如何判斷 Dell Encryption 受管理裝置的加密狀態

Summary: 本文概述判斷由 Dell Encryption 管理的 Dell Data Security (先前稱為 Dell Data Protection) 產品加密狀態的方法。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

受影響的產品:

  • Dell Encryption
  • Dell Data Protection | Encryption

Cause

不適用

Resolution

以下資訊概述可協助系統管理員判斷 Dell Encryption 透過端點本身管理的裝置的保護狀態的登錄位置和命令。此資訊可用來驗證裝置的狀態,並協助判斷端點上受保護狀態的問題。

原則式加密

Dell 原則式加密受保護狀態的計算是以裝置和電腦上任何使用者的「掃掠狀態」為依據。如需有關如何計算受保護狀態的詳細資訊,請參閱:故障診斷 Shield 受保護狀態

裝置加密狀態資料主要儲存在端點的本機登錄檔中。主要位置是 HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield。以下是用於識別狀態的主要鍵:

  • DCID (這也是復原 ID):金鑰顯示裝置已啟用。
  • GKPort (預設為 8000):控制用於原則更新的連接埠的金鑰。
  • GK:控制簽入伺服器的金鑰。
  • 伺服器:原始啟動伺服器的金鑰。

若要驗證裝置的啟動狀態,我們可以查詢裝置,以檢查 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\RSST 的內容。在此註冊表項中,有幾個項詳細說明了設備的狀態:

  • _DEVICE_ - 這是裝置的啟動狀態。任何正整數都是已激活的設備。
  • _INVALID_ - 如果有,則不會啟動登入的使用者。
  • <RandomCharacters> - 使用者 Credant Identifier (UCID) 位於此位置。如果此值存在並設置為 1,則該特定使用者將被啟動,並且處於 設備租用期內。裝置租用期間是定義 Dell Security Management Server 的原則,預設值為 30 天。

有關裝置目前加密掃掠狀態的資訊位於登錄機碼 HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGshield\SweepTimes。此鍵中的值可能會有所不同,並且使用唯一的基於使用者的識別碼來確定每個使用者的掃掠狀態。以下是來自裝置的範例:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\SweepTimes]
"_SDENCR_SweepStop"=dword:00000001
"9P18NZD1SweepStop"=dword:00000001
"AllSweepsCompleted"=dword:00000001
"AllSweepsCompletedInXDays"=dword:00000001
"LastUpdate"="20180409 162157"

這些鍵及其含義和用法的細分:

  • _SDENCR_SweepStop
    • 值 0 表示正在進行影響系統資料加密金鑰的加密掃掠。
    • 值 1 表示所有系統資料加密掃掠均已完成。
  • 9P18NZD1掃掠停止
    • 隨機生成的八個字元是特定使用者的標識碼。
    • 當此鍵設置為 0 時,正在為與標識符關聯的使用者進行掃掠。
    • 若設為 1,則會在此端點上完成與一般或使用者加密金鑰相互關聯的掃掠。
  • 全部掃掠已完成
    • 若設為 0,表示有影響一般或使用者加密金鑰的作用中加密掃掠。
    • 若設為 1,則會在此端點上完成與一般或使用者加密金鑰相互關聯的掃掠。
  • AllSweepsCompletedinXDays
    • 若設為 0,則在 Dell Security Management Server (DSMS) 定義的裝置租用期間內登入的所有使用者均未完成加密掃掠。
    • 設為 1 時,系統會針對在定義的裝置租用期間內登入的所有使用者完成加密掃掠。
注意:裝置租用期間表示自看到使用者或裝置後,Dell Security Management Server 會等待多少天,才能將該實體標記為移除。
  • LastUpdate - 這是最後一次輪詢內部資料庫,以取得此登錄檔項目中裝置掃掠狀態的更新。
自我加密磁碟機和全磁碟加密:

Dell Encryption Self-Encrypting Drive Manager 和 Dell Full Disk Encryption 管理會根據磁碟機的加密百分比,以及磁碟機上存在的開機前驗證 (PBA) 環境驗證來收集資訊。這些值會儲存在登錄中,並可在 HKLM\SYSTEM\CurrentControlSet\Services\DellMgmtAgent\Parameters“ 和「HKLM\Software\Dell\Dell Data Protection\」中找到。

裝置的受保護狀態取決於磁碟的加密百分比。此處理全部在本地完成,並通過定期輪詢間隔傳送到伺服器。

要確定代理的激活狀態,請檢查代理ID註冊表項。如果已填入金鑰,則裝置已成功註冊:

HKLM\Software\Dell\Dell Data Protection\
REG_SZ: AgentID
Value: <populated>

若要判斷端點上是否已啟用開機前認證環境 (PBA),請檢查 IsPBAActive 登錄機碼:

HKLM\SYSTEM\CurrentControlSet\Services\DellMgmtAgent\Parameters
DWORD: IsPBAActive
Value: 1 (1 is enabled, 0 or not present means no PBA)

若要確定已安裝的產品版本,請檢查註冊表項:

HKLM\Software\Dell\Dell Data Protection\Branding
REG_SZ: EE
Value: <version #>

也可以透過以下方式收集代理程式版本資訊 wmic 使用以下命令呼叫:

Wmic path win32_product where (caption like '%%Dell Encryption%%') get version

結果應顯示為:

輸入 Wmic 路徑win32_product,其中 (標題如 '%% Dell Encryption%%') 取得版本
圖 1:(僅英文)類型 Wmic path win32_product where (caption like '%%Dell Encryption%%') get version

無法透過登錄查詢 Dell Full Disk Encryption 的加密百分比資訊。此資訊會填入DellAgent.log中 (如果啟用偵錯記錄,則儲存在 C:\ProgramData\Dell\Dell Data Protection\ 中)。若要啟用 Dell Full Disk Encryption 的偵錯記錄,請參閱 Dell Encryption Enterprise 和 Dell Encryption Personal 中的增加記錄

範例記錄行:

YYYY.MM.DD HH:MM:SS.MMM [ProcessID] (ThreadID) T FDE : SetEncryptionInfo - Set EncryptionPercentage to <Percentage>
BitLocker Manager:

Dell BitLocker Manager 會根據磁碟的加密百分比,以及每個受管理磁碟區是否存在金鑰保護程式驗證來收集資訊。命令列使用 manage-bde 命令,或 PowerShell 命令 get-bitlockervolume

裝置的受保護狀態取決於磁碟的加密百分比。此處理是終結點的本地處理,並通過定期輪詢間隔傳遞到伺服器。

CLI

命令 manage-bde -status 顯示磁碟上所有磁碟區的 BitLocker 加密狀態。

輸出包含幾個值:

  • 大小 - 磁碟區的空間量。
  • BitLocker 版本 - 使用的 BitLocker 版本
    • BitLocker 的「相容性模式」版本為 1.0。
    • BitLocker (於 Windows 10 版本 1511,亦稱為 Threshold 2 推出) 的「新加密模式」具有 2.0 版。
  • 轉換狀態 - 要加密的捲的狀態
  • 加密百分比 - 已完成加密的磁碟區的百分比。
  • 加密方法 - 用於加密磁碟區的演算法。
  • 保護狀態 - 詳細說明 BitLocker 為啟用停用暫停。
  • 鎖定狀態 - 指出磁碟區是已鎖定還是已解除鎖定。
  • 標識欄位 - 輸出組織的任何自定義標識資訊。
  • 金鑰保護程式 - 用於保護磁碟區的機制,可以是 TPM密碼PINUSB 或這些項目的組合。

更多相關資訊 manage-bde 可在此處找到命令: https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/manage-bde 此超連結會帶您前往 Dell Technologies 以外的網站。

以下是執行 manage-bde -status 命令在加密期間按特定間隔執行:

預先加密 
Disk volumes that can be protected with
BitLocker Drive Encryption:
Volume C: []
[OS Volume]

Size: 59.40 GB
BitLocker Version: None
Conversion Status: Fully Decrypted
Percentage Encrypted: 0.0%
Encryption Method: None
Protection Status: Protection Off
Lock Status: Unlocked
Identification Field: None
Key Protectors: None Found

輸入 manage-bde -status
圖 2:(僅英文)類型 manage-bde -status

加密後: 
Disk volumes that can be protected with
BitLocker Drive Encryption:
Volume C: []
[OS Volume]

Size: 59.40 GB
BitLocker Version: 2.0
Conversion Status: Used Space Only Encrypted
Percentage Encrypted: 100.0%
Encryption Method: XTS-AES 256
Protection Status: Protection On
Lock Status: Unlocked
Identification Field: Unknown
Key Protectors: TPM, Numerical Password

輸入 manage-bde -status
圖 3:(僅英文)類型 manage-bde -status

PowerShell

的命令 get-bitlockervolume | FL 可用於收集有關裝置上 BitLocker 狀態的資料。

輸出包含幾個值:

  • 電腦名稱 - 受保護裝置的名稱。
  • MountPoint - 受管理磁碟區的磁片磁碟機代號或位置。
  • 加密方法 - 用於保護磁碟區資料的演算法。
  • 自動解鎖啟用 - 是否啟用自動解鎖選項。
  • AutoUnlockKeyStored - AutoUnlockKey 是否已快取在本機電腦上,或是否位於個別位置的詳細資訊。
  • MetadataVersion - 詳細顯示目前用於此磁碟區的 BitLocker 版本。
    • BitLocker 的「相容性模式」的版本 1。
    • BitLocker 的「新加密模式」(於 Windows 10 版本 1511 推出,又稱為 Threshold2) 的版本為 2。
  • VolumeStatus - 磁碟區的狀態 (解密、加密、完全加密)
  • ProtectionStatus - 詳細說明 BitLocker 為啟用停用暫停。
  • LockStatus - 指出磁碟區為已鎖定或已解除鎖定。
  • 加密百分比 - 以磁碟區加密百分比為單位的狀態。
  • 抹除百分比 - 磁碟機上已覆寫空白空間百分比的狀態。
  • VolumeType - 磁碟區類型,通常是 OperatingSystemDrive 或FixedVolume
  • 容量GB - 受管理磁碟區的大小
  • 金鑰保護程式 - 用於保護磁碟區的機制,可以是 TPM密碼PINUSB 或這些項目的組合。

更多相關資訊 get-bitlockervolume 可在此處找到命令: https://docs.microsoft.com/en-us/powershell/module/bitlocker/?view=win10-ps 此超連結會帶您前往 Dell Technologies 以外的網站。

以下是執行 get-bitlockervolume | FL 命令在加密期間按特定間隔執行:

預先加密 
ComputerName: DESKTOP-T46E07P
MountPoint: C:
EncryptionMethod: None
AutoUnlockEnabled:
AutoUnlockKeyStored:
MetadataVersion: 0
VolumeStatus: FullyDecrypted
ProtectionStatus: Off
LockStatus: Unlocked
EncryptionPercentage: 0
WipePercentage: 0
VolumeType: OperatingSystem
CapacityGB: 59.39843
KeyProtector: {}

輸入 get-bitlockervolume |佛羅里達州
圖 4:(僅英文)類型 get-bitlockervolume | FL

加密後: 
ComputerName: DESKTOP-T46E07P
MountPoint: C:
EncryptionMethod: XtsAes256
AutoUnlockEnabled:
AutoUnlockKeyStored: False
MetadataVersion: 2
VolumeStatus: FullyEncrypted
ProtectionStatus: On
LockStatus: Unlocked
EncryptionPercentage: 100
WipePercentage: 0
VolumeType: OperatingSystem
CapacityGB: 59.39843
KeyProtector: {Tpm, RecoveryPassword}

輸入 get-bitlockervolume |佛羅里達州
圖 5:(僅英文)類型 get-bitlockervolume | FL

如要聯絡支援部門,請參閱 Dell Data Security 國際支援電話號碼
請前往 TechDirect,以線上產生技術支援要求。
如需更多深入見解與資源,請加入 Dell 安全性社群論壇

Affected Products

Dell Encryption
Article Properties
Article Number: 000129631
Article Type: Solution
Last Modified: 03 Apr 2024
Version:  12
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.