Dell Encryption管理対象デバイスの暗号化ステータスを確認する方法

DellのPolicy-Based Encryptionの保護ステータスの計算は、デバイスとPC上のユーザーの両方の「スイープ状態」に基づいています。保護ステータスの計算方法の詳細については、「Shield保護ステータスのトラブルシューティング（英語）」を参照してください。

デバイスの暗号化ステータスのデータは、主にレジストリー内のエンドポイントにローカルに保存されます。Policy-Based Encryptionのデータに使用される主な場所は、HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShieldです。ステータスを識別するためのプライマリー キーは次のとおりです。

• DCID（これはリカバリーIDでもあります）：デバイスがアクティブ化されていることを示すキー。
• GKPort（デフォルト8000）：ポリシー アップデートに使用されるポートを制御するためのキー。
• GK：チェックイン サーバーを制御するためのキー。
• サーバー：元のアクティベーション サーバーのキー。

デバイスのアクティベーション ステータスを確認するには、デバイスでクエリーを実行して、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\RSSTの内容を確認します。このレジストリー キー内では、複数のキーによりデバイスのステータスが詳細に示されます。

• _DEVICE_ - デバイスのアクティベーション ステータスです。正の整数はアクティベーション済みのデバイスです。
• _INVALID_ - これが存在する場合、ログインしているユーザーはアクティベーションされていません。
• <RandomCharacters> :User Credant Identifier (UCID)がこの場所にあります。この値が存在し、 1に設定されている場合、その特定のユーザーはアクティブ化されており、 デバイス リース期間内です。デバイス リース期間は、Dell Security Management Serverを定義するポリシーで、デフォルト値は30日です。

デバイスの現在の暗号化スイープ状態に関する情報は、レジストリー キーHKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGshield\SweepTimes内にあります。このキーの値はさまざまであり、一意のユーザー ベースの識別子を使用して、各ユーザーのスイープ状態が決定されます。あるデバイスからの例を以下に示します。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CMGShield\SweepTimes]
"_SDENCR_SweepStop"=dword:00000001
"9P18NZD1SweepStop"=dword:00000001
"AllSweepsCompleted"=dword:00000001
"AllSweepsCompletedInXDays"=dword:00000001
"LastUpdate"="20180409 162157"

これらのキーの詳細と、その意味と使用方法は次のとおりです。

• _SDENCR_SweepStop
  • 値0は、System Data Encryptionキーに影響を与える暗号化スイープが進行中であることを示します。
  • 値1は、すべてのSystem Data Encryptionスイープが完了したことを示します。
• 9P18NZD1SweepStop
  • ランダムに生成される8文字は、特定のユーザーの識別子です。
  • このキーを0に設定すると、識別子が関連付けられているユーザーに対してスイープが処理中であることを示します。
  • 1に設定すると、CommonまたはUser Encryptionキーに関連するスイープがこのエンドポイントで完了していることを示します。
• AllSweepsCompleted
  • 0に設定すると、CommonまたはUser Encryptionキーに影響するアクティブな暗号化スイープがあることを示します。
  • 1に設定すると、CommonまたはUser Encryptionキーに関連するスイープがこのエンドポイントで完了していることを示します。
• AllSweepsCompletedinXDays
  • 0に設定すると、Dell Security Management Server（DSMS）で定義されたデバイス リース期間内にログインしたすべてのユーザーに対する暗号化スイープが完了していないことを示します。
  • 1に設定すると、定義されたデバイス リース期間内にログインしたすべてのユーザーに対して暗号化スイープが完了します。

• LastUpdate - このレジストリー エントリー内のデバイスのスイープ状態の更新について、内部データベースがポーリングされた最後の時刻です。

Dell Encryption Self-Encrypting Drive ManagerおよびDell Full Disk Encryptionは、ディスクの暗号化率とディスクに存在する起動前認証（PBA）環境の検証に基づく情報を収集します。これらの値はレジストリー内に格納され、 HKLM\SYSTEM\CurrentControlSet\Services\DellMgmtAgent\ParametersおよびHKLM\Software\Dell\Dell Data Protection\にあります。

デバイスの保護ステータスは、ディスクの暗号化率に基づいて決定されます。この処理はすべてローカルで実行され、定期的なポーリング間隔でサーバーに配信されます。

エージェントのアクティベーション ステータスを確認するには、エージェントIDレジストリー キーを確認します。キーが入力された場合、デバイスは正常に登録されています。

HKLM\Software\Dell\Dell Data Protection\
REG_SZ: AgentID
Value: <populated>

エンドポイントで起動前認証環境（PBA）が有効になっているかどうかを確認するには、次のIsPBAActiveレジストリー キーを確認します。

HKLM\SYSTEM\CurrentControlSet\Services\DellMgmtAgent\Parameters
DWORD: IsPBAActive
Value: 1 (1 is enabled, 0 or not present means no PBA)

インストールされている製品のバージョンを確認するには、次のレジストリー キーを確認します。

HKLM\Software\Dell\Dell Data Protection\Branding
REG_SZ: EE
Value: <version #>

エージェントのバージョン情報は、次の方法で収集することもできます。 wmic 次のコマンドを使用して呼び出します。

Wmic path win32_product where (caption like '%%Dell Encryption%%') get version

結果は次のように表示されます。

図1: (英語のみ)型 Wmic path win32_product where (caption like '%%Dell Encryption%%') get version

Dellフル ディスク暗号化の暗号化率情報は、レジストリーを介してクエリーできません。この情報は、デバッグ ログが有効になっている場合、DellAgent.log（C:\ProgramData\Dell\Dell Data Protection\に格納）内に入力されます。Dell Full Disk Encryptionのデバッグ ログを有効にするには、「Dell Encryption EnterpriseおよびDell Encryption Personalでログを増やす方法（英語）」を参照してください。

ログ行の例：

YYYY.MM.DD HH:MM:SS.MMM [ProcessID] (ThreadID) T FDE : SetEncryptionInfo - Set EncryptionPercentage to <Percentage>

Dell BitLocker Managerは、ディスクの暗号化率と、管理対象ボリュームごとに存在するキー保護機能の検証に基づいて情報を収集します。このデータは、コマンドラインが manage-bde コマンド、または PowerShell コマンド get-bitlockervolume」

デバイスの保護ステータスは、ディスクの暗号化率に基づいて決定されます。この処理はエンドポイントに対してローカルで実行され、定期的なポーリング間隔でサーバーに配信されます。

Disk volumes that can be protected with
BitLocker Drive Encryption:
Volume C: []
[OS Volume]

Size: 59.40 GB
BitLocker Version: None
Conversion Status: Fully Decrypted
Percentage Encrypted: 0.0%
Encryption Method: None
Protection Status: Protection Off
Lock Status: Unlocked
Identification Field: None
Key Protectors: None Found

Disk volumes that can be protected with
BitLocker Drive Encryption:
Volume C: []
[OS Volume]

Size: 59.40 GB
BitLocker Version: 2.0
Conversion Status: Used Space Only Encrypted
Percentage Encrypted: 100.0%
Encryption Method: XTS-AES 256
Protection Status: Protection On
Lock Status: Unlocked
Identification Field: Unknown
Key Protectors: TPM, Numerical Password

ComputerName: DESKTOP-T46E07P
MountPoint: C:
EncryptionMethod: None
AutoUnlockEnabled:
AutoUnlockKeyStored:
MetadataVersion: 0
VolumeStatus: FullyDecrypted
ProtectionStatus: Off
LockStatus: Unlocked
EncryptionPercentage: 0
WipePercentage: 0
VolumeType: OperatingSystem
CapacityGB: 59.39843
KeyProtector: {}

ComputerName: DESKTOP-T46E07P
MountPoint: C:
EncryptionMethod: XtsAes256
AutoUnlockEnabled:
AutoUnlockKeyStored: False
MetadataVersion: 2
VolumeStatus: FullyEncrypted
ProtectionStatus: On
LockStatus: Unlocked
EncryptionPercentage: 100
WipePercentage: 0
VolumeType: OperatingSystem
CapacityGB: 59.39843
KeyProtector: {Tpm, RecoveryPassword}