Як усунути проблеми з шифруванням жорсткого диска

Зміст:

1. Що таке шифрування жорсткого диска?
2. Апаратне шифрування порівнюється з програмним шифруванням
3. Що таке модуль TPM?
4. Повне шифрування диска (FDE)
5. Що таке BitLocker?
6. Шифрування жорстких дисків Advanced Format 512e (4 K) FDE
7. Жорсткий диск не розпізнається програмним забезпеченням для шифрування
8. Проблеми з попереднім завантаженням
9. Система не завантажується після додавання стороннього програмного забезпечення для шифрування.
10. Шифрування та перевстановлення операційної системи
11. Загублені паролі або ключ шифрування

1. Що таке шифрування жорсткого диска?

Шифрування жорсткого диска – це процес, під час якого дані на диску або на всьому диску перетворюються на нечитабельний код за допомогою математичних алгоритмів, тому до них не можуть отримати доступ неавторизовані користувачі. Користувач повинен надати пароль, відбиток пальця або смарт-картку, щоб отримати доступ до зашифрованого диска. Шифрування може виконуватися за допомогою програмних або апаратних механізмів. У світі клієнтів ми більшу частину часу маємо справу з програмним шифруванням. Шифрування може бути як на рівні файлу, так і для всього жорсткого диска.

Догори

2. Апаратне шифрування в порівнянні з програмним шифруванням

Основна відмінність між програмним та апаратним шифруванням полягає в тому, що майстер-запис завантаження (MBR) не може бути зашифрований за допомогою програмного механізму шифрування. Клієнтські комп'ютери Dell використовують Wave Trusted Drive Manager як частину пакета Dell Data Protection або Dell ControlPoint Security Manager з чіпом TPM для програмного шифрування. Корпоративні клієнти можуть використовувати Dell Data Protection Encryption і модуль DDPE Accelerator, який використовується в слоті на материнській платі за допомогою міні-карти для ноутбуків або карти PCIe для настільних комп'ютерів. Апаратне шифрування є більш безпечним, оскільки ізолює диск від центрального процесора та операційної системи, роблячи його набагато менш вразливим до атак.

Догори

3. Що таке модуль TPM?

Модуль довірчої платформи (TPM) — це криптографічний мікропроцесор на материнській платі, який зберігає та автентифікує ключі шифрування диска, які, у свою чергу, пов'язують диск із комп'ютером. Це означає, що якщо зашифрований диск буде викрадено з комп'ютера та поміщено на інший комп'ютер, диск буде недоступний. Мікросхема TPM виступає в ролі «шлюзу» в накопичувач. Основний недолік мікросхеми TPM, що використовується в схемі шифрування, полягає в тому, що якщо материнська плата вимагає заміни, накопичувач потенційно може бути більше недоступний користувачеві. Однак Wave Trusted Drive Manager полегшує цю проблему, зберігаючи ключі шифрування на жорсткому диску. (Це схоже на те, як RAID-масиви не втрачаються при заміні материнської плати. Інформація про масив зберігається на страйпі диска і в RAID-контролері EPROM.

Додаткова інформація: Виправлення неполадок із модулем TPM і BitLocker

Догори

4. Повне шифрування диска (FDE)

Повне шифрування диска просто означає, що можна зашифрувати весь диск (кожен сектор), а не файли, папку або файлові комп'ютери. Жорсткі диски FDE стають стандартом у ноутбуках через підвищену ймовірність крадіжки або втрати комп'ютера. Термін «повне шифрування диска» спочатку був придуманий компанією Seagate, але в даний час є галузевим терміном для всіх жорстких дисків, які можна повністю зашифрувати. Функції безпеки жорсткого диска FDE завжди ввімкнені та діють як звичайний жорсткий диск, доки не буде впроваджено політики безпеки.

Поширене питання, яке виникає, полягає в тому, чи можна використовувати програмне забезпечення для шифрування Wave Trusted Drive Manager на жорсткому диску без FDE для захисту всього диска. Відповідь: ні, Wave Trusted Drive Manager вимагає диска FDE. Програмні механізми шифрування, такі як Windows BitLocker, можна використовувати для шифрування томів на дисках без FDE за допомогою мікросхеми TPM або USB-накопичувача, але не завантажувального сектора операційної системи жорсткого диска.

Щоб отримати доступ до вмісту повністю зашифрованого жорсткого диска за допомогою Wave Trusted Drive Manager, використовується аутентифікація перед завантаженням, щоб можна було отримати доступ до секторів, що містять операційну систему та дані користувача. На клієнтських комп'ютерах, які використовують DDPA, налаштування автентифікації перед завантаженням виконується програмним забезпеченням Wave у межах DDPA\DCPSM.

Догори

5. Що таке BitLocker?

BitLocker – це функція повного шифрування диска, доступна у Windows 7 і доступна лише у випусках Ultimate і Enterprise. За допомогою засобу BitLocker To Go можна захистити всі файли, що зберігаються на знімних дисках даних (наприклад, на зовнішніх жорстких дисках або флеш-пам'яті USB).

На відміну від Trusted Drive Manager, ці диски не обов'язково мають бути дисками FDE, але BitLocker може шифрувати лише томи, але не завантажувальний том. Диски, зашифровані за допомогою засобу BitLocker, можна розблокувати під час попереднього завантаження за допомогою пароля або смарт-картки з модулем TPM. Щоб доступ до BitLocker здійснювався за допомогою механізму попереднього завантаження, BIOS повинен мати можливість читати USB-носій під час завантаження, а також мати два розділи, причому розділ диска комп'ютера має містити принаймні 100 МБ і бути встановленим як активний розділ. Розділ операційної системи зашифровано, а розділ комп'ютера залишається незашифрованим, щоб комп'ютер міг запуститися.

Модуль TPM не потрібен для використання BitLocker, але настійно рекомендується для попереднього завантаження для кращої безпеки. Оновлення Windows не вимагають вимкнення BitLocker, але інші оновлення можуть вимагати його вимкнення. Як і в інших програмах шифрування, рекомендовано зберігати ключі відновлення (PIN-коди) на знімному носії або в інших безпечних місцях. Якщо у користувача немає PIN-коду для відновлення, розблокувати диск неможливо. Якщо комп'ютер не може завантажитися для доступу до консолі відновлення BitLocker або жорсткий диск вийшов з ладу, засіб BitLocker Repair Tool можна завантажити та розпакувати його на завантажувальний ключ або компакт-диск для відновлення даних із диска. Щоб отримати доступ до даних, потрібно мати PIN-код.

Якщо користувач перебуває в домені за допомогою Active Directory та його адміністратора інсталяції BitLocker, можливо, PIN-код було збережено в Active Directory, тому зверніться до свого ІТ-відділу.

Додаткова інформація: Виправлення неполадок із модулем TPM і BitLocker

Догори

6. Шифрування жорстких дисків Advanced Format 512e (4 K) FDE.

Жорсткий диск 512e (4 K) або розширеного формату просто означає, що окремі сектори диска змінилися з 512 до 4 096 байт. Перше покоління жорстких дисків розширеного формату досягає цього, беручи 8 512-байтових секторів і об'єднуючи їх в один сектор розміром 4 096 байт. У комп'ютерах Dell термін 512e (емуляція) походить від використання механізмів перетворення в мікропрограмі жорсткого диска для імітації зовнішнього вигляду 4096 секторів для застарілих компонентів і програмного забезпечення, яке очікує 512-байтових секторів. Всі читання\запис на жорсткий диск розширеного формату 512e виконуються з кроком 512 байтів, але при циклі читання в пам'ять завантажуються всі 4,096. Через це жорсткі диски 512e повинні бути вирівняні. Якщо не виконати вирівнювання приводу, це може серйозно вплинути на продуктивність приводу. Поточні жорсткі диски, які купуються разом із комп'ютером Dell, вже вирівняні.

Щоб визначити, чи обладнано комп'ютер диском розширеного формату (512e), завантажте засіб виявлення жорсткого диска формату Advanced Format. 

Вирівнювання розділів необхідне для старих операційних систем і рекомендується для нових операційних систем, щоб забезпечити належну продуктивність жорсткого диска та створення образів між жорсткими дисками з різними розмірами секторів.

Вирівнювання диска можна виконати за допомогою кількох інструментів, які можна завантажити з сайту підтримки Dell «Драйвери та завантаження » для вашого комп'ютера в розділі SATA Drives.

Догори

7. Жорсткий диск не розпізнається програмним забезпеченням для шифрування.

Для Wave Trusted Drive Manager диск повинен бути диском з повним шифруванням диска (FDE), а операція SATA повинна бути встановлена для ATA\AHCI\IRRT, а не для RAID On\RAID. Це може стосуватися сторонніх програм шифрування.

Зверніться до постачальника щодо вимог до налаштувань BIOS.

Перевірте вирівнювання диска, якщо використовується образ операційної системи, особливо Windows XP. Переконайтеся, що до зображення було застосовано всі оновлення перед шифруванням.

Якщо використовується стороннє програмне забезпечення для шифрування, зверніться до постачальника, щоб переконатися, що воно працює з устаткуванням комп'ютера та BIOS з уніфікованим розширюваним інтерфейсом мікропрограми (UEFI).

Догори

8. Проблеми з попереднім завантаженням.

• Якщо у користувача виникають проблеми з автентифікацією перед завантаженням, перевірте, який механізм автентифікації він використовує: Пароль, відбиток пальця або смарт-картка
• Що стосується паролів, переконайтеся, що вони використовують правильний пароль, і перевірте, чи правильно встановлено Cap Lock і Num Lock.
• Якщо ви використовуєте відбитки пальців, переконайтеся, що вони використовують правильний палець і не проводять надто швидко. Три неприпустимі свайпи мають активувати запит на введення пароля.
• Для смарт-карток переконайтеся, що використовується правильна картка, її правильно вставлено, і перевірте наявність пошкоджень. Спробуйте іншу картку, якщо це можливо.
• Якщо ви використовуєте домен, переконайтеся, що вони не перейшли на локальний вхід. Вони мають використовувати ті самі облікові дані, що й під час запровадження шифрування.
• Якщо користувач заявляє, що аутентифікація перед завантаженням не працює під час перезавантаження, перевірте BIOS, щоб переконатися, що обхід пароля не включено. Ця функція не працювала в ранніх випусках BIOS, але з тих пір була виправлена. Переконайтеся, що клієнт використовує останню версію BIOS.
• Якщо користувач втратив пароль або більше не використовується, Dell не зможе відновити пароль для шифрування Trusted Drive Manager. Для додатків сторонніх виробників зверніться по підтримці.

Догори

9. Система не завантажується після додавання стороннього програмного забезпечення для шифрування.

Увімкніть живлення комп'ютера, а потім натисніть клавішу F12 під час процесу завантаження, щоб потрапити в меню завантаження BIOS. Може знадобитися багаторазове натискання клавіші під час процесу завантаження, щоб змусити BIOS розпізнати ключ у потрібний час. За допомогою клавіш зі стрілками вгору та вниз виберіть <у меню пункт «Діагностика> » та натисніть клавішу Enter.

Діагностика розширеної оцінки системи перед завантаженням (ePSA) запускається для того, щоб переконатися, що диск не перебуває в аварійному стані та не повідомляє про будь-які помилки. Якщо у вас диск розширеного формату (512e), переконайтеся, що диск правильно вирівняно, перш ніж виконувати шифрування.

Зверніться до стороннього постачальника, щоб дізнатися про варіанти відновлення. У більшості компаній є утиліта відновлення, яку користувач може завантажити на завантажувальний ключ або компакт-диск. Крім того, перевірте сайт постачальника на наявність проблем з комп'ютерною платформою, якщо виникнуть проблеми з цим конкретним програмним забезпеченням на цій моделі комп'ютера.

Догори

10 Шифрування та перевстановлення операційної системи

Якщо операційна система пошкоджується на зашифрованому жорсткому диску і вимагає повторної інсталяції, існує ймовірність того, що через те, що жорсткий диск знаходиться в заблокованому стані, інсталяційний диск Windows може не розпізнати диск. Для зашифрованих дисків Wave Trusted Drive Manager диск повинен бути розблокований, перш ніж можна буде здійснити перевстановлення операційної системи.

Перегляньте документи підтримки на сайті Wave, які пояснюють, як розблокувати диск перед перевстановленням тут.

Щодо програмного забезпечення для шифрування сторонніх виробників зверніться до постачальника щодо належної процедури, перш ніж намагатися повторно інсталювати його.

Догори

11 Втрачені паролі або ключ шифрування

Якщо користувач втратив пароль перед завантаженням, ключ шифрування або кінцевий користувач покинув компанію, більшість постачальників програм для шифрування надають надійний механізм для відновлення. Відповідно до стандартних галузевих політик обробки даних, механізм відновлення має бути ініційований клієнтом. Це робиться шляхом збереження пароля\ключа на знімний носій або мережеве розташування. Якщо було впроваджено повне шифрування диска і користувач втратив пароль\ключ, Dell не зможе допомогти йому відновити пароль\ключ для диска. У цьому випадку користувачеві потрібна заміна жорсткого диска. Це питання виходить за рамки гарантії, оскільки шифрування працює належним чином і захищає дані від вторгнення. Заміна накопичувача буде за рахунок користувача. Wave може допомогти з проблемами з іменем користувача. Користувач повинен мати свій пароль для Wave, щоб допомогти з забутим іменем користувача. Якщо користувач забув, втратив або не має свого пароля, на жаль, Wave не може допомогти.

Якщо наведені вище дії не допомогли вирішити проблему, зателефонуйте до служби технічної підтримки Dell за допомогою.

Догори

Рекомендовані статті

Ось кілька рекомендованих статей, пов'язаних з цією темою, які можуть вас зацікавити.

• Системні вимоги Dell Full Disk Encryption
• Опція BIOS для встановлення пароля жорсткого диска на твердотільному накопичувачі M.2
• Автоматичне шифрування пристроїв Windows або BitLocker на комп'ютерах Dell