Dell Encryption管理対象デバイスの暗号化ステータスを確認する方法
Summary: この記事では、Dell Encryptionによって管理されるDell Data Security(旧Dell Data Protection)製品の暗号化ステータスを確認する方法について説明します。
Symptoms
対象製品:
- Dell Encryption
- Dell Data Protection | Encryption
Cause
-
Resolution
以下の情報は、Dell Encryptionがエンドポイント自体を通じて管理するデバイスの保護ステータスを管理者が判断するのに役立つレジストリーの場所とコマンドの概要を示しています。この情報を使用して、デバイスのステータスを確認し、エンドポイントで保護ステータスに関する問題を特定することができます。
DellのPolicy-Based Encryptionの保護ステータスの計算は、デバイスとPC上のユーザーの両方の「スイープ状態」に基づいています。保護ステータスの計算方法の詳細については、「Shield保護ステータスのトラブルシューティング(英語)」を参照してください。
デバイスの暗号化ステータスのデータは、主にレジストリー内のエンドポイントにローカルに保存されます。Policy-Based Encryptionのデータに使用される主な場所は、HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShieldです。ステータスを識別するためのプライマリー キーは次のとおりです。
- DCID(これはリカバリーIDでもあります):デバイスがアクティブ化されていることを示すキー。
- GKPort(デフォルト8000):ポリシー アップデートに使用されるポートを制御するためのキー。
- GK:チェックイン サーバーを制御するためのキー。
- サーバー:元のアクティベーション サーバーのキー。
デバイスのアクティベーション ステータスを確認するには、デバイスでクエリーを実行して、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\RSSTの内容を確認します。このレジストリー キー内では、複数のキーによりデバイスのステータスが詳細に示されます。
- _DEVICE_ - デバイスのアクティベーション ステータスです。正の整数はアクティベーション済みのデバイスです。
- _INVALID_ - これが存在する場合、ログインしているユーザーはアクティベーションされていません。
- <RandomCharacters> :User Credant Identifier (UCID)がこの場所にあります。この値が存在し、 1に設定されている場合、その特定のユーザーはアクティブ化されており、 デバイス リース期間内です。デバイス リース期間は、Dell Security Management Serverを定義するポリシーで、デフォルト値は30日です。
デバイスの現在の暗号化スイープ状態に関する情報は、レジストリー キーHKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGshield\SweepTimes内にあります。このキーの値はさまざまであり、一意のユーザー ベースの識別子を使用して、各ユーザーのスイープ状態が決定されます。あるデバイスからの例を以下に示します。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\SweepTimes] "_SDENCR_SweepStop"=dword:00000001 "9P18NZD1SweepStop"=dword:00000001 "AllSweepsCompleted"=dword:00000001 "AllSweepsCompletedInXDays"=dword:00000001 "LastUpdate"="20180409 162157"
これらのキーの詳細と、その意味と使用方法は次のとおりです。
- _SDENCR_SweepStop
- 値0は、System Data Encryptionキーに影響を与える暗号化スイープが進行中であることを示します。
- 値1は、すべてのSystem Data Encryptionスイープが完了したことを示します。
- 9P18NZD1SweepStop
- ランダムに生成される8文字は、特定のユーザーの識別子です。
- このキーを0に設定すると、識別子が関連付けられているユーザーに対してスイープが処理中であることを示します。
- 1に設定すると、CommonまたはUser Encryptionキーに関連するスイープがこのエンドポイントで完了していることを示します。
- AllSweepsCompleted
- 0に設定すると、CommonまたはUser Encryptionキーに影響するアクティブな暗号化スイープがあることを示します。
- 1に設定すると、CommonまたはUser Encryptionキーに関連するスイープがこのエンドポイントで完了していることを示します。
- AllSweepsCompletedinXDays
- 0に設定すると、Dell Security Management Server(DSMS)で定義されたデバイス リース期間内にログインしたすべてのユーザーに対する暗号化スイープが完了していないことを示します。
- 1に設定すると、定義されたデバイス リース期間内にログインしたすべてのユーザーに対して暗号化スイープが完了します。
- LastUpdate - このレジストリー エントリー内のデバイスのスイープ状態の更新について、内部データベースがポーリングされた最後の時刻です。
Dell Encryption Self-Encrypting Drive ManagerおよびDell Full Disk Encryptionは、ディスクの暗号化率とディスクに存在する起動前認証(PBA)環境の検証に基づく情報を収集します。これらの値はレジストリー内に格納され、 HKLM\SYSTEM\CurrentControlSet\Services\DellMgmtAgent\ParametersおよびHKLM\Software\Dell\Dell Data Protection\にあります。
デバイスの保護ステータスは、ディスクの暗号化率に基づいて決定されます。この処理はすべてローカルで実行され、定期的なポーリング間隔でサーバーに配信されます。
エージェントのアクティベーション ステータスを確認するには、エージェントIDレジストリー キーを確認します。キーが入力された場合、デバイスは正常に登録されています。
HKLM\Software\Dell\Dell Data Protection\ REG_SZ: AgentID Value: <populated>
エンドポイントで起動前認証環境(PBA)が有効になっているかどうかを確認するには、次のIsPBAActiveレジストリー キーを確認します。
HKLM\SYSTEM\CurrentControlSet\Services\DellMgmtAgent\Parameters DWORD: IsPBAActive Value: 1 (1 is enabled, 0 or not present means no PBA)
インストールされている製品のバージョンを確認するには、次のレジストリー キーを確認します。
HKLM\Software\Dell\Dell Data Protection\Branding REG_SZ: EE Value: <version #>
エージェントのバージョン情報は、次の方法で収集することもできます。 wmic 次のコマンドを使用して呼び出します。
Wmic path win32_product where (caption like '%%Dell Encryption%%') get version
結果は次のように表示されます。
図1: (英語のみ)型 Wmic path win32_product where (caption like '%%Dell Encryption%%') get version
Dellフル ディスク暗号化の暗号化率情報は、レジストリーを介してクエリーできません。この情報は、デバッグ ログが有効になっている場合、DellAgent.log(C:\ProgramData\Dell\Dell Data Protection\に格納)内に入力されます。Dell Full Disk Encryptionのデバッグ ログを有効にするには、「Dell Encryption EnterpriseおよびDell Encryption Personalでログを増やす方法(英語)」を参照してください。
ログ行の例:
YYYY.MM.DD HH:MM:SS.MMM [ProcessID] (ThreadID) T FDE : SetEncryptionInfo - Set EncryptionPercentage to <Percentage>
Dell BitLocker Managerは、ディスクの暗号化率と、管理対象ボリュームごとに存在するキー保護機能の検証に基づいて情報を収集します。このデータは、コマンドラインが manage-bde コマンド、または PowerShell コマンド get-bitlockervolume」
デバイスの保護ステータスは、ディスクの暗号化率に基づいて決定されます。この処理はエンドポイントに対してローカルで実行され、定期的なポーリング間隔でサーバーに配信されます。
コマンド manage-bde -status ディスク上のすべてのボリュームのBitLocker暗号化のステータスを表示します。
出力には、次の値が含まれています。
- [Size] - ボリューム上の領域の量。
- BitLockerバージョン - 採用されているBitLockerのバージョン
- BitLockerの「互換モード」はバージョン1.0です。
- BitLockerの「新しい暗号化モード」(Windows 10バージョン1511、別名Threshold 2で導入)は、バージョン2.0です。
- Conversion Status:暗号化対象のボリュームのステータス
- [Percentage Encrypted] - 暗号化が完了したボリュームの割合。
- [Encryption Method] - ボリュームの暗号化に使用されるアルゴリズム。
- [Protection Status] - BitLockerが [Enabled]、[Disabled]、 または[Suspended]のいずれであるかを示します。
- [Lock Status] - ボリュームがロックされているかロック解除されているかを示します。
- ID フィールド - 組織のカスタム識別情報を出力します。
- [Key Protectors] - ボリュームを保護するために使用されるメカニズム。 TPM、パスワード、PIN、USB、またはこれらのアイテムの組み合わせを使用できます。
に関する詳細情報 manage-bde コマンドはここにあります: https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/manage-bde
次に、 manage-bde -status コマンドを特定の間隔で実行します。
Disk volumes that can be protected with BitLocker Drive Encryption: Volume C: [] [OS Volume] Size: 59.40 GB BitLocker Version: None Conversion Status: Fully Decrypted Percentage Encrypted: 0.0% Encryption Method: None Protection Status: Protection Off Lock Status: Unlocked Identification Field: None Key Protectors: None Found
図2:(英語のみ)型 manage-bde -status
Disk volumes that can be protected with BitLocker Drive Encryption: Volume C: [] [OS Volume] Size: 59.40 GB BitLocker Version: 2.0 Conversion Status: Used Space Only Encrypted Percentage Encrypted: 100.0% Encryption Method: XTS-AES 256 Protection Status: Protection On Lock Status: Unlocked Identification Field: Unknown Key Protectors: TPM, Numerical Password
図3:(英語のみ)型 manage-bde -status
のコマンド get-bitlockervolume | FL デバイス上のBitLockerのステータスに関するデータを収集するために使用できます。
出力には、次の値が含まれています。
- [ComputerName] - 保護されているデバイスの名前。
- [MountPoint] - 管理対象ボリュームのディスク上のドライブ レターまたは場所。
- [EncryptionMethod] - ボリューム上のデータを保護するために使用されるアルゴリズム。
- AutoUnlockEnabled - AutoUnlockオプションが有効かどうか。
- [AutoUnlockKeyStored] - AutoUnlockKeyがローカル コンピューターにキャッシュされているか、または別の場所にあるかどうかを示します。
- [MetadataVersion] - このボリュームで使用されているBitLockerのバージョンの詳細を示します。
- BitLockerの「互換モード」は、バージョン1です。
- BitLockerの「新しい暗号化モード」(Windows 10バージョン1511、別名Threshold 2で導入)は、バージョン2です。
- VolumeStatus:ボリュームのステータス(Decrypted、Encrypting、FullyEncrypted)
- [ProtectionStatus] - BitLockerが [Enabled]、[ Disabled]、 または[Suspended]のいずれであるかを示します。
- [LockStatus] - ボリュームがロックされているかロック解除されているかを示します。
- [EncryptionPercentage] - ボリュームが暗号化された割合を示します。
- WipePercentage - 上書きされたドライブ上の空き領域の割合を示すステータス。
- VolumeType - ボリュームの種類 (通常は OperatingSystemDrive、またはFixedVolume)
- CapacityGB:管理対象ボリュームのサイズ
- [KeyProtector] - ボリュームを保護するために使用されるメカニズム。 TPM、 パスワード、 PIN、 USB、またはこれらのアイテムの組み合わせを使用できます。
に関する詳細情報 get-bitlockervolume コマンドはここにあります: https://docs.microsoft.com/en-us/powershell/module/bitlocker/?view=win10-ps
次に、 get-bitlockervolume | FL コマンドを特定の間隔で実行します。
ComputerName: DESKTOP-T46E07P
MountPoint: C:
EncryptionMethod: None
AutoUnlockEnabled:
AutoUnlockKeyStored:
MetadataVersion: 0
VolumeStatus: FullyDecrypted
ProtectionStatus: Off
LockStatus: Unlocked
EncryptionPercentage: 0
WipePercentage: 0
VolumeType: OperatingSystem
CapacityGB: 59.39843
KeyProtector: {}
図4:(英語のみ)型 get-bitlockervolume | FL
ComputerName: DESKTOP-T46E07P
MountPoint: C:
EncryptionMethod: XtsAes256
AutoUnlockEnabled:
AutoUnlockKeyStored: False
MetadataVersion: 2
VolumeStatus: FullyEncrypted
ProtectionStatus: On
LockStatus: Unlocked
EncryptionPercentage: 100
WipePercentage: 0
VolumeType: OperatingSystem
CapacityGB: 59.39843
KeyProtector: {Tpm, RecoveryPassword}
図5:(英語のみ)型 get-bitlockervolume | FL
サポートに問い合わせるには、「Dell Data Securityのインターナショナル サポート電話番号」を参照してください。
TechDirectにアクセスして、テクニカル サポート リクエストをオンラインで生成します。
さらに詳しい情報やリソースについては、「デル セキュリティ コミュニティー フォーラム」に参加してください。