如何对硬盘加密问题进行故障处理

Summary: 本文提供有关硬盘加密的信息以及 BitLocker 的说明和故障处理步骤,以解决戴尔计算机上与硬盘加密相关的问题。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

目录:

  1. 什么是硬盘加密?
  2. 硬件加密与软件加密的比较
  3. 什么是TPM?
  4. Full Disk Encryption (FDE)
  5. 什么是BitLocker?
  6. 高级格式 512e (4 K) FDE 硬盘加密
  7. 加密软件无法识别硬盘
  8. 预启动问题
  9. 添加第三方加密软件后,系统将无法启动。
  10. 加密和操作系统重新安装
  11. 密码或密钥丢失

1.什么是硬盘加密?

硬盘加密是使用数学算法将硬盘上的数据或整个硬盘转换为不可读代码的过程,以防止未经授权用户的访问。用户必须提供密码、指纹或智能卡,才能访问加密硬盘。可以通过软件或硬件机制的方法进行加密。在客户端领域,我们大部分时间都在处理软件加密。可以对文件进行加密,也可以对整个硬盘进行加密。

返回页首

2.硬件加密与软件加密的比较

软件加密和硬件加密的主要区别在于,无法使用软件加密机制对主引导记录(MBR)进行加密。戴尔客户端计算机将 Wave Trusted Drive Manager 作为 Dell Data Protection 或 Dell ControlPoint Security Manager 套件的一部分,并与 TPM 芯片一起使用以实现基于软件的加密。企业客户可以使用 Dell Data Protection Encryption 和 DDPE Accelerator 模块(使用笔记本电脑的迷你卡或台式计算机的 PCIe 卡在主板插槽中使用)。硬件加密更安全,这是因为它将硬盘与 CPU 和操作系统隔离开来,因此不容易受到攻击。

返回页首

3.什么是TPM?

受信平台模块 (TPM) 是主板上的加密微处理器,用于存储和验证硬盘的密钥,密钥反过来可将硬盘与计算机绑定。这就意味着,即使计算机的加密硬盘被盗并放入另一个计算机,仍无法访问该硬盘。TPM 芯片用作硬盘的“网关”。加密方案中使用 TPM 芯片的主要缺点在于,如果需要更换主板,则用户可能无法再对该硬盘进行访问。但是,Wave Trusted Drive Manager通过保留硬盘上的密钥,缓解了这一问题。(这就类似于更换主板时不丢失RAID阵列。阵列信息保存在硬盘磁条和RAID控制器EPROM中。)

详细信息:如何对 TPM 和 BitLocker 常见问题进行故障处理以及解决这些常见问题

返回页首

4.Full Disk Encryption (FDE)

全磁盘加密就意味着可对整个硬盘(各个扇区)进行加密,而不是只对文件、文件夹或文件计算机进行加密。由于计算机被盗或丢失的可能性很大,因此 FDE 硬盘逐渐成为笔记本电脑中的标准配置。“全磁盘加密”一词最初由 Seagate 创造,但现在已成为用于可完全加密的所有硬盘的行业术语。FDE硬盘的安全功能始终为打开状态,除非实施安全策略,否则将用作普通硬盘。

常见的问题是,Wave Trusted Drive Manager 加密软件是否可在非 FDE 硬盘上使用,以保护整个磁盘。答案是否定的。Wave Trusted Drive Manager 需要使用 FDE 硬盘。Windows BitLocker 等软件加密机制可用于对非 FDE 硬盘(使用 TPM 芯片或 USB 驱动器)上的各个卷进行加密,但不能对硬盘的操作系统引导程序(引导扇区)进行加密。

要访问由Wave Trusted Drive Manager完全加密的硬盘上的内容,可使用预启动验证,以便能够访问包含操作系统和用户数据的扇区。在使用 DDPA 的客户端计算机上,预启动验证设置由 DDPA\DCPSM 中的 Wave 软件处理。

返回页首

5.什么是BitLocker?

BitLocker是Windows7中提供的全磁盘加密功能,仅可在旗舰版和企业版中使用。您可以使用BitLocker To Go帮助保护可移动数据驱动器(例如外部硬盘或USB闪存驱动器)上存储的所有文件。

与 Trusted Drive Manager 不同,这些硬盘不需要是 FDE 硬盘,但 BitLocker 只能对卷进行加密,而不能对启动卷进行加密。可通过将密码或 Smartcard 与 TPM 配合使用的预启动方式,解锁用 BitLocker 加密的硬盘。要使用预启动机制访问 BitLocker,BIOS 必须能够在启动时读取 USB 驱动器,且必须存在两个分区,计算机驱动器分区必须至少为 100 MB 并设为活动分区。将对操作系统分区进行加密,且计算机分区将保持未加密状态,以便您的计算机能够启动。

BitLocker 可以不使用 TPM,但强烈建议在预启动时使用 TPM,以获得更好的安全性。Windows Update 无需禁用 BitLocker,但其它更新可能需要禁用 BitLocker。和其它加密应用程序一样,建议您将恢复密钥 (PIN) 存储在可移动介质或其它安全位置。如果用户没有恢复PIN,则无法解锁该硬盘。如果计算机无法启动以进入 BitLocker 恢复控制台,或硬盘出现故障,可下载BitLocker 修复工具外部链接并解压到可引导密钥或光盘,以恢复该硬盘中的数据。您必须有PIN才能访问数据。

如果用户在使用Active Directory的域中,并且其管理员设置了 BitLocker,则 PIN 有可能存储在 Active Directory 中,应咨询其 IT 部门。

详细信息:如何对 TPM 和 BitLocker 常见问题进行故障处理以及解决这些常见问题

返回页首

6.高级格式 512e (4 K) FDE 硬盘加密。

512e (4 K) 或高级格式硬盘就意味着硬盘的单独扇区已从 512 更改为 4,096 字节。第一代高级格式硬盘通过采用 8 - 512 字节的扇区实现此目的,并将这些扇区组合至一个 4,096 字节的扇区。在戴尔计算机中,512e(仿真)一词来自于硬盘固件内的转换机制,用于为期望 512 字节扇区的传统组件和软件模拟 4,096 字节扇区的外观。以 512 字节的增量完成到高级格式 512e 硬盘的所有读/写操作,但在读取周期,全部 4,096 字节加载进内存。因此,必须对齐512e硬盘。如果没有执行硬盘对齐,则硬盘的性能会受到严重影响。当前随戴尔计算机一起购买的硬盘均已对齐。

要检测计算机是否拥有高级格式 (512e) 硬盘,请下载高级格式硬盘检测工具。 

旧操作系统必须进行分区对齐,同时建议对新操作系统进行此操作,以确保良好的硬盘性能和不同扇区大小的驱动器之间的映像。

可以使用许多工具对齐硬盘,可从戴尔支持网站驱动程序和下载的“SATA 硬盘”部分下载适用于您计算机的工具。

返回页首

7.加密软件无法识别硬盘。

对于Wave Trusted Drive Manager,硬盘必须是全磁盘加密(FDE)硬盘,且必须将“SATA操作”设置为ATA\AHCI\IRRT,而不是RAID On\RAID。这可能是使用第三方加密程序的情况。

请咨询供应商,以了解BIOS设置要求。

如果使用的是操作系统映像,尤其是Windows XP,请检查硬盘对齐。加密前,确保已应用所有更新至映像。

如果使用的是第三方加密软件,请咨询供应商,确保软件可以和计算机中的硬件以及统一可扩展固件接口 (UEFI) BIOS 一起使用。

返回页首

8.预启动问题。

  • 如果用户在预启动验证时遇到问题,请查看所使用的验证机制是:密码、指纹或智能卡
  • 如果使用的是密码,请确保使用了正确的密码,并检查 Caps Lock 和 Num Lock 的设置是否正确。
  • 如果使用的是指纹,请确保使用了正确的手指,且滑动不会过快。三次无效滑动会触发输入密码的提示。
  • 如果使用的是智能卡,请确保使用了正确的卡,正确插入卡,并检查智能卡是否有任何损坏。如果可能,请尝试使用另一张卡。
  • 如果在域上,请确保没有切换到本地登录。使用的凭据必须和创建加密时使用的凭据相同。
  • 如果用户称重新启动时预启动验证不正常,则请检查 BIOS,确保未启用绕过密码功能。此功能在较早的 BIOS 版本中不正常工作,但后来已经修复了此问题。确保客户使用的是最新版本的 BIOS。
  • 如果用户丢失了密码或不再受雇,则戴尔将无法恢复Trusted Drive Manager加密的密码。有关第三方应用程序,请咨询供应商获得支持。

返回页首

9.添加第三方加密软件后,系统将无法启动。

打开计算机电源,然后在启动期间按 F12 键以进入 BIOS 启动菜单。您可能需要在启动期间反复按下按键,以便使BIOS在正确时间识别按键。使用向上和向下箭头键选择菜单上的 <Diagnostics>,然后按 Enter 键

运行增强型启动前系统评估 (ePSA) 诊断是为了确保硬盘没有故障,且未报告任何错误。如果您使用的是高级格式 (512e) 硬盘,则请在执行加密前确保正确对齐硬盘。

请咨询第三方供应商,获取恢复选项。大多数公司都有恢复实用程序,用户可将其加载到可引导密钥或光盘上。如果此型号计算机上的此特定软件出现任何问题,还可查看供应商网站,了解系统平台问题。

返回页首

10 加密和操作系统重新安装

如果加密硬盘上的操作系统损坏并且需要重新安装,则可能出现这样一种情况,由于硬盘处于锁定状态,因此Windows安装盘可能无法识别该硬盘。对于使用Wave Trusted Drive Manager加密的硬盘,重新安装操作系统前,必须解锁该硬盘。

请在此处参阅 Wave 网站上说明重新安装前如何解锁硬盘的支持文档。

对于第三方加密软件,请在尝试重新安装之前咨询供应商,以了解正确的步骤。

 

返回页首

11 密码或密钥丢失

如果用户已丢失其预启动密码、密钥,或最终用户已离开公司,几乎所有加密应用程序供应商都能提供恢复密码或密钥的故障安全机制。根据行业标准数据政策,恢复机制必须由客户发起。这可以通过将密码/密钥保存至可移动存储设备或网络位置来完成。如果实施全磁盘加密后用户丢失了其密码/密钥,则戴尔无法帮助他们恢复该硬盘的密码/密钥。在这种情况下,用户需要更换硬盘。此问题属于保修范围以外,因为加密按照设计正常运行,保护数据不受入侵。更换驱动器将由用户承担费用。Wave 可以协助解决用户名问题。用户必须拥有密码,Wave 才能帮助其找回忘记的用户名。如果用户忘记、丢失或没有自己的密码,很遗憾,Wave 爱莫能助。

如果以上步骤未解决此问题,请致电戴尔技术支持以获得帮助。

返回页首

Additional Information

推荐的文章

以下是您可能会感兴趣的与此主题相关的一些推荐文章。

Affected Products

Alienware, Dell All-in-One, Dell Pro All-in-One, Dell Pro Max Micro, Dell Pro Max Slim, Dell Pro Max Tower, Dell Pro Micro, Dell Pro Slim, Dell Pro Tower, Dell Slim, Dell Tower, Inspiron, Legacy Desktop Models, OptiPlex, Vostro, XPS, G Series , G Series, Alienware, Dell Laptops, Dell Plus, Dell Pro, Dell Pro Max, Dell Pro Plus, Dell Pro Premium, Inspiron, Latitude, Dell Pro Rugged, Vostro, XPS, Legacy Laptop Models, Fixed Workstations, Mobile Workstations, Dell Pro Max Micro XE FCM2250, Dell Pro Max Slim XE FCS1250, Dell Pro Max Tower T2 XE FCT2250, Dell Pro Max 16 XE MC16250, Dell Pro Micro Plus XE QBM1250, Dell Pro Slim Plus XE5 QBS1250, Dell Pro Tower Plus XE5 QBT1250 ...
Article Properties
Article Number: 000178978
Article Type: How To
Last Modified: 24 Jul 2025
Version:  12
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.