Comment déterminer l’état de chiffrement d’un appareil géré par Dell Encryption

Summary: Cet article décrit les méthodes permettant de déterminer l’état de chiffrement des produits Dell Data Security (anciennement Dell Data Protection), gérés par Dell Encryption.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Produits concernés :

  • Dell Encryption
  • Dell Data Protection | Encryption

Cause

Sans objet

Resolution

Les informations ci-dessous décrivent les emplacements du registre et les commandes qui peuvent aider un administrateur à déterminer l’état de protection des appareils gérés par Dell Encryption via le point de terminaison lui-même. Ces informations peuvent être utilisées pour valider l’état de l’appareil et vous aider à déterminer les problèmes liés à l’état protégé sur un point de terminaison.

Chiffrement basé sur des règles

Le calcul de l’état protégé du chiffrement basé sur des règles de Dell est basé sur l’« état d’analyse » de l’appareil et de tous les utilisateurs de l’ordinateur. Pour plus d’informations sur le calcul de l’état protégé, consultez la page : Dépannage de l’état protégé de Shield (en anglais).

Les données relatives à l’état de chiffrement de l’appareil sont stockées localement sur le point de terminaison, principalement dans le registre. L’emplacement principal utilisé pour les données de chiffrement basé sur des règles est HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield. Voici les clés principales pour identifier l’état :

  • DCID (il s’agit également de l’ID de récupération) : clé indiquant que l’appareil a été activé.
  • GKPort (8 000 par défaut) : clé pour contrôler le port utilisé pour les mises à jour des règles.
  • GK : clé pour contrôler le serveur de vérification.
  • Serveur : clé du serveur d’activation d’origine.

Pour valider l’état d’activation de l’appareil, nous pouvons interroger l’appareil pour vérifier le contenu de HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\RSST. Dans cette clé de registre, plusieurs clés détaillent l’état de l’appareil :

  • _DEVICE_ : il s’agit de l’état d’activation de l’appareil. Tout nombre entier positif est un appareil activé.
  • _INVALID_ : si elle est présente, l’utilisateur connecté n’est pas activé.
  • <RandomCharacters> : l’identifiant UCID (User Credant Identifier) se trouve à cet emplacement. Si cette valeur est présente et définie sur 1, cet utilisateur spécifique est activé et se trouve dans la période de location de l’appareil. La période de location de l’appareil est une règle qui définit Dell Security Management Server, et la valeur par défaut est de 30 jours.

Les informations relatives à l’état actuel d’analyse du chiffrement de l’appareil se trouvent dans la clé de registre HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGshield\SweepTimes. Les valeurs de cette clé peuvent varier, et un ID unique basé sur l’utilisateur est utilisé pour déterminer l’état de balayage pour chaque utilisateur. Vous trouverez ci-dessous un exemple d’appareil :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\SweepTimes]
"_SDENCR_SweepStop"=dword:00000001
"9P18NZD1SweepStop"=dword:00000001
"AllSweepsCompleted"=dword:00000001
"AllSweepsCompletedInXDays"=dword:00000001
"LastUpdate"="20180409 162157"

Détail de ces clés, de leur signification et de leur utilisation :

  • _SDENCR_SweepStop
    • La valeur 0 indique qu’une analyse de chiffrement affectant la clé System Data Encryption est en cours.
    • La valeur 1 indique que toutes les analyses de System Data Encryption sont terminées.
  • 9P18NZD1SweepStop
    • Les huit caractères générés de manière aléatoire sont des ID pour des utilisateurs spécifiques.
    • Lorsque cette clé est définie sur 0, une analyse est en cours pour l’utilisateur auquel l’ID est corrélé.
    • Lorsqu’elle est définie sur 1, les analyses en corrélation avec les clés de chiffrement Common et User sont terminées sur ce point de terminaison.
  • AllSweepsCompleted
    • Lorsqu’elle est définie sur 0, une analyse de chiffrement actif affecte les clés de chiffrement Common et User.
    • Lorsqu’elle est définie sur 1, les analyses en corrélation avec les clés de chiffrement Common et User sont terminées sur ce point de terminaison.
  • AllSweepsCompletedinXDays
    • Lorsqu’elle est définie sur 0, les analyses de chiffrement ne sont pas terminées pour tous les utilisateurs qui se sont connectés au cours de la période de location de l’appareil définie par Dell Security Management Server (DSMS).
    • Lorsqu’il est défini sur 1, les balayages de chiffrement sont effectués pour tous les utilisateurs qui se sont connectés au cours de la période de location d’appareil définie.
Remarque : La période de location de l’appareil indique le nombre de jours qui se sont écoulés depuis qu’un utilisateur ou un appareil a été détecté, pendant lesquels Dell Security Management Server attend avant de marquer cette entité comme supprimée.
  • LastUpdate : il s’agit de la dernière fois que la base de données interne a été interrogée pour obtenir des mises à jour de l’état d’analyse de l’appareil dans cette entrée de registre.
Disques à autochiffrement et chiffrement complet du disque :

La gestion de Dell Encryption Self-Encrypting Drive Manager et Dell Full Disk Encryption collecte des informations basées sur le pourcentage de chiffrement du disque et la validation de l’environnement d’authentification avant démarrage (PBA) présent sur le disque. Ces valeurs sont stockées dans le registre et se trouvent dans HKLM\SYSTEM\CurrentControlSet\Services\DellMgmtAgent\Parameters » et « HKLM\Software\Dell\Dell Data Protection ».

L’état protégé du périphérique est déterminé par le pourcentage de chiffrement du disque. Ce processus est effectué localement et est livré au serveur à intervalles d’interrogation réguliers.

Pour déterminer l’état d’activation de l’agent, vérifiez la clé de registre de l’ID d’agent. Si la clé est renseignée, l’appareil est enregistré :

HKLM\Software\Dell\Dell Data Protection\
REG_SZ: AgentID
Value: <populated>

Pour déterminer si l’environnement d’authentification avant démarrage (PBA) est activé sur le point de terminaison, vérifiez la clé de registre IsPBAActive :

HKLM\SYSTEM\CurrentControlSet\Services\DellMgmtAgent\Parameters
DWORD: IsPBAActive
Value: 1 (1 is enabled, 0 or not present means no PBA)

Pour déterminer la version du produit installé, vérifiez la clé de registre :

HKLM\Software\Dell\Dell Data Protection\Branding
REG_SZ: EE
Value: <version #>

Les informations sur la version de l’agent peuvent également être collectées via wmic appelle à l’aide de la commande :

Wmic path win32_product where (caption like '%%Dell Encryption%%') get version

Les résultats doivent s’afficher comme suit :

Saisissez Wmic path win32_product where (légende comme « %%Dell Encryption%% ») get version
Figure 1 : (En anglais uniquement) Type Wmic path win32_product where (caption like '%%Dell Encryption%%') get version

Les informations de pourcentage de chiffrement pour Dell Full Disk Encryption ne peuvent pas être interrogées via le registre. Ces informations sont renseignées dans le fichier DellAgent.log (stocké dans C:\ProgramData\Dell\Dell Data Protection\ si la journalisation de débogage est activée. Pour activer la journalisation de débogage pour Dell Full Disk Encryption, consultez l’article sur l’augmentation de la journalisation dans Dell Encryption Enterprise et Dell Encryption Personal (en anglais).

Exemple de ligne du journal :

YYYY.MM.DD HH:MM:SS.MMM [ProcessID] (ThreadID) T FDE : SetEncryptionInfo - Set EncryptionPercentage to <Percentage>
BitLocker Manager :

Dell BitLocker Manager collecte des informations basées sur le pourcentage de chiffrement du disque et la validation des protecteurs de clés présents pour chaque volume géré. Les données collectées par la ligne de commande à l’aide de la commande manage-bde ou la commande PowerShell get-bitlockervolume.

L’état protégé du périphérique est déterminé par le pourcentage de chiffrement du disque. Ce processus est effectué localement sur le point de terminaison et est livré au serveur à intervalles d’interrogation réguliers.

CLI

Il arrive que la commande manage-bde -status affiche l’état du chiffrement BitLocker pour tous les volumes sur le disque.

Le résultat contient plusieurs valeurs :

  • Taille : quantité d’espace sur le volume.
  • Version de BitLocker : version de BitLocker utilisée
    • Le « mode de compatibilité » pour BitLocker est doté d’une version 1.0.
    • Le « nouveau mode de chiffrement » pour BitLocker (introduit dans Windows 10 version 1511, ou Seuil 2) dispose d’une version 2.0.
  • Conversion Status : statut du volume pour le chiffrement
  • Pourcentage crypté : pourcentage du volume qui a terminé le chiffrement.
  • Méthode de chiffrement : algorithme utilisé pour chiffrer le volume.
  • État de protection : indique si BitLocker est activé, désactivé ou suspendu.
  • État de verrouillage : indique si le volume est verrouillé ou déverrouillé.
  • Champ d’identification : affiche toutes les informations d’identification personnalisées de l’organisation.
  • Key Protectors : mécanisme utilisé pour protéger le volume, qui peut être TPM, mot de passe, code PIN, USB ou une combinaison de ces éléments.

Plus d’informations sur le manage-bde commande peut être trouvée ici : https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/manage-bde Ce lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

Voici quelques exemples de résultats de l’exécution de l' manage-bde -status à certains intervalles pendant le chiffrement :

Pré-chiffrement 
Disk volumes that can be protected with
BitLocker Drive Encryption:
Volume C: []
[OS Volume]

Size: 59.40 GB
BitLocker Version: None
Conversion Status: Fully Decrypted
Percentage Encrypted: 0.0%
Encryption Method: None
Protection Status: Protection Off
Lock Status: Unlocked
Identification Field: None
Key Protectors: None Found

Saisissez manage-bde -status
Figure 2 : (En anglais uniquement) Type manage-bde -status

Post-chiffrement : 
Disk volumes that can be protected with
BitLocker Drive Encryption:
Volume C: []
[OS Volume]

Size: 59.40 GB
BitLocker Version: 2.0
Conversion Status: Used Space Only Encrypted
Percentage Encrypted: 100.0%
Encryption Method: XTS-AES 256
Protection Status: Protection On
Lock Status: Unlocked
Identification Field: Unknown
Key Protectors: TPM, Numerical Password

Saisissez manage-bde -status
Figure 3 : (En anglais uniquement) Type manage-bde -status

PowerShell

La commande de get-bitlockervolume | FL peut être utilisé pour collecter des données sur l’état de BitLocker sur l’appareil.

Le résultat contient plusieurs valeurs :

  • ComputerName : nom de l’appareil protégé.
  • MountPoint : lettre ou emplacement de lecteur sur le disque du volume géré.
  • EncryptionMethod : algorithme utilisé pour protéger les données du volume.
  • AutoUnlockEnabled : indique si l’option AutoUnlock est activée.
  • AutoUnlockKeyStored : indique si AutoUnlockKey a été mis en cache sur l’ordinateur local ou s’il se trouve dans un emplacement distinct.
  • MetadataVersion : détaille la version de BitLocker utilisée sur ce volume.
    • Le « mode de compatibilité » pour BitLocker est doté d’une version 1.
    • Le « nouveau mode de chiffrement » pour BitLocker (introduit dans Windows 10 version 1511, ou Seuil 2) dispose d’une version 2.
  • VolumeStatus : statut du volume (décrypté, chiffré, entièrement chiffré)
  • ProtectionStatus : indique si BitLocker est activé, désactivé ou suspendu.
  • LockStatus : indique si le volume est verrouillé ou déverrouillé.
  • EncryptionPercentage : état en pourcentage du chiffrement du volume.
  • WipePercentage : état en pourcentage de l’espace vide sur le disque qui a été remplacé.
  • VolumeType : type du volume, généralement OperatingSystemDrive ouFixedVolume
  • CapacityGB : taille du volume géré
  • KeyProtector : mécanisme utilisé pour protéger le volume, qui peut être TPM, mot de passe, code PIN, USB ou une combinaison de ces éléments.

Plus d’informations sur le get-bitlockervolume commande peut être trouvée ici : https://docs.microsoft.com/en-us/powershell/module/bitlocker/?view=win10-ps Ce lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

Voici quelques exemples de résultats de l’exécution de l' get-bitlockervolume | FL à certains intervalles pendant le chiffrement :

Pré-chiffrement 
ComputerName: DESKTOP-T46E07P
MountPoint: C:
EncryptionMethod: None
AutoUnlockEnabled:
AutoUnlockKeyStored:
MetadataVersion: 0
VolumeStatus: FullyDecrypted
ProtectionStatus: Off
LockStatus: Unlocked
EncryptionPercentage: 0
WipePercentage: 0
VolumeType: OperatingSystem
CapacityGB: 59.39843
KeyProtector: {}

Saisissez get-bitlockervolume | FL
Figure 4 : (En anglais uniquement) Type get-bitlockervolume | FL

Post-chiffrement : 
ComputerName: DESKTOP-T46E07P
MountPoint: C:
EncryptionMethod: XtsAes256
AutoUnlockEnabled:
AutoUnlockKeyStored: False
MetadataVersion: 2
VolumeStatus: FullyEncrypted
ProtectionStatus: On
LockStatus: Unlocked
EncryptionPercentage: 100
WipePercentage: 0
VolumeType: OperatingSystem
CapacityGB: 59.39843
KeyProtector: {Tpm, RecoveryPassword}

Saisissez get-bitlockervolume | FL
Figure 5 : (En anglais uniquement) Type get-bitlockervolume | FL

Pour contacter le support technique, consultez l’article Numéros de téléphone du support international Dell Data Security.
Accédez à TechDirect pour générer une demande de support technique en ligne.
Pour plus d’informations et de ressources, rejoignez le Forum de la communauté Dell Security.

Additional Information

 

Videos

 

Affected Products

Dell Encryption
Article Properties
Article Number: 000129631
Article Type: Solution
Last Modified: 03 Apr 2024
Version:  12
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.