如何使用 Dell Encryption LSARecoveryDecrypt 工具

Summary: 本文介绍以下内容:在哪些情况下,您必须使用 LSARecoveryDecrypt 工具生成相应的注册表项或批处理文件,以启用或禁用其中一个配置更改。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

受影响的产品:

  • Dell Encryption Enterprise
  • Dell Encryption Personal
  • Dell Encryption External Media

受影响的版本:

  • v10.9 及更高版本

LSARecoveryDecrypt 工具可用于在启动时重建活动服务列表,以供 Shield 维护以防离线服务注入。该 LSARecoveryDecrypt 工具还可用于启用或禁用 Service Monitoring (SRVMONFF)。

可能发生的场景:

  • 计算机在引导过程中停止响应,并显示:显示 Stop 0xB4 VIDEO_DRIVER_INIT_FAILURE 且已安装 Dell Encryption Enterprise、Personal 或 External Media。
  • 在启动过程中,计算机可能遇到问题,导致计算机停止响应,并显示停止代码 Bug Check 0xB4: VIDEO_DRIVER_INIT_FAILURE这表示计算机无法在引导过程中加载相应的显示驱动程序。

Dell Encryption 维护活动服务的列表,以防离线注入服务。当计算机启动时,将活动服务列表与上一次启动中的列表进行比较,以发现差异,并且似乎已可疑安装的服务可能会被阻止启动。

在这种情况下,Dell Encryption 注册表驱动程序阻止 Microsoft TSDD 显示驱动程序启动,因为它认为该服务是恶意的。

提醒:如果您在多台计算机上遇到此问题,请联系戴尔支持部门,以帮助防止问题发生,以及获得恢复受影响的计算机所需的任何帮助。
警告:下一步是 Windows 注册表编辑:

可能的解决方法:

如果计算机仅处于 Dell Encryption External Media 模式中,则可以将计算机引导至 WinPE,重命名 C:\windows\system32\drivers\cmgffe.sys 驱动程序,并且设备可以重新引导至 Windows,以便可以应用以下 regkey 来修复此问题。

注意:
  • 重命名驱动程序时,拷贝到外部介质的文件不会被加密。
  • 重命名驱动程序只是将计算机引导回 Windows 以应用下面生成的注册表项的临时步骤。

恢复步骤:

要使计算机再次正确启动,必须在启动期间清除并重建活动服务列表。必须使用下面的工具创建加密注册表项并将其应用于计算机。

LSARecoveryDecrypt 工具可用于在 Dell Encryption 维护引导时重建活动服务列表。有时,活动服务列表与之前记录的服务列表不匹配,Dell Encryption 认为服务可能已被离线注入。这可能会导致计算机停止响应并显示 0xb4, VIDEO_DRIVER_INIT_FAILURE

要获取 LSARecoveryDecrypt.exe 工具,请联系 Dell Data Security 支持。

从服务器下载的端点的恢复捆绑包以及捆绑包的密码,以便通过 LSARecoveryDecrypt 工具生成正确的注册表条目。

  1. 将 LSARecoveryDecrypt.exe 工具复制到已安装有 Dell Encryption 的计算机。生成注册表项的计算机必须已安装 Dell Encryption,因为需要 Dell Encryption 驱动程序才能生成注册表项。
  2. LSARecovery 从 Dell Security Management Server 下载必须重建服务列表的端点的捆绑包 exe。
  3. 将其复制到存在 LSARecoveryDecryptTool.exe 的文件夹中。
  4. 打开管理员 cmd 提示符。转到 LSA 文件夹所在的位置。

要从 Windows 中重建服务列表,请执行以下操作:

如果您可以将受影响的计算机引导至 Windows,请使用这些步骤。如果受影响的计算机仍可引导至 Windows,此命令行将创建.reg 文件以供使用。

可以从 Windows 中导入使用此命令创建的 regkey。在下次重新启动时,将重建 CMG 维护的服务列表。

LSARecoveryDecrypt [-f ] -p  -RebuildServiceList -OnlineRegEntry -d
提醒:以下命令会在 C:\LSA 文件夹中创建名为 rebuildservicelist.reg 的 .reg 文件,该文件夹可以使用 regedit 从 Windows 中导入到受影响的计算机。导入文件并重新启动计算机后,将重建 Dell Encryption 维护的服务列表,并且计算机应正常启动而不会出现问题。 
LSARecoveryDecrypt -f  -p  -RebuildServiceList -OnlineRegEntry -d C:\LSA\rebuildservicelist.reg

要使用 .reg 文件,请双击生成的文件,并允许处理该条目。

从 WinPE 恢复和重建服务列表:

如果您尝试恢复计算机,但只能引导至 WinPE,则使用以下命令创建要从 WinPE 运行的批处理文件。它将加密的 regkey 插入正确的注册表配置单元中,以便在下次启动时重建 CMG 维护的服务列表。

此命令行将创建一个 .bat 文件,以便在 WinPE 中使用:

LSARecoveryDecrypt [-f ] -p  -RebuildServiceList -d
提醒:这将在 C:\LSA 中创建名为 rebuildlist.bat 的批处理文件,该文件可从受影响机器上的 WinPE 内运行,以插入注册表项以重建服务列表。如果您有重命名为其他内容的 C:\windows\system32\drivers\CMGFFE.sys 驱动程序,则必须将其重命名回 CMGFFE.sys 才能在下次启动时生效。 
LSARecoveryDecrypt [-f  -p  -RebuildServiceList -d C:\LSA\rebuildlist.bat

要使用 .bat 文件,请将文件拷贝到 WinPE 有权访问的位置。启动至 WinPE。使用一个参数(即 SYSTEM registry hive 的路径)运行 .bat 文件。这通常是 c:\windows\system32\config\SYSTEM

提醒:WinPE 中的驱动器盘符可能会发生变化,因此请检查驱动器以找到正确的驱动器盘符。

您可以使用 diskpart 实用程序,通过在 diskpart 提示符处输入 list vol,查看驱动器卷号列表及其大小。

在这两种情况下,重新启动计算机,并重建活动服务列表,应再次启动,而不会出现问题。

要联系支持部门,请参阅 Dell Data Security 国际支持电话号码
转至 TechDirect,在线生成技术支持请求。
要获得更多见解和资源,请加入戴尔安全社区论坛

Affected Products

Dell Encryption
Article Properties
Article Number: 000204606
Article Type: How To
Last Modified: 02 Oct 2023
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.