跳转至主要内容
  • 快速、轻松地下订单
  • 查看订单并跟踪您的发货状态
  • 创建并访问您的产品列表

如何使用 Dell Data Security 的 WSScan

摘要: 您可以根據以下說明,在 Dell Data Security 應用程式上執行 WSScan。

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。

症状

Windows 系統掃描 (WSScan.exe) 是 Dell Data Security (之前稱為 Dell Data Protection) 所使用的工具,用於判斷哪些檔案與資料夾已使用資料中心加密進行加密。


受影響的產品:

Dell Encryption Enterprise
Dell Data Protection | Enterprise Edition
Dell Encryption Personal
Dell Data Protection | Personal Edition
Dell Encryption External Media
Dell Data Protection | External Media Edition
Dell Data Protection | Server Encryption

受影響的作業系統:

Windows


WSScan 可在執行下列項目的端點上使用:

  • Dell Encryption Enterprise (先前稱為 Dell Data Protection | Enterprise Edition)
  • Dell Encryption Personal (先前稱為 Data Protection | Enterprise Edition for Mac)
  • Dell Encryption Enterprise for Server (先前稱為 Dell Data Protection | Server Encryption)
  • Dell Encryption External Media (先前稱為 Dell Data Protection | External Media Edition)

這些 Dell Data Security 應用程式會在每個至少有一個加密檔案的資料夾中建立名為 CREDDB.cef 及/或 CREDDB2.cef (v8.16 後) 的檔案。WSScan 會搜尋包含 CREDDB.cef 及/或 CREDDB2.cef 的檔案目錄以判斷:

  • Dell Data Security 在該目錄中加密了哪些檔案?
  • 檔案使用哪種加密類型?
  • 與加密檔案相關聯的金鑰是什麼?
  • 檔案加密使用哪種加密密碼?

原因

不適用。

解决方案

按一下執行分析 WSScan,以獲得更多資訊。

WSScan 可透過使用者介面 (UI) 或命令行介面 (CLI) 切換。如需詳細資訊,請按一下適當的方法。

UI
注意:必須有管理員權限,才能執行 WSScan

若要執行 WSScan

  1. C:\Program Files\Dell\Dell Data Protection\Encryption.按兩下 WSScan.exe

WSScan.exe

注意:如果在安裝期間修改了產品路徑,目錄可能會有所不同。
  1. 如果已啟用使用者帳戶控制 (UAC),請按一下,然後前往步驟 3。若未啟用 UAC,請前往步驟 3。

使用者帳戶控制提示

  1. 您可以選擇性地將要搜尋的磁碟機類型變更為:
    • 固定式磁碟機 = 電腦內部磁碟區
    • 抽取式磁碟機 = 電腦外部磁碟區
    • 所有磁碟機 = 固定式和抽取式磁碟機
    • CDROMS/DVDROMS

要搜尋的磁碟機類型

  1. 您可以選擇性地將加密報告類型變更為:
    • 加密的檔案
    • 未加密的檔案
    • 所有檔案 = 加密與未加密
    • 違規的未加密檔案 = 應加密的檔案

加密報告類型

注意:僅版本 8.10 或更新版本可使用加密報告類型
  1. 按一下搜尋以啟動掃描。

搜尋

注意:
  • 使用者可以按一下停止搜尋以停止掃描。
  • 使用者可以按一下清除 以從 WSScan UI 移除搜尋結果。這些結果仍會顯示於 WSScan 報告中。
CLI
 
注意:必須有管理員權限,才能執行 WSScan
 
掃描參數 用途
-ta 掃描所有磁碟機
-tf 掃描所有固定式磁碟機。若未定義則會使用預設值
-tr 掃描所有可移除媒體
-tc 掃描 CD/DVD ROM 磁碟機
[DIRECTORY] 掃描指定的目錄。使用引號 ("") 包含名稱具有空格的目錄。
-x[DIRECTORY] 從掃描中排除目錄。允許排除多個目錄。
-s 以無聲模式執行掃描
-y 掃描在目錄間的睡眠時間 (以毫秒為單位)。這會導致掃描較慢,但提供較快的 CPU 回應速度。
 
報告參數 用途
-u 報告已加密和未加密的檔案
-u- 報告未加密的檔案
-ua 報告已加密檔案和未加密的檔案 (含加密驗證)
-ua- 報告未加密的檔案 (含加密驗證)
-uv 報告違反原則的未加密檔案
-uav 使用所有使用者原則,報告違反原則的未加密檔案
 
輸出參數 用途
-o[DIRECTORY] 指定輸出報告位置。副檔名必須是 .cmg、.csv、.txt 或 .log。若未定義參數,則會使用預設的 %TEMP%\WSScan.log
-a 附加至先前建立的輸出報告 (若有)。
-f[FORMAT] 輸出報告格式 (報告/固定/分隔)。若未定義參數,則會使用預設的「報告」。
-d 指定分隔報告的分隔值
-q 指定應在分隔報告中使用引號包含的值
-e 包含分隔報告的延伸加密欄位。
 

範例 #1

WSScan.exe -x"%SYSTEMROOT%" -x"C:\Program Files" -s -o" C:\Reports\WSScan_Output.txt" -fFixed

範例 #1 包含:

  • 安裝程式 = WSScan.exe
  • 無聲模式安裝 = 是
  • 已掃描目錄 = 所有固定式磁碟機
    • 由於未定義,而使用預設值。
  • 排除目錄 = 是
    • %SYSTEMROOT% (C:\Windows)
    • C:\Program Files
  • 報告資料 = 已加密檔案
    • 由於未定義,而使用預設值
  • 輸出報告 = C:\Reports\WSScan_Output.txt
  • 覆寫先前的輸出 (若適用) = 是
    • 由於未定義,而使用預設值。
  • 報告格式 = 固定

範例 #2

WSScan.exe "%USERPROFILE%" -s uv -a

範例 #2 包含:

  • 安裝程式 = WSScan.exe
  • 無聲模式安裝 = 是
  • 已掃描目錄 = %USERPROFILE% (C:\Users\[USERNAME])
  • 排除目錄 = 否
    • 由於未定義,而使用預設值
  • 報告資料 = 未加密
    • 由於未定義,而使用預設值
  • 覆寫先前的輸出 (若適用) = 否
  • 輸出報告 = %Temp%
    • 由於未定義,而使用預設值
  • 報告格式 = 報告
    • 由於未定義,而使用預設值

範例 #3

WSScan.exe -tr -ua -s -o"%USERPROFILE%\desktop\Media_Scan.cmg"

範例 #3 包含:

  • 安裝程式 = WSScan.exe
  • 無聲模式安裝 = 是
  • 已掃描目錄 = 所有可移除媒體
  • 排除目錄 = 否
    • 由於未定義,而使用預設值
  • 報告資料 = 已加密和未加密檔案,含加密驗證。
  • 覆寫先前的輸出 (若適用) = 是
    • 由於未定義,而使用預設值
  • 輸出報告 = %USERPROFILE%\desktop\Media_Scan.cmg
    • (C:\Users\[ActiveUser]\desktop\Media_Scan.cmg)
  • 報告格式 = 報告
    • 由於未定義,而使用預設值

使用者可透過以下方式分析 WSScan 結果:

  • WSScan 使用者介面 (UI)
  • WSScan.log,預設位於 %temp%
注意:WSScan.log 的輸出位置可在 WSScan UI 的進階功能表中變更。

範例 WSScan UI 輸出:

範例 WSScan UI 輸出

以下為 WSScan 輸出中的一行:

WSScan 範例行

掃描時間

WSScan 掃描檔案的時間。

金鑰

根據原則的設定,資料中心可以包含五種類型的金鑰:

  • SDE Key

這是在「固定磁碟」原則下加密的檔案。此金鑰會在開機期間解除鎖定。我們藉由驗證硬體設定檔,並驗證某些作業系統檔案的檢查總和來解除鎖定此金鑰,以避免遭到駭客入侵。每個磁碟分割都會指派與相同 SDE 套裝綁定的金鑰電腦 ID (KCID)。

WSScan 中的 SDE 金鑰範例如下:
[2015-08-28 14:01:48] SysData.1gx8z64b._SDENCR_: "C:\Windows\Web\Wallpaper\Theme2\img7.jpg" is still AES256 encrypted.

  • SDUser

這是在經過驗證的使用者登入時解除鎖定的 SDE 子金鑰。這和 Common 的處理方式及解除鎖定的方式類似。也就是說,除非有使用者以互動方式登入電腦,否則將無法開啟任何使用者在「我的文件」資料夾中由 SDE 加密的檔案。屬於此定義的檔案會標示為 SDUSER 加密。若未受管理使用者的「我的文件」資料夾,或所有使用者的「我的文件」資料夾,如果原則為僅 SDE,則應用 SDUSER。雖然這個名稱可以解釋為正在使用使用者加密,但並不是。

WSScan 中的 SDUser 金鑰範例:
[2015-08-28 14:00:25] User.1gx8z64b._SDUSER_: "C:\Users\Public\Documents\desktop.ini" is still AES256 encrypted

  • Common

當受管理的使用者成功驗證至端點時,即會解除鎖定 Common 金鑰。受管理用戶是指已成功啟動 Dell Data Security 產品的使用者。僅會存在一個 Common 金鑰。

WSScan 中的 Common 金鑰範例:
[2015-08-28 15:17:19] Common.G4FHL19J._DEVICE_: "C:\Users\UserName\Desktop\Access Encrypted Files (Mac).dmg" is still AES256 encrypted.

  • User

當受特定管理的使用者成功驗證至端點時,即會解除鎖定 User 金鑰。只有該特定使用者能存取受其 User 金鑰保護的檔案。User 金鑰已填入 UID。

WSScan 中的 User 金鑰範例:
[2015-08-28 15:17:19] User.G4FHL19J.4N5A97MG: "C:\Users\UserName\Desktop\Test.txt" is still AES256 encrypted.

  • UserRoaming

當特定使用者成功驗證至裝置時,即會解除鎖定 UserRoaming 金鑰。與 User 金鑰不同的是,UserRomaing 金鑰可用於多個端點。UserRoaming 金鑰已填入 UID。

[2015-08-28 15:17:19] UserRoaming.X8FDSH9A.5D4VHGN2: "E:\Sample\Example.docx" is still AES256 encrypted

DCID

裝置電腦 ID。這是 Dell Security Management Server 指派給獨特機器 ID (MCID) 的 ID。

注意:使用 WSScan 掃描對應的網路磁碟時,不會填入 DCID。

UID

受管理使用者的使用者 ID。UID 是與特定使用者的 UserRoaming 或使用者金鑰相關聯的唯一識別符。

加密類型

用於加密檔案的演算法。資料中心加密可使用:

  • RIJNDAEL 128
    • 在用戶端 v8.6.1 已過時
  • RIJNDAEL 256
    • 在用戶端 v8.6.1 已過時
  • AES 128
  • AES 256
  • 3DES
    • 在用戶端 v8.0 已過時

如要聯絡支援部門,請參閱 Dell Data Security 國際支援電話號碼
請前往 TechDirect,以線上產生技術支援要求。
如需更多深入見解與資源,請加入 Dell 安全性社群論壇

其他信息

 

视频

 

受影响的产品

Dell Encryption
文章属性
文章编号: 000131891
文章类型: Solution
上次修改时间: 19 12月 2022
版本:  11
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。