Як визначити стан шифрування пристрою, керованого шифруванням Dell
Summary: У цій статті описано методи визначення стану шифрування продуктів Dell Data Security (раніше Dell Data Protection), якими керує Dell Encryption.
Symptoms
Продукти, на які впливають:
- Шифрування Dell
- Захист даних Dell | Шифрування
Cause
Не застосовується
Resolution
У наведеній нижче інформації описано розташування реєстру та команди, які можуть допомогти адміністратору визначити стан захисту пристроїв, якими Dell Encryption керує через саму кінцеву точку. Ця інформація може використовуватися для перевірки стану пристрою та визначення проблем із захищеним станом на кінцевій точці.
Розрахунок захищеного статусу для шифрування на основі політики Dell ґрунтується на «стані розгортки» як пристрою, так і будь-яких користувачів на комп'ютері. Для отримання додаткової інформації про те, як обчислюється захищений статус, перейдіть за посиланнями: Усунення несправностей захищеного статусу Shield.
Дані для статусу шифрування пристрою зберігаються локально на кінцевій точці, в першу чергу в реєстрі. Основним розташуванням, яке використовується для даних шифрування на основі політик, є HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield. Ось основні ключі для визначення статусу:
- DCID (це також ідентифікатор відновлення): Ключ, що показує пристрій, був активований.
- GKPort (за замовчуванням 8000): Ключ до порту керування, який використовується для оновлення правил.
- ГК: Ключ для контролю сервера реєстрації.
- Сервер: Ключ для оригінального сервера активації.
Щоб перевірити стан активації пристрою, ми можемо надіслати запит на перевірку вмісту HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\RSST. У цьому розділі реєстру є кілька ключів, які детально описують стан пристрою:
- _DEVICE_ - це статус активації пристрою. Будь-яке натуральне число є активованим пристроєм.
- _INVALID_ - якщо такий присутній, користувач, який увійшов в систему, не активується.
- <RandomCharacter> - ідентифікатор користувача Credant (UCID) знаходиться в цьому місці. Якщо це значення присутнє та встановлено на 1, це означає, що конкретний користувач активований і перебуває в межах Періоду оренди пристрою. Термін оренди пристрою – це політика, яка визначає Dell Security Management Server, а значення за замовчуванням – 30 днів.
Інформація, що стосується поточного стану розгортки шифрування пристрою, міститься в розділі реєстру HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGshield\SweepTimes. Значення в цьому ключі можуть відрізнятися, і унікальний ідентифікатор на основі користувача використовується для визначення стану розгортки для кожного користувача. Нижче наведено приклад з пристрою:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\SweepTimes] "_SDENCR_SweepStop"=dword:00000001 "9P18NZD1SweepStop"=dword:00000001 "AllSweepsCompleted"=dword:00000001 "AllSweepsCompletedInXDays"=dword:00000001 "LastUpdate"="20180409 162157"
Розбивка цих ключів, їх значення та використання:
- _SDENCR_SweepStop
- Значення 0 вказує на те, що виконується розгортка шифрування, яка впливає на ключ шифрування системних даних.
- Значення 1 вказує на те, що всі розгортки шифрування системних даних завершені.
- 9P18NZD1SweepStop
- Вісім випадково згенерованих символів є ідентифікаторами конкретних користувачів.
- Якщо для цього ключа встановлено значення 0, для користувача, якому відповідає ідентифікатор, виконується розгортка.
- Якщо встановлено значення 1, розгортки, що відповідають загальним ключам або ключам шифрування користувача, завершуються на цій кінцевій точці.
- AllSweepsЗавершено
- Якщо встановлено значення 0, це означає, що існує активна розгортка шифрування, яка впливає на загальні ключі шифрування або ключі шифрування користувача.
- Якщо встановлено значення 1, розгортки, що відповідають загальним ключам або ключам шифрування користувача, завершуються на цій кінцевій точці.
- AllSweepsCompletedinXDays
- Якщо встановлено значення 0, розгортки шифрування не завершено для всіх користувачів, які ввійшли в систему в межах визначеного Dell Security Management Server (DSMS) періоду оренди пристрою.
- Якщо встановлено значення 1, розгортки шифрування завершуються для всіх користувачів, які ввійшли в систему протягом визначеного Періоду оренди пристрою.
- LastUpdate - Це останній раз, коли внутрішня база даних проводила опитування на предмет оновлень стану розгортки пристрою в цьому записі реєстру.
Dell Encryption Self-Encrypting Drive Manager і Dell Full Disk Encryption management збирають інформацію, яка базується на відсотку шифрування диска та перевірці середовища автентифікації перед завантаженням (PBA), присутнього на диску. Ці значення зберігаються в реєстрі, і їх можна знайти в HKLM\SYSTEM\CurrentControlSet\Services\DellMgmtAgent\Parameters" і "HKLM\Software\Dell\Dell Data Protection\.
Захищений статус пристрою визначається за відсотком шифрування диска. Вся ця обробка виконується локально і доставляється на сервер через регулярні інтервали опитування.
Щоб визначити статус активації агента, перевірте розділ реєстру Agent ID. Якщо ключ заповнено, пристрій успішно зареєстрував:
HKLM\Software\Dell\Dell Data Protection\ REG_SZ: AgentID Value: <populated>
Щоб визначити, чи ввімкнено середовище автентифікації перед завантаженням (PBA) на кінцевій точці, перевірте розділ реєстру IsPBAActive:
HKLM\SYSTEM\CurrentControlSet\Services\DellMgmtAgent\Parameters DWORD: IsPBAActive Value: 1 (1 is enabled, 0 or not present means no PBA)
Щоб визначити встановлену версію продукту, перевірте розділ реєстру:
HKLM\Software\Dell\Dell Data Protection\Branding REG_SZ: EE Value: <version #>
Інформацію про версію агента також можна зібрати за допомогою wmic дзвінки за допомогою команди:
Wmic path win32_product where (caption like '%%Dell Encryption%%') get version
Результати повинні відображатися у вигляді:
Малюнок 1: (Лише англійською мовою) Тип Wmic path win32_product where (caption like '%%Dell Encryption%%') get version
Інформація про відсоток шифрування для Dell Full Disk Encryption не може бути запитана через реєстр. Ця інформація заповнюється в DellAgent.log (зберігається в C:\ProgramData\Dell\Dell Data Protection\ , якщо ввімкнено діагностичне журналювання. Щоб увімкнути діагностичне журналювання для Dell Full Disk Encryption, зверніться до розділів «Збільшити журналювання» в Dell Encryption Enterprise і Dell Encryption Personal.
Приклад рядка журналу:
YYYY.MM.DD HH:MM:SS.MMM [ProcessID] (ThreadID) T FDE : SetEncryptionInfo - Set EncryptionPercentage to <Percentage>
Dell BitLocker Manager збирає інформацію, яка базується на відсотку шифрування диска та перевірці захисту ключів для кожного керованого тому. Ці дані, які командний рядок збирає за допомогою manage-bde або команда PowerShell get-bitlockervolume.
Захищений статус пристрою визначається за відсотком шифрування диска. Ця обробка є локальною для кінцевої точки та доставляється на сервер через регулярні інтервали опитування.
Команда manage-bde -status відображає стан шифрування BitLocker для всіх томів на диску.
Вихідні дані містять декілька значень:
- Розмір - Кількість місця на об'ємі.
- Версія BitLocker – версія засобу BitLocker, що використовується
- "Режим сумісності" для BitLocker має версію 1.0.
- "Новий режим шифрування" для BitLocker (представлений у Windows 10 версії 1511, також відомий як Threshold 2) має версію 2.0.
- Conversion Status - Статус тому для шифрування
- Відсоток шифрування – відсоток від обсягу, який завершив шифрування.
- Метод шифрування - алгоритм, який використовується для шифрування тому.
- Стан захисту – докладні відомості про те, чи ввімкнуто, вимкнено або призупинено BitLocker.
- Lock Status (Стан блокування) – визначає, чи заблоковано гучність.
- Поле ідентифікації – виводить будь-яку спеціальну ідентифікаційну інформацію для організації.
- Захисні ключі – механізм, який використовується для захисту тому, це може бути модуль TPM, пароль, PIN-код, USB або комбінація цих елементів.
Більше інформації про manage-bde можна знайти тут: https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/manage-bde
Ось кілька прикладів результатів, отриманих під час запуску manage-bde -status через певні проміжки часу під час шифрування:
Disk volumes that can be protected with BitLocker Drive Encryption: Volume C: [] [OS Volume] Size: 59.40 GB BitLocker Version: None Conversion Status: Fully Decrypted Percentage Encrypted: 0.0% Encryption Method: None Protection Status: Protection Off Lock Status: Unlocked Identification Field: None Key Protectors: None Found
Малюнок 2: (Лише англійською мовою) Тип manage-bde -status
Disk volumes that can be protected with BitLocker Drive Encryption: Volume C: [] [OS Volume] Size: 59.40 GB BitLocker Version: 2.0 Conversion Status: Used Space Only Encrypted Percentage Encrypted: 100.0% Encryption Method: XTS-AES 256 Protection Status: Protection On Lock Status: Unlocked Identification Field: Unknown Key Protectors: TPM, Numerical Password
Малюнок 3: (Лише англійською мовою) Тип manage-bde -status
Команда get-bitlockervolume | FL можна використовувати для збирання даних про стан засобу BitLocker на пристрої.
Вихідні дані містять декілька значень:
- ComputerName - Ім'я пристрою, що захищається.
- Точка монтування - буква диска або розташування на диску тому, яким керується.
- EncryptionMethod - Алгоритм, який використовується для захисту даних на томі.
- AutoUnlockEnabled - Чи ввімкнено опцію автоматичного розблокування.
- AutoUnlockKeyStored - докладніше, чи було кешовано ключ AutoUnlockKey на локальному комп'ютері або якщо він знаходиться в окремому розташуванні.
- MetadataVersion – докладно описує версію засобу BitLocker, яка використовується в цьому томі.
- "Режим сумісності" для BitLocker має версію 1.
- «Новий режим шифрування» для BitLocker (представлений у Windows 10 версії 1511, також відомий як Threshold2) має версію 2.
- VolumeStatus - Стан тому (Decrypted, Encrypting, FulllyEncrypted)
- ProtectionStatus – докладний опис того, чи ввімкнено, вимкнено або призупинено BitLocker.
- LockStatus – визначає, чи заблоковано чи розблоковано том.
- EncryptionPercentage - Статус у відсотках від шифрування тому.
- WipePercentage - Статус у відсотках порожнього місця на диску, який був перезаписаний.
- VolumeType — тип тому, типовий OperatingSystemDrive абоFixedVolume
- CapacityGB - Розмір керованого тому
- KeyProtector - механізм, який використовується для захисту тому, це може бути TPM, пароль, PIN-код, USB або комбінація цих елементів.
Більше інформації про get-bitlockervolume можна знайти тут: https://docs.microsoft.com/en-us/powershell/module/bitlocker/?view=win10-ps
Ось кілька прикладів результатів, отриманих під час запуску get-bitlockervolume | FL через певні проміжки часу під час шифрування:
ComputerName: DESKTOP-T46E07P
MountPoint: C:
EncryptionMethod: None
AutoUnlockEnabled:
AutoUnlockKeyStored:
MetadataVersion: 0
VolumeStatus: FullyDecrypted
ProtectionStatus: Off
LockStatus: Unlocked
EncryptionPercentage: 0
WipePercentage: 0
VolumeType: OperatingSystem
CapacityGB: 59.39843
KeyProtector: {}
Малюнок 4: (Лише англійською мовою) Тип get-bitlockervolume | FL
ComputerName: DESKTOP-T46E07P
MountPoint: C:
EncryptionMethod: XtsAes256
AutoUnlockEnabled:
AutoUnlockKeyStored: False
MetadataVersion: 2
VolumeStatus: FullyEncrypted
ProtectionStatus: On
LockStatus: Unlocked
EncryptionPercentage: 100
WipePercentage: 0
VolumeType: OperatingSystem
CapacityGB: 59.39843
KeyProtector: {Tpm, RecoveryPassword}
Малюнок 5: (Лише англійською мовою) Тип get-bitlockervolume | FL
Щоб зв'язатися зі службою підтримки, зверніться за номерами телефонів міжнародної служби підтримки Dell Data Security.
Перейдіть до TechDirect , щоб згенерувати запит на технічну підтримку онлайн.
Щоб отримати додаткову інформацію та ресурси, приєднуйтесь до форуму спільноти Dell Security Community.