Shield 受保护状态故障处理

Summary: 关于 shield 的受保护计算以及如何识别设备显示不受保护的原因的概述。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

受影响的产品:

  • Dell Encryption
  • Dell Security Management Server
  • Dell Security Management Server Virtual
  • Dell Data Protection | Encryption
  • Dell Data Protection | Enterprise Edition
  • Dell Data Protection | Virtual Edition

要确定端点在 Dell Security Management Server(以前称为 Dell Data Protection |Enterprise Edition)控制台中,我们必须确定端点存在的问题类型。一般而言,有三种类型的问题会导致端点未显示受保护:

  1. 客户端通信问题 — 例如,错误的 Shield 配置、限制性防火墙规则和错误配置的 DNS。
  2. 服务器端库存处理问题 — 例如库存解析错误、数据库设置错误以及服务之间的通信问题。
  3. 受保护状态计算问题 — 例如设备扫描时间缺失或不完整、用户扫描时间缺失或不完整,以及策略更新或不正确

客户端通信问题

端点未显示“受保护”的最常见原因之一是:在与 Policy Proxy 服务通信时,Shield 中出现错误。这通常是由于 Shield 上的配置错误或 Policy Proxy 服务中的错误造成的。

识别通信问题的最快方法是使用“远程管理控制台”,此功能的访问方法是:从端点详细信息页面进入 Details & Actions 选项卡中的 States 部分。要从远程管理控制台登录页面转到 States 部分,请执行以下操作:

  1. 单击 Populations 链接。
  2. 单击 Endpoints 链接。
  3. 从 Endpoints 部分中,单击相关特定端点的链接。

端点详细信息
图 1:(仅限英文)端点详细信息

  1. 从特定端点页面中,单击 Details & Actions 选项卡。
  2. Details & Actions 选项卡中向下滚动至 States 部分。

已接收资源清册
图 2:(仅限英文)Inventory Received

上面突出显示的 Inventory Received 字段指示上次从客户端接收库存并将其插入数据库库存队列表进行处理的时间。如果没有日期或日期存在但非最新,则 Shield 与 Policy Proxy 服务之间的通信可能存在问题。

以下示例显示了从 Shield 到 Policy Proxy 服务的成功通信以及从 Shield 到 Policy Proxy 服务的失败通信的日志消息子集。这些示例并不全面,在此列出的目的在于帮助提供从客户端开始调查通信问题的起点。默认情况下,shield 日志位于 C:\ProgramData\Dell\dell data protection\Encryption\CMGShield.log

成功通信

以下消息是在与 Policy Proxy 成功通信期间 Shield 日志的一部分消息输出。

PolicyGrabber: 680 H] Upload Inventory: Begin

PolicyGrabber: 755 H] Upload Inventory: Contacting GK at Host = serverName, IP = serverIP, Port = 8000

CMLNetEx: 118 I] Connect - Connected to host successfully

PolicyGrabber: 929 H] Upload Inventory: done (Result = 1).

失败通信

以下 Shield 日志消息例举了失败尝试。

PolicyGrabber: 420 I] Policy Poll: Begin

PolicyGrabber: 451 H] Policy Poll: Attempt to contact Gatekeeper at Host = serverName, IP = serverIP, Port = 8001

CMLNetEx: 81 E] Connection to the host failed. (error = 10060)

PolicyGrabber: 512 I] Policy Poll: Attempt 1 of 3 to connect and retrieve policy FAILED.

CMLNetEx: 81 E] Connection to the host failed. (error = 10060)

PolicyGrabber: 512 I] Policy Poll: Attempt 2 of 3 to connect and retrieve policy FAILED.

CMLNetEx: 81 E] Connection to the host failed. (error = 10060)

PolicyGrabber: 512 I] Policy Poll: Attempt 3 of 3 to connect and retrieve policy FAILED.

Shield 和 Policy Proxy 服务之间通信问题的最常见原因是 Shield 配置错误。以下 Shield 设置在安装时配置,并且是用于控制与 Shield 相连的服务器和端口以发送库存信息的默认设置。这些设置并不全面,并且根据环境设置,可能不会更改 Shield 尝试连接到的位置。如果示例设置正确或修改这些设置无法解决问题,请联系 Dell Data Security ProSupport。

默认配置文件设置

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGshield]
"GK"="serverName"
"GKPort"=dword:00001f40

服务器端库存处理问题

端点未显示“受保护”的另一个不太常见的原因是,在处理 Shield 提供的资源清册数据时,Dell Security Management Server 上出现错误。这可能是由于传输损坏、库存 XML 数据中出现异常字符或与 SQL 通信时出错所致。

与通信问题类似,识别库存处理问题的最快方法是通过远程管理控制台,从端点详细信息页面上的“详细信息和操作”选项卡中的“状态”部分。

端点详细信息
图 3:(仅限英文)端点详细信息

上面突出显示的 Inventory Processed 字段表示上次成功处理来自客户端的库存以及更新数据库以反映端点最新状态的时间。如果没有日期存在或日期存在但非最新,并且 Inventory Received 字段中存在最新日期,则处理端点的库存时可能出现问题。

以下示例显示了来自核心服务器服务日志的日志消息子集,指示库存处理错误。这些示例并不全面,在此列出的目的在于帮助提供从服务器端开始调查处理问题的起点。默认情况下,当前核心服务器服务日志写入 C:\Program Files\Dell\Enterprise Edition\Core Server\Logs\output.log。

ERROR INVENTORY [75] - Error updating user shield state

ERROR INVENTORY [75] - Error updating device shield state

ERROR INVENTORY [75] - Error updating device entity data.

ERROR INVENTORY [75] - Error updating shield entity data.

由于可能发生的问题的多样性和复杂性,没有常用解决方案可以解决大部分的处理问题。如果怀疑存在库存处理问题,请联系 Dell Data Security ProSupport。

受保护状态计算问题

“受保护”状态计算的问题是到目前为止受保护的端点处于未受保护状态的最常见原因。这可能是以下问题引起的:与 Shield 功能(即,一个处理错误导致完整库存失败,然后仅接收优化的库存)或非托管用户登录导致未发送库存有关的先前问题。

客户端通信和库存数据处理问题都已消除后,服务器受保护状态计算就会产生问题。下图显示了用于确定 Shielded 端点是否受保护的过程。

故障处理工作流
图 4:(仅限英文)故障处理工作流

下图显示了控制台中的位置,用于查找解决上述流程中的问题所需的信息:

  1. 是否启用了 SDE?- 确定设备是否受保护的第一步是是否启用了 SDE 或设备加密。要确定是否已启用,请打开远程管理控制台,登录并转至相关端点的端点详细信息页面上的 Details & Actions 选项卡的 States 部分。

Device Data Encryption On
图 5:(仅限英文)Device Data Encryption On

上面突出显示的 Device Data Encryption On 字段显示了启用 SDE 策略的时间。如果字段有日期和时间,是否启用了 SDE?如果字段没有日期和时间(如上图所示),则答案为 “否”。

  1. SDE 是否加密?- 如果启用了 SDE 或设备加密,则受保护计算中的下一步是确定 SDE 是否已加密。可以使用相关端点的端点详细信息页面的 Details & Actions 选项卡的 States 部分中的信息来确定这一点。

Sweep Started 和 Sweep Completed
图 6:(仅限英文)Sweep Started 和 Sweep Completed

Sweep Started 和 Sweep Completed 字段(上面用橙色框突出显示)显示 SDE/设备扫描开始和结束的时间。如果两个字段都有日期和时间,并且 Sweep Started 时间早于“Sweep Completed”的时间或与其相同,则“是否启用了 SDE”的答案为“是”。否则,答案为“否”,并且确定设备处于不受保护的状态。

  1. 是否为任何用户启用了用户加密?— 如果禁用了 SDE 加密,或者它已启用并加密,下一步是确定是否为端点上激活的任何用户启用了用户加密。这可以使用相关端点的端点详细信息页面的“Users”选项卡中的信息来确定。

User Data Encryption On
图 7:(仅限英文)User Data Encryption On

Users 选项卡显示在端点上激活的每个用户。User Data Encryption On 字段(上面用橙色框突出显示)显示了为每个特定用户启用用户加密策略的时间。如果字段具有任何已激活用户的日期和时间,如上图所示,则问题“是否为任何用户启用了用户加密?”的答案是“是”。如果字段没有任何已激活用户的日期和时间,则答案为 “否”, 并且确定端点处于受保护状态。

  1. 是否为上一个经过身份验证的用户启用了用户加密?— 如果为端点上的任何已激活用户启用了用户加密,则受保护计算的下一部分是确定最近经过身份验证的用户是否已启用用户加密。可以使用相关端点的端点详细信息页面的“Users”选项卡上的信息来确定这一点。

上次成功登录
图 8:(仅限英文)Last Successful Logon

Users 选项卡显示在端点上激活的每个用户。Last Successful Login 字段(上面用橙色框突出显示)显示特定用户上次成功登录到 Shield 的时间。如果具有最近上次成功登录时间的用户在“User Data EncryptionOn”字段中也有一个时间,如上图所示,则问题“是否为上一个经过身份验证的用户启用了用户加密?”的答案为“是”。如果具有最近上次成功登录时间的用户在 User Data Encryption On字段中没有时间,则答案为

  1. 上一个经过身份验证的用户是否已加密?- 如果上一个经过身份验证的用户启用了加密,则该过程将移至最后一步,检查该用户是否已 加密。这可以使用相关端点的端点详细信息页面的 Users 选项卡中的上一个经过身份验证的用户的信息来确定。

上次加密扫描开始时间
图 9:(仅限英文)ast Encryption Sweep Start

Last Encryption Sweep StartSweep End 字段(上面用橙色框突出显示)分别显示用户扫描开始和结束的时间。如果两个字段都有日期和时间,并且 Last Encryption Sweep Start 时间是之前的,或者与 Sweep Completed 时间相同,则问题“ 上一个经过身份验证的用户是否加密?” 的答案为 ,并且确定设备处于受保护状态。否则,答案为“否”,并且确定设备处于不受保护的状态。

没有日志消息有助于确定受保护工作流中的哪个步骤会导致设备进入不受保护状态。查阅“识别受保护状态计算问题”部分,以确定工作流的哪个步骤导致端点显示为不受保护。

下表包含常见受保护状态计算问题的多个解决方案。

警告:下一步是 Windows 注册表编辑:
  • 在继续操作之前备份注册表,请参阅 如何在 Windows此超链接会将您带往 Dell Technologies 之外的网站。中备份和还原注册表。
  • 编辑注册表可能会导致计算机在下次重新启动时无响应。
  • 如果您对于执行此步骤感到担忧,请拨打 Dell Data Security 国际支持电话号码联系相关人员以获得帮助。
问题 解决方案
“Device Data Encryption On”字段已填充,但没有“Sweep Started”或“Sweep Completed”时间

如果设备数据加密处于开启状态,但没有扫描时间,这通常标识在受保护的端点上安装了自加密驱动器 (SED)。默认情况下,当存在 SED 时,Shield 不会应用 SDE 规则。出现此问题时,Shield 日志中会显示以下消息:

"Blocking/Disabling SDE policies, because either FVE is enabled/in progress or there is an SED on the computer."

...其中一个磁盘是 SED。

要允许 Shield 应用 SDE(即使存在 SED),请添加以下注册表值并重新启动端点。一旦该设置被 Shield 拾取,SDE 扫描便会开始。

配置设置
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield]
"AlwaysApplySDE"=dword:00000001
设备/SDE 扫描完成时间为空,并且扫描开始时间持续更新。

设备/SDE 扫描开始时间持续更新通常表示以下两种情况之一:

  1. SDE Encryption Rules 策略中的一个规则包含用户环境变量,例如: %env:userprofile%。这会导致重新扫描,因为每次用户登录时变量的值都会发生变化,并显示为对 Shield 的策略更改。要纠正此问题,请更新加密规则,以不包含用户环境变量的方式引用目录。
  2. 已启用 Scan Workstation on Logon 安全策略。此策略强制 shield 在每次检测到用户登录时执行扫描。
远程管理控制台中的设备/SDE 或用户扫描未完成,但本地控制台显示,当用户登录到端点时,扫描完成。

当服务器上的扫描未完成并且端点未显示正在进行扫描时,通常可以通过执行以下一个或多个步骤来解决此问题:

  1. 按下面列出的顺序添加以下注册表设置,强制将完整库存上传到服务器。第一个强制发送完整库存,并在库存上传后删除该值。第二个强制将库存上传到服务器,并在上传后值更改为 0。

配置设置
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGshield]
"RefreshInventory"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Credant\CMGShield\Notify]
"PingProxy"=dword:00000001

  1. 通过执行以下步骤重新创建扫描高速缓存数据:
    1. 复制文件夹 C:\ProgramData\Dell\dell data protection\Encryption\CMGData。
    2. 删除原始 CMGDATA 文件夹的内容:
    3. 打开命令提示符,然后从目录“C:\Program Files\Dell\Dell Data Protection\Encryption”中运行以下命令。

WSProbe.exe c:\

要联系支持部门,请参阅 Dell Data Security 国际支持电话号码
转至 TechDirect,在线生成技术支持请求。
要获得更多见解和资源,请加入戴尔安全社区论坛

Additional Information

 

Videos

 

Affected Products

Dell Encryption
Article Properties
Article Number: 000124735
Article Type: How To
Last Modified: 08 May 2024
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.