Article Number: 000131891
如何将 WSScan 用于 Dell Data Security
Summary: 可以按照以下说明在 Dell Data Security 应用程序上运行 WSScan。
Article Content
Symptoms
Windows 系统扫描 (WSScan.exe) 是 Dell Data Security(以前称为 Dell Data Protection)用于确定哪些文件和文件夹使用了以数据为中心的加密进行加密的工具。
受影响的产品:
Dell Encryption Enterprise
Dell Data Protection | Enterprise Edition
Dell Encryption Personal
Dell Data Protection | Personal Edition
Dell Encryption External Media
Dell Data Protection | External Media Edition
Dell Data Protection | Server Encryption
受影响的操作系统:
Windows
WSScan 可用于运行以下产品的端点:
- Dell Encryption Enterprise(以前称为 Dell Data Protection | Enterprise Edition)
- Dell Encryption Personal(以前称为 Data Protection | Enterprise Edition for Mac)
- Dell Encryption Enterprise for Server(以前称为 Dell Data Protection | Server Encryption)
- Dell Encryption External Media(以前称为 Dell Data Protection | External Media Edition)
这些 Dell Data Security 应用程序在至少包含一个加密文件的每个文件夹中创建一个名为 CREDDB.cef 和/或 CREDDB2.cef (post v8.16) 的文件。WSScan 搜索包含 CREDDB.cef 和/或 CREDDB2.cef 的文件目录,以确定:
- Dell Data Security 在该目录中加密了哪些文件?
- 文件使用什么加密类型?
- 什么密钥与加密文件相关联?
- 文件使用什么加密密码进行加密?
Cause
不适用。
Resolution
单击 WSScan 的 Execution 或 Analysis 以了解更多信息。
可通过用户界面 (UI) 或命令行界面 (CLI) 开关来运行 WSScan。单击相应方法以了解更多信息。
提醒:需要管理员权限才能运行
WSScan。
要运行 WSScan:
- 双击
C:\Program Files\Dell\Dell Data Protection\Encryption中的WSScan.exe。
提醒:如果在安装过程中修改了产品路径,则目录可能会有所不同。
- 如果已启用用户帐户控制 (UAC),请单击 Yes,然后转至步骤 3。如果未启用 UAC,请转至步骤 3。
- (可选)将 Drive Types to Search 更改为以下任一选项:
- Fixed Drives = 计算机内部的卷
- Removable Drives = 计算机外部的卷
- All Drives = 固定和可移动驱动器
- CDROMS/DVDROMS
- (可选)将 Encryption Report Type 更改为:
- Encrypted Files
- Unencrypted Files
- All Files = 加密和未加密
- Unencrypted Files in Violation = 应加密的文件
提醒:加密报告类型仅在版本 8.10 或更高版本中可用。
- 单击 Search 开始扫描。
提醒:
- 用户可以单击 Stop Searching 以停止扫描。
- 用户可以单击 Clear 以从
WSScanUI 中删除搜索结果。这些结果在WSScan报告中仍然可用。
提醒:需要管理员权限才能运行
WSScan。
| 扫描参数 | 用途 |
|---|---|
-ta |
扫描所有驱动器 |
-tf |
扫描所有固定驱动器。如果未定义,则使用默认值 |
-tr |
扫描所有可移动介质 |
-tc |
扫描 CD/DVD ROM 驱动器 |
[DIRECTORY] |
扫描指定目录。用引号 ("") 将包含空格的目录括起来。 |
-x[DIRECTORY] |
从扫描中排除目录。允许多个排除的目录。 |
-s |
以无提示方式运行扫描 |
-y |
目录扫描之间的睡眠时间(以毫秒为单位)。导致扫描速度较慢,但 CPU 响应速度更快。 |
| 报告参数 | 用途 |
|---|---|
-u |
报告加密和未加密文件 |
-u- |
报告未加密文件 |
-ua |
报告加密文件和未加密文件(使用加密验证) |
-ua- |
报告未加密文件(使用加密验证) |
-uv |
报告未加密文件的策略违规 |
-uav |
使用所有用户策略报告未加密文件的策略违规 |
| 输出参数 | 用途 |
|---|---|
-o[DIRECTORY] |
指定输出报告位置。扩展名必须为 .cmg、.csv、.txt 或 .log。如果未定义参数,则默认为 %TEMP%\WSScan.log。 |
-a |
附加到之前创建的输出报告(如果可用)。 |
-f[FORMAT] |
输出报告格式(报告/固定/分隔)。如果未定义参数,则默认为“报告”。 |
-d |
指定分隔报告的值分隔符 |
-q |
指定分隔报告中应该用括号括起的值 |
-e |
在分隔报告中包括扩展的加密字段。 |
示例 1
WSScan.exe -x"%SYSTEMROOT%" -x"C:\Program Files" -s -o" C:\Reports\WSScan_Output.txt" -fFixed
示例 1 包含:
- 安装程序 =
WSScan.exe - 静默安装 = 是
- 扫描的目录 = 所有固定驱动器
- 因未定义,使用默认值。
- 排除的目录 = 是
%SYSTEMROOT% (C:\Windows)C:\Program Files
- 报告数据 = 加密文件
- 因未定义,使用默认值
- 输出报告 =
C:\Reports\WSScan_Output.txt - 覆盖以前的输出(如果适用)= 是
- 因未定义,使用默认值。
- 报告格式 = 固定
示例 2
WSScan.exe "%USERPROFILE%" -s uv -a
示例 2 包含:
- 安装程序 =
WSScan.exe - 静默安装 = 是
- 扫描的目录 =
%USERPROFILE% (C:\Users\[USERNAME]) - 排除的目录 = 否
- 因未定义,使用默认值
- 报告数据 = 未加密
- 因未定义,使用默认值
- 覆盖以前的输出(如果适用)= 否
- 输出报告 =
%Temp%- 因未定义,使用默认值
- 报告格式 = 报告
- 因未定义,使用默认值
示例#3
WSScan.exe -tr -ua -s -o"%USERPROFILE%\desktop\Media_Scan.cmg"
示例 3 包含:
- 安装程序 =
WSScan.exe - 静默安装 = 是
- 扫描的目录 = 所有可移动介质
- 排除的目录 = 否
- 因未定义,使用默认值
- 报告数据 = 使用加密验证的加密和未加密文件。
- 覆盖以前的输出(如果适用)= 是
- 因未定义,使用默认值
- 输出报告 =
%USERPROFILE%\desktop\Media_Scan.cmg(C:\Users\[ActiveUser]\desktop\Media_Scan.cmg)
- 报告格式 = 报告
- 因未定义,使用默认值
用户可以通过以下方法分析 WSScan 结果:
WSScan用户界面 (UI)WSScan.log(默认位于%temp%)
提醒:可以在
WSScan UI 的 Advanced 菜单中修改 WSScan.log 输出位置。
WSScan UI 输出示例:
以下是 WSScan 输出中的一行:
扫描时间
扫描 WSScan 文件的时间。
密钥
以数据为中心的加密可以包含五种类型的密钥,具体取决于策略的配置方式:
- SDE 密钥
这是一个在“固定磁盘”策略下加密的文件。此密钥在启动过程中解锁。我们通过验证硬件配置文件以及验证某些操作系统文件上的校验和来解锁此密钥,以防止黑客攻击。每个分区都分配有绑定到同一 SDE 捆绑包的密钥计算机 ID (KCID)。
WSScan 中的 SDE 密钥示例:[2015-08-28 14:01:48] SysData.1gx8z64b._SDENCR_: "C:\Windows\Web\Wallpaper\Theme2\img7.jpg" is still AES256 encrypted。
SDUser
这是经过验证的用户登录时解锁的 SDE 子密钥。它与 Common 密钥的处理方式和解锁方式类似。也就是说,除非有用户以交互方式登录到计算机,否则无法打开由 SDE 加密的任何用户的“我的文档”文件夹中的文件。属于此定义的文件标记为 SDUSER 加密。一定会使用 SDUSER 加密的情况包括,例如,策略为仅限 SDE 时非托管用户的“我的文档”文件夹或所有用户的“我的文档”文件夹。尽管可以将名称解读为表示用户加密正在发挥作用,但实际上不是。
WSScan 中的 SDUser 密钥示例:[2015-08-28 14:00:25] User.1gx8z64b._SDUSER_: "C:\Users\Public\Documents\desktop.ini" is still AES256 encrypted。
- Common
当托管用户成功向端点进行验证后,Common 密钥将被解锁。托管用户是已成功对 Dell Data Security 产品激活的用户。仅存在一个 Common 密钥。
WSScan 中的 Common 密钥示例:[2015-08-28 15:17:19] Common.G4FHL19J._DEVICE_: "C:\Users\UserName\Desktop\Access Encrypted Files (Mac).dmg" is still AES256 encrypted。
- 用户
当特定托管用户成功向端点进行验证后,User 密钥将被解锁。只有该特定用户有权访问使用其 User 密钥保护的文件。User 密钥填充了 UID。
WSScan 中的 User 密钥示例:[2015-08-28 15:17:19] User.G4FHL19J.4N5A97MG: "C:\Users\UserName\Desktop\Test.txt" is still AES256 encrypted。
- UserRoaming
当特定用户成功向设备进行验证后,UserRoaming 密钥将被解锁。与 User 密钥不同,UserRoaming 密钥可用于多个端点。UserRoaming 密钥填充了 UID。
[2015-08-28 15:17:19] UserRoaming.X8FDSH9A.5D4VHGN2: "E:\Sample\Example.docx" is still AES256 encrypted。
DCID
设备计算机 ID。这是 Dell Security Management Server 分配给唯一机器 ID (MCID) 的 ID。
提醒:使用
WSScan 扫描映射的网络驱动器时,未填充 DCID。
UID
托管用户的用户 ID。UID 是与特定用户的 UserRoaming 或 User 密钥相关联的唯一标识符。
加密类型
用于加密文件的算法。以数据为中心的加密可能使用:
RIJNDAEL 128- 自客户端 v8.6.1 起弃用
RIJNDAEL 256- 自客户端 v8.6.1 起弃用
AES 128AES 2563DES- 自客户端 v8.0 起弃用
要联系支持部门,请参阅 Dell Data Security 国际支持电话号码。
转至 TechDirect,在线生成技术支持请求。
要获得更多见解和资源,请加入戴尔安全社区论坛。
Additional Information
Videos
Article Properties
Affected Product
Dell Encryption
Last Published Date
19 Dec 2022
Version
11
Article Type
Solution