Come determinare lo stato di crittografia di un dispositivo gestito con crittografia Dell

Summary: Questo articolo descrive i metodi per determinare lo stato di crittografia dei prodotti Dell Data Security (in precedenza Dell Data Protection) gestiti da Dell Encryption.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Prodotti interessati:

  • Dell Encryption
  • Dell Data Protection | Encryption

Cause

Non applicabile

Resolution

Le informazioni riportate di seguito descrivono percorsi e comandi del Registro di sistema che consentono a un amministratore di determinare lo stato di protezione dei dispositivi gestiti da Dell Encryption tramite l'endpoint stesso. Queste informazioni possono essere utilizzate per convalidare lo stato del dispositivo e per determinare i problemi relativi allo stato protetto su un endpoint.

Crittografia basata su criteri

Il calcolo dello stato protetto per la crittografia basata su criteri di Dell si basa sullo "stato di scansione" del dispositivo e di tutti gli utenti sul computer. Per ulteriori informazioni su come viene calcolato lo stato Protected, consultare: Risoluzione dei problemi relativi allo stato protetto dello Shield.

I dati per lo stato di crittografia del dispositivo vengono archiviati localmente sull'endpoint, principalmente nel Registro di sistema. Il percorso principale utilizzato per i dati di Policy Based Encryption è HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield. Di seguito sono riportate le chiavi principali per l'identificazione dello stato:

  • DCID (questo è anche l'ID di ripristino): La chiave che mostra che il dispositivo è stato attivato.
  • GKPort (valore predefinito 8000): Chiave per controllare la porta utilizzata per gli aggiornamenti delle policy.
  • POR: Chiave per il controllo del server di archiviazione.
  • Server: Chiave per il server di attivazione originale.

Per convalidare lo stato di attivazione del dispositivo, è possibile eseguire una query sul dispositivo per controllare il contenuto di HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\RSST. All'interno di questa chiave di registro, diverse chiavi descrivono in dettaglio lo stato del dispositivo:

  • _DEVICE_ - questo è lo stato di attivazione del dispositivo. Qualsiasi numero intero positivo è un dispositivo attivato.
  • _INVALID_ - se presente, l'utente che ha effettuato l'accesso non è attivato.
  • <Caratteri casuali> : l'UCID (User Credant Identifier) si trova in questa posizione. Se questo valore è presente ed è impostato su 1, l'utente specifico è attivato e rientra nel periodo di lease del dispositivo. Il periodo di lease del dispositivo è una policy che definisce Dell Security Management Server e il valore predefinito è 30 giorni.

Le informazioni relative allo stato corrente della ricerca di crittografia del dispositivo si trovano all'interno della chiave di registro HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGshield\SweepTimes. I valori in questa chiave possono variare e viene utilizzato un identificatore univoco basato sull'utente per determinare lo stato di scansione per ogni utente. Di seguito è riportato un esempio di un dispositivo:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\SweepTimes]
"_SDENCR_SweepStop"=dword:00000001
"9P18NZD1SweepStop"=dword:00000001
"AllSweepsCompleted"=dword:00000001
"AllSweepsCompletedInXDays"=dword:00000001
"LastUpdate"="20180409 162157"

Analisi dettagliata di queste chiavi e del relativo significato e utilizzo:

  • _SDENCR_SweepStop
    • Il valore 0 indica che è in corso una ricerca di crittografia che influisce sulla chiave di crittografia dei dati di sistema.
    • Il valore 1 indica che tutte le ricerche di System Data Encryption sono state completate.
  • 9P18NZD1SweepStop
    • Gli otto caratteri generati casualmente sono identificatori per utenti specifici.
    • Quando questa chiave è impostata su 0, è in corso una scansione per l'utente a cui è correlato l'identificatore.
    • Quando è impostata su 1, le ricerche correlate alle chiavi Common o User Encryption vengono completate su questo endpoint.
  • AllSweepsCompleted
    • Quando è impostata su 0, indica che è presente una scansione di crittografia attiva che interessa le chiavi di crittografia comune o utente.
    • Quando è impostata su 1, le ricerche correlate alle chiavi Common o User Encryption vengono completate su questo endpoint.
  • AllSweepsCompletedinXDays
    • Quando è impostato su 0, le ricerche di crittografia non saranno completate per tutti gli utenti che hanno effettuato l'accesso nel periodo di locazione del dispositivo definito da Dell Security Management Server (DSMS).
    • Quando è impostata su 1, le ricerche di crittografia vengono completate per tutti gli utenti che hanno effettuato l'accesso entro il periodo di lease del dispositivo definito.
Nota: Il periodo di lease del dispositivo indica quanti giorni dal momento in cui un utente o un dispositivo è stato rilevato e che Dell Security Management Server attende prima di contrassegnare tale entità come rimossa.
  • LastUpdate : questa è l'ultima volta che è stato eseguito il polling del database interno per gli aggiornamenti dello stato di scansione del dispositivo all'interno di questa voce di registro.
Self-Encrypting Drives e Full Disk Encryption:

Dell Encryption Self-Encrypting Drive Manager e Dell Full Disk Encryption Management raccolgono informazioni basate sulla percentuale di crittografia del disco e sulla convalida dell'ambiente PBA (Pre-Boot Authentication) presente sul disco. Questi valori sono archiviati all'interno del registro e sono disponibili in HKLM\SYSTEM\CurrentControlSet\Services\DellMgmtAgent\Parameters" e "HKLM\Software\Dell\Dell Data Protection\.

Lo stato protetto del dispositivo è determinato dalla percentuale di crittografia del disco. Questa elaborazione viene eseguita localmente e viene inviata al server tramite intervalli di polling regolari.

Per determinare lo stato di attivazione dell'agent, controllare la chiave del Registro di sistema ID agente. Se la chiave è popolata, il dispositivo è stato registrato correttamente:

HKLM\Software\Dell\Dell Data Protection\
REG_SZ: AgentID
Value: <populated>

Per determinare se l'ambiente di autenticazione di preavvio (PBA) è abilitato sull'endpoint, controllare la chiave di registro IsPBAActive:

HKLM\SYSTEM\CurrentControlSet\Services\DellMgmtAgent\Parameters
DWORD: IsPBAActive
Value: 1 (1 is enabled, 0 or not present means no PBA)

Per determinare la versione del prodotto installata, controllare la chiave del Registro di sistema:

HKLM\Software\Dell\Dell Data Protection\Branding
REG_SZ: EE
Value: <version #>

Le informazioni sulla versione dell'agent possono essere raccolte anche tramite wmic chiama utilizzando il comando:

Wmic path win32_product where (caption like '%%Dell Encryption%%') get version

I risultati dovrebbero essere visualizzati come:

Digitare il percorso Wmic win32_product dove (didascalia come '%%Dell Encryption%%') ottenere la versione
Figura 1. (solo in inglese) Digitare Wmic path win32_product where (caption like '%%Dell Encryption%%') get version

Non è possibile eseguire query sulle informazioni percentuali di crittografia per Dell Full Disk Encryption tramite il registro. Queste informazioni vengono popolate all'interno del DellAgent.log (archiviato in C:\ProgramData\Dell\Dell Data Protection\ se la registrazione di debug è abilitata. Per abilitare la registrazione di debug per Dell Full Disk Encryption, consultare Aumento della registrazione in Dell Encryption Enterprise e Dell Encryption Personal.

Esempio di riga del registro:

YYYY.MM.DD HH:MM:SS.MMM [ProcessID] (ThreadID) T FDE : SetEncryptionInfo - Set EncryptionPercentage to <Percentage>
BitLocker Manager:

Dell BitLocker Manager raccoglie informazioni basate sulla percentuale di crittografia del disco e sulla convalida delle protezioni con chiave presenti per ogni volume gestito. Questi dati raccolti dalla riga di comando utilizzando il metodo manage-bde o il comando PowerShell get-bitlockervolume.

Lo stato protetto del dispositivo è determinato dalla percentuale di crittografia del disco. Questa elaborazione è locale per l'endpoint e viene inviata al server tramite intervalli di polling regolari.

CLI

Il comando manage-bde -status Visualizza lo stato della crittografia BitLocker per tutti i volumi sul disco.

L'output contiene diversi valori:

  • Size: la quantità di spazio sul volume.
  • Versione di BitLocker: versione di BitLocker utilizzata
    • La versione di "Modalità compatibilità" per BitLocker è la 1.0.
    • La "New Encryption Mode" per BitLocker (introdotta in Windows 10 versione 1511, nota anche come Threshold 2) ha una versione 2.0.
  • Conversion Status: stato del volume per la crittografia
  • Percentage Encrypted: percentuale del volume che ha completato la crittografia.
  • Encryption Method: algoritmo utilizzato per crittografare il volume.
  • Stato della protezione - Indica se BitLocker è abilitato, disabilitato o sospeso.
  • Lock Status: indica se il volume è bloccato o sbloccato.
  • Campo di identificazione: genera tutte le informazioni di identificazione personalizzate per l'organizzazione.
  • Key Protectors: il meccanismo utilizzato per proteggere il volume, che può essere TPM, password, PIN, USB o una combinazione di questi elementi.

Ulteriori informazioni sul manage-bde Il comando è disponibile qui: https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/manage-bde Questo link ipertestuale indirizza a un sito web esterno a Dell Technologies.

Di seguito sono riportati alcuni output di esempio dell'esecuzione di manage-bde -status comando a determinati intervalli durante la crittografia:

Pre-crittografia 
Disk volumes that can be protected with
BitLocker Drive Encryption:
Volume C: []
[OS Volume]

Size: 59.40 GB
BitLocker Version: None
Conversion Status: Fully Decrypted
Percentage Encrypted: 0.0%
Encryption Method: None
Protection Status: Protection Off
Lock Status: Unlocked
Identification Field: None
Key Protectors: None Found

Digitare manage-bde -status
Figura 2. (solo in inglese) Digitare manage-bde -status

Post-crittografia: 
Disk volumes that can be protected with
BitLocker Drive Encryption:
Volume C: []
[OS Volume]

Size: 59.40 GB
BitLocker Version: 2.0
Conversion Status: Used Space Only Encrypted
Percentage Encrypted: 100.0%
Encryption Method: XTS-AES 256
Protection Status: Protection On
Lock Status: Unlocked
Identification Field: Unknown
Key Protectors: TPM, Numerical Password

Digitare manage-bde -status
Figura 3. (solo in inglese) Digitare manage-bde -status

PowerShell

Il comando di get-bitlockervolume | FL può essere utilizzato per raccogliere dati sullo stato di BitLocker sul dispositivo.

L'output contiene diversi valori:

  • ComputerName: nome del dispositivo protetto.
  • MountPoint - Lettera o posizione dell'unità sul disco del volume da gestire.
  • EncryptionMethod: algoritmo utilizzato per proteggere i dati sul volume.
  • AutoUnlockEnabled: indica se l'opzione AutoUnlock è abilitata.
  • AutoUnlockKeyStored : indica in dettaglio se la chiave AutoUnlockKey è stata memorizzata nella cache nel computer locale o se si trova in un percorso separato.
  • MetadataVersion: descrive in dettaglio la versione di BitLocker utilizzata su questo volume.
    • La versione di "Compatibility Mode" per BitLocker è 1.
    • La "New Encryption Mode" per BitLocker (introdotta in Windows 10 versione 1511, nota anche come Threshold2) dispone di una versione 2.
  • VolumeStatus: stato del volume (Decrypted, Encrypting, FullyEncrypted)
  • ProtectionStatus: indica se BitLocker è abilitato, disabilitato o sospeso.
  • LockStatus: indica se il volume è bloccato o sbloccato.
  • EncryptionPercentage: stato in percentuale della crittografia del volume.
  • WipePercentage: stato nella percentuale di spazio vuoto sull'unità che è stata sovrascritta.
  • VolumeType: il tipo di volume, in genere OperatingSystemDrive oFixedVolume
  • CapacityGB: dimensione del volume gestito
  • KeyProtector: il meccanismo utilizzato per proteggere il volume, può essere TPM, password, PIN, USB o una combinazione di questi elementi.

Ulteriori informazioni sul get-bitlockervolume Il comando è disponibile qui: https://docs.microsoft.com/en-us/powershell/module/bitlocker/?view=win10-ps Questo link ipertestuale indirizza a un sito web esterno a Dell Technologies.

Di seguito sono riportati alcuni output di esempio dell'esecuzione di get-bitlockervolume | FL comando a determinati intervalli durante la crittografia:

Pre-crittografia 
ComputerName: DESKTOP-T46E07P
MountPoint: C:
EncryptionMethod: None
AutoUnlockEnabled:
AutoUnlockKeyStored:
MetadataVersion: 0
VolumeStatus: FullyDecrypted
ProtectionStatus: Off
LockStatus: Unlocked
EncryptionPercentage: 0
WipePercentage: 0
VolumeType: OperatingSystem
CapacityGB: 59.39843
KeyProtector: {}

Digitare get-bitlockervolume | FL
Figura 4. (solo in inglese) Digitare get-bitlockervolume | FL

Post-crittografia: 
ComputerName: DESKTOP-T46E07P
MountPoint: C:
EncryptionMethod: XtsAes256
AutoUnlockEnabled:
AutoUnlockKeyStored: False
MetadataVersion: 2
VolumeStatus: FullyEncrypted
ProtectionStatus: On
LockStatus: Unlocked
EncryptionPercentage: 100
WipePercentage: 0
VolumeType: OperatingSystem
CapacityGB: 59.39843
KeyProtector: {Tpm, RecoveryPassword}

Digitare get-bitlockervolume | FL
Figura 5. (solo in inglese) Digitare get-bitlockervolume | FL

Per contattare il supporto, consultare l'articolo Numeri di telefono internazionali del supporto di Dell Data Security.
Accedere a TechDirect per generare una richiesta di supporto tecnico online.
Per ulteriori approfondimenti e risorse accedere al forum della community Dell Security.

Additional Information

 

Videos

 

Affected Products

Dell Encryption
Article Properties
Article Number: 000129631
Article Type: Solution
Last Modified: 03 Apr 2024
Version:  12
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.