Odstraňování problémů se šifrováním pevného disku
Shrnutí: Tento článek obsahuje informace o šifrování pevného disku spolu s vysvětlením nástroje BitLocker a postupem odstraňování problémů souvisejících se šifrováním pevného disku v počítači Dell. ...
Pokyny
Obsah:
- Co je to šifrování pevného disku?
- Hardwarové šifrování ve srovnání se softwarovým šifrováním
- Co je čip TPM?
- Full Disk Encryption (FDE)
- Co je nástroj BitLocker?
- Šifrování pevných disků s pokročilým formátováním 512e (4K) FDE
- Pevný disk nebyl šifrovacím softwarem rozpoznán
- Problémy před spuštěním systému
- Systém se po přidání šifrovacího softwaru jiného výrobce nespustí
- Šifrování a přeinstalace operačního systému
- Ztracená hesla nebo šifrovací klíč
1. Co je to šifrování pevného disku?
Šifrování pevného disku je proces, při kterém se data na disku nebo celé jednotce převedou pomocí matematických algoritmů na nečitelný kód, takže k nim nebudou mít přístup neoprávnění uživatelé. Uživatel musí zadat heslo nebo poskytnout otisk prstu či čipovou kartu, aby k zašifrovanému disku získal přístup. Šifrování je možné provádět pomocí softwarových nebo hardwarových mechanismů. Ve světě klientů se většinou setkáváme se softwarovým šifrováním. Šifrování je možné provádět na úrovni souborů nebo u celého pevného disku.
2. Hardwarové šifrování ve srovnání se softwarovým šifrováním
Hlavní rozdíl mezi softwarovým a hardwarovým šifrováním spočívá v tom, že hlavní spouštěcí záznam (MBR – master boot record) nelze zašifrovat pomocí softwarového šifrovacího mechanismu. Klientské počítače Dell používají nástroj Wave Trusted Drive Manager jako součást sady nástrojů Dell Data Protection nebo Dell ControlPoint Security Manager s čipem TPM pro softwarové šifrování. Firemní zákazníci mohou používat nástroj Dell Data Protection Encryption a akcelerační modul DDPE, který se používá ve slotu na základní desce pomocí mini karty pro notebooky nebo karty PCIe pro stolní počítače. Hardwarové šifrování je bezpečnější, jelikož izoluje disk od procesoru a operačního systému, takže je mnohem méně zranitelnější vůči útoku.
3. Co je čip TPM?
Trusted Platform Module (TPM) je kryptografický mikroprocesor na základní desce, který uchovává a ověřuje šifrovací klíče pro disk, které poté spojují disk s počítačem. To znamená, že šifrovaný disk odcizený z počítače a přemístěný do jiného počítače nebude přístupný. Čip TPM funguje jako „brána“ k disku. Hlavní nevýhoda použití čipu TPM v šifrovacím schématu spočívá v tom, že pokud je třeba vyměnit základní desku, může uživatel teoreticky ztratit přístup k danému disku. Nástroj Wave Trusted Drive Manager ale tento problém odstraňuje tím, že se šifrovací klíče uchovávají i na pevném disku. (Jedná se o něco podobného, jako když se při výměně základní desky neztratí pole RAID. Informace o poli se uchovává na prokládání disku a v řadiči RAID EPROM.)
Další informace: Řešení a oprava běžných problémů s čipem TPM a nástrojem BitLocker
4. Full Disk Encryption (FDE)
Šifrování celého disku jednoduše znamená to, že je možné zašifrovat celý disk (všechny sektory), tzn. nejen soubory, složky či souborové systémy. Pevné disky FDE se v noteboocích pomalu stávají standardem vzhledem ke zvýšenému riziku krádeže či ztráty. Výraz „šifrování celého disku“ (full disk encryption) původně používala společnost Seagate, nyní už ale jde o odborný termín pro všechny pevné disky, které je možné zcela zašifrovat. Bezpečnostní funkce pevného disku FDE jsou neustále zapnuté a disk funguje jako normální pevný disk, dokud se neuplatní bezpečnostní zásady.
Častou otázkou je to, jestli šifrovací software Wave Trusted Drive Manager není možné použít k zabezpečení celého disku na jiných pevných discích než FDE. Odpověď je ne. Nástroj Wave Trusted Drive Manager vyžaduje disk FDE. Mechanismy softwarového šifrování, například Windows BitLocker, je možné použít k zašifrování svazků na jiných discích než FDE pomocí čipu TPM nebo jednotky USB, ale ne k šifrování spouštěcího sektoru (OS bootstrap) pevného disku.
Aby bylo možné pomocí nástroje Wave Trusted Drive Manager získat přístup ke zcela šifrovanému pevnému disku, používá se ověření před spuštěním, takže je možný přístup k sektorům obsahujícím operační systém a uživatelská data. Na klientských počítačích používajících nástroj DDPA zpracovává nastavení ověření před spuštěním software v rámci nástroje DDPA\DCPSM.
5. Co je nástroj BitLocker?
Nástroj BitLocker je funkce šifrování celého disku v systému Windows 7, která je dostupná pouze ve vydáních Ultimate a Enterprise. Nástroj BitLocker To Go pomáhá při ochraně všech souborů uložených na výměnných datových jednotkách (například na externích pevných discích nebo na jednotkách USB flash).
Na rozdíl od nástroje Trusted Drive Manager tyto disky nemusí být disky FDE, nástroj BitLocker ale dokáže šifrovat pouze svazky, nikoliv spouštěcí svazek. Jednotky zašifrované pomocí nástroje BitLocker je možné odemknout před spuštěním pomocí hesla nebo čipové karty s čipem TPM. Aby mechanismus před spuštěním získal přístup k nástroji BitLocker, musí systém BIOS umět číst při spuštění jednotky USB a musí být přítomny 2 oddíly, přičemž systémový oddíl disku musí mít alespoň 100 megabajtů a musí být nastavený jako aktivní oddíl. Oddíl operačního systému je zašifrovaný, ale systémový oddíl zůstane nezašifrovaný, aby bylo možné počítač spustit.
Při používání nástroje BitLocker není čip TPM nutný, silně se ale doporučuje kvůli lepšímu zabezpečení před spuštěním. Při aktualizacích systému Windows není nutné nástroj BitLocker zakázat, u jiných aktualizací to ale muže být potřeba. Stejně jako u jiných šifrovacích aplikací se doporučuje uchovávat obnovovací klíč (PIN) na výměnném médiu nebo na jiných bezpečných místech. Jestliže uživatel obnovovací kód PIN nemá, neexistuje žádný způsob, jak disk odemknout. Jestliže se počítač nemůže spustit, aby se dostal do konzole Obnovení nástrojem BitLocker nebo pokud má pevný disk závadu, je možné stáhnout nástroj BitLocker Repair Tool 
, rozbalit ho na spouštěcí klíč nebo disk CD a data z jednotky obnovit. Abyste měli přístup k datům, potřebujete kód PIN.
Jestliže je uživatel v doméně využívající službu Active Directory a jeho správce nastavil nástroj BitLocker, je možné, že se kód PIN uchovává ve službě Active Directory. Ať se tedy obrátí na své oddělení IT.
Další informace: Řešení a oprava běžných problémů s čipem TPM a nástrojem BitLocker
6. Šifrování pevných disků s pokročilým formátováním 512e (4K) FDE
512e (4K) neboli pevný disk s pokročilým formátováním znamená to, že jednotlivé sektory na disku změnily velikost z 512 bajtů na 4 096 bajtů. První generace pevných disků s pokročilým formátováním toho dosahuje tak, že vezme osm (8) 512bajtových sektorů a zkombinuje je do jediného 4 096bajtového sektoru. V počítačích Dell vychází výraz 512e (emulace) z použití převodních mechanismů v rámci firmwaru pevného disku, které simulují vzhled 4 096bajtového sektoru pro starší součásti a software, které očekávají 512bajtové sektory. Všechna čtení a zápisy do pevných disků 512e s pokročilým formátováním se provádějí v krocích po 512 bajtech, ve čtecím cyklu se ale do paměti nahraje celých 4 096 bajtů. Pevné disky 512e kvůli tomu musí být zarovnané. Jestliže se zarovnání disku neprovede, může to mít závažný vliv na výkon disku. Současné pevné disky zakoupené s počítači Dell jsou již zarovnané.
Pokud chcete zjistit, jestli má váš počítač disk s pokročilým formátováním (512e), stáhněte si nástroj na zjištění pevného disku s pokročilým formátováním.
Uspořádání oddílů je vyžadováno u starších operačních systémů a je doporučeno pro nové operační systémy za účelem zajištění správného výkonu pevného disku a přenosu bitové kopie mezi pevnými disky s různou velikostí sektoru.
Zarovnání disků je možné provést pomocí mnoha nástrojů, které si můžete stáhnout z webu podpory Dell v části Ovladače a soubory ke stažení pro váš počítač v oddíle Disky SATA.
7. Pevný disk nebyl šifrovacím softwarem rozpoznán
U nástroje Wave Trusted Drive Manager se musí jednat o disk FDE (Full Drive Encryption) a operace SATA musí být nastavená na možnost ATA\AHCI\IRRT, ne RAID On\RAID. To se může týkat šifrovacích programů jiných výrobců.
U výrobce ověřte, jestli existují nějaké požadavky na nastavení systému BIOS.
Pokud se používá bitová kopie operačního systému, především Windows XP, zkontrolujte zarovnání disku. Před šifrováním se přesvědčte, že se na bitovou kopii použily všechny aktualizace.
Jestliže se používá šifrovací software jiného výrobce, ověřte u výrobce, jestli software funguje s hardwarem v počítači, například systémem UEFI (Unified Extensible Firmware Interface) BIOS.
8. Problémy před spuštěním
- Jestliže má uživatel problémy s ověřením před spuštěním, zkontrolujte, jaký mechanismus ověřování používá: heslo, otisk prstu nebo čipovou kartu
- U hesel se přesvědčte, že používá správné heslo a zkontrolujte, jestli jsou správně nastavené funkce Caps Lock a Num Lock.
- V případě otisků prstů se přesvědčte, že používá správný prst a že nepřejíždí prstem moc rychle. Tři neplatná přejetí prstem by měla vyvolat výzvu k zadání hesla.
- U čipových karet se přesvědčte, jestli se používá správná karta, jestli je správně vložená a jestli není poškozená. Pokud je to možné, vyzkoušejte jinou kartu.
- Jestliže jste v doméně, přesvědčte se, že není přepnuta na místní přihlášení. Musí používat stejné přihlašovací údaje, jako při zavádění šifrování.
- Jestliže uživatel prohlašuje, že ověření před spuštěním nefunguje při restartování, zkontrolujte, jestli není v systému BIOS povoleno obcházení hesla. Tato funkce u dřívějších vydání systému BIOS nefunguje, ale byla od té doby opravena. Přesvědčte se, že zákazník používá nejnovější systém BIOS.
- Jestliže uživatel heslo ztratil nebo už není zaměstnán, nemá společnost Dell žádný způsob, jak heslo pro šifrování Trusted Drive Manager obnovit. U aplikací jiných výrobců požádejte o podporu výrobce.
9. Systém se po přidání šifrovacího softwaru jiného výrobce nespustí
Zapněte počítač a stisknutím klávesy F12 během spouštění systému přejděte do spouštěcí nabídky BIOS. Během procesu spouštění může být nutné stisknout klávesu několikrát, aby systém BIOS klávesu rozpoznal ve správném okamžiku. Pomocí šipky nahoru nebo dolů vyberte v nabídce <Diagnostics> stiskněte klávesu Enter.
Diagnostika ePSA (Enhanced Preboot System Assessment) ověřuje, jestli disk není nouzovém stavu a nehlásí žádné chyby. Jestliže máte disk s pokročilým formátováním (512e), přesvědčte se, jestli je disk před provedením šifrování správně zarovnaný.
Ověřte u výrobců jiného softwaru, jaké jsou možnosti obnovení. Většina společností má obnovovací nástroj, který uživatel může nahrát na spouštěcí klíč nebo disk CD. Na webu výrobce také ověřte problémy s počítačovými platformami, pro případ, že by existoval nějaký problém s tímto konkrétním softwarem na tomto modelu počítače.
10. Šifrování a přeinstalace operačního systému
Jestliže se operační systém na zašifrovaném pevném disku poškodí a je nutné ho přeinstalovat, instalační disk Windows nemusí jednotku rozpoznat, protože pevný disk je v zamčeném stavu. U jednotek zašifrovaných nástrojem Wave Trusted Drive Manager je nutné jednotku odemknout před přeinstalací operačního systému,.
Viz dokumenty podpory na webu Wave, které vysvětlují, jak jednotku před přeinstalováním odemknout pod tímto odkazem.
U šifrovacího softwaru jiných výrobců si správný postup před přeinstalováním ověřte u výrobce.
11. Ztracená hesla nebo šifrovací klíč
Jestliže uživatel ztratil své heslo zadávané před spuštěním, svůj šifrovací klíč nebo koncový uživatel odešel ze společnosti, poskytuje většina výrobců aplikací úplného šifrování pojistný mechanismus umožňující obnovení. Vzhledem k zásadám dat oborových standardů musí mechanismus obnovení zahájit zákazník. To se provádí uložením hesla/klíče na vyměnitelné úložiště nebo do síťového umístění. Jestliže bylo implementováno úplné šifrování disku a uživatel ztratil své heslo/klíč, nemůže společnost Dell s obnovením hesla/klíče pro jednotku pomoci. Uživatel v tomto případě bude potřebovat náhradní pevný disk. Tento problém spadá mimo rámec záruky, protože šifrování funguje tak, jak je určeno a chrání data proti narušení. Náhrada jednotky proběhne na náklady uživatele. Společnost Wave může pomoci s problémy s uživatelským jménem. Uživatel musí mít své heslo pro nástroj Wave, aby bylo možné mu se zapomenutými uživatelskými jmény pomoci. Jestliže uživatel zapomněl, ztratil nebo nemá své heslo, nemůže mu bohužel společnost Wave nijak pomoci.
Pokud výše uvedené kroky nezajistí vyřešení problému, požádejte telefonicky o pomoc technickou podporu společnosti Dell.
Další informace
Doporučené články
Zde je několik doporučených článků týkajících se tohoto tématu, které by vás mohly zajímat.