Sådan foretager du fejlfinding af problemer med harddiskkryptering

Summary: Denne artikel indeholder oplysninger om harddiskkryptering sammen med en forklaring på BitLocker og fejlfindingstrin til løsning af harddiskkrypteringsrelaterede problemer på en Dell-computer. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Indholdsfortegnelse:

  1. Hvad er harddiskkryptering?
  2. Hardwarekryptering kan sammenlignes med softwarekryptering
  3. Hvad er TPM?
  4. Fuld diskkryptering (FDE)
  5. Hvad er BitLocker?
  6. Kryptering af HDE-harddiske i avanceret format 512e (4 K)
  7. Harddisk genkendes ikke af krypteringssoftware
  8. Problemer med før start
  9. Systemet starter ikke efter tilføjelse af krypteringssoftware fra tredjepart.
  10. Kryptering og geninstallation af operativsystem
  11. Mistet adgangskode eller krypteringsnøgle

1. Hvad er harddiskkryptering?

Harddiskkryptering er en proces, hvor data på disken eller hele drevet konverteres til ulæselig kode vha. matematiske algoritmer, så de ikke er tilgængelige for uautoriserede brugere. Brugeren skal angive en adgangskode, et fingeraftryk eller et smartcard for at få adgang til et krypteret drev. Kryptering kan udføres ved hjælp af software- eller hardwaremekanismer. I klientverdenen håndterer vi softwarekryptering det meste af tiden. Kryptering kan være på filniveau eller for hele harddisken.

Tilbage til toppen

2. Hardwarekryptering sammenlignet med softwarekryptering

Den største forskel mellem software- og hardwarekryptering er, at MBR (Master Boot Record) ikke kan krypteres ved brug af en softwarekrypteringsmekanisme. Dell-klientcomputere bruger Wave Trusted Drive Manager som en del af Dell Data Protection- eller Dell ControlPoint Security Manager-pakken med TPM-chippen til softwarebaseret kryptering. Virksomhedskunder kan bruge Dell Data Protection Encryption og et DDPE-acceleratormodul, der bruges i en slot på bundkortet ved hjælp af minikortet til bærbare computere eller et PCIe-kort til stationære computere. Hardwarekryptering er mere sikker, fordi den isolerer drevet fra CPU'en og operativsystemet, hvilket gør det langt mindre sårbart over for angreb.

Tilbage til toppen

3. Hvad er TPM?

Et Trusted Platform Module (TPM) er en kryptografisk mikroprocessor på bundkortet, der gemmer og godkender krypteringsnøglerne til drevet, hvilket igen binder drevet til computeren. Dette betyder, at hvis det krypterede drev stjæles fra computeren og placeres på en anden computer, kan drevet ikke være tilgængeligt. TPM-chippen fungerer som "gateway" til drevet. Den største ulempe ved TPM-chip, der bruges i et krypteringsskema, er, at hvis bundkortet kræver udskiftning, er drevet muligvis ikke længere tilgængeligt for brugeren. Men Wave Trusted Drive Manager løser dette problem ved også at gemme krypteringsnøglerne på harddisken. (Det svarer til, at RAID-systemer ikke mistes, når et bundkort udskiftes. Systemoplysningerne gemmes på drev-striben og i RAID-controller-EPROM'en.)

Mere info: Sådan foretager du fejlfinding af og løser almindelige problemer med TPM og BitLocker

Tilbage til toppen

4. Fuld diskkryptering (FDE)

Fuld diskkryptering betyder simpelthen, at hele drevet (hver sektor) kan krypteres i stedet for filerne, mappen eller filcomputerne. FDE-harddiske er ved at blive standarden i bærbare computere på grund af den øgede risiko for computertyveri eller tab. Udtrykket "fuld diskkryptering" er oprindeligt opfundet af Seagate, men er nu en branchebetegnelse for alle harddiske, der kan krypteres fuldt ud. FDE-harddiskes sikkerhedsfunktioner er altid aktiverede, og de fungerer som almindelige harddiske, indtil sikkerhedspolitikkerne implementeres.

Et almindeligt spørgsmål, der opstår, er, om Wave Trusted Drive Manager-krypteringssoftware kan bruges på en ikke-FDE-harddisk til at sikre hele disken. Svaret er, at Wave Trusted Drive Manager kræver et FDE-drev. Windows BitLocker, kan bruges til at kryptere diskenheder på ikke-FDE-drev ved hjælp af TPM-chippen eller et USB-drev, men ikke operativsystemets bootstrap (startsektor) på harddisken.

For at få adgang til indholdet på en fuldt krypteret harddisk med Wave Trusted Drive Manager bruger man pre-boot-godkendelse, så de sektorer, der indeholder operativsystemet og brugerdata, kan tilgås. På klientcomputere, der bruger DDPA, håndteres pre-boot-godkendelsesopsætningen af Wave-softwaren i DDPA\DCPSM.

Tilbage til toppen

5. Hvad er BitLocker?

BitLocker er en funktion til fuld diskkryptering, som er tilgængelig i Windows 7 og kun er tilgængelig i Ultimate- og Enterprise-versionerne. Du kan bruge BitLocker To Go til at beskytte alle de filer, der er gemt på et flytbart datadrev (som f.eks. eksterne harddiske eller USB-flashdrev).

I modsætning til Trusted Drive Manager behøver disse drev ikke at være FDE-drev, men BitLocker kan kun kryptere diskenheder, men ikke startdiskenheden. Drev, der er krypteret med BitLocker, kan låses op via preboot ved hjælp af en adgangskode eller et smartcard med TPM. Hvis BitLocker skal kunne tilgås via en pre-boot-mekanisme, skal BIOS kunne læse et USB-drev ved opstart, og der skal være to partitioner til stede, hvor computerdrevets partition skal være på mindst 100 MB og indstillet som den aktive partition. Operativsystempartitionen krypteres, og computerpartitionen forbliver ukrypteret, så computeren kan starte.

TPM er ikke påkrævet til brug af BitLocker, men anbefales på det kraftigste til preboot for bedre sikkerhed. Windows-opdateringer kræver ikke deaktivering af BitLocker, men andre opdateringer kan kræve deaktivering af den. Ligesom andre krypteringsprogrammer anbefales det, at gendannelsesnøgler (pinkode) gemmes på flytbare medier eller andre sikre steder. Hvis brugeren ikke har sin gendannelses-PIN, er det ikke muligt at låse drevet op. Hvis computeren ikke kan starte for at komme til BitLocker-genoprettelseskonsollen, eller harddisken mislykkedes, kan BitLocker-reparationsværktøjetEkstern forbindelse downloades og pakkes ud til en startnøgle eller cd for at gendanne data fra drevet. Du skal have PIN-koden for at få adgang til disse data.

Hvis brugeren er på et domæne, der bruger Active Directory , og vedkommendes administrator har konfigureret BitLocker, er det muligt, at nålen blev gemt i Active Directory, så få vedkommende til at kontakte sin it-afdeling.

Mere info: Sådan foretager du fejlfinding af og løser almindelige problemer med TPM og BitLocker

Tilbage til toppen

6. Kryptering af FDE-harddiske i avanceret format 512e (4 K).

En 512e (4K) eller avanceret format harddisk betyder simpelthen, at de enkelte sektorer på drevet har ændret sig fra 512 til 4.096 bytes. Den første generation af avancerede formatharddiske opnår dette ved at tage 8-512-byte sektorer og kombinere dem i en enkelt 4.096-byte sektor. I Dell-computere kommer udtrykket 512e (emulering) fra brug af konverteringsmekanismer i harddiskens firmware for at simulere 4.096-sektorudseendet for ældre komponenter og software, der forventer 512-byte-sektorer. Alle læsninger\skrivninger til en 512e-harddisk i avanceret format udføres i trin på 512 byte, men i en læsecyklus indlæses hele 4.096 i hukommelsen. 512e-harddiske skal derfor justeres. Hvis drevjusteringen ikke udføres, kan drevets ydeevne kan blive alvorligt påvirket. Aktuelle harddiske, der købes sammen med en Dell-computer, er allerede justeret.

Hvis du vil registrere, om din computer har et Advanced Format (512e)-drev, skal du hente Advanced Format harddiskregistreringsværktøjet. 

Partitionsjustering er påkrævet for ældre operativsystemer og anbefales til nye operativsystemer for at sikre korrekt harddiskydeevne og afbildning mellem harddiske af forskellig sektorstørrelse.

Drevjustering kan udføres ved hjælp af flere værktøjer, som kan downloades fra Dells supportwebsted Drivere og downloads til din computer under afsnittet SATA-drev.

Tilbage til toppen

7. Harddisk genkendes ikke af krypteringssoftware.

Med Wave Trusted Drive Manager skal drevet være et FDE-drev (Full Drive Encryption), og SATA-operationen skal være indstillet til ATA\AHCI\IRRT og ikke RAID On\RAID. Dette kan være tilfældet med krypteringsprogrammer fra tredjepart.

Spørg leverandøren om eventuelle krav til BIOS-indstillinger.

Kontrollér for drevjustering, hvis der bruges en operativsystemafbildning, især Windows XP. Sørg for, at alle opdateringer er blevet anvendt på billedet før kryptering.

Hvis der anvendes krypteringssoftware fra tredjepart, skal du kontakte leverandøren for at sikre, at softwaren fungerer sammen med hardwaren i computeren og UEFI (Unified Extensible Firmware Interface) BIOS.

Tilbage til toppen

8. Problemer før opstart.

  • Hvis brugeren oplever problemer med preboot-godkendelse, skal du kontrollere, hvilken godkendelsesmekanisme brugeren bruger: Adgangskode, fingeraftryk eller smartcard
  • For adgangskoder skal du sikre dig, at de bruger den korrekte adgangskode, og kontrollere, at Cap Lock og Num Lock er indstillet korrekt.
  • Hvis du bruger fingeraftryk, skal du sikre dig, at de bruger den rigtige finger, og at de ikke stryger for hurtigt. Tre ugyldige swipes bør udløse adgangskodeprompten.
  • For smartcards skal du kontrollere, at det korrekte kort bruges, indsættes korrekt, og kontrollere, om der er skader. Prøv et andet kort, hvis det er muligt.
  • Hvis de er på et domæne, skal du sikre dig, at de ikke har skiftet til lokalt login. De skal bruge de samme legitimationsoplysninger, som da kryptering blev indført.
  • Hvis brugeren angiver, at preboot-godkendelse ikke virker ved en genstart, skal du kontrollere BIOS for at sikre, at adgangskodeforbigåelse ikke er aktiveret. Denne funktion fungerede ikke i tidlige BIOS-udgivelser, men er siden blevet rettet. Sørg for, at kunden bruger den nyeste BIOS.
  • Hvis brugeren har mistet sin adgangskode eller ikke længere er ansat, er det ikke muligt for Dell at gendanne adgangskoden til Trusted Drive Manager-kryptering. Hvis der er tale om tredjepartsprogrammer, skal du kontakte den pågældende leverandør for at få support.

Tilbage til toppen

9. Systemet starter ikke efter tilføjelse af krypteringssoftware fra tredjepart.

Tænd computeren, og tryk derefter på F12-tasten under startprocessen for at åbne BIOS-startmenuen. Det kan være nødvendigt at trykke flere gange på tasten under startprocessen for at få BIOS til at genkende nøglen på det rigtige tidspunkt. Brug piletasterne Op og Ned til at vælge <Diagnosticering> i menuen, og tryk på Enter-tasten.

Enhanced Preboot System Assessment diagnostics (ePSA) køres for at sikre, at drevet ikke er i fejltilstand og ikke har rapporteret nogen fejl. Hvis du har et Advanced Format (512e)-drev, skal du sørge for, at drevet er korrekt justeret, før krypteringen udføres.

Kontakt tredjepartsleverandøren for at få oplysninger om genoprettelsesmuligheder. De fleste virksomheder har et gendannelsesværktøj, som brugeren kan indlæse på en USB-nøgle eller en cd, der kan startes fra. Kontroller også leverandørwebstedet for problemer med computerplatforme, hvis der er problemer med denne særlige software på denne computermodel.

Tilbage til toppen

10 Kryptering og geninstallation af operativsystem

Hvis operativsystemet bliver ødelagt på en krypteret harddisk og kræver geninstallation, er der risiko for, at Windows-installationsdisken ikke kan genkende drevet, fordi harddisken er i låst tilstand. Ved drev med Wave Trusted Drive Manager-kryptering skal drevet skal være låst op, før geninstallationen af operativsystemet kan finde sted.

Se supportdokumenterne på Wave-webstedet, der forklarer, hvordan du låser drevet op før en geninstallation her.

I forbindelse med krypteringssoftware fra tredjepart skal du spørge leverandøren om den korrekte procedure, før du forsøger at geninstallere.

 

Tilbage til toppen

11 Mistede adgangskoder eller krypteringsnøgle

Hvis en bruger har mistet sin preboot-adgangskode, sin krypteringsnøgle, eller en slutbruger har forladt virksomheden, tilbyder de fleste leverandører af krypteringsprogrammer en fejlsikker mekanisme til gendannelse. På grund af branchestandarddatapolitikker skal genoprettelsesmekanismen initieres af kunden. Dette gøres ved at gemme adgangskoden \ nøglen til flytbar lagring eller netværksplacering. Hvis fuld diskkryptering blev implementeret, og brugeren mistede sin adgangskode\nøgle, kan Dell ikke hjælpe dem med at gendanne adgangskoden\nøglen til drevet. Brugeren skal bruge en ny harddisk i dette tilfælde. Dette problem falder uden for garantiens omfang, da krypteringen fungerer efter hensigten og beskytter dataene mod indtrængen. Udskiftningen af drevet vil være på brugerens regning. Wave kan hjælpe med brugernavnsproblemer. Brugeren skal have sin adgangskode til Wave for at hjælpe med et glemt brugernavn. Hvis brugeren har glemt, mistet eller ikke har deres adgangskode, kan Wave desværre ikke hjælpe.

Hvis de ovenstående trin ikke løser problemet, skal du ringe til Dells tekniske support for at få hjælp.

Tilbage til toppen

Additional Information

Anbefalede artikler

Her er nogle anbefalede artikler relateret til dette emne, der kan have din interesse.

Affected Products

Alienware, Dell All-in-One, Dell Pro All-in-One, Dell Pro Max Micro, Dell Pro Max Slim, Dell Pro Max Tower, Dell Pro Micro, Dell Pro Slim, Dell Pro Tower, Dell Slim, Dell Tower, Inspiron, Legacy Desktop Models, OptiPlex, Vostro, XPS, G Series , G Series, Alienware, Dell Laptops, Dell Plus, Dell Pro, Dell Pro Max, Dell Pro Plus, Dell Pro Premium, Inspiron, Latitude, Dell Pro Rugged, Vostro, XPS, Legacy Laptop Models, Fixed Workstations, Mobile Workstations, Dell Pro Max Micro XE FCM2250, Dell Pro Max Slim XE FCS1250, Dell Pro Max Tower T2 XE FCT2250, Dell Pro Max 16 XE MC16250, Dell Pro Micro Plus XE QBM1250, Dell Pro Slim Plus XE5 QBS1250, Dell Pro Tower Plus XE5 QBT1250 ...
Article Properties
Article Number: 000178978
Article Type: How To
Last Modified: 24 July 2025
Version:  12
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.