Como usar a ferramenta Dell Encryption LSARecoveryDecrypt

Summary: Este artigo descreve em quais situações você deve usar a ferramenta LSARecoveryDecrypt para gerar as chaves de registro ou os arquivos em lotes adequados para ativar ou desativar uma das alterações de configuração. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Produtos afetados:

  • Dell Encryption Enterprise
  • Dell Encryption Personal
  • Dell Encryption External Media

Versões afetadas:

  • v10.9 e posteriores

É possível usar a ferramenta LSARecoveryDecrypt para recriar a lista de serviços ativos no momento da inicialização que o Shield mantém para se proteger contra injeções de serviço off-line. Também é possível usar a ferramenta LSARecoveryDecrypt para ativar ou desativar o monitoramento de serviço (SRVMONFF).

Cenários que podem ocorrer:

  • O computador para de responder durante a inicialização com: Stop 0xB4 VIDEO_DRIVER_INIT_FAILURE e tem o Dell Encryption Enterprise, Personal ou External Media instalado.
  • Durante o processo de inicialização, o computador pode apresentar um problema e parar de responder com um código de parada Bug Check 0xB4: VIDEO_DRIVER_INIT_FAILURE isso indica que o computador não consegue carregar um driver de vídeo apropriado durante a inicialização.

O Dell Encryption mantém uma lista de serviços ativos para evitar que os serviços sejam injetados off-line. Quando o computador é inicializado, a lista de serviços ativos é comparada com a lista da inicialização anterior em busca de diferenças, e os serviços que parecerem ter sido instalados de maneira suspeita poderão ser impedidos de iniciar.

Nesse caso, o driver de registro do Dell Encryption está impedindo que o driver de vídeo TSDD da Microsoft seja iniciado porque ele acredita que o serviço seja mal-intencionado.

Nota: Caso você esteja enfrentando esse problema em vários computadores, entre em contato com o Suporte Dell para ajudar a evitar que o problema ocorra e obter qualquer assistência necessária na recuperação de computadores afetados.
Advertência: A próxima etapa é uma edição do Registro do Windows:

Possível solução temporária:

Caso o computador esteja somente no modo Dell Encryption External Media, talvez seja possível inicializar o computador no WinPE e renomear o driver C:\windows\system32\drivers\cmgffe.sys e, assim, o dispositivo poderá inicializar novamente no Windows para que a chave de registro abaixo possa ser aplicada para corrigir o problema.

Aviso:
  • Enquanto o driver é renomeado, os arquivos copiados na mídia externa não são criptografados.
  • A renomeação do driver é apenas uma etapa temporária para que seja possível inicializar o computador no Windows e aplicar a chave de registro gerada abaixo.

Etapas de recuperação:

Para que o computador inicialize corretamente mais uma vez, é necessário remover e recriar a lista de serviços ativos durante o tempo de inicialização. Também é necessário criar uma chave de registro criptografada usando a ferramenta abaixo e aplicá-la ao computador.

A LSARecoveryDecrypt ferramenta pode ser usada para reconstruir a lista de serviços ativas no momento da inicialização que o Dell Encryption mantém. Às vezes, a lista de serviços ativos não corresponde à lista de serviços registrada anteriormente, e o Dell Encryption acredita que os serviços podem ter sido injetados off-line. Isso pode fazer com que o computador pare de responder com o código 0xb4, VIDEO_DRIVER_INIT_FAILURE.

Para obter a ferramenta LSARecoveryDecrypt.exe, entre em contato com o Suporte de segurança de dados da Dell.

Um pacote de recuperação para o endpoint é baixado do servidor, juntamente à senha do pacote, para gerar as entradas corretas do registro pela ferramenta LSARecoveryDecrypt.

  1. Copie a ferramenta LSARecoveryDecrypt.exe em um computador que já tenha o Dell Encryption instalado. O computador que gera a chave de registro deve ter o Dell Encryption instalado porque é necessário ter o driver do Dell Encryption para gerar a chave de registro.
  2. No Dell Security Management Server, faça download do .exe do pacote LSARecovery para o endpoint cuja lista de serviços deve ser recriada.
  3. Copie-o na pasta onde está o LSARecoveryDecryptTool.exe.
  4. Abra um prompt de comando no modo administrador. Navegue até onde está a pasta LSA.

Para reconstruir a lista de serviços a partir do Windows:

Siga estas etapas caso você consiga inicializar o computador afetado no Windows. Essa linha de comando cria um arquivo.reg para uso se o computador afetado ainda puder inicializar no Windows.

A chave de registro criada com esse comando pode ser importada do Windows. Na próxima reinicialização, a lista de serviços que o CMG mantém será recriada.

LSARecoveryDecrypt [-f ] -p  -RebuildServiceList -OnlineRegEntry -d
Nota: O seguinte comando cria um arquivo.reg chamado rebuildservicelist.reg na pasta C:\LSA que pode ser importado usando regedit para o computador afetado a partir do Windows. Após a importação do arquivo e a reinicialização do computador, a lista de serviços que o Dell Encryption mantém será recriada, e o computador deve ser inicializado sem problemas. 
LSARecoveryDecrypt -f  -p  -RebuildServiceList -OnlineRegEntry -d C:\LSA\rebuildservicelist.reg

Para usar o arquivo .reg, clique duas vezes no arquivo gerado e permita o processamento da entrada.

Recupere e recrie a lista de serviços no WinPE:

Caso você esteja tentando recuperar um computador, mas só consiga inicializar no WinPE, use o comando abaixo que cria um arquivo em lotes para ser executado a partir do WinPE. Ele inserirá a chave de registro criptografada no hive adequado de registro para que a lista de serviços mantida pelo CMG seja recriada na próxima inicialização.

Essa linha de comando cria um arquivo .bat para uso no WinPE:

LSARecoveryDecrypt [-f ] -p  -RebuildServiceList -d
Nota: Isso cria um arquivo em lotes chamado rebuildlist.bat em C:\LSA que pode ser executado a partir do WinPE na máquina afetada para inserir a chave de registro e recriar a lista de serviços. Caso você tenha o driver C:\windows\system32\drivers\CMGFFE.sys renomeado de outro modo, deverá renomeá-lo como CMGFFE.sys para que isso entre em vigor na próxima inicialização. 
LSARecoveryDecrypt [-f  -p  -RebuildServiceList -d C:\LSA\rebuildlist.bat

Para usar o arquivo .bat, copie o arquivo em uma localização a que o WinPE tenha acesso. Inicialize no WinPE. Execute o arquivo .bat com um argumento, o caminho para o hive de registro SYSTEM. Geralmente, ele é c:\windows\system32\config\SYSTEM.

Nota: A letra da unidade pode mudar no WinPE; portanto, examine as unidades para encontrar a letra correta da unidade.

Você pode usar o utilitário diskpart para ver uma lista das letras de volume da unidade e o tamanho delas, digitando list vol no prompt diskpart.

Em ambos os casos, reinicialize o computador e a lista de serviços ativos será recriada e deverá ser inicializada novamente sem problemas.

Para entrar em contato com o suporte, consulte Números de telefone do suporte internacional do Dell Data Security.
Acesse o TechDirect para gerar uma solicitação de suporte técnico on-line.
Para obter insights e recursos adicionais, participe do Fórum da comunidade de segurança da Dell.

Affected Products

Dell Encryption
Article Properties
Article Number: 000204606
Article Type: How To
Last Modified: 02 Oct 2023
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.