkkiä ovat tiettyjen käyttäjien tunnisteita.
- Kun avaimen arvo on 0, tunnistetta vastaavan käyttäjän tarkastusta suoritetaan.
- Kun arvoksi on määritetty 1, Common- tai User Encryption -avaimia vastaavan tarkastuksen suorittaminen tehdään tässä päätepisteessä.
- AllSweepsCompleted
- Jos arvona on 0, käynnissä oleva salaustarkastus vaikuttaa Common- tai User Encryption -avaimiin.
- Kun arvoksi on määritetty 1, Common- tai User Encryption -avaimia vastaavan tarkastuksen suorittaminen tehdään tässä päätepisteessä.
- AllSweepsCompletedinXDays
- Kun arvona on 0, salaustarkistukset eivät ole valmistuneet kaikille käyttäjille, jotka ovat kirjautuneet sisään DSMS (Dell Security Management Server) -palvelimen Device Lease Period -aikana.
- Kun asetus on 1, salauksen tyhjennykset suoritetaan kaikilta käyttäjiltä, jotka ovat kirjautuneet sisään määritetyn laitteen leasing-jakson aikana.
- LastUpdate – viimeinen kerta, kun sisäisen tietokannan tietoja kyseltiin laitteen tarkastustilan päivityksistä tässä rekisterimerkinnässä.
Dell Encryption Self-Encrypting Drive Manager ja Dell Full Disk Encryption Management keräävät tietoja, jotka perustuvat taltion salausprosenttiin ja levyn Pre-Boot Authentication (PBA) -ympäristön validointiin. Nämä arvot tallennetaan rekisteriin, ja ne löytyvät kansioista HKLM\SYSTEM\CurrentControlSet\Services\DellMgmtAgent\Parameters ja HKLM\Software\Dell\Dell Data Protection\.
Laitteen suojattu tila määritetään levyn salausprosentin perusteella. Tämä käsittely tehdään paikallisesti, ja se toimitetaan palvelimeen säännöllisin aikavälein.
Tarkista agentin aktivoinnin tila Agent ID -rekisteriavaimesta. Jos avain on täytetty, laite on rekisteröity:
HKLM\Software\Dell\Dell Data Protection\ REG_SZ: AgentID Value: <populated>
Tarkista IsPBAActive-rekisteriavaimesta, onko käynnistystä edeltävä todennusympäristö (PBA) käytössä päätepisteessä:
HKLM\SYSTEM\CurrentControlSet\Services\DellMgmtAgent\Parameters DWORD: IsPBAActive Value: 1 (1 is enabled, 0 or not present means no PBA)
Tarkista asennettu tuoteversio rekisteriavaimesta:
HKLM\Software\Dell\Dell Data Protection\Branding REG_SZ: EE Value: <version #>
Agentin versiotietoja voidaan kerätä myös wmic kutsuu komennolla
Wmic path win32_product where (caption like '%%Dell Encryption%%') get version
Tulosten pitäisi näkyä seuraavasti:
Kuva 1: (Englanninkielinen) Tyyppi Wmic path win32_product where (caption like '%%Dell Encryption%%') get version
Dell Full Disk Encryptionin salauksen prosenttitietoja ei voi kysellä rekisterin kautta. Jos virheenkorjauksen lokien kerääminen on käytössä, tiedot tallennetaan DellAgent.log-lokiin (sijainnissa C:\ProgramData\Dell\Dell Data Protection\. Lisätietoja virheenkorjauksen lokitoiminnon ottamisesta käyttöön Dell Full Disk Encryption -salauksessa on artikkelissa Dell Encryption Enterprisen ja Dell Encryption Personalin lokien keräämisen lisääminen (englanninkielinen).
Esimerkki lokirivistä:
YYYY.MM.DD HH:MM:SS.MMM [ProcessID] (ThreadID) T FDE : SetEncryptionInfo - Set EncryptionPercentage to <Percentage>
Dell BitLocker Manager kerää tietoja, jotka perustuvat levyn salausprosenttiin ja kunkin hallitun taltion avainsuojausarvojen olemassaolon vahvistukseen. Nämä tiedot, jotka komentorivi kerää joko manage-bde -komento tai PowerShell-komento get-bitlockervolume.
Laitteen suojattu tila määritetään levyn salausprosentin perusteella. Tämä käsittely tehdään paikallisesti päätepisteessä, ja se toimitetaan palvelimeen säännöllisin aikavälein.
Komento manage-bde -status Näyttää BitLocker-salauksen tilan kaikille levyn asemille.
Tuloste sisältää useita arvoja:
- Size – taltion tilan määrä.
- BitLocker-versio – käytetty BitLockerin versio
- BitLockerin Compatibility Mode -tila: versio 1.0.
- BitLockerin New Encryption Mode -tila (julkaistu Windows 10:n versiossa 1511 eli Threshold 2:ssa): 2.0.
- Muuntamisen tila - Aseman tila salausta varten
- Percentage Encrypted – taltion salattu prosenttiosuus.
- Encryption Method – taltion salaukseen käytettävä algoritmi.
- Suojauksen tila – Tiedot, onko BitLocker käytössä, poistettu käytöstä vai keskeytetty.
- Lock Status – ilmaisee, onko taltio lukittu vai avattu.
- Tunnistuskenttä – Tulostaa organisaation mukautetut tunnistetiedot.
- Avainsuojat - Taltion suojaamiseen käytetty mekanismi, tämä voi olla TPM, salasana, PIN-koodi, USB tai näiden yhdistelmä.
Lisätietoja manage-bde Komento löytyy täältä: https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/manage-bde
Tässä on muutamia esimerkkejä komennon manage-bde -status Komento tietyin väliajoin salauksen aikana:
Disk volumes that can be protected with BitLocker Drive Encryption: Volume C: [] [OS Volume] Size: 59.40 GB BitLocker Version: None Conversion Status: Fully Decrypted Percentage Encrypted: 0.0% Encryption Method: None Protection Status: Protection Off Lock Status: Unlocked Identification Field: None Key Protectors: None Found
Kuva 2: (Englanninkielinen) Tyyppi manage-bde -status
Disk volumes that can be protected with BitLocker Drive Encryption: Volume C: [] [OS Volume] Size: 59.40 GB BitLocker Version: 2.0 Conversion Status: Used Space Only Encrypted Percentage Encrypted: 100.0% Encryption Method: XTS-AES 256 Protection Status: Protection On Lock Status: Unlocked Identification Field: Unknown Key Protectors: TPM, Numerical Password
Kuva 3: (Englanninkielinen) Tyyppi manage-bde -status
Komento get-bitlockervolume | FL voidaan kerätä tietoja laitteen BitLockerin tilasta.
Tuloste sisältää useita arvoja:
- ComputerName – suojattavan laitteen nimi.
- MountPoint – hallittavan aseman asemakirjain tai -sijainti.
- EncryptionMethod – taltion tietojen suojaamiseen käytettävä algoritmi.
- AutoUnlockEnabled - Onko AutoUnlock-vaihtoehto käytössä.
- AutoUnlockKeyStored – tietoja siitä, onko AutoUnlockKey välimuistissa paikallisessa tietokoneessa tai onko se erillisessä sijainnissa.
- MetadataVersion – sisältää tiedot asemassa käytettävästä BitLocker-versiosta.
- BitLockerin Compatibility Mode -tila: versio 1.
- BitLockerin New Encryption Mode -tila (julkaistu Windows 10:n versiossa 1511 eli Threshold2:ssa): versio 2.
- VolumeStatus – aseman tila (salattu, salattu, täysin salattu)
- ProtectionStatus - Tiedot, onko BitLocker käytössä, poissa käytöstä vai keskeytetty.
- LockStatus – ilmaisee, onko taltio lukittu vai avattu.
- EncryptionPercentage – taltion salauksen tila prosentteina.
- WipePercentage - Tila aseman tyhjän tilan prosenttiosuutena, joka on korvattu.
- VolumeType – taltion tyyppi, yleensä OperatingSystemDrive taiFixedVolume
- CapacityGB – hallitun taltion koko
- KeyProtector - Taltion suojaamiseen käytetty mekanismi, joka voi olla TPM, salasana, PIN-koodi, USB tai näiden yhdistelmä.
Lisätietoja get-bitlockervolume Komento löytyy täältä: https://docs.microsoft.com/en-us/powershell/module/bitlocker/?view=win10-ps
Tässä on muutamia esimerkkejä komennon get-bitlockervolume | FL Komento tietyin väliajoin salauksen aikana:
ComputerName: DESKTOP-T46E07P
MountPoint: C:
EncryptionMethod: None
AutoUnlockEnabled:
AutoUnlockKeyStored:
MetadataVersion: 0
VolumeStatus: FullyDecrypted
ProtectionStatus: Off
LockStatus: Unlocked
EncryptionPercentage: 0
WipePercentage: 0
VolumeType: OperatingSystem
CapacityGB: 59.39843
KeyProtector: {}
Kuva 4: (Englanninkielinen) Tyyppi get-bitlockervolume | FL
ComputerName: DESKTOP-T46E07P
MountPoint: C:
EncryptionMethod: XtsAes256
AutoUnlockEnabled:
AutoUnlockKeyStored: False
MetadataVersion: 2
VolumeStatus: FullyEncrypted
ProtectionStatus: On
LockStatus: Unlocked
EncryptionPercentage: 100
WipePercentage: 0
VolumeType: OperatingSystem
CapacityGB: 59.39843
KeyProtector: {Tpm, RecoveryPassword}
Kuva 5: (Englanninkielinen) Tyyppi get-bitlockervolume | FL
Jos haluat ottaa yhteyttä tukeen, katso luettelo Dell Data Securityn kansainvälisen tuen puhelinnumeroista.
TechDirectissä voit luoda teknisen tukipyynnön verkossa.
Lisätietoja ja resursseja on Dell Security Community Forum -keskustelufoorumilla.