故障診斷 Shield 受保護狀態
Summary: Shield 受保護計算的概觀,以及如何識別裝置顯示未受保護的原因。
Instructions
受影響的產品:
- Dell Encryption
- Dell Security Management Server
- Dell Security Management Server Virtual
- Dell Data Protection | Encryption
- Dell Data Protection | Enterprise Edition
- Dell Data Protection | Virtual Edition
識別端點未在 Dell Security Management Server (先前稱為 Dell Data Protection |Enterprise Edition) 主控台,我們必須判斷端點的問題類型。一般來說,導致端點未顯示受保護的問題有三種類型:
- 用戶端通訊問題 - 例如 Shield 組態不正確、防火牆規則受限,以及 DNS 設定錯誤。
- 伺服器端清查處理問題 - 例如清查剖析錯誤、資料庫設定錯誤,以及服務之間的通訊問題。
- 受保護狀態計算問題 - 例如裝置掃掠時間遺失或不完整、使用者掃掠時間遺失或不完整,以及原則已更新或不正確
用戶端通訊問題
端點未顯示受保護最常見的原因之一,是與原則代理服務通訊時,Shield 發生錯誤。這通常是因為 Shield 上的組態錯誤或原則代理服務中的錯誤所導致。
識別通訊問題最快的方式,是透過端點詳細資料頁面上詳細資料與動作標籤中狀態區段的遠端管理主控台。若要從遠端管理主控台登入頁面前往狀態區段:
- 按一下填入連結。
- 按一下端點連結。
- 在「端點」區段中,按一下所提特定端點的連結。
圖 1:(僅英文) 端點詳細資料
- 在特定端點頁面上,按一下「詳細資料與動作」標籤。
- 在詳細資料與動作標籤中向下捲動至狀態區段。
圖 2:(僅英文) 清查已收到
上方反白顯示的清查已收到欄位,表示上次從用戶端收到清查,並插入資料庫清查佇列表格以進行處理的時間。如果沒有顯示日期,或有日期但不是最新的,則 Shield 和原則代理服務之間的通訊可能發生問題。
下列範例顯示從 Shield 到原則代理服務成功通訊,以及從 Shield 到原則代理服務不成功通訊的記錄訊息子集。這些範例不完整,包含在內是用來做為協助開始研究用戶端通訊問題的起點。根據預設,Shield 記錄位於 C:\ProgramData\Dell\dell data protection\Encryption\CMGShield.log。
通訊成功
下列訊息是在與原則代理成功通訊期間,輸出到 Shield 記錄的部分訊息集。
PolicyGrabber: 680 H] Upload Inventory: Begin PolicyGrabber: 755 H] Upload Inventory: Contacting GK at Host = serverName, IP = serverIP, Port = 8000 CMLNetEx: 118 I] Connect - Connected to host successfully PolicyGrabber: 929 H] Upload Inventory: done (Result = 1).
通訊失敗
以下 Shield 記錄訊息為嘗試失敗的範例。
PolicyGrabber: 420 I] Policy Poll: Begin PolicyGrabber: 451 H] Policy Poll: Attempt to contact Gatekeeper at Host = serverName, IP = serverIP, Port = 8001 CMLNetEx: 81 E] Connection to the host failed. (error = 10060) PolicyGrabber: 512 I] Policy Poll: Attempt 1 of 3 to connect and retrieve policy FAILED. CMLNetEx: 81 E] Connection to the host failed. (error = 10060) PolicyGrabber: 512 I] Policy Poll: Attempt 2 of 3 to connect and retrieve policy FAILED. CMLNetEx: 81 E] Connection to the host failed. (error = 10060) PolicyGrabber: 512 I] Policy Poll: Attempt 3 of 3 to connect and retrieve policy FAILED.
Shield 和原則代理服務之間最常見的通訊問題造成原因是 Shield 組態錯誤。下列 Shield 設定是在安裝時進行設定,且這些預設設定可控制 Shield 會連線以用來傳送清查資訊的伺服器和連接埠。這些設定並不完整,而且視環境設定而定,可能不會變更 Shield 嘗試連線的位置。如果範例設定正確或修改無法解決問題,請聯絡 Dell Data Security ProSupport。
預設組態設定
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGshield] "GK"="serverName" "GKPort"=dword:00001f40
伺服器端清查處理問題
端點未顯示受保護的另一個較不常見原因是 Dell Security Management Server 處理 Shield 提供的清查資料時發生錯誤。這可能是傳輸途中損毀、清查 XML 資料中非預期的字元,或與 SQL 通訊時發生錯誤所導致。
與通訊問題類似,識別清查處理問題最快的方式,是透過端點詳細資料頁面上詳細資料 &; 動作標籤中狀態區段的遠端管理主控台。
圖 3:(僅英文) 端點詳細資料
上方反白顯示的清查已處理欄位,表示上次用戶端清查成功處理的時間,以及已更新的資料庫以反映端點的目前狀態。如果沒有顯示日期,或有日期但不是最新的,且在清查已接收欄位中有一個目前日期,則處理端點清查時可能會發生問題。
下列範例顯示來自核心伺服器服務記錄的記錄訊息子集,指出清查處理錯誤。這些範例不完整,包含在內是用來做為協助開始研究來自伺服器端處理問題的起點。依預設,目前的核心伺服器服務記錄會寫入 C:\Program Files\Dell\Enterprise Edition\Core Server\Logs\output.log。
ERROR INVENTORY [75] - Error updating user shield state ERROR INVENTORY [75] - Error updating device shield state ERROR INVENTORY [75] - Error updating device entity data. ERROR INVENTORY [75] - Error updating shield entity data.
由於可能發生問題的多樣性和複雜性,因此沒有常見的解決方案能解決大部分的處理問題。如果懷疑有清查處理問題,請聯絡 Dell Data Security ProSupport。
受保護狀態計算問題
受保護狀態計算的問題,是 Shielded 端點處於未受保護狀態目前最常見的原因。這可能是由於先前與 Shield 功能結合的問題所導致 (即處理錯誤,導致完整清查在只收到最佳化庫存後才會失敗),或是未管理的使用者登入,導致未傳送任何清查。
一旦用戶端通訊和清查資料處理問題等原因都已消除,伺服器受保護狀態計算就會發生問題。下圖顯示判斷有 Shield 的端點是否受到保護的程序。
圖 4:(僅英文) 故障診斷工作流程
下圖顯示主控台的位置,以尋找解決上述程序流程中之問題的必要資訊:
- SDE 是否已啟用?確定設備是否受保護的第一步是是否啟用了 SDE 或設備加密。若要判斷是否已啟用,請開啟遠端管理主控台,登入並前往相關端點詳細資料頁面上詳細資料與動作標籤的狀態區段。
圖 5:(僅英文)裝置資料加密開啟
上方反白顯示的裝置資料加密開啟欄位會顯示 SDE 原則啟用的時間。如果欄位有日期和時間, SDE 是否已啟用? 為 是。如果欄位沒有日期和時間,如上圖所示,答案為 「否」。
- SDE 是否加密?如果已啟用 SDE 或裝置加密,則受保護計算的下一個步驟是判斷 SDE 是否已加密。您可以使用相關端點的端點詳細資料頁面上詳細資料與動作標籤狀態區段的資訊來判斷。
圖 6:(僅英文) 掃掠開始及掃掠完成
上方以橘色方塊反白顯示的掃掠開始和「掃掠完成」欄位分別顯示 SDE/裝置掃掠開始和結束的時間。如果兩個欄位都有日期和時間,且掃掠開始時間是比掃掠完成時間更之前或同一時間,則「SDE 是否已啟用?」為「是」。否則,答案是「否」,且裝置已判定為處於不受保護的狀態。
- 是否有為任何使用者啟用使用者加密?- 如果 SDE 加密已停用,或已啟用並加密,則下一個步驟是判斷是否已為在端點上已啟用的任何使用者啟用使用者加密。您可以使用相關端點的端點詳細資料頁面上使用者標籤的資訊來判斷。
圖 7:(僅英文) 使用者資料加密開啟
使用者標籤會顯示在端點上已啟用的每位使用者。上方以橘色方塊反白顯示的使用者資料加密開啟欄位顯示針對每位特定使用者啟用使用者加密原則的時間。如果此欄位有任何已啟用使用者的日期和時間 (如上圖所示),則「是否有為任何使用者啟用使用者加密?」問題的答案為「是」。如果此欄位沒有任何已啟用使用者的日期和時間,則答案為 「否」, 且端點會判斷為處於受保護狀態。
- 是否有為上一個驗證的使用者啟用使用者加密?- 如果已為端點上任何已啟用使用者啟用使用者加密,則受保護計算的下一部分是判斷最新驗證的使用者是否已啟用使用者加密。您可以使用相關端點的端點詳細資料頁面上使用者標籤的資訊來判斷。
圖 8:(僅英文) 上次成功登入
使用者標籤會顯示在端點上已啟用的每位使用者。上方以橘色方塊反白顯示的上次成功登入欄位以上方橘色方塊反白顯示特定使用者上次成功登入 Shield 的時間。如果具有最新上次成功登入時間的使用者在使用者資料加密開啟欄位中也有一個時間 (如上圖所示),則「是否有為上一個驗證的使用者啟用使用者加密?」問題的答案為「是」。如果具有最新上次成功登入時間的使用者在「使用者資料加密開啟」欄位中沒有時間,則答案為 「否」。
- 上一個驗證的使用者是否已加密?如果上一個驗證的使用者已啟用加密,則程序會移至上一個步驟,檢查該使用者是否 已加密。您可以使用相關端點的端點詳細資料頁面上使用者標籤上一個驗證的使用者的資訊來判斷。
圖 9:(僅英文) 上次加密掃掠開始
上方以橘色方塊反白顯示的上次加密掃掠開始和掃掠結束欄位分別顯示使用者掃掠開始和結束的時間。如果兩個欄位都有日期和時間,且 上次加密掃掠開始 時間是比掃掠 完成 時間更之前或同一時間,則 上一個驗證的使用者是否已加密? 問題的答案為 是,且 裝置已判定為處於受保護的狀態。否則,答案是「否」,且裝置已判定為處於不受保護的狀態。
沒有任何記錄訊息可協助判斷受保護工作流程中的哪個步驟會導致裝置進入不受保護的狀態。檢閱「識別受保護狀態計算問題」一節,以判斷工作流程的哪個步驟導致端點顯示為不受保護。
下表包含多個常見受保護狀態計算問題的解決方案。
- 請先將登錄備份再繼續,並參閱如何在 Windows
中備份及還原登錄。
- 編輯登錄可能會導致電腦在下次重新開機時沒有回應。
- 如果您對執行此步驟有任何疑慮,請聯絡 Dell Data Security 國際支援電話號碼以取得協助。
| 問題 | 解決方案 |
|---|---|
| 已填入「裝置資料加密開啟」欄位,但是沒有「掃掠開始」或「掃掠完成」時間 | 如果裝置資料加密已開啟,但沒有掃掠時間,則通常表示在有 Shield 的端點上有安裝自我加密磁碟機 (SED)。根據預設,當 SED 存在時,Shield 不會套用 SDE 規則。發生此問題時,Shield 記錄中會顯示下列訊息: 「封鎖/停用 SDE 原則,因為 FVE 已啟用/進行中,或是電腦上有 SED。」 若要允許 Shield 套用 SDE,即使已有 SED,請新增下列登錄檔值,然後將端點重新開機。由 Shield 擷取設定後,SDE 掃掠就會開始。 組態設定 |
| 裝置/SDE 掃掠完成時間為空白,且掃掠開始時間不斷更新。 | 裝置/SDE 掃掠開始時間持續更新通常代表兩件事之一:
|
| 遠端管理主控台中的裝置/SDE 或使用者掃掠尚未完成,但本機主控台顯示掃掠在使用者登入端點時已完成。 | 如果伺服器上的掃掠未完成,且端點未顯示正在進行掃掠,通常可以執行下列一或多個步驟來解決此問題:
組態設定
|
如要聯絡支援部門,請參閱 Dell Data Security 國際支援電話號碼。
請前往 TechDirect,以線上產生技術支援要求。
如需更多深入見解與資源,請加入 Dell 安全性社群論壇。