Fejlfinding af beskyttelsesstatus for afskærmning

Summary: Oversigt over den beskyttede beregning for afskærmning, og hvordan du identificerer årsagen til, at en enhed vises som ubeskyttet.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Berørte produkter:

  • Dell Encryption
  • Dell Security Management Server
  • Dell Security Management Server Virtual
  • Dell Data Protection | Encryption
  • Dell Data Protection | Enterprise Edition
  • Dell Data Protection | Virtual Edition

Sådan identificerer du, hvorfor et slutpunkt ikke vises som beskyttet i Dell Security Management Server (tidligere Dell Data Protection | Enterprise Edition) konsol, skal vi bestemme, hvilken type problem slutpunktet har. Generelt er der tre typer problemer, der medfører, at et slutpunkt ikke vises beskyttet:

  1. Problemer med klientkommunikation – f.eks. forkert Shield-konfiguration, restriktive firewallregler og forkert konfigureret DNS.
  2. Problemer med behandling af lagerbeholdning på serversiden – f.eks. fejl i lageranalyse, fejl i databaseindstillinger og kommunikationsproblemer mellem tjenester.
  3. Problemer med beregning af beskyttet status – f.eks. manglende eller ufuldstændig enheds oprydningstider, manglende eller ufuldstændige oprydningstider for brugere samt opdaterede eller forkerte politikker

Problemer med klientkommunikation

En af de mest almindelige årsager til, at et slutpunkt ikke vises beskyttet, er en fejl i skjoldet, når der kommunikeres til Policy Proxy-tjenesten. Dette skyldes ofte forkert konfiguration på afskærmningen eller en fejl i Policy Proxy-tjenesten.

Den hurtigste måde at identificere et kommunikationsproblem på er via Remote Management Console fra afsnittet Tilstande under fanen Detaljer og handlinger på siden med slutpunktsoplysninger. Sådan går du til afsnittet Tilstande fra loginsiden til Remote Management Console:

  1. Klik på linket Populationer .
  2. Klik på linket Slutpunkter .
  3. Fra afsnittet Slutpunkter skal du klikke på linket for det pågældende specifikke slutpunkt.

Oplysninger om slutpunkt
Figur 1: (Kun på engelsk) Oplysninger om slutpunkt

  1. Fra den specifikke slutpunktsside skal du klikke på fanen Detaljer og handlinger.
  2. Rul ned under fanen Detaljer og handlinger til afsnittet Stater .

Lagerbeholdning modtaget
Figur 2: (Kun på engelsk) Lagerbeholdning modtaget

Feltet Lager modtaget, fremhævet ovenfor, angiver sidste gang, at en lagerbeholdning blev modtaget fra klienten og indsat i databaselagerkøtabellen til behandling. Hvis der ikke er nogen dato til stede, eller en dato er til stede, og den ikke er aktuel, er der sandsynligvis et problem med kommunikationen mellem skjoldet og Policy Proxy-tjenesten.

Følgende eksempler viser et undersæt af logmeddelelser for en vellykket kommunikation fra Skjoldet til Policy Proxy-tjenesten og en mislykket kommunikation fra Shield til Policy Proxy-tjenesten. Disse eksempler er ikke omfattende og er inkluderet for at hjælpe med at give et udgangspunkt, hvor man kan begynde at undersøge kommunikationsproblemer fra klientsiden. Afskærmningsloggen er som standard på C:\ProgramData\Dell\dell data protection\Encryption\CMGShield.log.

Vellykket kommunikation

Følgende meddelelser er en del af det sæt meddelelser, der sendes til skjoldloggen under en vellykket kommunikation med Policy Proxy.

PolicyGrabber: 680 H] Upload Inventory: Begin

PolicyGrabber: 755 H] Upload Inventory: Contacting GK at Host = serverName, IP = serverIP, Port = 8000

CMLNetEx: 118 I] Connect - Connected to host successfully

PolicyGrabber: 929 H] Upload Inventory: done (Result = 1).

Mislykket kommunikation

Følgende Shield-logmeddelelser er eksempler på mislykkede forsøg.

PolicyGrabber: 420 I] Policy Poll: Begin

PolicyGrabber: 451 H] Policy Poll: Attempt to contact Gatekeeper at Host = serverName, IP = serverIP, Port = 8001

CMLNetEx: 81 E] Connection to the host failed. (error = 10060)

PolicyGrabber: 512 I] Policy Poll: Attempt 1 of 3 to connect and retrieve policy FAILED.

CMLNetEx: 81 E] Connection to the host failed. (error = 10060)

PolicyGrabber: 512 I] Policy Poll: Attempt 2 of 3 to connect and retrieve policy FAILED.

CMLNetEx: 81 E] Connection to the host failed. (error = 10060)

PolicyGrabber: 512 I] Policy Poll: Attempt 3 of 3 to connect and retrieve policy FAILED.

Den mest almindelige årsag til kommunikationsproblemer mellem skjoldet og Policy Proxy-tjenesten er forkert konfiguration af afskærmningen. Følgende indstillinger for afskærmningen konfigureres ved installationen og er standardindstillingerne, som styrer den server og port, som afskærmningen opretter forbindelse til for at sende lageroplysninger. Disse indstillinger er ikke omfattende og kan afhængigt af opsætningen af miljøet muligvis ikke ændre den placering, som afskærmningen forsøger at oprette forbindelse til. Hvis eksempelindstillingerne er korrekte, eller hvis det ikke løser problemet at ændre dem, skal du kontakte Dell Data Security ProSupport.

Standardkonfigurationsindstillinger

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGshield]
"GK"="serverName"
"GKPort"=dword:00001f40

Problemer med behandling af lagerbeholdning på serversiden

En anden mindre almindelig årsag til, at et slutpunkt ikke vises beskyttet, er en fejl på Dell Security Management Server under behandling af de lagerdata, der leveres af afskærmningen. Dette kan skyldes beskadigelse under overførsel, et uventet tegn i XML-lagerdataene eller en fejl i kommunikationen med SQL.

På samme måde som et kommunikationsproblem er den hurtigste måde at identificere et lagerbehandlingsproblem på via Remote Management Console fra afsnittet Tilstande under fanen Detaljer og handlinger på siden med slutpunktsdetaljer.

Oplysninger om slutpunkt
Figur 3: (Kun på engelsk) Oplysninger om slutpunkt

Feltet Lager behandlet, som er fremhævet ovenfor, angiver sidste gang, et lager fra klienten blev behandlet, og den database, der opdateres for at afspejle slutpunktets aktuelle tilstand. Hvis der ikke er nogen dato til stede, eller en dato er til stede, og den ikke er aktuel, og der er en aktuel dato i feltet Lager modtaget , er der sandsynligvis et problem med behandlingen af slutpunktets lager.

Følgende eksempler viser et undersæt af logmeddelelser fra Core Server-tjenestelogfilerne, der angiver lagerbehandlingsfejl. Disse eksempler er ikke omfattende og er medtaget for at hjælpe med at give et udgangspunkt, hvor man kan begynde at undersøge behandlingsproblemer fra serversiden. Den aktuelle Core Server-tjenestelog skrives som standard til C:\Programmer\Dell\Enterprise Edition\Core Server\Logs\output.log.

ERROR INVENTORY [75] - Error updating user shield state

ERROR INVENTORY [75] - Error updating device shield state

ERROR INVENTORY [75] - Error updating device entity data.

ERROR INVENTORY [75] - Error updating shield entity data.

På grund af de mange forskellige og komplekse problemer, der kan opstå, er der ingen fælles løsninger, der løser en stor procentdel af behandlingsproblemer. Hvis der er mistanke om et problem med lagerbehandling, skal du kontakte Dell Data Security ProSupport.

Problemer med beregning af beskyttet status

Problemer med beregningen af beskyttet status er langt den mest almindelige årsag til, at et afskærmet slutpunkt er i ubeskyttet tilstand. Dette kan være resultatet af tidligere problemer, der kombineres med Shield-funktioner (dvs. en behandlingsfejl, der får en fuld lagerbeholdning til at mislykkes efter kun at have modtaget optimerede lagerbeholdninger), eller en ikke-administreret bruger, der er logget ind, hvilket resulterer i, at der ikke sendes nogen lagerbeholdning.

Når både klientkommunikations- og lagerdatabehandlingsproblemer er blevet elimineret som årsager, efterlader det et problem med beregningen af serverens beskyttede status. Processen til bestemmelse af, om et afskærmet slutpunkt er beskyttet eller ej, vises på følgende billede.

Fejlfinding af workflow
Figur 4: (Kun på engelsk) Fejlfinding af workflow

Følgende billeder viser placeringen i konsollen for at finde de oplysninger, der er nødvendige for at besvare spørgsmålene i procesforløbet ovenfor:

  1. Er SDE aktiveret? - Det første trin i at afgøre, om en enhed er beskyttet, er, om SDE eller enhedskryptering er aktiveret. For at finde ud af, om den er aktiveret, skal du åbne Remote Management Console, logge ind og gå til sektionen Tilstande under fanen Detaljer og handlinger på siden med slutpunktsoplysninger for det pågældende slutpunkt.

Enhedsdatakryptering slået til
Figur 5: (Kun på engelsk) Enhedsdatakryptering slået til

Feltet Enhedsdatakryptering til , der er fremhævet ovenfor, viser det tidspunkt, hvor SDE-politikken blev aktiveret. Hvis feltet har en dato og et klokkeslæt, er SDE så aktiveret? er Ja. Hvis feltet ikke har en dato og et klokkeslæt, som på billedet ovenfor, er svaret Nej.

  1. Er SDE krypteret? - Hvis SDE eller enhedskryptering er aktiveret, er næste trin i den beskyttede beregning at afgøre, om SDE er krypteret. Dette kan bestemmes ved hjælp af oplysninger fra afsnittet Tilstande under fanen Detaljer og handlinger på siden med slutpunktsoplysninger for det pågældende slutpunkt.

Oprydning startet og oprydning fuldført
Figur 6: (Kun på engelsk) Oprydning startet og oprydning fuldført

Felterne Oprydning påbegyndt og Oprydning fuldført, fremhævet med en orange boks ovenfor, viser de tidspunkter, hvor henholdsvis SDE/enhedsoprydningen begyndte og sluttede. Hvis begge felter har en dato og et klokkeslæt, og tidspunktet for Oprydning i gang er før eller samme tidspunkt som tidspunktet for Oprydning fuldført, er "Er SDE aktiveret" "Ja". Ellers er svaret 'Nej', og enheden bestemmes til at være i den ikke-beskyttede tilstand.

  1. Er brugerkryptering aktiveret for enhver bruger? - Hvis SDE-kryptering er deaktiveret, eller hvis den er aktiveret og krypteret, er næste trin at afgøre, om brugerkryptering er aktiveret for enhver bruger, der har aktiveret på slutpunktet. Dette kan bestemmes ved hjælp af oplysninger fra fanen Brugere på siden med slutpunktsoplysninger for det pågældende slutpunkt.

Kryptering af brugerdata slået til
Figur 7: (Kun på engelsk) Kryptering af brugerdata slået til

Fanen Brugere viser alle brugere, der er aktiveret på slutpunktet. Feltet Brugerdatakryptering til , fremhævet med en orange boks ovenfor, viser det tidspunkt, hvor politikken Brugerkryptering blev aktiveret for hver enkelt bruger. Hvis feltet har en dato og et klokkeslæt for en aktiveret bruger, som på billedet ovenfor, er svaret på spørgsmålet "Er brugerkryptering aktiveret for enhver bruger?" 'Ja'. Hvis feltet ikke har en dato og et klokkeslæt for en aktiveret bruger, er svaret Nej, og slutpunktet bestemmes til at være i beskyttet tilstand.

  1. Er brugerkryptering aktiveret for den sidst godkendte bruger? - Hvis brugerkryptering er aktiveret for en aktiveret bruger på slutpunktet, er den næste del af den beskyttede beregning at afgøre, om den seneste godkendte bruger har aktiveret brugerkryptering. Dette kan bestemmes ved hjælp af oplysningerne under fanen Brugere på siden med slutpunktsoplysninger for det pågældende slutpunkt.

Sidste vellykkede logon
Figur 8: (Kun på engelsk) Sidste vellykkede logon

Fanen Brugere viser alle brugere, der er aktiveret på slutpunktet. Feltet Sidste vellykket login , fremhævet med en orange boks ovenfor, viser sidste gang, hvor den specifikke bruger loggede ind på skjoldet. Hvis brugeren med det seneste tidspunkt for sidste vellykkede login også har et tidspunkt i feltet Brugerdatakrypteringtil, som på billedet ovenfor, og svaret på spørgsmålet Er brugerkryptering aktiveret for den sidst godkendte bruger?Ja. Hvis brugeren med det seneste tidspunkt for sidste vellykkede login ikke har et tidspunkt i feltet Brugerdatakryptering til, og svaret er Nej.

  1. Er den sidst godkendte bruger krypteret? - Hvis den sidst godkendte bruger havde kryptering, der er aktiveret, går processen til det sidste trin og kontrollerer, om brugeren er krypteret. Dette kan bestemmes ved hjælp af de oplysninger, der findes for den sidst godkendte bruger under fanen Brugere på siden med slutpunktsoplysninger for det pågældende slutpunkt.

Seneste start på oprydning af kryptering
Figur 9: (Kun på engelsk) Seneste start på oprydning af kryptering

Felterne Sidste oprydning for kryptering ogOprydning slut, fremhævet med en orange boks ovenfor, viser de tidspunkter, hvor henholdsvis brugeroprydningen begyndte og sluttede. Hvis begge felter har en dato og et klokkeslæt, og tidspunktet for sidste oprydningstidspunkt for kryptering er før eller samme tidspunkt som tidspunktet for oprydning fuldført, er svaret på spørgsmålet Er den sidst godkendte bruger krypteret?Ja , og det bestemmes, at enheden er i beskyttet tilstand. Ellers er svaret 'Nej', og enheden bestemmes til at være i ikke-beskyttet tilstand.

Der er ingen logmeddelelser, der hjælper med at bestemme, hvilket trin i den beskyttede arbejdsgang der får enheden til at blive sat i den ikke-beskyttede tilstand. Læs afsnittet Identificering af et problem med beregning af beskyttet status for at finde ud af, hvilket trin i arbejdsprocessen der forårsagede, at slutpunktet blev vist som ikke beskyttet.

Følgende tabel indeholder flere løsninger på almindelige problemer med beregning af beskyttet status.

Advarsel: Det næste trin er en redigering af Windows-registreringsdatabasen:
Problem Løsning
Feltet Device Data Encryption On er udfyldt, men der er ikke tidspunktet Oprydning påbegyndt eller Oprydning fuldført

Hvis kryptering af enhedsdata er slået til, men der ikke er nogen oprydningstider, er det ofte en indikator for, at der er installeret et selvkrypterende drev (SED) på det afskærmede slutpunkt. Afskærmningen anvender som standard ikke SDE-regler, når der er en SED til stede. Følgende meddelelser findes i skjoldlogfilerne, når dette problem opstår:

"Blokering/deaktivering af SDE-politikker, fordi FVE enten er aktiveret/i gang, eller fordi der er en SED på computeren."

... En af diskene er en SED.

Hvis du vil tillade, at afskærmningen anvender SDE, selv når der findes en SED, skal du tilføje følgende registreringsdatabaseværdi og genstarte slutpunktet. Når indstillingen registreres af skjoldet, starter SDE-oprydningen.

Konfigurationsindstillinger
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield]
"AlwaysApplySDE"=dword:00000001
Enhedens oprydningstidspunkt er tomt, og oprydningstidspunktet opdateres konstant.

Starttidspunktet for enhed/SDE-oprydning, der konstant opdateres, angiver typisk en af to ting:

  1. En af reglerne i politikken SDE-krypteringsregler indeholder en brugermiljøvariabel, f.eks. %env:userprofile%. Dette medfører en oprydning, fordi værdien af variablen ændres, hver gang en bruger logger på og vises som en politikændring af skjoldet. Du kan rette dette ved at opdatere krypteringsreglen, så den refererer til mappen på en måde, der ikke omfatter brugermiljøvariablen.
  2. Sikkerhedspolitikken Scan arbejdsstation ved logon er aktiveret. Denne politik tvinger skjoldet til at udføre en oprydning, hver gang der registreres et brugerlogin.
En enhed/SDE- eller brugeroprydning er ikke fuldført i fjernadministrationskonsollen, men den lokale konsol viser, at oprydningen fuldføres, når brugeren er logget på slutpunktet.

Når en oprydning ikke er fuldført på serveren, og slutpunktet ikke viser en igangværende oprydning, kan problemet typisk løses ved at udføre et eller flere af følgende trin:

  1. Gennemtving en fuld lageroverførsel til serveren ved at tilføje følgende indstillinger i registreringsdatabasen i nedenstående rækkefølge. Den første gennemtvinger, at der sendes en fuld lagerbeholdning, og værdien fjernes, når lageroverførslen finder sted. Den anden gennemtvinger en lageroverførsel til serveren, og værdien ændres til 0, når overførslen har fundet sted.

Konfigurationsindstillinger
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGshield]
"RefreshInventory"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Credant\CMGShield\Notify]
"PingProxy"=dword:00000001

  1. Genskab oprydningscachedataene ved at udføre følgende trin:
    1. Lav en kopi af mappen C:\ProgramData\Dell\dell data protection\Encryption\CMGData.
    2. Slet indholdet af den oprindelige CMGDATA-mappe.
    3. Åbn en kommandoprompt, og kør følgende kommando fra mappen "C:\Programmer\Dell\Dell Data Protection\Encryption".

WSProbe.exe c:\

For at kontakte support kan du bruge internationale supporttelefonnumre til Dell Data Security.
Gå til TechDirect for at oprette en anmodning om teknisk support online.
Hvis du vil have yderligere indsigt og ressourcer, skal du tilmelde dig Dell Security Community-forummet.

Additional Information

 

Videos

 

Affected Products

Dell Encryption
Article Properties
Article Number: 000124735
Article Type: How To
Last Modified: 08 May 2024
Version:  8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.