Как определить состояние шифрования управляемого устройства Dell Encryption
Summary: В данной статье описаны способы определения состояния шифрования продуктов Dell Data Security (ранее Dell Data Protection), управляемых Dell Encryption.
Symptoms
Затронутые продукты:
- Dell Encryption
- Dell Data Protection | Encryption
Cause
Неприменимо
Resolution
Ниже приведены сведения о расположении реестра и команды, с помощью которых администратор определяет состояние защиты устройств, которыми Dell Encryption управляет с помощью самой конечной точки. Эта информация может использоваться для проверки состояния устройства и определения проблем с состоянием защиты на конечной точке.
Расчет состояния защиты для шифрования на основе политик Dell основан на значении «sweep state» как устройства, так и всех пользователей компьютера. Для получения дополнительной информации о вычислении состояния защиты см.: Поиск и устранение неисправностей состояния защиты Shield.
Данные о состоянии шифрования устройства хранятся локально на конечной точке, главным образом в реестре. Основным местоположением, используемым для данных шифрования на основе политик, является HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield. Ниже приведены основные разделы для определения состояния:
- DCID (это также идентификатор восстановления): раздел, указывающий на то, что устройство активировано.
- GKPort (по умолчанию 8000): раздел порта управления, используемого для обновления политик.
- GK: раздел для управления сервером регистрации.
- Server: раздел исходного сервера активации.
Чтобы проверить состояние активации устройства, можно запросить у устройства содержимое HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\RSST. В этом разделе реестра состояние устройства подробно описывается в нескольких разделах:
- _DEVICE_ — это состояние активации устройства. Любое положительное целое число является активированным устройством.
- _INVALID_ — если этот раздел присутствует, пользователь, вошедший в систему, не активирован.
- <RandomCharacters> — в этом местоположении находится идентификатор пользователя Credant Identifier (UCID). Если это значение присутствует и установлено в значение 1, то этот конкретный пользователь активирован и находится в пределах периода аренды устройства. Период аренды устройства — это политика, определяющая Dell Security Management Server, значение по умолчанию — 30 дней.
Сведения о текущем состоянии очистки шифрования устройства находятся в разделе реестра HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGshield\SweepTimes. Значения в этом разделе могут быть различными, и для определения состояния очистки для каждого пользователя используется уникальный пользовательский идентификатор. Ниже приведен пример с устройства:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\SweepTimes] "_SDENCR_SweepStop"=dword:00000001 "9P18NZD1SweepStop"=dword:00000001 "AllSweepsCompleted"=dword:00000001 "AllSweepsCompletedInXDays"=dword:00000001 "LastUpdate"="20180409 162157"
Разбор этих клавиш, их значение и использование:
- _SDENCR_SweepStop
- Значение 0 указывает на то, что выполняется очистка шифрования, влияющая на раздел шифрования системных данных.
- Значение 1 означает, что все очистки шифрования системных данных завершены.
- 9P18NZD1SweepStop
- Восемь случайно сгенерированных символов являются идентификаторами для определенных пользователей.
- Если этот раздел установлен в значение 0, выполняется очистка для пользователя, которому соответствует идентификатор.
- Если установлено значение 1, на этой конечной точке завершены операции очистки, связанные с разделами шифрования «Common» или «User».
- AllSweepsCompleted
- Если установлено значение 0, это означает, что выполняется очистка, затрагивающая разделы шифрования «Common» или «User».
- Если установлено значение 1, на этой конечной точке завершены операции очистки, связанные с разделами шифрования «Common» или «User».
- AllSweepsCompletedinXDays
- Если установлено значение 0, то очистки шифрования не были завершены для всех пользователей, вошедших в систему в течение периода аренды устройства, определенного сервером Dell Security Management Server (DSMS).
- Если установлено значение 1, очистка для шифрования выполняется для всех пользователей, вошедших в систему в течение установленного периода аренды устройства.
- LastUpdate — Это последний раз, когда внутренняя база данных была опрошена на наличие обновлений для состояния очистки устройства в этой записи реестра.
Dell Encryption Self-Encrypting Drive Manager и управление Dell Full Disk Encryption собирают информацию, основанную на проценте шифрования диска и проверке наличия среды предзагрузочной аутентификации (PBA) на диске. Эти значения хранятся в реестре и находятся в папках HKLM\SYSTEM\CurrentControlSet\Services\DellMgmtAgent\Parameters и HKLM\Software\Dell\Dell Data Protection\.
Состояние защиты устройства определяется процентом шифрования диска. Эта обработка выполняется локально и доставляется на сервер через регулярные интервалы опроса.
Чтобы определить состояние активации агента, проверьте раздел реестра Agent ID. Если раздел заполнен, устройство успешно зарегистрировано:
HKLM\Software\Dell\Dell Data Protection\ REG_SZ: AgentID Value: <populated>
Чтобы определить, включена ли на конечной точке среда предзагрузочной аутентификации (PBA), проверьте раздел реестра IsPBAActive:
HKLM\SYSTEM\CurrentControlSet\Services\DellMgmtAgent\Parameters DWORD: IsPBAActive Value: 1 (1 is enabled, 0 or not present means no PBA)
Чтобы определить версию установленного продукта, проверьте раздел реестра:
HKLM\Software\Dell\Dell Data Protection\Branding REG_SZ: EE Value: <version #>
Информацию о версии агента также можно получить с помощью wmic Вызовы с помощью команды:
Wmic path win32_product where (caption like '%%Dell Encryption%%') get version
Результаты должны отображаться следующим образом:
Рис. 1. (Только на английском языке) Тип Wmic path win32_product where (caption like '%%Dell Encryption%%') get version
Информацию о процентах шифрования для Dell Full Disk Encryption невозможно запросить через реестр. Данная информация заполняется в DellAgent.log (который хранится в C:\ProgramData\Dell\Dell Data Protection\) если включено ведение журналов отладки. Чтобы включить ведение журналов отладки для Dell Full Disk Encryption см. статью Расширение ведения журналов в Dell Encryption Enterprise и Dell Encryption Personal.
Пример строки из журнала:
YYYY.MM.DD HH:MM:SS.MMM [ProcessID] (ThreadID) T FDE : SetEncryptionInfo - Set EncryptionPercentage to <Percentage>
Dell BitLocker Manager собирает информацию, основанную на проценте шифрования диска и присутствии проверки предохранителей ключа для каждого управляемого тома. Эти данные, которые командная строка собирает с помощью метода manage-bde или команда PowerShell get-bitlockervolume.
Состояние защиты устройства определяется процентом шифрования диска. Эта обработка выполняется локально на конечной точке и доставляется на сервер через регулярные интервалы опроса.
Команда manage-bde -status отображает состояние шифрования BitLocker для всех томов на диске.
Выходные данные содержат несколько значений:
- Size — объем пространства на томе.
- Версия BitLocker — используемая версия BitLocker
- «Compatibility Mode» для BitLocker имеет версию 1.0.
- «New Encryption Mode» для BitLocker (представлен в Windows 10 версии 1511, или Threshold 2) имеет версию 2.0.
- Conversion Status — состояние тома для шифрования
- Percentage Encrypted — процент завершения шифрования тома.
- Encryption Method — алгоритм, используемый для шифрования тома.
- Состояние защиты — содержит сведения о том, включен ли BitLocker, отключен или приостановлен.
- Lock Status — указывает, заблокирован ли том.
- Поле идентификации — выводит пользовательские идентификационные данные для организации.
- Протекторы ключей — механизм, используемый для защиты тома, это может быть TPM, пароль, PIN-код, USB или сочетание этих элементов.
Подробнее о manage-bde Команду можно найти здесь: https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/manage-bde
Ниже приведены примеры выходных данных при выполнении команды manage-bde -status с определенными интервалами во время шифрования:
Disk volumes that can be protected with BitLocker Drive Encryption: Volume C: [] [OS Volume] Size: 59.40 GB BitLocker Version: None Conversion Status: Fully Decrypted Percentage Encrypted: 0.0% Encryption Method: None Protection Status: Protection Off Lock Status: Unlocked Identification Field: None Key Protectors: None Found
Рис. 2. (Только на английском языке) Тип manage-bde -status
Disk volumes that can be protected with BitLocker Drive Encryption: Volume C: [] [OS Volume] Size: 59.40 GB BitLocker Version: 2.0 Conversion Status: Used Space Only Encrypted Percentage Encrypted: 100.0% Encryption Method: XTS-AES 256 Protection Status: Protection On Lock Status: Unlocked Identification Field: Unknown Key Protectors: TPM, Numerical Password
Рис. 3. (Только на английском языке) Тип manage-bde -status
Команда get-bitlockervolume | FL может использоваться для сбора данных о состоянии BitLocker на устройстве.
Выходные данные содержат несколько значений:
- ComputerName — имя защищенного устройства.
- MountPoint — буква диска или местоположение на диске управляемого тома.
- EncryptionMethod — алгоритм, используемый для защиты данных на томе.
- AutoUnlockEnabled — включена ли опция автоматической разблокировки.
- AutoUnlockKeyStored — сведения о том, был ли AutoUnlockKey кэширован на локальном компьютере или находится в отдельном местоположении.
- MetadataVersion — сведения о версии BitLocker, используемой в этом томе.
- «Compatibility Mode» для BitLocker имеет версию 1.
- «New Encryption Mode» для BitLocker (представлен в Windows 10 версии 1511, или Threshold 2) имеет версию 2.
- VolumeStatus — состояние тома (расшифрован, зашифрован, полностью зашифрован)
- ProtectionStatus — указывает, включен ли BitLocker, отключен или приостановлен.
- LockStatus — указывает, заблокирован ли том.
- EncryptionPercentage — состояние шифрования тома в процентах.
- WipePercentage — состояние в процентах пустого пространства на диске, которое было перезаписано.
- VolumeType — тип тома, обычно OperatingSystemDrive илиFixedVolume.
- ЕмкостьГбайт — размер управляемого тома
- KeyProtector — механизм, используемый для защиты тома. Это может быть TPM, пароль, PIN-код, USB или сочетание этих элементов.
Подробнее о get-bitlockervolume Команду можно найти здесь: https://docs.microsoft.com/en-us/powershell/module/bitlocker/?view=win10-ps
Ниже приведены примеры выходных данных при выполнении команды get-bitlockervolume | FL с определенными интервалами во время шифрования:
ComputerName: DESKTOP-T46E07P
MountPoint: C:
EncryptionMethod: None
AutoUnlockEnabled:
AutoUnlockKeyStored:
MetadataVersion: 0
VolumeStatus: FullyDecrypted
ProtectionStatus: Off
LockStatus: Unlocked
EncryptionPercentage: 0
WipePercentage: 0
VolumeType: OperatingSystem
CapacityGB: 59.39843
KeyProtector: {}
Рис. 4. (Только на английском языке) Тип get-bitlockervolume | FL
ComputerName: DESKTOP-T46E07P
MountPoint: C:
EncryptionMethod: XtsAes256
AutoUnlockEnabled:
AutoUnlockKeyStored: False
MetadataVersion: 2
VolumeStatus: FullyEncrypted
ProtectionStatus: On
LockStatus: Unlocked
EncryptionPercentage: 100
WipePercentage: 0
VolumeType: OperatingSystem
CapacityGB: 59.39843
KeyProtector: {Tpm, RecoveryPassword}
Рис. 5. (Только на английском языке) Тип get-bitlockervolume | FL
Чтобы связаться со службой поддержки, см. Номера телефонов международной службы поддержки Dell Data Security.
Перейдите в TechDirect, чтобы создать запрос на техническую поддержку в режиме онлайн.
Для получения дополнительной информации и ресурсов зарегистрируйтесь на форуме сообщества Dell Security.