Odstraňování problémů s chráněným stavem služby Shield

Summary: Přehled určení chráněného stavu služby Shield a zjištění, proč se zařízení zobrazuje jako nechráněné.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Dotčené produkty:

  • Dell Encryption
  • Dell Security Management Server
  • Dell Security Management Server Virtual
  • Dell Data Protection | Encryption
  • Dell Data Protection | Enterprise Edition
  • Dell Data Protection | Virtual Edition

Chcete-li zjistit, proč se koncový bod nezobrazuje jako chráněný v nástroji Dell Security Management Server (dříve Dell Data Protection | Enterprise Edition), je nutné určit, s jakým typem problému se koncový bod potýká. Obecně existují tři typy problémů, kvůli kterým se koncový bod nezobrazuje jako chráněný:

  1. Problémy s komunikací s klientem – například nesprávná konfigurace služby Shield, přísná pravidla brány firewall a špatně nakonfigurovaný server DNS.
  2. Problémy se zpracováním inventáře na straně serveru – například chyby analýzy inventáře, chyby nastavení databáze a problémy s komunikací mezi službami.
  3. Problémy s určením chráněného stavu – například chybějící nebo neúplné časy procesů v zařízení, chybějící nebo neúplné časy procesů uživatelů a aktualizované nebo nesprávné zásady

Problémy s komunikací s klientem

Jednou z nejčastějších příčin, proč se koncový bod nezobrazuje jako chráněný, je chyba ve službě Shield, ke které dochází při komunikaci se službou Policy Proxy. Často se jedná o důsledek nesprávné konfigurace ve službě Shield nebo službě Policy Proxy.

Nejrychlejším způsobem, jak zjistit problém s komunikací, je prostřednictvím konzole pro vzdálenou správu v části States na kartě Details & Actions na stránce s podrobnostmi o koncovém bodě. Chcete-li přejít do části States na přihlašovací stránce konzole pro vzdálenou správu:

  1. Klikněte na odkaz Populations.
  2. Klikněte na odkaz Endpoints.
  3. V části Endpoints klikněte na odkaz pro konkrétní koncový bod.

Podrobnosti o koncovém bodě
Obrázek 1: (Pouze v angličtině) Podrobnosti o koncovém bodě

  1. Na stránce konkrétního koncového bodu klikněte na kartu Details & Actions.
  2. Přejděte dolů na kartě Details & Actions a přejděte do části States.

Přijatý inventář
Obrázek 2: (Pouze v angličtině) Přijatý inventář

Pole Inventory Received zvýrazněné výše udává čas posledního přijetí inventáře od klienta a vložení do tabulky front inventáře databáze ke zpracování. Pokud není uvedeno žádné datum nebo uvedené datum není aktuální, pravděpodobně došlo k problému s komunikací mezi službami Shield a Policy Proxy.

Následující příklady ukazují podmnožinu zpráv protokolu úspěšné a neúspěšné komunikace mezi službami Shield a Policy Proxy. Tyto příklady nejsou komplexní a představují spíše výchozí bod, ze kterého můžete začít řešit problémy s komunikací na straně klienta. Ve výchozím nastavení je protokol Shield umístěn zde: C:\ProgramData\Dell\dell data protection\Encryption\CMGShield.log.

Úspěšná komunikace

Následující zprávy jsou součástí sady výstupů zpráv protokolu Shield během úspěšné komunikace se službou Policy Proxy.

PolicyGrabber: 680 H] Upload Inventory: Begin

PolicyGrabber: 755 H] Upload Inventory: Contacting GK at Host = serverName, IP = serverIP, Port = 8000

CMLNetEx: 118 I] Connect - Connected to host successfully

PolicyGrabber: 929 H] Upload Inventory: done (Result = 1).

Neúspěšná komunikace

Následující zprávy protokolu Shield jsou příkladem neúspěšných pokusů.

PolicyGrabber: 420 I] Policy Poll: Begin

PolicyGrabber: 451 H] Policy Poll: Attempt to contact Gatekeeper at Host = serverName, IP = serverIP, Port = 8001

CMLNetEx: 81 E] Connection to the host failed. (error = 10060)

PolicyGrabber: 512 I] Policy Poll: Attempt 1 of 3 to connect and retrieve policy FAILED.

CMLNetEx: 81 E] Connection to the host failed. (error = 10060)

PolicyGrabber: 512 I] Policy Poll: Attempt 2 of 3 to connect and retrieve policy FAILED.

CMLNetEx: 81 E] Connection to the host failed. (error = 10060)

PolicyGrabber: 512 I] Policy Poll: Attempt 3 of 3 to connect and retrieve policy FAILED.

Nejčastější příčinou problémů s komunikací mezi službou Shield a Policy Proxy je nesprávná konfigurace služby Shield. Následující nastavení služby Shield se konfigurují při instalaci a představují výchozí nastavení, která řídí server a port, ke kterému se služba Shield připojuje za účelem odesílání informací o inventáři. Tato nastavení nejsou komplexní a v závislosti na nastavení prostředí nemusí změnit umístění, k němuž se služba Shield pokusí připojit. Pokud jsou vzorová nastavení správná nebo jejich úprava problém nevyřeší, obraťte se na podporu Dell Data Security ProSupport.

Nastavení výchozí konfigurace

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGshield]
"GK"="serverName"
"GKPort"=dword:00001f40

Problémy se zpracováním inventáře na straně serveru

Další, méně běžnou příčinou toho, že se koncový bod nezobrazuje jako chráněný, je chyba nástroje Dell Security Management Server, ke které dochází při zpracování dat inventáře poskytnutých službou Shield. To může být způsobeno poškozením při přepravě, neočekávaným znakem v datech XML inventáře nebo chybou komunikace se serverem SQL.

Podobně jako při problému s komunikací, nejrychlejším způsobem zjištění problému se zpracováním inventáře je prostřednictvím konzole pro vzdálenou správu v části States na kartě Details & Actions na stránce s podrobnostmi o koncovém bodě.

Podrobnosti o koncovém bodě
Obrázek 3: (Pouze v angličtině) Podrobnosti o koncovém bodě

Pole Inventory Processed zvýrazněné výše udává, kdy byl z klienta naposledy úspěšně zpracován inventář a aktualizována databáze, aby odpovídala aktuálnímu stavu koncového bodu. Pokud není uvedeno žádné datum nebo uvedené datum není aktuální a v poli Inventory Received je aktuální datum, pravděpodobně jde o problém se zpracováním inventáře koncového bodu.

Následující příklady ukazují podmnožinu zpráv z protokolů služby Core Server, které vykazují chyby zpracování inventáře. Tyto příklady nejsou komplexní a představují spíše výchozí bod, ze kterého můžete začít řešit problémy se zpracováním na straně serveru. Aktuální protokol služby Core Server se ve výchozím nastavení zapíše do umístění C:\Program Files\Dell\Enterprise Edition\Core Server\Logs\output.log.

ERROR INVENTORY [75] - Error updating user shield state

ERROR INVENTORY [75] - Error updating device shield state

ERROR INVENTORY [75] - Error updating device entity data.

ERROR INVENTORY [75] - Error updating shield entity data.

Vzhledem ke složitosti a různorodosti problémů, ke kterým může dojít, nejsou k dispozici žádná společná řešení, která by vyřešila velké procento problémů se zpracováním. Pokud máte podezření na problém se zpracováním inventáře, obraťte se na podporu Dell Data Security ProSupport.

Problémy s výpočtem chráněného stavu

Problémy s výpočtem chráněného stavu jsou nejběžnější příčinou toho, proč se koncový bod se službou Shield zobrazuje jako nechráněný. To může být způsobeno předchozími problémy, které jsou zkombinovány s funkcemi Shield (tj. chyba zpracování způsobující selhání celého inventáře poté, co jste obdrželi optimalizované inventáře), nebo tím, že se přihlásí nespravovaný uživatel, což vede k tomu, že se neodešle žádný inventář.

Jakmile dojde k odstranění problémů s komunikací a zpracováním dat klienta, zbývá problém s výpočtem chráněného stavu serveru. Postup zjištění, zda je koncový bod se službou Shield chráněný, či nikoli, je uveden na následujícím obrázku.

Postup odstraňování problémů
Obrázek 4: (Pouze v angličtině) Postup odstraňování problémů

Na následujících obrázcích je znázorněno umístění v konzoli, ve kterém najdete informace potřebné k vyřešení výše uvedených otázek:

  1. Je povolena zásada SDE? - Prvním krokem při určování, zda je zařízení chráněno, je, zda je povolena zásada SDE nebo šifrování zařízení. Chcete-li zjistit, zda jsou povoleny, otevřete konzoli pro vzdálenou správu, přihlaste se a přejděte do části States na kartě Details & Actions na stránce s podrobnostmi o daném koncovém bodě.

Šifrování dat zařízení je zapnuté
Obrázek 5: (Pouze v angličtině) Šifrování dat zařízení je zapnuté

Výše zvýrazněné pole Device Data Encryption On zobrazuje čas, kdy byla zásada SDE povolena. Pokud pole obsahuje datum a čas, je povolena zásada SDE? je nastavena na Ano. Pokud pole neobsahuje datum a čas, jako na obrázku výše, odpověď zní "Ne".

  1. Je funkce SDE šifrována? - Pokud je povolena zásada SDE nebo šifrování zařízení, dalším krokem výpočtu chráněného stavu je zjištění, zda je funkce SDE šifrovaná. To lze zjistit pomocí informací z části States na kartě Details & Actions na stránce s podrobnostmi o daném koncovém bodě.

Zahájení a dokončení procesu
Obrázek 6: (Pouze v angličtině) Zahájení a dokončení procesu

Pole Sweep Started a Sweep Completed v oranžovém rámečku výše zobrazují časy, kdy začal a kdy skončil proces jednotky SDE nebo zařízení. Pokud je v obou polích uvedeno datum a čas a údaj Sweep Started je starší nebo stejný jako údaj Sweep Completed, odpověď na otázku „Je povolena zásada SDE?“ zní „Ano“. V opačném případě je odpověď „Ne“ a zařízení není chráněno.

  1. Je pro všechny uživatele povoleno šifrování uživatelů? - Pokud je šifrování SDE zakázáno nebo je povoleno a šifrováno, dalším krokem je určení, zda je šifrování uživatelů povoleno pro každého uživatele, který se aktivoval na koncovém bodě. To lze zjistit pomocí informací na kartě Users na stránce s podrobnostmi o daném koncovém bodě.

Šifrování uživatelských dat zapnuto
Obrázek 7: (Pouze v angličtině) Zapnuté šifrování uživatelských dat

Na kartě Users se zobrazí každý uživatel, který se aktivoval na koncovém bodě. Pole User Data Encryption On zvýrazněné oranžovým rámečkem výše zobrazuje čas, kdy byla pro každého konkrétního uživatele povolena zásada šifrování uživatelů. Pokud je v poli uvedeno datum a čas u každého aktivovaného uživatele jak na obrázku výše, odpověď na otázku „Je pro všechny uživatele povoleno šifrování uživatelů?“ zní „Ano“. Pokud pole neobsahuje datum a čas u každého aktivovaného uživatele, odpověď zní "Ne" a koncový bod je v chráněném stavu.

  1. Je pro posledního ověřeného uživatele povoleno šifrování uživatelů? - Pokud je šifrování uživatelů povoleno pro všechny aktivované uživatele na koncovém bodě, další částí určení chráněného stavu je kontrola, zda má šifrování uživatelů povolen i nejnovější ověřený uživatel. To lze zjistit pomocí informací na kartě Users na stránce s podrobnostmi o daném koncovém bodě.

Poslední úspěšné přihlášení
Obrázek 8: (Pouze v angličtině) Poslední úspěšné přihlášení

Na kartě Users se zobrazí každý uživatel, který se aktivoval na koncovém bodě. Pole Last Successful Login v oranžovém rámečku výše zobrazuje poslední úspěšné přihlášení konkrétního uživatele do služby Shield. Pokud má uživatel s nejnovějším časovým údajem Last Successful Login také uveden čas v poli User Data EncryptionOn, jak je uvedeno na obrázku výše, odpověď na otázku Je pro posledního ověřeného uživatele povoleno šifrování uživatelů? je Ano. Pokud uživatel s nejnovějším časovým údajem Last Successful Login nemá uvedený čas v poli User Data Encryption On, odpověď zní "Ne".

  1. Je poslední ověřený uživatel šifrovaný? Pokud má poslední ověřený uživatel povoleno šifrování, přesuneme se k poslednímu kroku a zkontrolujeme, zda je uživatel šifrovaný. To lze zjistit pomocí informací o posledním ověřeném uživateli na kartě Users na stránce s podrobnostmi o daném koncovém bodě.

Začátek posledního šifrování
Obrázek 9: (Pouze v angličtině) Začátek posledního šifrování

Pole Last Encryption Sweep StartSweep End v oranžovém rámečku výše zobrazují časy, kdy začalo a kdy skončilo poslední šifrování. Pokud je v obou polích uvedeno datum a čas a časový údaj Last Encryption Sweep Start je starší nebo stejný jako časový údaj Sweep Completed , odpověď na otázku Je poslední ověřený uživatel šifrovaný? zní "Ano " a zařízení je chráněno. V opačném případě je odpověď „Ne“ a zařízení není chráněno.

Nejsou k dispozici žádné zprávy protokolu, které by vám pomohly určit, který krok v rámci chráněného pracovního postupu způsobí, že se zařízení přepne do nechráněného stavu. Přečtěte si část „Zjištění problému s výpočtem chráněného stavu“ a zjistěte, který krok pracovního postupu zapříčinil, že se koncový bod zobrazil jako nechráněný.

Následující tabulka obsahuje několik řešení běžných problémů s určením chráněného stavu.

Varování: Dalším krokem je úprava registru systému Windows:
Problém Řešení
Pole Device Data Encryption On je vyplněno, ale není k dispozici časový údaj Sweep Started či Sweep Completed.

Pokud je šifrování dat zařízení zapnuté, ale nezobrazují se žádné časové údaje, jde často o ukazatel toho, že je na koncovém bodě se službou Shield nainstalována jednotka SED (Self-Encrypting Drive). Pokud je přítomna jednotka SED, služba Shield ve výchozím nastavení nepoužívá pravidla SDE. Pokud k tomuto problému dochází, v protokolech Shield se zobrazí následující zprávy:

„Blocking/Disabling SDE policies, because either FVE is enabled/in progress or there is an SED on the computer.“

... Jeden z disků je SED.

Chcete-li službě Shield povolit používání jednotky SDE, i když je taková jednotka přítomna, přidejte následující hodnotu registru a restartujte koncový bod. Jakmile služba Shield přijme nastavení, zahájí se proces SDE.

Nastavení konfigurace
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield]
"AlwaysApplySDE"=dword:00000001
Pole Sweep Complete u zařízení či jednotky SDE je prázdné a pole Sweep Start se nepřetržitě aktualizuje.

Pokud se pole Sweep Start u zařízení či jednotky SDE neustále aktualizuje, obvykle to značí jednu ze dvou možných situací:

  1. Jedno z pravidel v zásadách pravidel šifrování SDE obsahuje uživatelskou proměnnou prostředí, například %env:userprofile%. To způsobí opětovné provedení procesu, protože hodnota proměnné se změní při každém přihlášení uživatele a jeví se jako změna zásad ve službě Shield. Chcete-li tento problém napravit, aktualizujte pravidlo šifrování tak, aby odkazovalo na adresář takovým způsobem, který nezahrnuje proměnnou uživatelského prostředí.
  2. Je povolena zásada zabezpečení Scan Workstation on Logon. Tato zásada vynutí po službě Shield kontrolu při každém rozpoznání přihlášení uživatele.
V konzoli pro vzdálenou správu není proces zařízení/jednotky SDE či uživatele dokončen, ale místní konzole ukazuje, že byl proces dokončen po přihlášení uživatele ke koncovému bodu.

Pokud proces není ukončen na serveru a koncový bod nevykazuje, že by proces pokračoval, lze problém obvykle vyřešit jedním nebo více z následujících kroků:

  1. Vynuťte nahrání úplného inventáře na server přidáním následujících nastavení registru v níže uvedeném pořadí. První z nich vynutí odeslání kompletního inventáře a hodnota se po jeho nahrání odstraní. Druhé z nich vynutí nahrání inventáře na server a hodnota se po nahrání změní na 0.

Nastavení konfigurace
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGshield]
"RefreshInventory"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Credant\CMGShield\Notify]
"PingProxy"=dword:00000001

  1. Znovu vytvořte data mezipaměti procesu pomocí následujících kroků:
    1. Vytvořte kopii složky C:\ProgramData\Dell\dell data protection\Encryption\CMGData.
    2. Odstraňte obsah původní složky CMGDATA.
    3. Otevřete příkazový řádek a spusťte následující příkaz z adresáře „C:\Program Files\Dell\Dell Data Protection\Encryption“.

WSProbe.exe c:\

Chcete-li kontaktovat podporu, přečtěte si článek Telefonní čísla mezinárodní podpory Dell Data Security.
Přejděte na portál TechDirect a vygenerujte online žádost o technickou podporu.
Další informace a zdroje získáte na fóru komunity Dell Security.

Additional Information

 

Videos

 

Affected Products

Dell Encryption
Article Properties
Article Number: 000124735
Article Type: How To
Last Modified: 08 May 2024
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.