Como determinar o status de criptografia de um dispositivo gerenciado do Dell Encryption

O cálculo do status protegido para a criptografia baseada em política da Dell é baseado no "estado de varredura" do dispositivo e de todos os usuários no computador. Para obter mais informações sobre como o status protegido é calculado, consulte: Solução de problemas de status protegido da proteção.

Os dados para status de criptografia do dispositivo são armazenados localmente no ponto de extremidade principalmente no registro. O local principal usado para dados de criptografia baseada em política é HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield. Aqui estão as chaves primárias para identificar o status:

• DCID (também é o ID de recuperação): O dispositivo de exibição de chave foi ativado.
• GKPORT (padrão 8000): Chave para porta de controle usada para atualizações de política.
• GK: Chave para controlar o servidor de check-in.
• Servidor: Chave para o servidor de ativação original.

Para validar o status de ativação do dispositivo, podemos consultar o dispositivo para verificar o conteúdo de HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\RSST. Nessa chave do registro, várias chaves detalham o status do dispositivo:

• _DEVICE_: este é o status de ativação do aparelho. Qualquer número inteiro positivo é um dispositivo ativado.
• _INVALID_: se estiver presente, o usuário que está conectado não está ativado.
• <RandomCharacters> - o User Credant Identifier (UCID) está neste local. Se esse valor estiver presente e definido como 1, esse usuário específico está ativado e dentro do Período de Locação do Dispositivo. O período de concessão do dispositivo é uma política que define o Dell Security Management Server, e o valor padrão é de 30 dias.

As informações relativas ao status atual de varredura de criptografia do dispositivo estão localizadas na chave de registro HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGshield\SweepTimes. Os valores nessa chave podem variar, e um identificador exclusivo baseado no usuário é usado para determinar o estado de varredura para cada usuário. Veja abaixo um exemplo de um dispositivo:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\SweepTimes]
"_SDENCR_SweepStop"=dword:00000001
"9P18NZD1SweepStop"=dword:00000001
"AllSweepsCompleted"=dword:00000001
"AllSweepsCompletedInXDays"=dword:00000001
"LastUpdate"="20180409 162157"

Uma divisão dessas chaves e seu significado e uso:

• _SDENCR_SweepStop
  • Um valor 0 indica que uma varredura de criptografia que afeta a chave de criptografia de dados do sistema está em andamento.
  • Um valor de 1 indica que todas as varreduras de criptografia de dados do sistema estão concluídas.
• 9P18NZD1SweepStop
  • Os oito caracteres gerados aleatoriamente são identificadores para usuários específicos.
  • Quando essa chave é definida como 0, uma varredura está em andamento para o usuário ao qual o identificador está correlacionado.
  • Quando definido como 1, as varreduras correlacionadas às chaves comuns ou de criptografia de usuário são concluídas neste endpoint.
• AllSweepsCompleted
  • Quando definido como 0, isso indica que há uma varredura de criptografia ativa afetando as chaves comuns ou de criptografia do usuário.
  • Quando definido como 1, as varreduras correlacionadas às chaves comuns ou de criptografia de usuário são concluídas neste endpoint.
• AllSweepsCompletedinXDays
  • Quando definido como 0, as varreduras de criptografia não foram concluídas para todos os usuários que fizeram login no período de concessão de dispositivo definido do Dell Security Management Server (DSMS).
  • Quando definido como 1, as varreduras de criptografia são concluídas para todos os usuários que fizeram log-in dentro do Período de Locação de Dispositivo definido.

• LastUpdate: esta é a última vez que o banco de dados interno foi pesquisado para encontrar atualizações do status de varredura do dispositivo dentro desta entrada do registro.

O Dell Encryption Self-Encrypting Drive Manager e o gerenciamento do Dell Full Disk Encryption coletam informações baseadas na porcentagem de criptografia do disco e na validação do ambiente de PBA (Pre-Boot Authentication, autenticação de pré-inicialização) presente no disco. Esses valores são armazenados no registro e podem ser encontrados em HKLM\SYSTEM\CurrentControlSet\Services\DellMgmtAgent\Parameters" e "HKLM\Software\Dell\Dell Data Protection\".

O status protegido do dispositivo é determinado na porcentagem de criptografia do disco. Esse processamento é feito localmente e é entregue ao servidor por intervalos regulares de pesquisa.

Para determinar o status de ativação do agente, verifique a chave de registro do ID do agente. Se a chave estiver preenchida, o dispositivo foi registrado com sucesso:

HKLM\Software\Dell\Dell Data Protection\
REG_SZ: AgentID
Value: <populated>

Para determinar se o ambiente de Autenticação de pré-inicialização (PBA) está ativado no endpoint, verifique a chave de registro IsPBAActive:

HKLM\SYSTEM\CurrentControlSet\Services\DellMgmtAgent\Parameters
DWORD: IsPBAActive
Value: 1 (1 is enabled, 0 or not present means no PBA)

Para determinar a versão do produto instalado, verifique a chave de registro:

HKLM\Software\Dell\Dell Data Protection\Branding
REG_SZ: EE
Value: <version #>

As informações de versão do agente também podem ser coletadas por meio de: wmic chama usando o comando:

Wmic path win32_product where (caption like '%%Dell Encryption%%') get version

Os resultados devem ser exibidos assim:

Figura 1: (Somente em inglês) Tipo Wmic path win32_product where (caption like '%%Dell Encryption%%') get version

As informações de porcentagem de criptografia do Dell Full Disk Encryption não podem ser consultadas por meio do registro. Essas informações são preenchidas no DellAgent.log (armazenado em C:\ProgramData\Dell\Dell Data Protection\ se o registro de depuração estiver ativado. Para ativar o registro de depuração para o Dell Full Disk Encryption, consulte Aumente o nível de registro no Dell Encryption Enterprise e no Dell Encryption Personal.

Exemplo de linha de registro:

YYYY.MM.DD HH:MM:SS.MMM [ProcessID] (ThreadID) T FDE : SetEncryptionInfo - Set EncryptionPercentage to <Percentage>

O Dell BitLocker Manager coleta informações baseadas na porcentagem de criptografia do disco e na validação de protetores de chave presentes em cada volume gerenciado. Esses dados que a linha de comando coleta usando o manage-bde ou o comando do PowerShell get-bitlockervolume.

O status protegido do dispositivo é determinado na porcentagem de criptografia do disco. Esse processamento é local para o endpoint e é entregue ao servidor por meio de intervalos regulares de sondagem.

Disk volumes that can be protected with
BitLocker Drive Encryption:
Volume C: []
[OS Volume]

Size: 59.40 GB
BitLocker Version: None
Conversion Status: Fully Decrypted
Percentage Encrypted: 0.0%
Encryption Method: None
Protection Status: Protection Off
Lock Status: Unlocked
Identification Field: None
Key Protectors: None Found

Disk volumes that can be protected with
BitLocker Drive Encryption:
Volume C: []
[OS Volume]

Size: 59.40 GB
BitLocker Version: 2.0
Conversion Status: Used Space Only Encrypted
Percentage Encrypted: 100.0%
Encryption Method: XTS-AES 256
Protection Status: Protection On
Lock Status: Unlocked
Identification Field: Unknown
Key Protectors: TPM, Numerical Password

ComputerName: DESKTOP-T46E07P
MountPoint: C:
EncryptionMethod: None
AutoUnlockEnabled:
AutoUnlockKeyStored:
MetadataVersion: 0
VolumeStatus: FullyDecrypted
ProtectionStatus: Off
LockStatus: Unlocked
EncryptionPercentage: 0
WipePercentage: 0
VolumeType: OperatingSystem
CapacityGB: 59.39843
KeyProtector: {}

ComputerName: DESKTOP-T46E07P
MountPoint: C:
EncryptionMethod: XtsAes256
AutoUnlockEnabled:
AutoUnlockKeyStored: False
MetadataVersion: 2
VolumeStatus: FullyEncrypted
ProtectionStatus: On
LockStatus: Unlocked
EncryptionPercentage: 100
WipePercentage: 0
VolumeType: OperatingSystem
CapacityGB: 59.39843
KeyProtector: {Tpm, RecoveryPassword}