Dell Encryption LSARecoveryDecryptツールの使用方法
Summary: この記事では、LSARecoveryDecryptツールを使用して適切なレジストリー キーまたはバッチ ファイルを生成して、構成の変更のいずれかを有効または無効にする必要がある状況について説明します。
Instructions
対象製品:
- Dell Encryption Enterprise
- Dell Encryption Personal
- Dell Encryption External Media
影響を受けるバージョン:
- v10.9以降
このLSARecoveryDecryptツールを使用すると、Shieldが維持するアクティブなサービス リストを起動時に再構築し、オフライン サービス インジェクションから保護することができます。このLSARecoveryDecryptツールを使用して、サービス モニタリング(SRVMONFF)を有効または無効にすることもできます。
発生する可能性のある状況:
- コンピュータが起動中に応答を停止します。「Stop 0xB4 VIDEO_DRIVER_INIT_FAILURE」で応答を停止し、Dell Encryption Enterprise、Personal、またはExternal Mediaがインストールされています。
- 起動プロセス中に、コンピューターに問題が発生し、コンピューターがSTOPコード「Bug Check 0xB4: VIDEO_DRIVER_INIT_FAILUREは、起動中にコンピューターが適切なディスプレイ ドライバーをロードできないことを示します。
Dell Encryptionは、アクティブなサービスのリストを維持して、サービスがオフラインで注入されるのを防ぎます。コンピューターが起動すると、アクティブなサービスのリストと前回の起動のリストの違いが比較され、不審にインストールされたと思われるサービスが起動からブロックされる場合があります。
この例では、Dell Encryptionレジストリー ドライバーは、Microsoft TSDDディスプレイ ドライバーが悪意のあるサービスであると判断して、その起動を妨げています。
- 続行する前に、レジストリーをバックアップします。「 Windows
でレジストリーをバックアップおよび復元する方法 」を参照してください。
- レジストリーを編集すると、次回の再起動時にコンピューターが応答しなくなる可能性があります。
- この手順の実行について懸念がある場合は、「デル データ セキュリティのインターナショナル サポート電話番号」にお問い合わせください。
考えられる解決策:
コンピューターがDell Encryption External Mediaモードのみの場合は、コンピューターをWinPEで起動し、C:\windows\system32\drivers\cmgffe.sysドライバーの名前を変更すると、デバイスがWindowsで再び起動し、以下のregkeyを適用して問題を解決できる場合があります。
- ドライバーの名前を変更している間は、外部メディアにコピーされたファイルは暗号化されません。
- ドライバーの名前を変更することは、以下で生成されるレジストリー キーを適用するためにコンピューターをWindowsに再起動するための一時的な処置にすぎません。
リカバリー手順:
コンピューターを再び正常に起動するには、起動時にアクティブなサービス リストをクリアし、再構築する必要があります。暗号化されたレジストリー キーを下記のツールで作成し、コンピューターに適用する必要があります。
この LSARecoveryDecrypt ツールを使用すると、Dell Encryption が維持する起動時にアクティブなサービスリストを再構築できます。アクティブなサービス リストが以前に記録されたサービス リストと一致しない場合があり、Dell Encryptionは、サービスがオフラインで注入された可能性があると考えています。これにより、コンピューターが「0xb4、VIDEO_DRIVER_INIT_FAILURE」で応答しなくなる可能性があります。
LSARecoveryDecrypt.exeツールを入手するには、Dell Data Securityサポートにお問い合わせください。
LSARecoveryDecryptツールで正しいレジストリー エントリーを生成するために、バンドル用のパスワードとともにサーバーからダウンロードされるエンドポイント用のリカバリー バンドル。
- LSARecoveryDecrypt.exeツールを、Dell Encryptionがすでにインストールされているコンピューターにコピーします。レジストリー キーの生成にはDell Encryptionドライバーが必要なため、レジストリー キーを生成するコンピューターにはDell Encryptionがインストールされている必要があります。
- サービス リストの再構築が必要なエンドポイント用に、Dell Security Management Serverから
LSARecoveryバンドルをダウンロードします。 - LSARecoveryDecryptTool.exeが存在するフォルダーにこのバンドルをコピーします。
- admin cmdプロンプトを開きます。LSAフォルダーが存在する場所に移動します。
Windows内からサービス リストを再構築するには、次の手順を実行します。
対象となるコンピューターをWindowsで起動できる場合は、これらの手順を使用してください。このコマンド ラインは、影響を受けるコンピューターがWindowsを起動できる場合に使用する.regファイルを作成します。
このコマンドを使用して作成されたregkeyは、Windows内からインポートできます。次回の再起動時に、CMGが保持するサービス リストが再構築されます。
LSARecoveryDecrypt [-f ] -p -RebuildServiceList -OnlineRegEntry -d
LSARecoveryDecrypt -f -p -RebuildServiceList -OnlineRegEntry -d C:\LSA\rebuildservicelist.reg
.regファイルを使用するには、生成されたファイルをダブルクリックし、エントリーを処理させます。
WinPEからのサービス リストのリカバリーと再構築:
コンピューターを回復させようとしているが、WinPEしか起動できない場合は、WinPEから実行するバッチ ファイルを作成する次のコマンドを使用します。このコマンドは、暗号化されたregkeyを適切なレジストリー ハイブに挿入し、CMGが維持するサービス リストが次回の起動時に再構築されるようにします。
このコマンド ラインは、WinPEで使用するための.batファイルを作成します。
LSARecoveryDecrypt [-f ] -p -RebuildServiceList -d
LSARecoveryDecrypt [-f -p -RebuildServiceList -d C:\LSA\rebuildlist.bat
.batファイルを使用するには、WinPEがアクセスできる場所にファイルをコピーします。WinPEを起動します。.batファイルに1つの引数(SYSTEMレジストリー ハイブへのパス)を指定して実行します。これは通常、c:\windows\system32\config\SYSTEMです。
diskpartユーティリティーを使用して、diskpartプロンプトでlist volと入力すると、ドライブのボリューム文字とそのサイズの一覧を表示できます。
どちらの場合も、コンピューターを再起動すると、アクティブなサービス リストが再構築され、問題なく再び起動するはずです。
サポートに問い合わせるには、「Dell Data Securityのインターナショナル サポート電話番号」を参照してください。
TechDirectにアクセスして、テクニカル サポート リクエストをオンラインで生成します。
さらに詳しい情報やリソースについては、「デル セキュリティ コミュニティー フォーラム」に参加してください。