Solución de problemas del cifrado de disco duro

Solución de problemas del cifrado de disco duro



En este artículo se ofrece información sobre cómo solucionar problemas con el cifrado de disco duro.


Índice:

  1. ¿Qué es el cifrado de disco duro?
  2. Cifrado de hardware frente al cifrado de software
  3. ¿Qué es TPM?
  4. FDE (cifrado de disco completo)
  5. ¿Qué es Bitlocker?
  6. Cifrado de discos duros FDE de formato avanzado 512e (4K)
  7. Disco duro no reconocido por el software de cifrado
  8. Problemas previos al arranque
  9. El sistema no se inicia después de agregar un software de cifrado de terceros.
  10. Cifrado y reinstalación del sistema operativo
  11. Contraseñas o claves de cifrado perdidas

1. ¿Qué es el cifrado de disco duro?

El cifrado de disco duro es un proceso en el que los datos del disco, o todo el disco, se convierten en un código no legible mediante algoritmos matemáticos, por lo que usuarios no autorizados no pueden acceder a estos. El usuario debe proporcionar una contraseña, huella dactilar o tarjeta inteligente para tener acceso a un disco cifrado. El cifrado puede ser realizado por medio de un software o mecanismos del hardware. En el mundo del cliente, lidiamos con el cifrado de software la mayoría del tiempo. El cifrado puede ser a nivel de archivo, o bien, en todo el disco duro.

Volver al principio


2. Cifrado de hardware frente al cifrado de software

La diferencia principal entre el cifrado de software y de hardware es que el registro de inicio maestro (MBR) no se puede cifrar mediante un mecanismo de cifrado de software. Los sistemas clientes de Dell utilizan Wave Trusted Drive Manager como parte de la protección de datos de Dell o de la serie Dell ControlPoint Security Manager en conjunto con el chip de TPM para cifrado basado en software, con el que los clientes empresariales pueden usar el cifrado de protección de datos de Dell y un módulo acelerador de DDPE que se utiliza en una ranura de la tarjeta madre a través de minitarjetas para equipos portátiles o una tarjeta PCIe en sistemas de escritorio. El cifrado de hardware es más seguro porque aísla el disco de la CPU y SO, lo que la hace mucho menos vulnerables a los ataques.

Volver al principio


3. Qué es TPM

Un TPM (Módulo de plataforma de confianza) es un microprocesador criptográfico en la tarjeta madre que almacena y autentica la(s) clave(s) de cifrado del disco, que a su vez, vincula el disco al sistema. Esto significa que si el disco cifrado es robado desde el equipo y se coloca en otro sistema, la unidad no será accesible. El chip TPM actúa como "puerta" hacia el disco. La desventaja principal del uso del chip TPM en un esquema de cifrado es que si la tarjeta madre requiere sustitución, es posible que el disco ya no sea accesible para el usuario. Sin embargo, Wave Trusted Drive Manager evita este problema al mantener las claves de cifrado también en el disco duro. (Esto es similar a que no se pierdan los arreglos RAID cuando se reemplaza una tarjeta madre. La información del arreglo se mantiene en la banda del disco y en la controladora RAID EPROM).

Volver al principio


4. FDE (cifrado de disco completo)

El cifrado de disco completo significa simplemente que se puede cifrar todo el disco (cada sector) en vez de solo los archivos, carpetas o sistemas de archivo. Los discos duros FDE se está convirtiendo en el estándar en los sistemas portátiles debido a la alta posibilidad del robo o pérdida del sistema. El término "cifrado de disco completo" fue originalmente acuñado por Seagate, pero ahora es un término de la industria para todos los discos duros que pueden cifrarse por completo. Las funciones de seguridad de los discos duros FDE siempre están encendidas y actúan como un disco duro normal hasta que se implementan las políticas de seguridad.

Una pregunta muy común que se plantea es si el software de cifrado de Wave Trusted Drive Manager puede utilizarse en un disco duro que no sea de FDE para asegurar todo el disco. La respuesta es no. Wave Trusted Drive Manager requiere un disco FDE. Se pueden utilizar mecanismos de cifrado de software, como por ejemplo Windows Bitlocker, para cifrar volúmenes en los discos que no son FDE utilizando el chip de TPM o una clave USB, pero no el bootstrap del SO (sector de inicio) del disco duro.

Para obtener acceso a los contenidos de un disco duro completamente cifrado mediante Wave Trusted Drive Manager, se utiliza la autenticación previa al inicio para que se pueda acceder a los sectores que contienen el sistema operativo y los datos de usuario. En los sistemas de cliente que utilizan DADP, la configuración de autenticación previa al inicio la administra el software de Wave dentro de DADP\DCPSM.

Volver al principio


5. ¿Qué es Bitlocker?

BitLocker es una función cifrado de disco completo disponible en Windows 7 y solo disponible en las ediciones Enterprise y Ultimate. Puede utilizar BitLocker To Go para ayudarle a proteger todos los archivos almacenados en los discos de datos extraíbles (como, por ejemplo, los discos duros externos o unidades flash USB).

A diferencia de Trusted Drive Manager, estos discos no necesitan ser unidades FDE, pero Bitlocker solo puede cifrar volúmenes y no el volumen de inicio. Los discos cifrados con BitLocker pueden ser desbloqueados con inicio previo mediante una contraseña o tarjeta inteligente en conjunto con TPM. Para que se pueda acceder a BitLocker mediante un mecanismo previo al inicio, la BIOS debe ser capaz de leer una clave USB en el inicio y 2 particiones deben estar presentes, con una partición de la unidad del sistema de al menos 100 megabytes y establecida como la partición activa. La partición del sistema operativo se cifrará y la partición del sistema permanecerá sin cifrar para que el equipo pueda iniciarse.

El TPM no es necesario para el uso de BitLocker, pero se recomienda para una mayor seguridad del mecanismo previo al inicio. Las actualizaciones de Windows no requieren la desactivación de BitLocker, pero es posible que otras actualizaciones si lo hagan. Al igual que otras aplicaciones de cifrado, es recomendable que se almacene una clave de recuperación (PIN) en un medio extraíble u otra ubicación segura. Si el usuario no tiene su PIN de recuperación, no hay forma de desbloquear la unidad. Si el sistema no puede iniciarse para llegar a la consola de recuperación de BitLocker, o si el disco duro falla, BitLocker Repair Tool (la herramienta de reparación de BitLocker) se puede descargar y extraer a una clave iniciable o CD para recuperar los datos de la unidad. Debe tener el PIN para acceder a los datos.

Si el usuario está en un dominio mediante Active Directory y su administrador configura BitLocker, es posible que el pin se almacenara en Active Directory, por lo que se debe consultar con el departamento de TI.

Volver al principio


6. Cifrado discos duros FDE de formato avanzado 512e (4K).

Un disco duro de 512e (4K), o de formato avanzado, implica que los sectores individuales del disco cambiaron de 512 bytes a 4.096 bytes (4K). La primera generación de discos duros de formato avanzado realiza esto al tomar sectores de 8 a 512 bytes y combinarlos en un único sector de 4.096 bytes. En el caso de los sistemas de Dell, el término 512e (emulación) proviene de utilizar los mecanismos de conversión dentro del firmware del disco duro para simular la apariencia del sector de 4.096 para los componentes heredados y el software que está esperando sectores de 512 bytes. Todas las lecturas o escrituras en discos duros de formato avanzado de 512e se llevan a cabo en incrementos de 512 bytes, pero en un ciclo lectura, todos los 4.096 se cargan en la memoria. Es por esto que los discos duros de 512e deben estar alineados. Si la alineación del disco no se realiza, el rendimiento puede verse severamente afectado. Los discos duros actuales adquiridos con uno de los sistemas de Dell ya vienen alineados.

Para detectar si el sistema tiene un disco de formato avanzado (512e), descargue la herramienta de detección Advanced Format HDD (disco duro de formato avanzado). 

La alineación de la partición es necesaria para los sistemas operativos más antiguos y se recomienda para sistemas operativos nuevos, a fin de asegurar el rendimiento apropiado y la creación de imagen del disco duro entre discos duros con tamaños de sectores diferentes.

La alineación del disco se puede realizar con una variedad de herramientas que se pueden descargar desde el sitio de soporte de Dell Drivers & Downloads (Controladores y descargas) para el sistema en la sección de unidades SATA.

Volver al principio


7. Disco duro no reconocido por el software de cifrado.

Para Trusted Drive Manager de Wave, el disco debe tener ser un cifrado de disco duro completo (FDE) y el funcionamiento SATA se debe establecer para ATA\AHCI\IRRT y no RAID On\RAID. Este puede ser el caso con los programas de cifrado de terceros.

Consulte con el fabricante los requisitos de configuración de la BIOS.

Compruebe la alineación del disco si se está utilizando una imagen del sistema operativo, especialmente en Windows XP. Asegúrese de que todas las actualizaciones se han aplicado a la imagen antes del cifrado.

Si se utiliza software de cifrado de terceros, consulte con el proveedor para asegurarse de que el software funciona con el hardware en el sistema, así como la BIOS UEFI (Unified Extensible Firmware Interface).

Volver al principio


8. Problemas previos al inicio.

  • Si el usuario experimenta problemas con la autenticación de la BIOS previa al inicio, revise qué mecanismo de autenticación están utilizando: contraseña, huella digital o tarjeta inteligente.
  • Para las contraseñas, asegúrese de que se está utilizando la contraseña correcta y compruebe que las teclas Bloq Mayús y Bloq Num están correctamente ajustadas.
  • Si se está utilizando la huella digital, asegúrese de que están usando el dedo correcto y que no lo desliza demasiado rápido. 3 deslizamientos incorrectos puede desencadenar la petición de la contraseña.
  • Para las tarjetas inteligentes, asegúrese de que se está usando la tarjeta correcta y de que se inserta correctamente, y verifique si esta tiene daños. Pruebe con otra tarjeta si es posible.
  • Si está en un dominio, asegúrese de que no han cambiado a inicio de sesión local. Deben utilizar las mismas credenciales que cuando se creó el cifrado.
  • Si el usuario indica que la autenticación previa al inicio no está funcionando en un reinicio, compruebe la BIOS para asegurarse de que la desviación de contraseña no está activada. Esta característica no estaba funcionando en la versiones de BIOS anteriores, pero ya se solucionó. Asegúrese de que el cliente está utilizando la BIOS más reciente.
  • Si el usuario perdió su contraseña o ya no es un empleado, no hay forma de que Dell pueda recuperar la contraseña para el cifrado de Trusted Drive Manager. Para las aplicaciones de terceros, consulte dicho proveedor para obtener soporte.

Volver al principio


9. El sistema no se inicia después de agregar un software de cifrado de terceros.

Encienda el sistema y presione la tecla F12 durante el proceso de inicio para ir al menú de inicio de la BIOS. Es posible que sea necesario pulsar repetidamente la tecla durante el proceso de inicio para hacer que la BIOS reconozca la tecla en el momento correcto. Use las teclas de flecha arriba y abajo para seleccionar (Diagnósticos) en el menú y presione la tecla Entrar.

Se ejecutan los diagnósticos de evaluación mejorados previos al inicio del sistema (ePSA) para asegurarse de que el disco duro no está en un estado defectuoso y no ha informado errores. Si tiene un disco duro de formato avanzado (512e), asegúrese de que el disco está correctamente alineado antes de realizar el cifrado.

Consulte con el proveedor externo para obtener las opciones de recuperación. La mayoría de las compañías tiene una herramienta de recuperación que el usuario puede cargar a una llave iniciable o un CD. También consulte el sitio web del proveedor para obtener información sobre los problemas de la plataforma del sistema en caso de que haya problemas con este software en particular de este modelo de equipo.

Volver al principio


10. Cifrado y reinstalación del sistema operativo.

Si el sistema operativo se daña en un disco duro cifrado y requiere la reinstalación, existe la posibilidad de que debido a que el disco duro se encuentra en un estado de bloqueo, el disco de instalación de Windows no lo reconozca. Para los discos cifrados de Trusted Drive Manager de Wave, el disco debe estar desbloqueado antes realizar la reinstalación del sistema operativo.

Consulte los documentos de soporte del sitio Wave que explican cómo desbloquear la unidad antes de la reinstalación aquí.

Para el software de cifrado de terceros, póngase en contacto con el proveedor para obtener el procedimiento correcto antes de intentar realizar la reinstalación.

 

Volver al principio


11. Contraseñas o claves de cifrado pérdidas.

Si un usuario perdió su contraseña de mecanismo previo al inicio, su clave de cifrado o si un usuario final dejó la compañía, la mayoría de los proveedores de cifrado de aplicaciones proporcionan un mecanismo a prueba de fallos para la recuperación. Debido a las políticas de datos estándar de la industria, el cliente debe iniciar el mecanismo de recuperación. Esto generalmente se realiza al guardar la contraseña o clave en el almacenamiento extraíble o una ubicación de la red. Si se implementó el cifrado de disco completo y el usuario perdió la contraseña o clave, Dell no podrá ayudarlo a recuperar la contraseña o clave de la unidad. El usuario requerirá un disco duro de reemplazo en este caso. Este problema queda fuera del alcance de la garantía, ya que el cifrado funciona según lo diseñado y protege los datos contra intromisiones. El reemplazo de la unidad quedará a cargo del usuario. Wave puede ayudarle con problemas de nombre de usuario.  El usuario debe tener la contraseña para que Wave lo ayude con los nombres de usuario que olvidó. Si el usuario ha olvidado, perdido, o no tiene su contraseña, lamentablemente Wave no puede prestar ayuda.

Si los pasos anteriores no resuelven el problema, póngase en contacto con el Soporte técnico de Dell para obtener soporte.

Volver al principio





Article ID: SLN155364

Last Date Modified: 06/02/2019 13:14


Rate this article

Accurate
Useful
Easy to understand
Was this article helpful?
Yes No
Send us feedback
Comments cannot contain these special characters: <>()\
Sorry, our feedback system is currently down. Please try again later.

Thank you for your feedback.