Come risolvere i problemi di crittografia del disco rigido

Sommario:

1. Che cos'è la crittografia del disco rigido?
2. Confronto tra crittografia hardware e crittografia software
3. Cos'è il TPM?
4. Full Disk Encryption (FDE)
5. Cos'è BitLocker?
6. Crittografia dei dischi rigidi FDE Advanced Format 512e (4K)
7. Disco rigido non riconosciuto dal software di crittografia
8. Problemi di preavvio
9. Il sistema non si avvia dopo l'aggiunta di software di crittografia di terze parti
10. Crittografia e reinstallazione del sistema operativo
11. Password o chiave di crittografia perse

1. Che cos'è la crittografia del disco rigido?

La crittografia del disco rigido è un processo in cui i dati sul disco o sull'intera unità vengono convertiti in codice illeggibile utilizzando algoritmi matematici, in modo che non sia possibile accedervi da parte di utenti non autorizzati. L'utente deve fornire una password, un'impronta digitale o una smart card per accedere a un'unità crittografata. La crittografia può essere eseguita tramite meccanismi software o hardware. Nel mondo dei client, la crittografia software è all'ordine del giorno. La crittografia può essere a livello di file o dell'intero disco rigido.

Torna all'inizio

2. Confronto tra crittografia hardware e crittografia software

La differenza principale tra la crittografia software e hardware consiste nel fatto che il record di avvio principale (MBR) non può essere crittografato utilizzando un meccanismo di crittografia software. I computer client Dell utilizzano Wave Trusted Drive Manager incluso in Dell Data Protection o Dell ControlPoint Security Manager Suite con il chip TPM per la crittografia basata su software. I clienti enterprise possono utilizzare Dell Data Protection Encryption e un modulo DDPE Accelerator che viene utilizzato in uno slot sulla scheda madre tramite minicard per i notebook o una scheda PCIe nei computer desktop. La crittografia hardware è più sicura perché isola l'unità dalla CPU e dal sistema operativo, rendendola molto meno vulnerabile agli attacchi.

Torna all'inizio

3. Cos'è il TPM?

Un TPM (Trusted Platform Module) è un microprocessore di crittografia sulla scheda madre che archivia e autentica le chiavi di crittografia per l'unità che, a sua volta, collega l'unità al computer. Ciò significa che, se l'unità crittografata viene rubata dal computer e inserita in un altro, non è accessibile. Il chip TPM funge da "gateway" nell'unità. Lo svantaggio principale dell'utilizzo di un chip TPM in uno schema di crittografia è rappresentato dal fatto che, se la scheda madre richiede la sostituzione, l'unità potrebbe non essere più accessibile all'utente. Tuttavia, Wave Trusted Drive Manager allevia questo problema conservando sul disco rigido anche le chiavi di crittografia, in modo analogo agli array RAID che non vengono persi quando viene sostituita una scheda madre. Le informazioni sugli array vengono conservate sulla stripe dell'unità e nella memoria EPROM del controller RAID.

Ulteriori informazioni: Come identificare e risolvere i problemi più comuni con il TPM e BitLocker

Torna all'inizio

4. Full Disk Encryption (FDE)

Full Disk Encryption significa semplicemente che è possibile crittografare l'intera unità (ogni settore), anziché i file, le cartelle o i file system. I dischi rigidi FDE sono ormai lo standard nei notebook a causa dell'aumento delle probabilità di furto o perdita dei computer. Il termine "Full Disk Encryption" è stato originariamente coniato da Seagate, ma ora è un termine del settore per tutti i dischi rigidi che possono essere completamente crittografati. Le funzionalità di protezione dei dischi rigidi FDE sono sempre attive e analoghe a quelle di un normale disco rigido finché non vengono implementate policy di sicurezza.

Ci si chiede frequentemente se il software Wave Trusted Drive Manager Encryption possa essere utilizzato su un disco rigido non FDE per proteggere l'intero disco. La risposta è no. Wave Trusted Drive Manager richiede un'unità FDE. I meccanismi di crittografia software, come Windows BitLocker, possono essere utilizzati per crittografare i volumi sulle unità non FDE utilizzando il chip TPM o un'unità USB, ma non il bootstrap (settore di avvio) del sistema operativo del disco rigido.

Per accedere ai contenuti di un disco rigido completamente crittografato da Wave Trusted Drive Manager, si utilizza l'autenticazione preavvio in modo che sia possibile accedere ai settori del disco rigido che contengono il sistema operativo e i dati dell'utente. Nei computer client che utilizzano DDPA, la configurazione dell'autenticazione preavvio viene gestita dal software Wave in DDPA\DCPSM.

Torna all'inizio

5. Cos'è BitLocker?

BitLocker è una funzionalità di crittografia completa dei dischi disponibile in Windows 7 solo nelle edizioni Ultimate ed Enterprise. È possibile utilizzare BitLocker To Go per semplificare la protezione di tutti i file archiviati su unità dati rimovibili (come dischi rigidi esterni o unità flash USB).

A differenza di Trusted Drive Manager, queste unità non devono essere unità FDE, ma BitLocker è in grado di crittografare solo i volumi, non il volume di avvio. Le unità crittografate con BitLocker possono essere sbloccate tramite l'autenticazione al preavvio, utilizzando una password o una smart card con il TPM. Per accedere a BitLocker tramite un meccanismo di preavvio, è necessario che il BIOS sia in grado di leggere un'unità USB all'avvio e che vi siano due partizioni; la partizione dell'unità di sistema deve essere di almeno 100 MB e deve essere impostata come partizione attiva. La partizione del sistema operativo viene crittografata e la partizione del computer rimane non crittografata in modo da consentire l'avvio del computer.

Il TPM non è richiesto per l'uso di BitLocker, ma è vivamente consigliato per il preavvio per garantire una sicurezza migliore. Gli aggiornamenti di Windows non richiedono la disabilitazione di BitLocker, a differenza di altri aggiornamenti. Come altre applicazioni di crittografia, si consiglia di archiviare le chiavi di ripristino (PIN) su un supporto rimovibile o in altre posizioni sicure. Se l'utente non dispone del PIN di ripristino, non è possibile sbloccare l'unità. Se il computer non è in grado di eseguire l'avvio per la console di ripristino di BitLocker o se il disco rigido è guasto, lo strumento di riparazione di BitLocker può essere scaricato ed estratto in una chiave o un CD di avvio per ripristinare i dati dall'unità. È necessario disporre del PIN per accedere ai dati.

Se l'utente si trova in un dominio che utilizza Active Directory e l'amministratore ha impostato BitLocker, è possibile che il PIN sia stato archiviato in Active Directory. In questo caso, consultare il dipartimento IT.

Ulteriori informazioni: Come identificare e risolvere i problemi più comuni con il TPM e BitLocker

Torna all'inizio

6. Crittografia dei dischi rigidi FDE Advanced Format 512e (4K).

In un disco rigido di tipo 512e (4K), o Advanced Format, i singoli settori dell'unità sono passati da 512 a 4.096 byte. La prima generazione di dischi rigidi Advanced Format combina i settori da 8-512 byte in un singolo settore da 4.096 byte. Nei computer Dell, il termine 512e (emulation) deriva dall'utilizzo di meccanismi di conversione all'interno del firmware del disco rigido per simulare l'aspetto del settore da 4.096 byte per software e componenti legacy con settori da 512 byte previsti. Tutte le operazioni di lettura e scrittura nei dischi rigidi 512e Advanced Format vengono eseguite in incrementi di 512 byte, ma in un ciclo di lettura vengono caricati in memoria tutti i 4.096 byte. I dischi rigidi 512e devono essere allineati per questo motivo. Se l'allineamento delle unità non viene eseguito, le prestazioni dell'unità possono subire importanti ripercussioni. I dischi rigidi correnti acquistati con computer Dell sono già allineati.

Per rilevare se il computer include un'unità Advanced Format (512e), scaricare lo strumento di rilevamento dei dischi rigidi Advanced Format. 

L'allineamento delle partizioni è richiesto per i sistemi operativi meno recenti ed è consigliato per i nuovi sistemi operativi al fine di assicurare prestazioni e imaging dei dischi rigidi corretti tra dimensioni dei settori diverse.

L'allineamento delle unità può essere effettuato utilizzando diversi strumenti che possono essere scaricati dal sito web del Supporto Dell nella pagina Driver e download per il computer in uso, disponibili nella sezione delle unità SATA.

Torna all'inizio

7. Disco rigido non riconosciuto dal software di crittografia.

Per Wave Trusted Drive Manager, l'unità deve essere di tipo Full Drive Encryption (FDE) e l'opzione SATA Operation deve essere impostata per ATA\AHCI\IRRT e non RAID On\RAID, come nel caso di alcuni programmi di crittografia di terze parti.

Rivolgersi al fornitore per eventuali requisiti di impostazione del BIOS.

Verificare l'allineamento delle unità in caso di utilizzo di un'immagine del sistema operativo, in particolare Windows XP. Assicurarsi che tutti gli aggiornamenti siano stati applicati all'immagine prima della crittografia.

Se è in uso un software di crittografia di terze parti, verificare con il fornitore che il software sia compatibile con l'hardware nel computer, nonché con il BIOS UEFI (Unified Extensible Firmware Interface).

Torna all'inizio

8. Problemi di preavvio.

• Se un utente riscontra problemi con l'autenticazione al preavvio, controllare qual è il meccanismo di autenticazione utilizzato: password, impronta digitale o smart card
• Per le password, assicurarsi che venga utilizzata la password corretta e che i tasti BLOC NUM e MAIUSC siano impostati correttamente.
• Se si utilizzano le impronte digitali, accertarsi di usare il dito corretto e di toccare correttamente il dispositivo. Tre tocchi non validi attivano il prompt della password.
• Per le smart card, verificare di utilizzare la scheda corretta, di inserirla correttamente e di controllare la presenza di eventuali danni. Se possibile, provare con un'altra scheda.
• In un dominio, assicurarsi che non sia stato attivato l'accesso locale. È necessario utilizzare le stesse credenziali impostate durante la configurazione della crittografia.
• Se l'autenticazione al preavvio non funziona al momento del riavvio, controllare il BIOS per accertarsi che non sia stata abilitata l'esclusione della password. Questa funzione non è valida nelle versioni precedenti del BIOS, ma il problema è stato risolto. Assicurarsi che il cliente utilizzi la versione del BIOS più recente.
• Nel caso in cui l'utente abbia perso la password o lasciato l'azienda, non esiste alcun modo per Dell di ripristinare la password per la crittografia Trusted Drive Manager. Per le applicazioni di terze parti, fare riferimento al fornitore per il supporto.

Torna all'inizio

9. Il sistema non si avvia dopo l'aggiunta di software di crittografia di terze parti

Accendere il computer e premere il tasto F12 durante il processo di avvio per accedere al menu di avvio del BIOS. Potrebbe essere necessario premere ripetutamente il tasto durante il processo di avvio affinché il BIOS lo riconosca al momento giusto. Utilizzare i tasti freccia su e giù per selezionare la voce <Diagnostics> nel menu e premere il tasto INVIO.

Viene eseguita la diagnostica Enhanced Pre-boot System Assessment (ePSA) per verificare che l'unità non sia in stato di errore e non abbia segnalato errori. Se si dispone di un'unità Advanced Format (512e), accertarsi che sia allineata correttamente prima di eseguire la crittografia.

Verificare le opzioni di ripristino con il fornitore di terze parti. La maggior parte delle aziende dispone di un'utilità di ripristino che l'utente può caricare su una chiavetta o un CD di avvio. Verificare inoltre eventuali problemi relativi alle piattaforme di computer sul sito del fornitore in caso di problemi con uno specifico software su uno specifico modello di computer.

Torna all'inizio

10 Crittografia e reinstallazione del sistema operativo

Se il sistema operativo si danneggia su un disco rigido crittografato e richiede la reinstallazione, se il disco rigido è bloccato, il disco di installazione di Windows potrebbe non essere in grado di riconoscere l'unità. Per le unità crittografate con Wave Trusted Drive Manager, l'unità deve essere sbloccata prima di poter reinstallare il sistema operativo.

Consultare i documenti di supporto sul sito Wave per indicazioni su come sbloccare l'unità prima di eseguire la reinstallazione.

Per eventuali software di crittografia di terze parti, rivolgersi al fornitore per la procedura corretta prima di tentare la reinstallazione.

Torna all'inizio

11 Password o chiave di crittografia perse

Nel caso in cui un utente abbia smarrito la password di preavvio o la chiave di crittografia o abbia lasciato l'azienda, la maggior parte dei fornitori di applicazioni per la crittografia mettono a disposizione uno strumento FailSafe per il ripristino. A causa delle policy dei dati standard del settore, il meccanismo di ripristino deve essere avviato dal cliente. Questa operazione viene eseguita salvando la password o la chiave in un dispositivo di storage rimovibile o in un percorso di rete. Se è stata implementata la crittografia completa del disco e l'utente ha perso la password\chiave, Dell non è in grado di recuperare la password\chiave per l'unità. In questo caso, l'utente ha bisogno di un disco rigido sostitutivo. Questo problema non è coperto dalla garanzia dal momento che la crittografia funziona come previsto e protegge i dati da possibili intrusioni. La sostituzione dell'unità è quindi a carico dell'utente. Wave fornisce assistenza in caso di problemi relativi al nome utente. L'utente deve disporre della password affinché Wave possa aiutarlo a recuperare i nomi utente dimenticati. Se l'utente ha dimenticato, smarrito o perso la password, purtroppo Wave non può fornire alcun aiuto.

Se la procedura precedente non risolve il problema, contattare il supporto tecnico Dell per ricevere assistenza.

Torna all'inizio

Articoli consigliati

Di seguito sono riportati alcuni articoli consigliati correlati a questo argomento che potrebbero essere di interesse per l'utente.

• Requisiti di sistema di Dell Full Disk Encryption
• Opzione del BIOS per impostare una password del disco rigido nell'unità SSD M.2
• Crittografia automatica dei dispositivi Windows o BitLocker su computer Dell