Problemen met de beschermde status van het schild oplossen
Summary: Overzicht van de berekening voor beveiliging voor schild en hoe u de oorzaak kunt identificeren waarom een apparaat onbeschermd is.
Instructions
Betreffende producten:
- Dell Encryption
- Dell Security Management Server
- Dell Security Management Server Virtual
- Dell Data Protection | Encryption
- Dell Data Protection | Enterprise Edition
- Dell Data Protection | Virtual Edition
Vaststellen waarom een eindpunt niet als beschermd wordt weergegeven in de Dell Security Management Server (voorheen Dell Data Protection | Enterprise Edition) console, moeten we bepalen welk type probleem het eindpunt heeft. Over het algemeen zijn er drie soorten problemen die ervoor zorgen dat een eindpunt niet beveiligd wordt weergegeven:
- Problemen met clientcommunicatie , zoals onjuiste configuratie van het Shield, beperkende firewallregels en verkeerd geconfigureerde DNS.
- Problemen met de verwerking van voorraad aan de serverzijde , zoals fouten bij het parseren van inventaris, fouten in database-instellingen en communicatieproblemen tussen services.
- Problemen met het berekenen van de beschermde status , zoals ontbrekende of onvolledige veegtijden voor apparaten, ontbrekende of onvolledige veegtijden van gebruikers en bijgewerkt of onjuist beleid
Problemen met clientcommunicatie
Een van de meest voorkomende oorzaken van een eindpunt dat niet beschermd wordt weergegeven, is een fout in het schild bij het communiceren met de Policy Proxy-service. Dit is vaak het gevolg van een verkeerde configuratie op het schild of een fout in de Policy Proxy-service.
De snelste manier om een communicatieprobleem te identificeren is via de Remote Management Console vanuit de sectie Staten op het tabblad Details en acties op de pagina met eindpuntdetails. Ga als volgt naar het gedeelte Statussen vanaf de aanmeldingspagina van de Remote Management Console:
- Klik op de koppeling Populaties .
- Klik op de koppeling Eindpunten .
- Klik in het gedeelte Endpoints op de koppeling voor het specifieke eindpunt in kwestie.
Afbeelding 1: (Alleen In het Engels) Eindpuntdetails
- Klik op de specifieke eindpuntpagina op het tabblad Details en acties.
- Scrol omlaag op het tabblad Details en acties naar het gedeelte Staten .
Afbeelding 2: (Alleen In het Engels) Voorraad ontvangen
Het veld Voorraad ontvangen , hierboven gemarkeerd, geeft de laatste keer aan dat een inventaris van de client is ontvangen en voor verwerking in de tabel met de database-inventariswachtrij is geplaatst. Als er geen datum aanwezig is, of als er wel een datum aanwezig is en deze niet actueel is, is er waarschijnlijk een probleem met de communicatie tussen het Shield en de Policy Proxy-service.
In de volgende voorbeelden ziet u een subset van logboekberichten voor een geslaagde communicatie van het schild naar de Policy Proxy-service en een mislukte communicatie van het Shield naar de Policy Proxy-service. Deze voorbeelden zijn niet uitgebreid en zijn opgenomen om een startpunt te bieden om te beginnen met het onderzoeken van communicatieproblemen van de kant van de klant. Standaard is het schildlogboek op C:\ProgramData\Dell\dell data protection\Encryption\CMGShield.log.
Succesvolle communicatie
De volgende berichten maken deel uit van de reeks berichten die tijdens een succesvolle communicatie met de beleidsproxy naar het Shield-logboek worden uitgevoerd.
PolicyGrabber: 680 H] Upload Inventory: Begin PolicyGrabber: 755 H] Upload Inventory: Contacting GK at Host = serverName, IP = serverIP, Port = 8000 CMLNetEx: 118 I] Connect - Connected to host successfully PolicyGrabber: 929 H] Upload Inventory: done (Result = 1).
Mislukte communicatie
De volgende berichten in het Shield-logboek zijn voorbeelden van mislukte pogingen.
PolicyGrabber: 420 I] Policy Poll: Begin PolicyGrabber: 451 H] Policy Poll: Attempt to contact Gatekeeper at Host = serverName, IP = serverIP, Port = 8001 CMLNetEx: 81 E] Connection to the host failed. (error = 10060) PolicyGrabber: 512 I] Policy Poll: Attempt 1 of 3 to connect and retrieve policy FAILED. CMLNetEx: 81 E] Connection to the host failed. (error = 10060) PolicyGrabber: 512 I] Policy Poll: Attempt 2 of 3 to connect and retrieve policy FAILED. CMLNetEx: 81 E] Connection to the host failed. (error = 10060) PolicyGrabber: 512 I] Policy Poll: Attempt 3 of 3 to connect and retrieve policy FAILED.
De meest voorkomende oorzaak van communicatieproblemen tussen de Shield- en Policy Proxy-service is een verkeerde configuratie van de Shield. De volgende schildinstellingen zijn geconfigureerd tijdens de installatie en zijn de standaardinstellingen die bepalen welke server en poort de schild verbindt om inventarisinformatie te verzenden. Deze instellingen zijn niet uitgebreid en veranderen, afhankelijk van de omgevingsinstellingen, mogelijk niet de locatie waarmee het schild verbinding probeert te maken. Als de voorbeeldinstellingen juist zijn of als het probleem niet is opgelost door ze te wijzigen, neemt u contact op met Dell Data Security ProSupport.
Standaardconfiguratie-instellingen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGshield] "GK"="serverName" "GKPort"=dword:00001f40
Problemen met het verwerken van voorraad aan serverzijde
Een andere, minder vaak voorkomende oorzaak van een eindpunt dat niet beschermd wordt weergegeven, is een fout op de Dell Security Management Server bij het verwerken van de inventarisdata die door het schild worden geleverd. Dit kan het gevolg zijn van een beschadiging tijdens het transport, een onverwacht teken in de inventaris XML-gegevens of een fout bij de communicatie met SQL.
Net als bij een communicatieprobleem is de snelste manier om een probleem met voorraadverwerking te identificeren via de Remote Management Console vanuit de sectie Statussen op het tabblad Details en acties op de pagina met eindpuntdetails.
Afbeelding 3: (Alleen In het Engels) Eindpuntdetails
Het veld Verwerkte inventaris , zoals hierboven aangegeven, geeft de laatste keer aan dat een inventarisatie van de client met succes is verwerkt en de database die is bijgewerkt om de huidige status van het eindpunt weer te geven. Als er geen datum aanwezig is of als er een datum aanwezig is en deze niet actueel is, en er is een huidige datum in het veld Voorraad ontvangen , is er waarschijnlijk een probleem met het verwerken van de inventaris van het eindpunt.
De volgende voorbeelden tonen een subset van logboekberichten uit de Core Server-servicelogboeken die wijzen op fouten in de voorraadverwerking. Deze voorbeelden zijn niet uitgebreid en zijn opgenomen om een startpunt te bieden waarop u kunt beginnen met het onderzoeken van verwerkingsproblemen vanaf de serverzijde. Het huidige Core Server-servicelogboek wordt standaard geschreven naar C:\Program Files\Dell\Enterprise Edition\Core Server\Logs\output.log.
ERROR INVENTORY [75] - Error updating user shield state ERROR INVENTORY [75] - Error updating device shield state ERROR INVENTORY [75] - Error updating device entity data. ERROR INVENTORY [75] - Error updating shield entity data.
Vanwege de verscheidenheid en complexiteit van problemen die zich kunnen voordoen, zijn er geen gemeenschappelijke oplossingen die een groot percentage van de verwerkingsproblemen aanpakken. Als u een probleem met voorraadverwerking vermoedt, neemt u contact op met Dell Data Security ProSupport.
Problemen met het berekenen van de beschermde status
Problemen met de berekening van de beveiligde status zijn verreweg de meest voorkomende oorzaak van de onbeschermde status van een afgeschermd eindpunt. Dit kan het gevolg zijn van eerdere problemen die worden gecombineerd met Shield-functies (dat wil zeggen, een verwerkingsfout waardoor een volledige inventaris mislukt nadat alleen geoptimaliseerde inventarissen zijn ontvangen), of een onbeheerde gebruiker die is ingelogd, waardoor er geen inventaris wordt verzonden.
Zodra zowel problemen met clientcommunicatie als voorraadgegevensverwerking zijn geëlimineerd als oorzaken, blijft er een probleem over met de berekening van de beschermde status van de server. Het proces om te bepalen of een afgeschermd eindpunt al dan niet beschermd is, wordt getoond in de volgende afbeelding.
Afbeelding 4: (Alleen In het Engels) Workflow voor probleemoplossing
De volgende afbeeldingen tonen de locatie in de console om de informatie te vinden die nodig is om de vragen in de bovenstaande processtroom te beantwoorden:
- Is SDE ingeschakeld? - De eerste stap om te bepalen of een apparaat beschermd is, is of SDE of apparaatversleuteling is ingeschakeld. Om te bepalen of deze optie is ingeschakeld, opent u de Remote Management Console, meldt u zich aan en gaat u naar de sectie Staten van het tabblad Details en acties op de pagina met eindpuntgegevens voor het betreffende eindpunt.
Afbeelding 5: (Alleen In het Engels) Versleuteling van apparaatdata aan
Het veld Apparaatdataversleuteling aan , hierboven gemarkeerd, toont de tijd waarop het SDE-beleid is ingeschakeld. Als het veld een datum en tijd heeft, is SDE dan ingeschakeld? is Ja. Als het veld geen datum en tijd heeft, zoals in de afbeelding hierboven, is het antwoord Nee.
- Is SDE versleuteld? - Als SDE of apparaatversleuteling is ingeschakeld, is de volgende stap in de beveiligde berekening om te bepalen of SDE is versleuteld. Dit kan worden bepaald met behulp van informatie uit de sectie Statussen van het tabblad Details en acties van de detailpagina van het eindpunt voor het betreffende eindpunt.
Afbeelding 6: (Alleen In het Engels) Opruimactie gestart en opruimactie voltooid
De velden Opruimactie gestart en Opruimen voltooid, daarboven gemarkeerd met een oranje vak, geven de tijden weer waarop de SDE/apparaatopschoning respectievelijk is begonnen en geëindigd. Als beide velden een datum en tijd hebben en de tijd waarop de sweep is gestart vóór of gelijk is aan de tijd waarop de sweep is voltooid, is 'Is SDE ingeschakeld' 'Ja'. Anders is het antwoord 'Nee' en wordt vastgesteld dat het apparaat zich in de niet-beschermde staat bevindt.
- Is gebruikersversleuteling ingeschakeld voor elke gebruiker? - Als SDE-versleuteling is uitgeschakeld of als deze is ingeschakeld en versleuteld, is de volgende stap om te bepalen of Gebruikersversleuteling is ingeschakeld voor elke gebruiker die op het eindpunt is geactiveerd. Dit kan worden bepaald met behulp van informatie op het tabblad Gebruikers van de pagina met eindpuntgegevens voor het betreffende eindpunt.
Afbeelding 7: (Alleen In het Engels) Versleuteling van gebruikersdata aan
Op het tabblad Gebruikers ziet u elke gebruiker die op het eindpunt is geactiveerd. Het veld Gebruikersdataversleuteling aan , gemarkeerd met een oranje vak erboven, toont het tijdstip waarop het beleid voor gebruikersversleuteling voor elke specifieke gebruiker is ingeschakeld. Als het veld een datum en tijd heeft voor een geactiveerde gebruiker, zoals in de afbeelding hierboven, dan is het antwoord op de vraag "Is gebruikersversleuteling ingeschakeld voor elke gebruiker?" 'Ja'. Als het veld geen datum en tijd bevat voor een geactiveerde gebruiker, is het antwoord Nee en wordt bepaald dat het eindpunt de beveiligde status heeft.
- Is gebruikersversleuteling ingeschakeld voor de laatst geverifieerde gebruiker? - Als Gebruikersversleuteling is ingeschakeld voor een geactiveerde gebruiker op het eindpunt, moet het volgende deel van de beveiligde berekening bepalen of voor de meest recente geverifieerde gebruiker Gebruikersversleuteling is ingeschakeld. Dit kan worden bepaald met behulp van de informatie op het tabblad Gebruikers van de eindpuntdetailpagina voor het betreffende eindpunt.
Afbeelding 8: (Alleen In het Engels) Laatste geslaagde aanmelding
Op het tabblad Gebruikers ziet u elke gebruiker die op het eindpunt is geactiveerd. Het veld Laatste succesvolle aanmelding , gemarkeerd met een oranje vak erboven, toont de laatste keer dat de specifieke gebruiker zich met succes heeft aangemeld bij het schild. Als de gebruiker met de meest recente laatste succesvolle aanmeldingstijd ook een tijd heeft in het veld Gebruikersdataversleutelingaan , zoals in de afbeelding hierboven, dan is het antwoord op de vraag Is gebruikersversleuteling ingeschakeld voor de laatst geverifieerde gebruiker?Ja. Als de gebruiker met de meest recente laatste aanmeldingstijd geen tijd heeft in het veld Gebruikersdataversleuteling aan, is het antwoord Nee.
- Is de laatst geverifieerde gebruiker versleuteld? - Als de laatst geverifieerde gebruiker versleuteling had die is ingeschakeld, gaat het proces naar de laatste stap, waarbij wordt gecontroleerd of die gebruiker is versleuteld. Dit kan worden bepaald aan de hand van de informatie die aanwezig is voor de laatst geverifieerde gebruiker op het tabblad Gebruikers van de eindpuntdetailpagina voor het betreffende eindpunt.
Afbeelding 9: (Alleen In het Engels) Laatste start van versleuteling
De velden Laatste Encryption Sweep Start en Sweep End , gemarkeerd met een oranje vak erboven, tonen de tijden waarop de gebruikerssweep is begonnen en geëindigd. Als beide velden een datum en tijd hebben en de starttijd van de laatste versleutelingssweep eerder of op hetzelfde tijdstip valt als de tijd van de sweep voltooid , dan is het antwoord op de vraag Is de laatst geverifieerde gebruiker versleuteld?Ja en wordt bepaald dat het apparaat zich in de beveiligde status bevindt. Anders is het antwoord 'Nee' en wordt vastgesteld dat het apparaat zich in de niet-beschermde staat bevindt.
Er zijn geen logboekberichten die helpen bij het bepalen welke stap binnen de beveiligde werkstroom ervoor zorgt dat het apparaat in de niet-beveiligde status wordt geplaatst. Bekijk de sectie Een probleem met het berekenen van de beveiligde status identificeren om te bepalen welke stap van de werkstroom ervoor heeft gezorgd dat het eindpunt wordt weergegeven als niet beveiligd.
De volgende tabel bevat verschillende oplossingen voor veelvoorkomende problemen bij het berekenen van de beschermde status.
- Maak een back-up van het register voordat u verder gaat, raadpleeg Back-ups maken van het register en het register herstellen in Windows
.
- Het bewerken van het register kan ertoe leiden dat de computer niet meer reageert bij de volgende keer opnieuw opstarten.
- Neem contact op met de telefoonnummers van Dell Data Security International Support voor hulp als u zich zorgen maakt over het uitvoeren van deze stap.
| Probleem | Oplossing |
|---|---|
| Het veld Apparaatdataversleuteling ingeschakeld is ingevuld, maar er is geen tijd voor het starten van een sweep of een tijd voor het voltooien van een sweep | Als versleuteling van apparaatdata is ingeschakeld, maar er geen sweep-tijden zijn, is dit vaak een indicatie dat er een zelfversleutelende schijf (SED) is geïnstalleerd op het afgeschermde eindpunt. Standaard past het schild geen SDE-regels toe wanneer er een SED aanwezig is. De volgende berichten zijn aanwezig in de Shield-logboeken wanneer dit probleem zich voordoet: "SDE-beleid blokkeren/uitschakelen, omdat FVE is ingeschakeld/wordt uitgevoerd of omdat er een SED op de computer is." Als u wilt dat het schild SDE toepast, zelfs wanneer er een SED aanwezig is, voegt u de volgende registerwaarde toe en start u het eindpunt opnieuw op. Zodra de instelling wordt opgepikt door het schild, begint de SDE-sweep. Configuratie-instellingen |
| De tijd voor het voltooien van de apparaat/SDE-opschoning is leeg en de starttijd van de opschoning wordt voortdurend bijgewerkt. | De starttijd van het apparaat/SDE-sweep die voortdurend wordt bijgewerkt, geeft meestal een van de volgende twee dingen aan:
|
| Een Device/SDE- of gebruikerssweep is niet voltooid in de Remote Management Console, maar de lokale console geeft aan dat de sweep is voltooid wanneer de gebruiker is aangemeld bij het eindpunt. | Wanneer een opruimactie op de server niet is voltooid en het eindpunt niet aangeeft dat een opruimactie wordt uitgevoerd, kan het probleem meestal worden opgelost door een of meer van de volgende stappen uit te voeren:
Configuratie-instellingen
|
Als u contact wilt opnemen met support, raadpleegt u de internationale telefoonnummers voor support van Dell Data Security.
Ga naar TechDirect om online een aanvraag voor technische support te genereren.
Voor meer informatie over inzichten en hulpbronnen kunt u zich aanmelden bij het Dell Security Community Forum.