Shield 보호 상태 문제 해결

Summary: Shield에 대한 보호된 계산의 개요 및 보호되지 않은 상태로 표시된 디바이스의 원인을 식별하는 방법입니다.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

영향을 받는 제품:

  • Dell Encryption
  • Dell Security Management Server
  • Dell Security Management Server Virtual
  • Dell Data Protection | Encryption
  • Dell Data Protection | Enterprise Edition
  • Dell Data Protection | Virtual Edition

엔드포인트가 Dell Security Management Server(이전 Dell Data Protection | Enterprise Edition) 콘솔에서 엔드포인트의 문제 유형을 확인해야 합니다. 일반적으로 엔드포인트를 보호된 상태로 표시되지 않게 하는 3가지 유형의 문제가 있습니다.

  1. 클라이언트 통신 문제 - 잘못된 Shield 구성, 제한적인 방화벽 규칙 및 잘못 구성된 DNS 등
  2. 서버 측 인벤토리 처리 문제 - 인벤토리 구문 분석 오류, 데이터베이스 설정 오류 및 서비스 간 통신 문제 등
  3. 보호된 상태 계산 문제 - 누락되거나 불완전한 디바이스 스윕 시간, 누락되거나 불완전한 사용자 스윕 시간, 업데이트되거나 잘못된 정책 등

클라이언트 통신 문제

엔드포인트가 보호된 상태로 표시되지 않는 가장 일반적인 원인 중 하나는 Policy Proxy 서비스와 통신할 때 Shield에 오류가 있는 것입니다. 이는 Shield의 잘못된 구성 또는 Policy Proxy 서비스의 오류로 인해 발생하는 경우가 많습니다.

통신 문제를 식별하는 가장 빠른 방법은 Remote Management Console의 엔드포인트 세부 정보 페이지에 있는 Details & Actions 탭의 States 섹션에서 확인하는 것입니다. Remote Management Console 로그인 페이지에서 States 섹션으로 이동하려면 다음을 수행합니다.

  1. Populations 링크를 클릭합니다.
  2. Endpoints 링크를 클릭합니다.
  3. Endpoints 섹션에서 문제의 특정 엔드포인트에 대한 링크를 클릭합니다.

엔드포인트 세부 정보
그림 1: (영어로만 제공) 엔드포인트 상세 정보

  1. 특정 엔드포인트 페이지에서 Details & Actions 탭을 클릭합니다.
  2. Details & Actions 탭 내에서 States 섹션으로 스크롤합니다.

인벤토리 수령
그림 2: (영어로만 제공) Inventory Received

위에 강조 표시된 Inventory Received 필드는 클라이언트로부터 마지막으로 인벤토리를 수신하고 처리를 위해 데이터베이스 인벤토리 대기열 테이블에 삽입한 시간을 나타냅니다. 날짜가 없거나 날짜가 있으나 최신 상태가 아닌 경우 Shield와 Policy Proxy 서비스 간의 통신에 문제가 있을 수 있습니다.

다음 예에서는 Shield에서 Policy Proxy 서비스로의 성공적인 통신 및 Shield에서 Policy Proxy 서비스로의 통신 실패에 대한 로그 메시지 하위 집합을 보여줍니다. 이러한 예는 포괄적이지 않으며 클라이언트 측에서 통신 문제 조사를 시작하는 시작점을 제공하기 위해 포함되었습니다. 기본적으로 Shield 로그는 C:\ProgramData\Dell\dell data protection\Encryption\CMGShield.log에 있습니다.

성공적인 통신

다음 메시지는 Policy Proxy와 성공적으로 통신하는 동안 Shield 로그에 출력되는 메시지 세트의 일부입니다.

PolicyGrabber: 680 H] Upload Inventory: Begin

PolicyGrabber: 755 H] Upload Inventory: Contacting GK at Host = serverName, IP = serverIP, Port = 8000

CMLNetEx: 118 I] Connect - Connected to host successfully

PolicyGrabber: 929 H] Upload Inventory: done (Result = 1).

통신 실패

다음 Shield 로그 메시지는 실패한 시도에 대한 예입니다.

PolicyGrabber: 420 I] Policy Poll: Begin

PolicyGrabber: 451 H] Policy Poll: Attempt to contact Gatekeeper at Host = serverName, IP = serverIP, Port = 8001

CMLNetEx: 81 E] Connection to the host failed. (error = 10060)

PolicyGrabber: 512 I] Policy Poll: Attempt 1 of 3 to connect and retrieve policy FAILED.

CMLNetEx: 81 E] Connection to the host failed. (error = 10060)

PolicyGrabber: 512 I] Policy Poll: Attempt 2 of 3 to connect and retrieve policy FAILED.

CMLNetEx: 81 E] Connection to the host failed. (error = 10060)

PolicyGrabber: 512 I] Policy Poll: Attempt 3 of 3 to connect and retrieve policy FAILED.

Shield와 Policy Proxy 서비스 간에 통신 문제가 발생하는 가장 일반적인 원인은 Shield의 잘못된 구성 때문입니다. 다음 Shield 설정은 설치 시 구성되며 인벤토리 정보를 보내기 위해 Shield가 연결하는 서버 및 포트를 제어하는 기본 설정입니다. 이러한 설정은 포괄적이지 않으며 환경 설정에 따라 Shield가 연결을 시도하는 위치를 변경하지 못할 수 있습니다. 예제 설정이 올바르거나 수정해도 문제가 해결되지 않으면 Dell Data Security ProSupport에 문의하십시오.

기본 구성 설정

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGshield]
"GK"="serverName"
"GKPort"=dword:00001f40

서버 측 인벤토리 처리 문제

엔드포인트가 보호된 상태로 표시되지 않는 또 다른 드문 원인은 Shield에서 제공하는 인벤토리 데이터를 처리할 때 발생하는 Dell Security Management Server의 오류입니다. 이는 전송 중 손상, 인벤토리 XML 데이터의 예상치 못한 문자 또는 SQL과의 통신 오류로 인해 발생할 수 있습니다.

통신 문제와 마찬가지로 인벤토리 처리 문제를 식별하는 가장 빠른 방법은 Remote Management Console의 엔드포인트 세부 정보 페이지에 있는 Details & Actions 탭의 States 섹션에서 확인하는 것입니다.

엔드포인트 세부 정보
그림 3: (영어로만 제공) 엔드포인트 상세 정보

위에 강조 표시된 Inventory Processed 필드는 클라이언트의 인벤토리가 성공적으로 처리된 마지막 시간과 엔드포인트의 현재 상태를 반영하도록 업데이트되는 데이터베이스를 나타냅니다. 날짜가 없거나 날짜가 있으나 최신 상태가 아니며 Inventory Received 필드에 현재 날짜가 있는 경우 엔드포인트의 인벤토리 처리에 문제가 있을 수 있습니다.

다음 예에서는 인벤토리 처리 오류를 나타내는 Core Server 서비스 로그의 로그 메시지 하위 집합을 보여줍니다. 이러한 예는 포괄적이지 않으며 서버 측에서 처리 문제 조사를 시작하는 시작점을 제공하기 위해 포함되었습니다. 현재 Core Server 서비스 로그는 기본적으로 C:\Program Files\Dell\Enterprise Edition\Core Server\Logs\output.log에 기록됩니다.

ERROR INVENTORY [75] - Error updating user shield state

ERROR INVENTORY [75] - Error updating device shield state

ERROR INVENTORY [75] - Error updating device entity data.

ERROR INVENTORY [75] - Error updating shield entity data.

발생할 수 있는 문제의 다양성과 복잡성으로 인해 대부분의 처리 문제를 해결하는 일반적인 솔루션은 없습니다. 인벤토리 처리 문제가 의심되는 경우 Dell Data Security ProSupport에 문의하십시오.

보호된 상태 계산 문제

보호된 상태 계산 관련 문제는 Shield로 보호된 엔드포인트가 보호되지 않은 상태에 있는 것이 가장 일반적인 원인입니다. 이는 Shield 기능과 결합된 이전 문제(즉, 최적화된 인벤토리만 수신한 후 전체 인벤토리가 실패하는 처리 오류) 또는 관리되지 않는 사용자가 로그인하여 인벤토리를 보내지 않은 경우에 발생할 수 있습니다.

클라이언트 통신 및 인벤토리 데이터 처리 문제가 모두 제거되면 서버 보호 상태 계산에 문제가 남는 원인으로 남습니다. Shield로 보호된 엔드포인트의 보호 여부를 확인하는 프로세스가 다음 이미지에 나와 있습니다.

문제 해결 워크플로
그림 4: (영어로만 제공) 문제 해결 워크플로

다음 이미지는 위의 프로세스 흐름에서 질문을 해결하는 데 필요한 정보를 찾을 수 있는 콘솔의 위치를 보여줍니다.

  1. Is SDE enabled? - 장치가 보호되는지 여부를 확인하는 첫 번째 단계는 SDE 또는 장치 암호화가 사용하도록 설정되어 있는지 여부입니다. 활성화 여부를 확인하려면 Remote Management Console을 열고 로그인한 후 해당 엔드포인트의 엔드포인트 세부 정보 페이지에 있는 Details & Actions 탭의 States 섹션으로 이동합니다.

디바이스 데이터 암호화 켜기
그림 5: (영어로만 제공) 디바이스 데이터 암호화 켜기

위에 강조 표시된 Device Data Encryption On 필드에는 SDE 정책이 활성화된 시간이 표시됩니다. 필드에 날짜 및 시간이 있는 경우 SDE 사용 여부가 입니다. 위의 이미지와 같이 필드에 날짜와 시간이 없으면 대답은 No 입니다.

  1. SDE는 암호화됩니까? - SDE 또는 장치 암호화를 사용하는 경우 보호된 계산의 다음 단계는 SDE가 암호화되었는지 확인하는 것입니다. 이는 해당 엔드포인트에 대한 엔드포인트 세부 정보 페이지의 Details & Actions 탭에 있는 States 섹션의 정보를 사용하여 확인할 수 있습니다.

스윕 시작 및 스윕 완료
그림 6: (영어로만 제공) Sweep Started 및 Sweep Completed

위에 주황색 상자로 강조 표시된 Sweep Started 및 Sweep Completed 필드는 SDE/디바이스 스윕이 각각 시작 및 종료된 시간을 보여줍니다. 두 필드에 날짜와 시간이 있고 Sweep Started 시간이 Sweep Completed 시간과 같거나 이전 시간이면 "Is SDE enabled"는 'Yes'입니다. 그렇지 않은 경우 대답은 'No'이고 디바이스는 보호되지 않은 상태로 확인됩니다.

  1. Is User Encryption enabled for any user? - SDE 암호화가 비활성화되었거나 활성화 및 암호화된 경우 다음 단계는 엔드포인트에서 활성화된 사용자에 대해 사용자 암호화가 활성화되었는지 확인하는 것입니다. 이는 해당 엔드포인트의 엔드포인트 세부 정보 페이지에 있는 Users 탭의 정보를 사용하여 확인할 수 있습니다.

사용자 데이터 암호화 켜기
그림 7: (영어로만 제공) 사용자 데이터 암호화 켜기

Users 탭에는 엔드포인트에서 활성화된 모든 사용자가 표시됩니다. 위에 주황색 상자로 강조 표시된 User Data Encryption On 필드는 각 특정 사용자에 대해 사용자 암호화 정책이 활성화된 시간을 보여줍니다. 위의 이미지와 같이 필드에 활성화된 사용자에 대한 날짜 및 시간이 있는 경우 "Is User Encryption enabled for any user?"라는 질문에 대한 대답은 'Yes'입니다. 필드에 활성화된 사용자에 대한 날짜 및 시간이 없는 경우 대답은 No 이고 엔드포인트는 보호된 상태로 확인됩니다.

  1. Is User Encryption enabled for the last authenticated User? - 엔드포인트에서 활성화된 사용자에 대해 사용자 암호화가 활성화된 경우 보호된 계산의 다음 부분은 가장 최근에 인증된 사용자가 사용자 암호화를 활성화하도록 설정했는지 확인하는 것입니다. 이는 해당 엔드포인트의 엔드포인트 세부 정보 페이지의 Users 탭에 있는 정보를 사용하여 확인할 수 있습니다.

마지막으로 성공한 로그온
그림 8: (영어로만 제공) 마지막으로 성공한 로그인

Users 탭에는 엔드포인트에서 활성화된 모든 사용자가 표시됩니다. 위에 주황색 상자로 강조 표시된 Last Successful Login 필드는 특정 사용자가 Shield에 마지막으로 로그인한 시간을 보여줍니다. 위의 이미지와 같이 가장 최근의 Last Successful Login 시간을 가진 사용자의 User Data EncryptionOn 필드에도 시간이 있는 경우 마지막으로 인증된 사용자에 대해 사용자 암호화가 활성화되어 있습니까? 질문에 대한 답은 Yes입니다. 가장 최근의 Last Successful Login 시간을 가진 사용자의 User Data Encryption On 필드에 시간이 없으면 대답은 No 입니다.

  1. 마지막으로 인증된 사용자가 암호화되었습니까? - 마지막으로 인증된 사용자에게 암호화가 활성화된 경우 프로세스는 마지막 단계로 이동하여 해당 사용자가 암호화되었는지 확인합니다. 이는 해당 엔드포인트의 엔드포인트 세부 정보 페이지에 있는 Users 탭에서 마지막으로 인증된 사용자에 대한 정보를 사용하여 확인할 수 있습니다.

마지막 암호화 스윕 시작
그림 9: (영어로만 제공) 마지막 암호화 스윕 시작

위의 주황색 상자로 강조 표시된 Last Encryption Sweep StartSweep End 필드는 사용자 스윕이 각각 시작 및 종료된 시간을 보여줍니다. 두 필드에 모두 날짜와 시간이 있고 마지막 암호화 스윕 시작 시간이 스윕 완료 시간보다 이전이거나 같은 시간이면 마지막으로 인증된 사용자가 암호화되었습니까? 라는 질문에 대한 답이 이고 디바이스가 보호 상태에 있는 것으로 확인됩니다. 그렇지 않은 경우 대답은 'No'이고 디바이스는 보호되지 않은 상태로 확인됩니다.

보호된 워크플로 내에서 디바이스가 보호되지 않은 상태로 전환되도록 하는 단계를 확인하는 데 도움이 되는 로그 메시지는 없습니다. 보호된 상태 계산 문제 식별 섹션을 검토하여 엔드포인트가 보호되지 않은 상태로 표시되게 하는 워크플로의 단계를 확인합니다.

다음 표에는 일반적인 보호된 상태 계산 문제에 대한 몇 가지 해결 방법이 나와 있습니다.

Warning: 다음 단계는 Windows 레지스트리 편집입니다.
문제 해결책
Device Data Encryption On 필드가 채워져 있지만 Sweep Started 또는 Sweep Completed 시간은 없습니다.

디바이스 데이터 암호화가 켜져 있지만 스윕 시간이 없는 경우, SED(Self-Encrypting Drive)가 보호된 엔드포인트에 설치되어 있음을 나타냅니다. 기본적으로 Shield는 SED가 있을 때 SDE 규칙을 적용하지 않습니다. 이 문제가 발생하면 Shield 로그에 다음 메시지가 표시됩니다.

"Blocking/Disabling SDE policies, because either FVE is enabled/in progress or there is an SED on the computer."

... 디스크 중 하나는 SED입니다.

SED가 있는 경우에도 Shield가 SDE를 적용할 수 있도록 하려면 다음 레지스트리 값을 추가하고 엔드포인트를 재부팅합니다. Shield에서 설정을 선택하면 SDE 스윕이 시작됩니다.

구성 설정
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield]
"AlwaysApplySDE"=dword:00000001
디바이스/SDE 스윕 완료 시간이 비어 있고 스윕 시작 시간이 계속 업데이트됩니다.

디바이스/SDE 스윕 시작 시간이 지속적으로 업데이트되면 일반적으로 다음 두 가지 중 하나를 나타냅니다.

  1. SDE 암호화 규칙 정책의 규칙 중 하나에 사용자 환경 변수가 포함되어 있습니다. 예: %env:userprofile%를 검색합니다. 이렇게 하면 사용자가 로그인할 때마다 변수 값이 변경되고 Shield에 대한 정책 변경으로 나타나므로 재스윕이 발생합니다. 이 문제를 해결하려면 사용자 환경 변수를 포함하지 않는 방식으로 디렉토리를 참조하도록 암호화 규칙을 업데이트하십시오.
  2. Scan Workstation on Logon 보안 정책이 활성화됩니다. 이 정책은 사용자 로그인이 탐지될 때마다 Shield가 스윕을 수행하도록 합니다.
Remote Management Console에서 디바이스/SDE 또는 사용자 스윕이 완료되지 않았지만 사용자가 엔드포인트에 로그인하면 로컬 콘솔에 스윕이 완료되었다는 메시지가 표시됩니다.

서버에서 스윕이 완료되지 않고 엔드포인트에서 진행 중인 스윕이 표시되지 않으면 일반적으로 다음 단계 중 하나 이상을 수행하여 문제를 해결할 수 있습니다.

  1. 아래 나열된 순서대로 다음 레지스트리 설정을 추가하여 서버에 전체 인벤토리를 업로드하도록 합니다. 첫 번째 작업은 전체 인벤토리를 강제 전송하고 인벤토리 업로드가 발생하면 해당 값이 제거됩니다. 두 번째 작업은 서버에 인벤토리를 강제 업로드하고 업로드가 완료되면 값이 0으로 변경됩니다.

구성 설정
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGshield]
"RefreshInventory"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Credant\CMGShield\Notify]
"PingProxy"=dword:00000001

  1. 다음 단계를 수행하여 스윕 캐시 데이터를 다시 생성합니다.
    1. C:\ProgramData\Dell\dell data protection\Encryption\CMGData 폴더의 복사본을 만듭니다.
    2. 원래 CMGDATA 폴더의 내용을 삭제합니다.
    3. 명령 프롬프트를 열고 "C:\Program Files\Dell\Dell Data Protection\Encryption" 디렉토리에서 다음 명령을 실행합니다.

WSProbe.exe c:\

지원 부서에 문의하려면 Dell Data Security 국제 지원 전화번호를 참조하십시오.
온라인으로 기술 지원 요청을 생성하려면 TechDirect로 이동하십시오.
추가 정보 및 리소스를 보려면 Dell 보안 커뮤니티 포럼에 참여하십시오.

Additional Information

 

Videos

 

Affected Products

Dell Encryption
Article Properties
Article Number: 000124735
Article Type: How To
Last Modified: 08 May 2024
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.