Shield Protected Status -tilan vianmääritys

Summary: Yleiskatsaus suojauksen suojatusta laskelmasta ja siitä, miten tunnistat suojaamattoman laitteen syyn.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Tuotteet, joita asia koskee:

  • Dell Encryption
  • Dell Security Management Server
  • Dell Security Management Server Virtual
  • Dell Data Protection | Encryption
  • Dell Data Protection | Enterprise Edition
  • Dell Data Protection | Virtual Edition

Sen selvittäminen, miksi päätepiste ei näy suojattuna Dell Security Management Serverissä (aiemmin Dell Data Protection | Enterprise Edition) konsoli, meidän on määritettävä päätepisteen ongelman tyyppi. Yleensä on olemassa kolmenlaisia ongelmia, joiden vuoksi päätepiste ei näy suojattuna:

  1. Asiakkaan tietoliikenneongelmat – kuten virheellinen Shield-määritys, rajoittavat palomuurisäännöt ja väärin määritetty DNS.
  2. Palvelinpuolen varaston käsittelyongelmat , kuten varaston jäsennysvirheet, tietokannan asetusvirheet ja palvelujen väliset tietoliikenneongelmat.
  3. Suojatun tilan laskentaongelmat – kuten puuttuvat tai epätäydelliset laitteen tyhjennysajat, puuttuvat tai epätäydelliset käyttäjien tyhjennysajat sekä päivitetty tai virheellinen käytäntö

Asiakkaan kommunikaatio-ongelmat

Yksi yleisimmistä syistä siihen, että päätepiste ei näy suojattuna, on virhe suojassa kommunikoitaessa käytännön välityspalvelimen kanssa. Tämä johtuu usein suojan virheellisestä määrityksestä tai Policy Proxy -palvelun virheestä.

Nopein tapa tunnistaa tietoliikenneongelma on etähallintakonsolin kautta päätepisteen tietosivun Tiedot ja toiminnot -välilehden Tilat-osassa. Voit siirtyä Remote Management Consolen kirjautumissivulta Tilat-osaan seuraavasti:

  1. Napsauta Populaatiot-linkkiä .
  2. Napsauta Päätepisteet-linkkiä .
  3. Napsauta Päätepisteet-osassa kyseisen päätepisteen linkkiä.

Päätepisteen tiedot
Kuva 1: (Englanninkielinen) Päätepisteen tiedot

  1. Valitse tietyn päätepisteen sivulla Tiedot ja toiminnot -välilehti.
  2. Vieritä Tiedot ja toiminnot -välilehdessä Tilat-osioon .

Vastaanotettu inventaario
Kuva 2: (Englanninkielinen) Vastaanotettu inventaario

Edellä korostettu Varasto vastaanotettu -kenttä ilmaisee, milloin asiakas on viimeksi vastaanottanut varaston ja lisännyt sen tietokannan varastojonotaulukkoon käsittelyä varten. Jos päivämäärää ei ole tai päivämäärä on olemassa eikä se ole ajan tasalla, Shieldin ja Policy Proxy -palvelun välisessä viestinnässä on todennäköisesti ongelma.

Seuraavissa esimerkeissä näkyy lokiviestien alijoukko, joka varmistaa onnistuneen tietoliikenteen Shieldistä Policy Proxy -palveluun ja epäonnistuneen viestinnän Shieldistä Policy Proxy -palveluun. Nämä esimerkit eivät ole kattavia, ja ne auttavat tarjoamaan lähtökohdan, jonka avulla voidaan aloittaa viestintäkysymysten tutkiminen asiakkaan puolelta. Suojausloki on oletusarvoisesti kansiossa C:\ProgramData\Dell\dell data protection\Encryption\CMGShield.log.

Onnistunut viestintä

Seuraavat viestit ovat osa viestisarjaa, joka lähetetään Shield-lokiin, kun yhteys käytännön välityspalvelimeen onnistui.

PolicyGrabber: 680 H] Upload Inventory: Begin

PolicyGrabber: 755 H] Upload Inventory: Contacting GK at Host = serverName, IP = serverIP, Port = 8000

CMLNetEx: 118 I] Connect - Connected to host successfully

PolicyGrabber: 929 H] Upload Inventory: done (Result = 1).

Epäonnistunut viestintä

Seuraavat Shield-lokiviestit ovat esimerkkejä epäonnistuneista yrityksistä.

PolicyGrabber: 420 I] Policy Poll: Begin

PolicyGrabber: 451 H] Policy Poll: Attempt to contact Gatekeeper at Host = serverName, IP = serverIP, Port = 8001

CMLNetEx: 81 E] Connection to the host failed. (error = 10060)

PolicyGrabber: 512 I] Policy Poll: Attempt 1 of 3 to connect and retrieve policy FAILED.

CMLNetEx: 81 E] Connection to the host failed. (error = 10060)

PolicyGrabber: 512 I] Policy Poll: Attempt 2 of 3 to connect and retrieve policy FAILED.

CMLNetEx: 81 E] Connection to the host failed. (error = 10060)

PolicyGrabber: 512 I] Policy Poll: Attempt 3 of 3 to connect and retrieve policy FAILED.

Yleisin syy Shield- ja Policy Proxy -palvelun välisiin viestintäongelmiin on Shieldin virheellinen määritys. Seuraavat suojausasetukset määritetään asennuksen yhteydessä, ja ne ovat oletusasetuksia, jotka ohjaavat palvelinta ja porttia, johon suojus muodostaa yhteyden varastotietojen lähettämistä varten. Nämä asetukset eivät ole kattavia, eivätkä ne saa muuttaa ympäristön asetuksista riippuen sijaintia, johon kilpi yrittää muodostaa yhteyden. Jos esimerkkiasetukset ovat oikein tai niiden muokkaaminen ei ratkaise ongelmaa, ota yhteys Dell Data Security ProSupport -tukeen.

Oletuskokoonpanoasetukset

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGshield]
"GK"="serverName"
"GKPort"=dword:00001f40

Palvelinpuolen inventaarion käsittelyongelmat

Toinen harvinaisempi syy siihen, että päätepiste ei näy suojattuna, on virhe Dell Security Management Serverissä, kun käsitellään suojauksen tarjoamia inventaariotietoja. Tämä voi johtua vioittumisesta kuljetuksen aikana, odottamattomasta merkistä varaston XML-tiedoissa tai virheestä kommunikoinnissa SQL:n kanssa.

Viestintäongelman tapaan nopein tapa tunnistaa varaston käsittelyongelma on päätepisteen tietosivun Tiedot ja toiminnot -välilehden Etähallintakonsolin kautta.

Päätepisteen tiedot
Kuva 3: (Englanninkielinen) Päätepisteen tiedot

Edellä korostettu Varastokäsitelty-kenttä ilmaisee, milloin asiakkaan varasto on viimeksi käsitelty onnistuneesti, ja tietokanta, joka päivitetään vastaamaan päätepisteen nykyistä tilaa. Jos päivämäärää ei ole tai päivämäärä on olemassa eikä se ole ajan tasalla ja Varasto vastaanotettu -kentässä on nykyinen päivämäärä, päätepisteen varaston käsittelyssä on todennäköisesti ongelma.

Seuraavissa esimerkeissä näkyy varastonkäsittelyvirheitä ilmaisevien Core Server -palvelulokien lokiviestien alijoukko. Nämä esimerkit eivät ole kattavia, ja ne tarjoavat lähtökohdan, jonka pohjalta voit aloittaa palvelinpuolen käsittelyongelmien tutkimisen. Nykyinen Core Server -palveluloki kirjoitetaan oletusarvoisesti kansioon C:\Program Files\Dell\Enterprise Edition\Core Server\Logs\output.log.

ERROR INVENTORY [75] - Error updating user shield state

ERROR INVENTORY [75] - Error updating device shield state

ERROR INVENTORY [75] - Error updating device entity data.

ERROR INVENTORY [75] - Error updating shield entity data.

Mahdollisten ongelmien moninaisuuden ja monimutkaisuuden vuoksi ei ole olemassa yhteisiä ratkaisuja, jotka ratkaisisivat suuren osan käsittelyongelmista. Jos epäilet inventaarion käsittelyongelmaa, ota yhteys Dell Data Security ProSupport -tukeen.

Suojatun tilan laskentaongelmat

Suojatun tilan laskentaongelmat ovat ylivoimaisesti yleisin syy suojatun päätepisteen suojaamattomaan tilaan. Tämä voi johtua aiemmista ongelmista, jotka on yhdistetty Shield-ominaisuuksiin (eli käsittelyvirheestä, joka aiheuttaa täydellisen inventaarion epäonnistumisen ja vain optimoitujen inventaarioiden vastaanottamisen jälkeen) tai ei-hallitun käyttäjän kirjautumisesta sisään, jolloin inventaariota ei lähetetä.

Kun sekä asiakasviestintään että varastotietojen käsittelyyn liittyvät ongelmat on poistettu syinä, palvelimen suojatun tilan laskennassa on ongelma. Seuraavassa kuvassa kerrotaan, onko suojattu päätepiste suojattu vai ei.

Vianmäärityksen työnkulku
Kuva 4: (Englanninkielinen) Vianmäärityksen työnkulku

Seuraavissa kuvissa näkyy sijainti konsolissa, josta löytyvät yllä olevan prosessin kysymysten ratkaisemiseen tarvittavat tiedot:

  1. Onko SDE käytössä? - Ensimmäinen vaihe laitteen suojauksen määrittämisessä on, onko SDE tai laitesalaus käytössä. Tarkista, onko se käytössä, avaamalla etähallintakonsoli, kirjautumalla sisään ja siirtymällä kyseisen päätepisteen päätepisteen tietosivun Tiedot ja toiminnot -välilehden Tilat-osaan.

Laitetietojen salaus käytössä
Kuva 5: (Englanninkielinen) Laitetietojen salaus käytössä

Edellä korostettu Device Data Encryption On - kenttä näyttää ajankohdan, jolloin SDE-käytäntö otettiin käyttöön. Jos kentässä on päivämäärä ja aika, onko SDE käytössä? on Kyllä. Jos kentässä ei ole päivämäärää ja kellonaikaa, kuten yllä olevassa kuvassa, vastaus on Ei.

  1. Onko SDE salattu? - Jos SDE tai laitesalaus on käytössä, suojauksen laskennan seuraava vaihe on selvittää, onko SDE salattu. Tämä voidaan määrittää käyttämällä kyseisen päätepisteen tietosivun Tiedot ja toiminnot -välilehden Tilat-osan tietoja.

Puhdistus aloitettu ja suoritettu
Kuva 6: (Englanninkielinen) Puhdistus aloitettu ja suoritettu

Yllä oranssilla ruudulla korostetut Avaus - ja Lakaisu valmis -kentät ilmaisevat SDE:n/laitteen tyhjennyksen alkamis- ja päättymisajat. Jos molemmissa kentissä on päivämäärä ja aika ja tyhjennyksen aloitusaika on aikaisempi tai sama kuin puhdistuksen valmistumisaika, "Onko SDE käytössä" on "Kyllä". Muussa tapauksessa vastaus on "Ei" ja laite määritetään suojaamattomaan tilaan.

  1. Onko käyttäjäsalaus käytössä kenellekään käyttäjälle? - Jos SDE-salaus on poistettu käytöstä tai jos se on käytössä ja salattu, seuraava vaihe on selvittää, onko käyttäjäsalaus käytössä päätepisteessä aktivoituneille käyttäjille. Tämä voidaan määrittää käyttämällä kyseisen päätepisteen päätepisteen tietosivun Käyttäjät-välilehden tietoja.

Käyttäjätietojen salaus käytössä
Kuva 7: (Englanninkielinen) Käyttäjätietojen salaus käytössä

Käyttäjät-välilehdessä näkyvät kaikki käyttäjät, jotka ovat aktivoituneet päätepisteessä. User Data Encryption On -kenttä, joka on korostettu oranssilla ruudulla yläpuolella, näyttää ajankohdan, jolloin käyttäjän salauskäytäntö otettiin käyttöön kullekin tietylle käyttäjälle. Jos kentässä on päivämäärä ja kellonaika jollekin aktivoidulle käyttäjälle, kuten yllä olevassa kuvassa, vastaus kysymykseen "Onko käyttäjäsalaus käytössä kenellekään käyttäjälle?" on "Kyllä". Jos kentässä ei ole päivämäärää ja kellonaikaa yhdellekään aktivoidulle käyttäjälle, vastaus on Ei, ja päätepisteen määritetään olevan suojatussa tilassa.

  1. Onko käyttäjäsalaus käytössä viimeksi todennetulle käyttäjälle? - Jos käyttäjäsalaus on käytössä jollekin päätepisteen aktivoidulle käyttäjälle, suojatun laskennan seuraava osa on selvittää, onko viimeisimmällä todennetulla käyttäjällä käytössä käyttäjäsalaus. Tämä voidaan määrittää käyttämällä kyseisen päätepisteen päätepisteen tietosivun Käyttäjät-välilehden tietoja.

Viimeisin onnistunut kirjautuminen
Kuva 8: (Englanninkielinen) Viimeisin onnistunut kirjautuminen

Käyttäjät-välilehdessä näkyvät kaikki käyttäjät, jotka ovat aktivoituneet päätepisteessä. Viimeisin onnistunut sisäänkirjautuminen -kenttä, joka on korostettu oranssilla ruudulla yläpuolella, näyttää viimeisimmän kerran, jolloin kyseinen käyttäjä kirjautui onnistuneesti kilpeen. Jos käyttäjällä, jolla on viimeisin viimeksi onnistunut kirjautumisaika, on myös aika Käyttäjätietojen salauskäytössä - kentässä, kuten yllä olevassa kuvassa, ja vastaus kysymykseen Onko käyttäjän salaus käytössä viimeksi todennetulle käyttäjälle? on Kyllä. Jos käyttäjällä, jolla on viimeisin viimeisin onnistunut kirjautumisaika, ei ole aikaa Käyttäjätietojen salaus käytössä -kentässä ja vastaus on Ei.

  1. Onko viimeisin todennettu käyttäjä salattu? - Jos viimeksi todennetulla käyttäjällä oli salaus, joka on käytössä, prosessi siirtyy viimeiseen vaiheeseen ja tarkistaa, onko kyseinen käyttäjä salattu. Tämä voidaan määrittää käyttämällä kyseisen päätepisteen päätepisteen tietosivun Users-välilehden viimeisintä todennettua käyttäjää koskevia tietoja.

Viimeisin salauksen pyyhkäisy alkaa
Kuva 9: (Englanninkielinen) Viimeisin salauksen pyyhkäisy alkaa

Viimeisen salauksen tyhjennyksen aloitus- ja pyyhinnän pää -kentät, jotka on korostettu oranssilla ruudulla yläpuolella, näyttävät ajankohdat, jolloin käyttäjän tyhjennys alkoi ja päättyi. Jos molemmissa kentissä on päivämäärä ja aika ja viimeisen salauksen tyhjennyksen alkamisaika on aikaisempi tai sama kuin puhdistuksen valmistumisaika , vastaus kysymykseen Onko viimeisin todennettu käyttäjä salattu? on kyllä ja laite on suojatussa tilassa. Muussa tapauksessa vastaus on "Ei" ja laite määritetään suojaamattomaan tilaan.

Lokisanomia ei ole, jotka auttaisivat määrittämään, mikä suojatun työnkulun vaihe aiheuttaa laitteen asettamisen suojaamattomaan tilaan. Tarkista suojatun tilan laskentaongelman tunnistaminen -kohdasta, mikä työnkulun vaihe aiheutti sen, että päätepiste näkyi suojaamattomana.

Seuraavassa taulukossa on useita ratkaisuja yleisiin suojatun tilan laskentaongelmiin.

Varoitus: Seuraava vaihe on Windowsin rekisterin muokkaus:
Ongelma Ratkaisu
Device Data Encryption On -kenttä on täytetty, mutta Tyhjennys aloitettu- tai Tyhjennys valmis -aikaa ei näy

Jos laitetietojen salaus on käytössä, mutta pyyhintäaikoja ei ole, se on usein merkki siitä, että suojattuun päätepisteeseen on asennettu itsesalaava asema (SED). Oletusarvoisesti Shield ei sovella SDE-sääntöjä, kun SED on käytettävissä. Seuraavat ilmoitukset ovat Shield-lokeissa, kun tämä ongelma ilmenee:

SDE-käytäntöjen estäminen tai poistaminen käytöstä, koska joko FVE on käytössä tai käynnissä tai tietokoneessa on SED.

... Yksi levyistä on SED.

Jos haluat, että suojus voi käyttää SDE:tä, vaikka SED olisi käytettävissä, lisää seuraava rekisteriarvo ja käynnistä päätepiste uudelleen. Kun suojus havaitsee asetuksen, SDE-tyhjennys alkaa.

Kokoonpanoasetukset
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield]
"AlwaysApplySDE"=dword:00000001
Laitteen/SDE:n tyhjennyksen valmistumisaika on tyhjä ja tyhjennyksen aloitusaika päivittyy jatkuvasti.

Laitteen/SDE:n tyhjennyksen jatkuvasti päivittyvä aloitusaika tarkoittaa yleensä jompaakumpaa seuraavista:

  1. Yksi SDE-salaussääntöjen käytännön säännöistä sisältää käyttäjäympäristömuuttujan, esimerkiksi %env:userprofile%. Tämä aiheuttaa uudelleentyhjennyksen, koska muuttujan arvo muuttuu aina, kun käyttäjä kirjautuu sisään ja näkyy käytännön muutoksena Shieldissä. Voit korjata tämän päivittämällä salaussäännön viittaamaan hakemistoon tavalla, joka ei sisällä käyttäjäympäristömuuttujaa.
  2. Scan Workstation on Logon -suojauskäytäntö on käytössä. Tämä käytäntö pakottaa suojuksen suorittamaan tyhjennyksen aina, kun käyttäjän sisäänkirjautuminen havaitaan.
Laitteen/SDE:n tai käyttäjän tyhjennys ei ole valmis etähallintakonsolissa, mutta paikallinen konsoli näyttää, että tyhjennys on valmis, kun käyttäjä on kirjautunut päätepisteeseen.

Jos palvelimen tyhjennys ei ole valmis eikä päätepisteessä näy käynnissä olevaa puhdistusta, ongelma voidaan yleensä ratkaista suorittamalla vähintään yksi seuraavista toimista:

  1. Pakota koko inventaarion lataus palvelimeen lisäämällä seuraavat rekisteriasetukset alla olevassa järjestyksessä. Ensimmäinen pakottaa lähettämään täydellisen inventaarion, joka poistetaan inventaarion latauksen jälkeen. Toinen pakottaa inventaarion latauksen palvelimelle ja arvo muuttuu arvoon 0, kun lataus on tapahtunut.

Kokoonpanoasetukset
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGshield]
"RefreshInventory"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Credant\CMGShield\Notify]
"PingProxy"=dword:00000001

  1. Luo tyhjennysvälimuistin tiedot uudelleen seuraavasti:
    1. Tee kopio kansiosta C:\ProgramData\Dell\dell data protection\Encryption\CMGData.
    2. Poista alkuperäisen CMGDATA-kansion sisältö.
    3. Avaa komentokehote ja suorita seuraava komento hakemistosta C:\Program Files\Dell\Dell Data Protection\Encryption.

WSProbe.exe c:\

Jos haluat ottaa yhteyttä tukeen, katso luettelo Dell Data Securityn kansainvälisen tuen puhelinnumeroista.
TechDirectissä voit luoda teknisen tukipyynnön verkossa.
Lisätietoja ja resursseja on Dell Security Community Forum -keskustelufoorumilla.

Additional Information

 

Videos

 

Affected Products

Dell Encryption
Article Properties
Article Number: 000124735
Article Type: How To
Last Modified: 08 May 2024
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.