Como solucionar problemas de criptografia de disco rígido

Sumário:

1. O que é criptografia de disco rígido?
2. A criptografia de hardware é comparável à criptografia de software
3. O que é TPM?
4. Full Disk Encryption (FDE)
5. O que é BitLocker?
6. Criptografia de unidades de disco rígido FDE de formato avançado 512e (4K)
7. Disco rígido não reconhecido pelo software de criptografia
8. Problemas de pré-inicialização
9. O sistema não inicializa após a adição de softwares de criptografia de terceiros.
10. Criptografia e reinstalação do sistema operacional
11. Senhas perdidas ou chave de criptografia

1. O que é criptografia de disco rígido?

A criptografia de disco rígido é um processo em que os dados no disco, ou o disco inteiro, são convertidos em código ilegível usando algoritmos matemáticos para que não possam ser acessados por usuários não autorizados. O usuário precisa fornecer uma senha, impressões digitais ou Smart Card para acessar uma unidade criptografada. A criptografia pode ser realizada por meio de mecanismos de software ou de hardware. No universo do cliente, lidamos com criptografia de software a maior parte do tempo. A criptografia pode ser no nível do arquivo ou para todo o disco rígido.

Voltar ao início

2. A criptografia de hardware é comparável à criptografia de software

A principal diferença entre a criptografia de software e a de hardware é que o registro mestre de boot (MBR) não pode ser criptografado com um mecanismo de criptografia de software. Os computadores Dell Client usam o Wave Trusted Drive Manager como parte da suíte Dell Data Protection ou Dell ControlPoint Security Manager com o chip TPM para criptografia baseada em software. Os clientes empresariais podem usar o Dell Data Protection Encryption e um módulo acelerador DDPE que é usado em um slot na placa-mãe usando a miniplaca para notebooks ou uma placa PCIe para computadores desktops. A criptografia de hardware é mais segura porque isola a unidade da CPU e do sistema operacional, tornando-a muito menos vulnerável a ataques.

Voltar ao início

3. O que é TPM?

O Trusted Platform Module (TPM) é um microprocessador de criptografia localizado na placa-mãe que armazena e autentica chaves de criptografia para a unidade, o que, por sua vez, conecta a unidade ao computador. Isso significa que, se a unidade criptografada for roubada do computador e colocada em outro computador, não ficará acessível. O chip TPM funciona como um "gateway" na unidade. A principal desvantagem do chip TPM usado em um esquema de criptografia é que, se a placa-mãe precisar de substituição, é possível que a unidade não fique mais acessível para o usuário. No entanto, o Wave Trusted Drive Manager elimina esse problema, mantendo as chaves de criptografia também no disco rígido. (Isso é semelhante a não perder arrays RAID quando uma placa-mãe é substituída. As informações de array são mantidas na faixa da unidade e na EPROM da controladora RAID.)

Mais informações: Como solucionar e corrigir problemas comuns do TPM e do BitLocker

Voltar ao início

4. Full Disk Encryption (FDE)

A criptografia completa de disco simplesmente significa que toda a unidade (cada setor) pode ser criptografada em vez de apenas os arquivos, pastas ou computadores de arquivos. Discos rígidos FDE estão se tornando o padrão em notebooks devido à elevada possibilidade de roubo ou perda do computador. O termo "criptografia completa de disco" foi originalmente criado pela Seagate, mas agora é um termo do setor para todos os discos rígidos que podem ser totalmente criptografados. Os recursos de segurança da unidade de disco rígido FDE estão sempre ativados e funcionam como um disco rígido normal até que as políticas de segurança sejam implementadas.

Uma dúvida comum é se o software de criptografia Wave Trusted Drive Manager pode ser usado em uma unidade de disco rígido sem FDE para proteger todo o disco. A resposta é não. O Wave Trusted Drive Manager requer uma unidade FDE. Mecanismos de criptografia de software, como o Windows BitLocker, podem ser usados para criptografar volumes em unidades sem FDE usando o chip TPM ou uma unidade USB, mas não a inicialização (setor de boot) do sistema operacional da unidade de disco rígido.

Para ter acesso ao conteúdo de uma unidade de disco rígido totalmente criptografada por meio do Wave Trusted Drive Manager, a autenticação de pré-boot é usada para que os setores contendo o sistema operacional e os dados do usuário possam ser acessados. Em computadores client que usam DDPA, a configuração de autenticação de pré-inicialização é tratada pelo software Wave dentro do DDPA/DCPSM.

Voltar ao início

5. O que é BitLocker?

O BitLocker é um recurso de criptografia completa de disco disponível no Windows 7. Ele está disponível apenas nas edições Ultimate e Enterprise. Você pode usar o BitLocker To Go para ajudar a proteger todos os arquivos armazenados em unidades de dados removíveis (como discos rígidos externos ou unidades flash USB).

Ao contrário do Trusted Drive Manager, essas unidades não precisam ser FDE. No entanto, o BitLocker consegue criptografar apenas volumes, mas não o volume de inicialização. Unidades criptografadas com o BitLocker podem ser desbloqueadas por meio da pré-inicialização com uma senha ou Smart Card com o TPM. Para que o BitLocker seja acessado por um mecanismo de pré-inicialização, o BIOS precisa ser capaz de ler uma unidade USB durante a inicialização, e duas partições têm que estar presentes, sendo que a partição da unidade do computador precisa ter pelo menos 100 MB e estar definida como a partição ativa. A partição do sistema operacional é criptografada e a partição do computador permanece sem criptografia para que o computador possa iniciar.

O BitLocker não requer o uso de TPM, mas é altamente recomendável na pré-inicialização para maior segurança. As atualizações do Windows não exigem a desativação do BitLocker, porém outras atualizações podem exigir. Como ocorre com outros aplicativos de criptografia, é recomendável armazenar chaves de recuperação (PIN) em mídia removível ou em outros locais seguros. Se o usuário não possuir um PIN de recuperação, não há nenhuma forma de desbloquear a unidade. Se o computador não conseguir inicializar para abrir o Console de recuperação do BitLocker ou se o disco rígido falhar, é possível fazer download e extrair a BitLocker Repair Tool em uma chave ou CD de inicialização para recuperar os dados da unidade. É preciso ter o PIN para acessar os dados.

Se o usuário estiver em um domínio que usa o Active Directory e o administrador configurou o BitLocker, é possível que o PIN tenha sido armazenado no Active Directory. Por isso, peça que o usuário confirme com o departamento de TI.

Mais informações: Como solucionar e corrigir problemas comuns do TPM e do BitLocker

Voltar ao início

6. Criptografia de unidades de disco rígido FDE de formato avançado 512e (4K).

Uma unidade de disco rígido 512e (4K), ou de formato avançado, simplesmente significa que os setores individuais da unidade mudaram de 512 para 4.096 bytes. A primeira geração de discos rígidos de formato avançado faz isso pegando setores de 8 a 512 bytes e combinando-os em um único setor de 4.096 bytes. Nos computadores Dell, o termo 512e (emulação) vem do uso de mecanismos de conversão dentro do firmware do disco rígido para simular a aparência do setor de 4.096 bytes de software e componentes legados que estejam esperando setores de 512 bytes. Toda a leitura e gravação em um disco rígido de formato avançado 512e é feita em incrementos de 512 bytes, mas em um ciclo de leitura, todos os 4.096 bytes são carregados na memória. Unidades de disco rígido 512e devem estar alinhadas por esse motivo. Se o alinhamento da unidade não for realizado, a performance da unidade pode ser gravemente afetada. Os discos rígidos atuais adquiridos com um computador Dell já estão alinhados.

Para saber se o computador possui um disco rígido de formato avançado (512e), faça download da ferramenta de detecção de disco rígido de formato avançado. 

O alinhamento da partição é obrigatório em sistemas operacionais mais antigos e recomendado em sistemas operacionais novos para garantir o desempenho ideal do disco rígido e da geração de imagens entre discos rígidos com setores de diferentes tamanhos.

O alinhamento da unidade pode ser feito usando uma série de ferramentas, disponíveis para download em Drivers e downloads para seu computador, no site de suporte Dell, na seção Unidades SATA.

Voltar ao início

7. Unidade de disco rígido não reconhecida pelo software de criptografia.

Para o Wave Trusted Drive Manager, a unidade deve ser uma unidade de criptografia completa de disco (FDE) e a operação da SATA deve ser ajustada para ATA\AHCI\IRRT e não para RAID On\RAID. Esse pode ser o caso com os programas de criptografia de terceiros.

Verifique com o fornecedor qualquer requisito de configuração do BIOS.

Verifique o alinhamento da unidade, caso uma imagem do sistema operacional esteja sendo usada, principalmente o Windows XP. Verifique se todas as atualizações foram aplicadas à imagem antes da criptografia.

Se o software de criptografia de terceiros estiver sendo usado, verifique com o fornecedor para garantir que ele funcione com o hardware no computador, bem como com o BIOS de interface de firmware extensível unificada (UEFI).

Voltar ao início

8. Problemas na pré-inicialização.

• Se o usuário estiver tendo problemas com a autenticação pré-inicialização, verifique qual mecanismo de autenticação ele está usando: Senha, impressão digital ou Smart Card
• Quanto às senhas, verifique se ele está usando a senha correta e se as teclas Caps Lock e Num Lock estão ativadas.
• No caso de impressões digitais, verifique se ele está usando o dedo correto e se não está passando o dedo muito rápido. Três leituras inválidas acionam o aviso de senha.
• Para Smart Cards, verifique se o cartão correto está sendo usado, inserido corretamente, e verifique se há danos. Tente usar outro cartão, se possível.
• Se estiver em um domínio, verifique se o usuário não mudou para log-in local. Ele precisa usar as mesmas credenciais de quando a criptografia foi criada.
• Se o usuário declarar que a autenticação pré-inicialização não está funcionando em uma reinicialização, verifique o BIOS para confirmar se a opção de ignorar senha está ativada. Esse recurso não estava funcionando em versões anteriores do BIOS, mas já foi corrigido. Verifique se o cliente está usando a versão mais recente do BIOS.
• Se o usuário tiver perdido a senha ou não trabalhar mais na empresa, não há como a Dell recuperar a senha para a criptografia do Trusted Drive Manager. Para aplicativos de terceiros, consulte o fornecedor para obter suporte.

Voltar ao início

9. O sistema não inicializa após a adição de softwares de criptografia de terceiros.

Ligue o computador e pressione a tecla F12 durante o processo de inicialização para acessar o menu de inicialização do BIOS. Pode ser necessário pressionar repetidamente a tecla durante o processo de boot para que o BIOS reconheça a tecla no momento certo. Utilize as teclas de seta para cima e para baixo do teclado para selecionar <Diagnostics> no menu e pressione a tecla Enter.

O Enhanced Pre-boot System Assessment Diagnostics (ePSA) é executado para garantir que a unidade não esteja em um estado de falha e que não tenha relatado nenhum erro. Se você tiver uma unidade de formato avançado (512e), verifique se a unidade está devidamente alinhada antes de a criptografia ser realizada.

Verifique com o fornecedor terceirizado as opções para recuperação. A maioria das empresas tem um utilitário de recuperação que o usuário pode carregar para uma chave ou CD de boot. Verifique também o site do fornecedor quanto a problemas de plataforma do computador caso exista algum problema com este software específico neste modelo de computador.

Voltar ao início

10 Criptografia e reinstalação do sistema operacional

Se o sistema operacional estiver corrompido em um disco rígido criptografado e precisar de reinstalação, existe a possibilidade de que, devido ao disco rígido estar em um estado travado, o disco de instalação do Windows não consiga reconhecer a unidade. Para unidades criptografadas com o Wave Trusted Drive Manager, a unidade deve ser desbloqueada antes que a reinstalação do sistema operacional possa ocorrer.

Consulte aqui os documentos de suporte no site da Wave que explicam como desbloquear a unidade antes de uma reinstalação.

Para software de criptografia de terceiros, verifique com o fornecedor qual é o procedimento correto antes de tentar a reinstalação.

Voltar ao início

11 Chave de criptografia ou senha perdidas

Se um usuário tiver perdido a senha de pré-inicialização, a chave de criptografia ou se um usuário final tiver saído da empresa, a maioria dos fornecedores de aplicativos de criptografia fornece um mecanismo para recuperação à prova de falhas. Devido às políticas de dados padrão do setor, o mecanismo de recuperação precisa ser iniciado pelo cliente. Isso é feito salvando a senha/chave em um armazenamento removível ou local de rede. Se a criptografia completa de disco tiver sido implementada e o usuário perder a senha/chave, a Dell não poderá ajudá-lo a recuperar o acesso à unidade. Nesse caso, o usuário precisará de um disco rígido de substituição. Esse problema está fora do escopo da garantia, pois a criptografia está funcionando conforme planejado e os dados estão sendo protegidos contra invasão. A substituição da unidade será às custas do usuário. A Wave pode ajudar com problemas de nome do usuário. O usuário precisa ter a senha para que a Wave possa ajudar em caso de esquecimento do nome de usuário. Se o usuário tiver esquecido, perdido, ou se não tiver a senha, infelizmente a Wave não consegue ajudar.

Se as etapas acima não resolverem o problema, entre em contato com o Suporte técnico da Dell para obter assistência.

Voltar ao início

Artigos recomendados

Aqui estão alguns artigos recomendados relacionados a este tópico que podem ser de seu interesse.

• Requisitos do sistema Dell Full Disk Encryption
• Sem opção no BIOS para configurar uma senha de disco rígido na SSD M.2
• Criptografia automática de dispositivos do Windows ou BitLocker em computadores Dell