Felsöka skyddad sköldstatus

Summary: Översikt över beräkningen av skyddad skärm och hur du identifierar orsaken till att en enhet visas oskyddad.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Berörda produkter:

  • Dell Encryption
  • Dell Security Management Server
  • Dell Security Management Server Virtual
  • Dell Data Protection | Encryption
  • Dell Data Protection | Enterprise Edition
  • Dell Data Protection | Virtual Edition

Så här tar du reda på varför en slutpunkt inte visas som skyddad i Dell Security Management Server (tidigare Dell Data Protection | Enterprise Edition) måste vi fastställa vilken typ av problem slutpunkten har. I allmänhet finns det tre typer av problem som gör att en slutpunkt inte visas skyddad:

  1. Problem med klientkommunikation – till exempel felaktig sköldkonfiguration, restriktiva brandväggsregler och felkonfigurerad DNS.
  2. Problem med lagerbearbetning på serversidan – till exempel fel vid inventeringsparsning, fel i databasinställningar och kommunikationsproblem mellan tjänster.
  3. Problem med beräkning av skyddad status – till exempel saknade eller ofullständiga enhetssökningstider, saknade eller ofullständiga användarrensningstider och uppdaterad eller felaktig princip

Problem med klientkommunikation

En av de vanligaste orsakerna till att en slutpunkt inte visas skyddad är ett fel i skölden vid kommunikation med principproxytjänsten. Detta är ofta resultatet av felkonfiguration på skölden eller ett fel i Policy Proxy-tjänsten.

Det snabbaste sättet att identifiera ett kommunikationsproblem är via Remote Management Console från avsnittet Tillstånd på fliken Information och åtgärder på sidan med slutpunktsinformation. Så här går du till avsnittet Stater från inloggningssidan för Remote Management Console:

  1. Klicka på länken Populationer .
  2. Klicka på länken Slutpunkter .
  3. I avsnittet Slutpunkter klickar du på länken för den specifika slutpunkten i fråga.

Slutpunktsinformation
Bild 1: (Endast på engelska) Slutpunktsinformation

  1. På den specifika slutpunktssidan klickar du på fliken Detaljer och åtgärder.
  2. Bläddra nedåt på fliken Information och åtgärder till avsnittet Tillstånd .

Inbyggt lager
Bild 2: (Endast på engelska) Inbyggt lager

Fältet Lagermottagning , som är markerat ovan, anger den senaste gången som en inventering togs emot från klienten och infogades i databasens lagerkötabell för bearbetning. Om det inte finns något datum, eller om det finns ett datum och det inte är aktuellt, finns det troligen ett problem med kommunikationen mellan Shield och Policy Proxy-tjänsten.

I följande exempel visas en delmängd av loggmeddelanden för en lyckad kommunikation från skölden till principproxytjänsten och en misslyckad kommunikation från skölden till principproxytjänsten. Dessa exempel är inte heltäckande och ingår för att ge en utgångspunkt för att börja undersöka kommunikationsfrågor från kundens sida. Som standard finns skärmloggen på C:\ProgramData\Dell\Dell data protection\Encryption\CMGShield.log.

Framgångsrik kommunikation

Följande meddelanden är en del av den uppsättning meddelanden som matas ut till sköldloggen under en lyckad kommunikation med principproxyn.

PolicyGrabber: 680 H] Upload Inventory: Begin

PolicyGrabber: 755 H] Upload Inventory: Contacting GK at Host = serverName, IP = serverIP, Port = 8000

CMLNetEx: 118 I] Connect - Connected to host successfully

PolicyGrabber: 929 H] Upload Inventory: done (Result = 1).

Misslyckad kommunikation

Följande sköldloggmeddelanden är exempel på misslyckade försök.

PolicyGrabber: 420 I] Policy Poll: Begin

PolicyGrabber: 451 H] Policy Poll: Attempt to contact Gatekeeper at Host = serverName, IP = serverIP, Port = 8001

CMLNetEx: 81 E] Connection to the host failed. (error = 10060)

PolicyGrabber: 512 I] Policy Poll: Attempt 1 of 3 to connect and retrieve policy FAILED.

CMLNetEx: 81 E] Connection to the host failed. (error = 10060)

PolicyGrabber: 512 I] Policy Poll: Attempt 2 of 3 to connect and retrieve policy FAILED.

CMLNetEx: 81 E] Connection to the host failed. (error = 10060)

PolicyGrabber: 512 I] Policy Poll: Attempt 3 of 3 to connect and retrieve policy FAILED.

Den vanligaste orsaken till kommunikationsproblem mellan skölden och policyproxytjänsten är felaktig konfiguration av skölden. Följande Shield-inställningar konfigureras vid installationen och är de standardinställningar som styr servern och porten som Shield ansluter till för att skicka inventeringsinformation. Dessa inställningar är inte heltäckande och, beroende på miljökonfigurationen, kanske inte ändrar den plats som skölden försöker ansluta till. Om exempelinställningarna är korrekta eller om det inte löser problemet att ändra dem kontaktar du Dell Data Security ProSupport.

Standardinställningar för konfiguration

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGshield]
"GK"="serverName"
"GKPort"=dword:00001f40

Problem med lagerbearbetning på serversidan

En annan, mindre vanlig orsak till att en slutpunkt inte visas skyddad är ett fel på Dell Security Management Server vid bearbetning av inventeringsdata som tillhandahålls av skölden. Detta kan bero på skadade överföringar, ett oväntat tecken i inventeringens XML-data eller ett fel vid kommunikation med SQL.

På samma sätt som vid ett kommunikationsproblem är det snabbaste sättet att identifiera ett problem med inventeringsbearbetning via Remote Management Console från avsnittet Tillstånd på fliken Information och åtgärder på sidan med slutpunktsinformation.

Slutpunktsinformation
Bild 3: (Endast på engelska) Slutpunktsinformation

Fältet Bearbetat lager , som är markerat ovan, anger den senaste gången en inventering från klienten bearbetades och databasen som uppdateras för att återspegla slutpunktens aktuella tillstånd. Om det inte finns något aktuellt datum eller om det finns ett datum och det inte är aktuellt, och det finns ett aktuellt datum i fältet Lagermottagning , finns det troligen ett problem med bearbetningen av slutpunktens lager.

I följande exempel visas en delmängd av loggmeddelanden från Core Server-tjänstloggarna som indikerar fel vid inventeringsbearbetning. De här exemplen är inte heltäckande och ingår för att ge en startpunkt där du kan börja undersöka bearbetningsproblem från serversidan. Den aktuella Core Server-tjänstloggen skrivs som standard till C:\Program Files\Dell\Enterprise Edition\Core Server\Logs\output.log.

ERROR INVENTORY [75] - Error updating user shield state

ERROR INVENTORY [75] - Error updating device shield state

ERROR INVENTORY [75] - Error updating device entity data.

ERROR INVENTORY [75] - Error updating shield entity data.

På grund av variationen och komplexiteten hos problem som kan uppstå finns det inga gemensamma lösningar som hanterar en stor andel av bearbetningsproblemen. Om du misstänker att det rör sig om ett problem med lagerbearbetningen kontaktar du Dell Data Security ProSupport.

Problem med beräkning av skyddad status

Problem med beräkningen av skyddad status är den överlägset vanligaste orsaken till att en avskärmad slutpunkt är i oskyddat tillstånd. Detta kan vara resultatet av tidigare problem som kombineras med Shield-funktioner (det vill säga ett bearbetningsfel som gör att en fullständig inventering misslyckas efter att endast ha fått optimerade inventeringar) eller att en ohanterad användare är inloggad, vilket resulterar i att inget lager skickas.

När både klientkommunikation och problem med bearbetning av inventeringsdata har eliminerats som orsaker lämnar det ett problem med beräkningen av serverskyddad status. Processen för att avgöra om en avskärmad slutpunkt är skyddad eller inte visas i följande bild.

Felsöka arbetsflöde
Bild 4: (Endast på engelska) Felsöka arbetsflöde

Följande bilder visar platsen i konsolen för att hitta den information som behövs för att besvara frågorna i processflödet ovan:

  1. Är SDE aktiverat? - Det första steget för att avgöra om en enhet är skyddad är om SDE eller enhetskryptering är aktiverat. Ta reda på om det är aktiverat genom att öppna Remote Management Console, logga in och gå till avsnittet Tillstånd på fliken Information och åtgärder på sidan med slutpunktsinformation för den aktuella slutpunkten.

Kryptering av enhetsdata på
Bild 5: (Endast på engelska) Kryptering av enhetsdata på

I fältet Kryptering av enhetsdata på , som är markerat ovan, visas den tidpunkt då SDE-principen aktiverades. Om fältet har ett datum och en tid, är SDE aktiverat? är Ja. Om fältet inte har något datum och tid, som i bilden ovan, är svaret nej.

  1. Är SDE krypterat? - Om SDE eller enhetskryptering är aktiverat är nästa steg i den skyddade beräkningen att avgöra om SDE är krypterat. Detta kan fastställas med hjälp av information från avsnittet Tillstånd på fliken Information och åtgärder på sidan med slutpunktsinformation för slutpunkten i fråga.

Rensning påbörjad och slutförd
Bild 6: (Endast på engelska) Rensning påbörjad och slutförd

Fälten Sweep Started och Sweep Completed, markerade med en orange ruta ovan, visar de tidpunkter då SDE-/enhetsrensningen påbörjades respektive avslutades. Om båda fälten har ett datum och en tid och tiden för när rensningen påbörjades är före eller samtidigt som tiden för rensningen slutfördes, är "Är SDE aktiverat" "Ja". Annars är svaret "Nej" och enheten fastställs vara i tillståndet inte skyddad.

  1. Är användarkryptering aktiverat för alla användare? - Om SDE-kryptering är inaktiverat, eller om det är aktiverat och krypterat, är nästa steg att avgöra om användarkryptering är aktiverat för alla användare som har aktiverats på slutpunkten. Detta kan fastställas med hjälp av information från fliken Användare på slutpunktsinformationssidan för slutpunkten i fråga.

Kryptering av användardata på
Bild 7: (Endast på engelska) Kryptering av användardata på

På fliken Användare visas alla användare som har aktiverats på slutpunkten. I fältet Kryptering av användardata på , som är markerat med en orange ruta ovan, visas den tidpunkt då principen för användarkryptering aktiverades för varje enskild användare. Om fältet har ett datum och en tid för en aktiverad användare, som i bilden ovan, är svaret på frågan "Är användarkryptering aktiverat för alla användare?" "Ja". Om fältet inte har något datum och tid för någon aktiverad användare är svaret Nej och slutpunkten fastställs vara i skyddat tillstånd.

  1. Är användarkryptering aktiverat för den senast autentiserade användaren? - Om användarkryptering har aktiverats för en aktiverad användare på slutpunkten är nästa del av den skyddade beräkningen att avgöra om den senaste autentiserade användaren har användarkryptering aktiverad. Detta kan fastställas med hjälp av informationen som finns på fliken Användare på slutpunktsinformationssidan för slutpunkten i fråga.

Senaste lyckade inloggning
Bild 8: (Endast på engelska) Senaste lyckade inloggning

På fliken Användare visas alla användare som har aktiverats på slutpunkten. Fältet Last Successful Login, som är markerat med en orange ruta ovan, visar den senaste gången som den specifika användaren loggade in på skölden. Om användaren med den senaste tiden för senaste lyckade inloggning också har en tid i fältet Krypteringav användardata på , som i bilden ovan, och svaret på frågan Är användarkryptering aktiverat för den senast autentiserade användaren? är Ja. Om användaren med den senaste tiden för senaste lyckade inloggning inte har någon tid i fältet Kryptering av användardata på och svaret är nej.

  1. Är den senast autentiserade användaren krypterad? - Om den senast autentiserade användaren hade kryptering som är aktiverad går processen vidare till det sista steget och kontrollerar om användaren är krypterad. Detta kan fastställas med hjälp av den information som finns för den senast autentiserade användaren på fliken Användare på sidan med slutpunktsinformation för slutpunkten i fråga.

Start av senaste krypteringsrensning
Bild 9: (Endast på engelska) Start av senaste krypteringsrensning

Fälten Senaste krypteringsstart och Rensningsslut , som är markerade med en orange ruta ovan, visar de tidpunkter då användarrensningen påbörjades respektive avslutades. Om båda fälten har ett datum och en tid och starttiden för den senaste krypteringskontrollen är tidigare, eller samtidigt, som tiden för rensningen slutförd är svaret på frågan Är den senast autentiserade användaren krypterad?Ja och enheten har fastställts vara i skyddat läge. Annars är svaret "nej" och enheten fastställs vara i oskyddat tillstånd.

Det finns inga loggmeddelanden som hjälper dig att avgöra vilket steg i det skyddade arbetsflödet som gör att enheten försätts i tillståndet Inte skyddad. Läs avsnittet Identifiera ett problem med beräkning av skyddad status för att avgöra vilket steg i arbetsflödet som gjorde att slutpunkten visades som oskyddad.

Följande tabell innehåller flera lösningar på vanliga problem med beräkning av skyddad status.

Varning! Nästa steg är en redigering av Windows-registret:
Problem Lösning
Fältet Kryptering av enhetsdata på är ifyllt, men det finns ingen tid för Rensning startad eller Slutförd

Om kryptering av enhetsdata är på, men det inte finns några rensningstider, är det ofta en indikator på att en självkrypterande enhet (SED) har installerats på den avskärmade slutpunkten. Som standard tillämpar skölden inte SDE-regler när det finns ett SED. Följande meddelanden finns i sköldloggarna när det här problemet uppstår:

"Blockerar/avaktiverar SDE-policyer, eftersom FVE är aktiverat/pågår eller så finns det ett SED på datorn."

... En av diskarna är en SED.

Om du vill att skölden ska tillämpa SDE även när det finns ett SED lägger du till följande registervärde och startar om slutpunkten. När inställningen har hämtats av skölden startar SDE-svepet.

Konfigurationsinställningar
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield]
"AlwaysApplySDE"=dword:00000001
Sluttiden för enheten/SDE-kontrollen är tom och starttiden för rensningen uppdateras kontinuerligt.

Starttiden för enhets-/SDE-svepet som uppdateras kontinuerligt indikerar vanligtvis en av två saker:

  1. En av reglerna i principen för SDE-krypteringsregler innehåller en användarmiljövariabel, till exempel %env:userprofile%. Detta orsakar en omrensning eftersom variabelns värde ändras varje gång en användare loggar in och visas som en policyändring i skölden. Korrigera detta genom att uppdatera krypteringsregeln så att den refererar till katalogen på ett sätt som inte innehåller användarmiljövariabeln.
  2. Säkerhetsprincipen Genomsök arbetsstation vid inloggning är aktiverad. Denna policy tvingar skölden att utföra en rensning varje gång en användarinloggning upptäcks.
En enhet/SDE eller användarsökning har inte slutförts i Remote Management Console, men den lokala konsolen visar att rensningen slutförs när användaren är inloggad på slutpunkten.

När en rensning inte har slutförts på servern och slutpunkten inte visar att en rensning pågår kan problemet vanligtvis lösas genom att utföra ett eller flera av följande steg:

  1. Framtvinga en fullständig inventeringsuppladdning till servern genom att lägga till följande registerinställningar i den ordning som anges nedan. Den första tvingar en fullständig inventering att skickas och värdet tas bort när inventeringsuppladdningen sker. Den andra tvingar fram en inventeringsuppladdning till servern och värdet ändras till 0 när uppladdningen har skett.

Konfigurationsinställningar
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGshield]
"RefreshInventory"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Credant\CMGShield\Notify]
"PingProxy"=dword:00000001

  1. Återskapa cachedata för rensning genom att utföra följande steg:
    1. Gör en kopia av mappen C:\ProgramData\Dell\dell data protection\Encryption\CMGData.
    2. Ta bort innehållet i den ursprungliga CMGDATA-mappen.
    3. Öppna en kommandotolk och kör följande kommando från katalogen "C:\Program Files\Dell\Dell Data Protection\Encryption".

WSProbe.exe c:\

Om du vill kontakta support, se Dell Data Security telefonnummer till internationell support.
Gå till TechDirect för att skapa en begäran om teknisk support online.
Om du vill ha mer information och resurser kan du gå med i Dell Security Community-forumet.

Additional Information

 

Videos

 

Affected Products

Dell Encryption
Article Properties
Article Number: 000124735
Article Type: How To
Last Modified: 08 May 2024
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.