Określanie stanu szyfrowania urządzenia zarządzanego przez Dell Encryption
Summary: W tym artykule opisano metody określania stanu szyfrowania produktów Dell Data Security (dawniej Dell Data Protection) zarządzanych przez Dell Encryption.
Symptoms
Dotyczy produktów:
- Dell Encryption
- Dell Data Protection | Encryption Client
Cause
Nie dotyczy
Resolution
Poniższe informacje opisują lokalizacje rejestru i polecenia, które mogą pomóc administratorowi w określeniu stanu ochrony urządzeń zarządzanych przez Dell Encryption za pośrednictwem samego punktu końcowego. Informacje te mogą służyć do sprawdzania stanu urządzenia i rozwiązywania problemów z chronionym stanem na punkcie końcowym.
Obliczenie stanu ochrony szyfrowania opartego na zasadach firmy Dell jest oparte na stanie przeszukiwania zarówno urządzenia, jak i wszystkich użytkowników na komputerze. Aby uzyskać więcej informacji na temat sposobu obliczania stanu ochrony, należy zapoznać się z tematem: Rozwiązywanie problemów ze stanem ochrony Shield.
Dane stanu szyfrowania urządzenia są przechowywane lokalnie w punkcie końcowym, głównie w rejestrze. Podstawową lokalizacją używaną do danych szyfrowania opartego na zasadach jest HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield. Poniżej przedstawiono podstawowe klucze służące do identyfikacji stanu:
- DCID (jest to również identyfikator odzyskiwania): Klucz pokazujący, że urządzenie zostało aktywowane.
- GKPort (domyślnie 8000): Klucz do sterowania portem używanym do aktualizacji zasad.
- GK: Klucz do sterowania serwerem check-in.
- Serwer: Klucz oryginalnego serwera aktywacji.
Aby sprawdzić stan aktywacji urządzenia, można sprawdzić zawartość HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\RSST. W tym kluczu rejestru kilka kluczy szczegółowo opisuje stan urządzenia:
- _DEVICE_ — jest to stan aktywacji urządzenia. Dowolna dodatnia liczba całkowita jest aktywowanym urządzeniem.
- _INVALID_ — jeśli jest obecny, zalogowany użytkownik nie jest aktywowany.
- <RandomCharacters> — identyfikator użytkownika (UCID) znajduje się w tej lokalizacji. Jeśli ta wartość jest obecna i ustawiona na 1, określony użytkownik jest aktywowany i znajduje się w okresie leasingu urządzenia. Okres dzierżawy urządzenia to zasada określająca serwer Dell Security Management Server, a wartość domyślna to 30 dni.
Informacje dotyczące bieżącego stanu przeszukiwania szyfrowania urządzenia znajdują się w kluczu rejestru HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGshield\SweepTimes. Wartości w tym kluczu mogą się różnić, a do określenia stanu przeglądu dla każdego użytkownika używany jest unikatowy identyfikator oparty na użytkowniku. Poniżej przedstawiono przykład z urządzenia:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\SweepTimes] "_SDENCR_SweepStop"=dword:00000001 "9P18NZD1SweepStop"=dword:00000001 "AllSweepsCompleted"=dword:00000001 "AllSweepsCompletedInXDays"=dword:00000001 "LastUpdate"="20180409 162157"
Zestawienie tych kluczy oraz ich znaczenie i zastosowanie:
- _SDENCR_SweepStop
- Wartość 0 oznacza, że przeszukiwanie wpływające na klucz szyfrowania danych systemu jest w toku.
- Wartość 1 oznacza, że wszystkie operacje przeszukiwania szyfrowania danych systemu zostały zakończone.
- 9P18NZD1SweepStop
- Osiem losowo wygenerowanych znaków to identyfikatory dla określonych użytkowników.
- Kiedy klucz jest ustawiony na 0, trwa przeszukiwanie dla użytkownika, z którym identyfikator jest skorelowany.
- Po ustawieniu na 1 w tym punkcie końcowym wykonywane są operacje przeszukiwania korelujące z kluczami Wspólne lub Szyfrowanie użytkownika.
- AllSweepsCompleted
- W przypadku ustawienia 0 oznacza to aktywną operację przeszukiwania szyfrowania, która wpływa na klucze Wspólne lub Szyfrowanie użytkownika.
- Po ustawieniu na 1 w tym punkcie końcowym wykonywane są operacje przeszukiwania korelujące z kluczami Wspólne lub Szyfrowanie użytkownika.
- AllSweepsCompletedinXDays
- Po ustawieniu na 0 operacje szyfrowania nie zostały zakończone dla wszystkich użytkowników, którzy zalogowali się w okresie dzierżawy urządzeń zdefiniowanym przez Dell Security Management Server (DSMS).
- Gdy ustawiona jest wartość 1, przeglądy szyfrowania są zakończone dla wszystkich użytkowników, którzy zalogowali się w zdefiniowanym okresie dzierżawy urządzenia.
- LastUpdate — ostatni raz, gdy wewnętrzna baza danych została sondowana w celu aktualizacji stanu przeszukiwania urządzeń w tym wpisie rejestru.
Program Dell Encryption Self-Encrypting Drive Manager i Dell Full Disk Encryption management gromadzą informacje oparte na procentowej wartości szyfrowania dysku i weryfikacji środowiska uwierzytelniania przed rozruchem (PBA) na dysku. Wartości te są przechowywane w rejestrze i można je znaleźć w folderach HKLM\SYSTEM\CurrentControlSet\Services\DellMgmtAgent\Parameters" oraz "HKLM\Software\Dell\Dell Data Protection\.
Stan chroniony urządzenia jest określany na podstawie procentu szyfrowania dysku. Przetwarzanie to jest wykonywane lokalnie i jest dostarczane do serwera przez regularne interwały sondowania.
Aby sprawdzić stan aktywacji agenta, sprawdź klucz rejestru identyfikatora agenta. Po wypełnieniu klucza urządzenie pomyślnie się zarejestrowało:
HKLM\Software\Dell\Dell Data Protection\ REG_SZ: AgentID Value: <populated>
Aby sprawdzić, czy w punkcie końcowym włączono środowisko uwierzytelniania przed rozruchem (PBA), sprawdź klucz rejestru IsPBAActive:
HKLM\SYSTEM\CurrentControlSet\Services\DellMgmtAgent\Parameters DWORD: IsPBAActive Value: 1 (1 is enabled, 0 or not present means no PBA)
Aby określić zainstalowaną wersję produktu, sprawdź klucz rejestru:
HKLM\Software\Dell\Dell Data Protection\Branding REG_SZ: EE Value: <version #>
Informacje o wersji agenta można również zebrać za pomocą wmic wywołuje przy użyciu polecenia:
Wmic path win32_product where (caption like '%%Dell Encryption%%') get version
Wyniki powinny wyświetlać się jako:
Rysunek 1. (Tylko w języku angielskim) Typu Wmic path win32_product where (caption like '%%Dell Encryption%%') get version
Nie można sprawdzić informacji procentowych o szyfrowaniu dla programu Dell Full Disk Encryption za pośrednictwem rejestru. Informacje te są wypełniane w pliku DellAgent.log (przechowywanym w folderze C:\ProgramData\Dell\Dell Data Protection\, jeśli włączono rejestrowanie debugowania). Aby włączyć rejestrowanie debugowania dla Dell Full Disk Encryption, należy odwołać się do tematu Zwiększenie rejestrowania w oprogramowaniu Dell Encryption Enterprise i Dell Encryption Personal.
Przykładowy wiersz dziennika:
YYYY.MM.DD HH:MM:SS.MMM [ProcessID] (ThreadID) T FDE : SetEncryptionInfo - Set EncryptionPercentage to <Percentage>
Program Dell BitLocker Manager gromadzi informacje oparte na procentowej wartości szyfrowania dysku i sprawdzaniu poprawności dostępnych kluczy ochrony dla każdego zarządzanego woluminu. Te dane, które wiersz polecenia zbiera za pomocą manage-bde lub polecenia PowerShell get-bitlockervolume.
Stan chroniony urządzenia jest określany na podstawie procentu szyfrowania dysku. Przetwarzanie to jest lokalne dla punktu końcowego i jest dostarczane do serwera przez regularne interwały sondowania.
Polecenie manage-bde -status Wyświetla stan szyfrowania funkcją BitLocker dla wszystkich woluminów na dysku.
Dane wyjściowe zawierają kilka wartości:
- Size — ilość miejsca na woluminie.
- Wersja funkcji BitLocker — wersja zastosowanej funkcji BitLocker
- „Tryb zgodności” dla funkcji BitLocker ma wersję 1.0.
- „Nowy tryb szyfrowania” dla funkcji BitLocker (wprowadzony w systemie Windows 10 w wersji 1511, czyli Threshold 2) ma wersję 2.0.
- Stan konwersji — stan woluminu do szyfrowania
- Percentage Encrypted — procent woluminu, który zakończył szyfrowanie.
- Encryption Method — algorytm używany do szyfrowania woluminu.
- Stan ochrony — szczegółowe informacje, czy funkcja BitLocker jest włączona, wyłączona lub zawieszona.
- Lock Status — określa, czy wolumin jest zablokowany czy odblokowany.
- Pole identyfikacyjne — generuje wszelkie niestandardowe informacje identyfikacyjne dla organizacji.
- Zabezpieczenia kluczy — mechanizm używany do ochrony woluminu; może to być TPM, hasło, kod PIN,USB lub kombinacja tych elementów.
Więcej informacji na temat manage-bde Polecenie można znaleźć tutaj: https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/manage-bde
Oto kilka przykładowych wyników z uruchomienia manage-bde -status w określonych odstępach czasu podczas szyfrowania:
Disk volumes that can be protected with BitLocker Drive Encryption: Volume C: [] [OS Volume] Size: 59.40 GB BitLocker Version: None Conversion Status: Fully Decrypted Percentage Encrypted: 0.0% Encryption Method: None Protection Status: Protection Off Lock Status: Unlocked Identification Field: None Key Protectors: None Found
Rysunek 2. (Tylko w języku angielskim) Typu manage-bde -status
Disk volumes that can be protected with BitLocker Drive Encryption: Volume C: [] [OS Volume] Size: 59.40 GB BitLocker Version: 2.0 Conversion Status: Used Space Only Encrypted Percentage Encrypted: 100.0% Encryption Method: XTS-AES 256 Protection Status: Protection On Lock Status: Unlocked Identification Field: Unknown Key Protectors: TPM, Numerical Password
Rysunek 3. (Tylko w języku angielskim) Typu manage-bde -status
Polecenie get-bitlockervolume | FL może służyć do zbierania danych o stanie funkcji BitLocker na urządzeniu.
Dane wyjściowe zawierają kilka wartości:
- ComputerName — nazwa urządzenia, które jest chronione.
- MountPoint — litera dysku lub lokalizacja na dysku woluminu, który jest zarządzany.
- EncryptionMethod — algorytm używany do ochrony danych na woluminie.
- AutoUnlockEnabled — określa, czy opcja automatycznego odblokowywania jest włączona.
- AutoUnlockKeyStored — szczegółowe informacje o tym, czy opcja AutoUnlockKey została zapisana w pamięci podręcznej na komputerze lokalnym lub czy znajduje się w oddzielnej lokalizacji.
- MetadataVersion — szczegóły wersji funkcji BitLocker, która jest używana w tym woluminie.
- „Tryb zgodności” dla funkcji BitLocker ma wersję 1.
- „Nowy tryb szyfrowania” dla funkcji BitLocker (wprowadzony w systemie Windows 10 w wersji 1511, czyli Threshold 2) ma wersję 2.
- VolumeStatus — stan woluminu (odszyfrowany, szyfrujący, w pełni zaszyfrowany)
- ProtectionStatus — szczegółowe informacje, czy funkcja BitLocker jest włączona, wyłączona lub zawieszona.
- LockStatus — wskazuje, czy wolumin jest zablokowany czy odblokowany.
- EncryptionPercentage — stan w procentach szyfrowania woluminu.
- WipePercentage — stan w odsetku pustego miejsca na dysku, które zostało nadpisane.
- VolumeType — typ woluminu, zazwyczaj OperatingSystemDrive lubFixedVolume
- CapacityGB — rozmiar woluminu zarządzanego
- KeyProtector — mechanizm używany do ochrony woluminu; może to być TPM, hasło, kod PIN,USB lub kombinacja tych elementów.
Więcej informacji na temat get-bitlockervolume Polecenie można znaleźć tutaj: https://docs.microsoft.com/en-us/powershell/module/bitlocker/?view=win10-ps
Oto kilka przykładowych wyników z uruchomienia get-bitlockervolume | FL w określonych odstępach czasu podczas szyfrowania:
ComputerName: DESKTOP-T46E07P
MountPoint: C:
EncryptionMethod: None
AutoUnlockEnabled:
AutoUnlockKeyStored:
MetadataVersion: 0
VolumeStatus: FullyDecrypted
ProtectionStatus: Off
LockStatus: Unlocked
EncryptionPercentage: 0
WipePercentage: 0
VolumeType: OperatingSystem
CapacityGB: 59.39843
KeyProtector: {}
Rysunek 4. (Tylko w języku angielskim) Typu get-bitlockervolume | FL
ComputerName: DESKTOP-T46E07P
MountPoint: C:
EncryptionMethod: XtsAes256
AutoUnlockEnabled:
AutoUnlockKeyStored: False
MetadataVersion: 2
VolumeStatus: FullyEncrypted
ProtectionStatus: On
LockStatus: Unlocked
EncryptionPercentage: 100
WipePercentage: 0
VolumeType: OperatingSystem
CapacityGB: 59.39843
KeyProtector: {Tpm, RecoveryPassword}
Rysunek 5. (Tylko w języku angielskim) Typu get-bitlockervolume | FL
Aby skontaktować się z pomocą techniczną, przejdź do sekcji Numery telefonów międzynarodowej pomocy technicznej Dell Data Security.
Przejdź do TechDirect, aby wygenerować zgłoszenie online do pomocy technicznej.
Aby uzyskać dodatkowe informacje i zasoby, dołącz do Forum społeczności Dell Security.