Поиск и устранение проблем шифрования жесткого диска

Содержание

1. Что такое шифрование жесткого диска?
2. Сравнение аппаратного шифрования с программным шифрованием
3. Что такое TPM?
4. Полное шифрование диска (FDE)
5. Что такое BitLocker?
6. Шифрование жестких дисков с расширенным форматом 512e (4K) в режиме FDE
7. Жесткий диск не распознается программой шифрования
8. Проблемы перед загрузкой
9. Система не загружается после добавления сторонней программы шифрования.
10. Шифрование и переустановка операционной системы
11. Потеря паролей или ключа шифрования

1. Что такое шифрование жесткого диска?

Шифрование жесткого диска — это процесс преобразования данных на диске или всем накопителе в нечитаемый код с помощью математических алгоритмов, в результате которого несанкционированный доступ к данным становится невозможен. Для доступа к зашифрованному диску пользователь должен предоставить пароль, отпечаток пальца или смарт-карту. Шифрование может выполняться с помощью программных или аппаратных механизмов. На клиентских устройствах обычно используется программное шифрование. Шифрование может выполняться на уровне файлов или для всего жесткого диска.

В начало

2. Сравнение аппаратного шифрования с программным шифрованием

Основное различие между программным и аппаратным шифрованием заключается в том, что при использовании программного шифрования нельзя зашифровать главную загрузочную запись (MBR). Клиентские компьютеры Dell используют Wave Trusted Drive Manager в составе пакета Dell Data Protection или Dell ControlPoint Security Manager совместно с чипом TPM для программного шифрования. Корпоративные заказчики могут применять Dell Data Protection Encryption и модуль DDPE Accelerator, который используется в разъеме на системной плате с помощью мини-платы для ноутбуков или платы PCIe для настольных компьютеров. Аппаратное шифрование более безопасно, так как оно изолирует диск от ЦП и операционной системы, что делает его значительно менее уязвимым для атак.

В начало

3. Что такое TPM?

Доверенный платформенный модуль (TPM) — криптографический микропроцессор на системной плате, где осуществляется хранение и аутентификация ключей шифрования для накопителя, и который, в свою очередь, привязывает накопитель к компьютеру. Это означает, что в случае кражи и установки зашифрованного накопителя в другом компьютере этот накопитель будет недоступен. Чип TPM выполняет роль «шлюза» к накопителю. Основной недостаток использования чипа TPM в схеме шифрования заключается в том, что накопитель может стать недоступным для пользователя при замене системной платы. Однако Wave Trusted Drive Manager устраняет эту проблему, сохраняя ключи шифрования на жестком диске. (Это аналогично RAID-массивам, которые не будут потеряны при замене системной платы. Информация о массиве хранится на дисковом страйпе и в EPROM-модуле RAID-контроллера.)

Дополнительная информация: диагностика и устранение распространенных проблем модуля TPM и BitLocker

В начало

4. Полное шифрование диска (FDE)

Полное шифрование диска означает, что осуществляется шифрование всего накопителя (каждого сектора), а не только файлов, папок или файловых систем. Жесткие диски FDE становятся стандартом для ноутбуков в связи с повышенным риском кражи или потери компьютера. Термин «полное шифрование диска» изначально использовала компания Seagate, но теперь он используется в отрасли для всех жестких дисков, которые могут быть подвергнуты полному шифрованию. Функции безопасности для жесткого диска FDE всегда включены, и диск работает как обычный, пока не реализованы политики безопасности.

Очень часто задают вопрос, нельзя ли использовать программу Wave Trusted Drive Manager для жесткого диска без FDE, чтобы обеспечить безопасность всего диска. Ответ: нет, нельзя. Для работы Wave Trusted Drive Manager требуется диск FDE. Для шифрования томов на накопителях без FDE можно применять программные механизмы шифрования (например, Windows BitLocker) с использованием чипа TPM или USB-накопителя, но такие механизмы не обеспечивают шифрование кода начальной загрузки операционной системы (загрузочного сектора) на жестком диске.

Для доступа к содержимому полностью зашифрованного жесткого диска с помощью Wave Trusted Drive Manager используется предзагрузочная аутентификация, после которой обеспечивается доступ к секторам, содержащим операционную систему и данные пользователя. На клиентских компьютерах с использованием DDPA настройку предзагрузочной аутентификации осуществляет программа Wave в DDPA\DCPSM.

В начало

5. Что такое BitLocker?

BitLocker — это компонент для полного шифрования диска, который доступен в ОС Windows 7 (только в выпусках Максимальная и Корпоративная). BitLocker To Go можно использовать для защиты всех файлов, хранящихся на съемных накопителях (например, внешних жестких дисках или флэш-накопителях USB).

В отличие от Trusted Drive Manager, эти накопители могут не быть накопителями FDE, но BitLocker может шифровать только тома за исключением загрузочного тома. Диски, зашифрованные с помощью BitLocker, можно разблокировать перед загрузкой с помощью пароля или смарт-карты с TPM. Для доступа предзагрузочного механизма к BitLocker требуется, чтобы BIOS считывала данные с USB-накопителя при загрузке; также необходимы два раздела, причем емкость раздела компьютерного накопителя должна быть не менее 100 Мбайт и этот раздел должен быть активным. Раздел операционной системы зашифрован, а компьютерный раздел остается незашифрованным, чтобы компьютер мог запуститься.

Чип TPM не требуется для использования BitLocker, но его применение настоятельно рекомендуется для предзагрузки с целью повышения безопасности. Для обновлений Windows не требуется отключать BitLocker, но для других обновлений может потребоваться его отключение. Как и для других приложений для шифрования, рекомендуется хранить ключи восстановления (PIN-коды) на съемном носителе или в другом безопасном месте. Если у пользователя не будет PIN-кода восстановления, он не сможет разблокировать накопитель. Если неисправен жесткий диск или компьютер не загружается для доступа к консоли восстановления BitLocker, можно скачать BitLocker Repair Tool и извлечь этот инструмент на загрузочный ключ или компакт-диск, чтобы восстановить данные с накопителя. Для доступа к данным необходимо иметь PIN-код.

Если пользователь находится в домене, где используется Active Directory, и администратор настроил BitLocker, PIN-код может храниться в Active Directory. В этом случае порекомендуйте пользователю обратиться в его ИТ-отдел.

Дополнительная информация: диагностика и устранение распространенных проблем модуля TPM и BitLocker

В начало

6. Шифрование жестких дисков FDE с расширенным форматом 512e (4K).

Формат 512e (4K) или расширенный формат для жестких дисков означает, что размер каждого сектора диска изменен с 512 байт на 4096 байт. В первом поколении жестких дисков с расширенным форматом для этого использовались 8 секторов размером по 512 байт, которые объединялись в один сектор размером 4096 байт. Что касается компьютеров Dell, термин 512e (эмуляция) происходит от использования механизмов преобразования в микропрограмме жесткого диска, которые симулируют наличие секторов размером 4096 байт для старых компонентов и программ, ожидающих секторов размером 512 байт. Все операции чтения/записи на жесткие диски с расширенным форматом 512e выполняются с шагом 512 байт, но в цикле чтения в память загружаются все 4096 байт. Из-за этого требуется выравнивание жестких дисков 512e. Если выравнивание диска не выполнено, может значительно снизится производительность диска. Современные жесткие диски, приобретаемые с компьютерами Dell, уже выровнены.

Чтобы определить, установлен ли на вашем компьютере диск с расширенным форматом (512e), скачайте Advanced Format Hard Drive Detection Tool. 

Выравнивание разделов обязательно для более старых операционных систем и рекомендуется для новых операционных систем, чтобы обеспечить надлежащую производительность жестких дисков и создание образов жестких дисков с разными размерами секторов.

Для выравнивания дисков можно использовать ряд инструментов, которые можно скачать для конкретного компьютера со страницы Драйверы и скачиваемые материалы на сайте поддержки Dell в разделе «Накопители SATA».

В начало

7. Жесткий диск не распознается программой шифрования.

Для Wave Trusted Drive Manager необходимо, чтобы накопитель был полностью зашифрованным накопителем (FDE), а для SATA должен быть задан режим ATA\AHCI\IRRT, а не RAID On\RAID. Такие же требования могут предъявлять и сторонние программы шифрования.

Уточните у поставщика требования к настройке BIOS.

Проверьте выравнивание накопителей, если используется образ операционной системы (особенно если это Windows XP). Перед шифрованием убедитесь, что к образу применены все обновления.

Если используется стороннее программное обеспечение для шифрования, обратитесь к поставщику, чтобы убедиться, что его программное обеспечение работает с оборудованием компьютера и Unified Extensible Firmware Interface (UEFI) BIOS.

В начало

8. Проблемы перед загрузкой.

• Если у пользователя возникают проблемы с предзагрузочной аутентификацией, узнайте, какой механизм аутентификации он применяет: пароль, отпечаток пальца или смарт-карту.
• При использовании пароля убедитесь, что пользователь применяет верный пароль и что клавиши CapsLock и NumLock правильно настроены.
• При использовании отпечатка пальца убедитесь, что пользователь применяет нужный палец и не проводит им по сканеру слишком быстро. После трех неудачных попыток использования отпечатка пальца последует запрос пароля.
• При использовании смарт-карты убедитесь, что используется нужная карта и что эта карта правильно вставлена и не повреждена. По возможности попробуйте использовать другую карту.
• Если пользователь находится в домене, убедитесь, что он не переключился на локальный вход. Он должен использовать те же учетные данные, что и при установке шифрования.
• Если пользователь сообщает, что предзагрузочная аутентификация не работает при перезагрузке, проверьте BIOS, чтобы убедиться, что обход пароля не включен. Эта функция не работала в более ранних версиях BIOS, но с тех пор была исправлена. Убедитесь, что заказчик использует последнюю версию BIOS.
• Если пользователь потерял пароль или больше не работает в компании, Dell не сможет восстановить пароль для шифрования Trusted Drive Manager. При использовании сторонних приложений обратитесь за поддержкой к соответствующему поставщику.

В начало

9. Система не загружается после добавления сторонней программы шифрования.

Включите питание компьютера, а затем нажмите клавишу F12 во время загрузки, чтобы перейти в меню загрузки BIOS. Может потребуется несколько раз нажать эту клавишу во время загрузки, чтобы система BIOS распознала ее нажатие в нужный момент. С помощью клавиш со стрелками вверх и вниз выберите в меню <Diagnostics> и нажмите клавишу Enter.

Выполнение диагностики Enhanced Preboot System Assessment (ePSA) позволяет убедиться, что накопитель исправен и не сообщает об ошибках. При использовании накопителя с расширенным форматом (512e) следует выполнить выравнивание накопителя перед шифрованием.

Для получения информации о возможностях восстановления обратитесь к соответствующему стороннему поставщику. У большинства компаний есть утилита восстановления, которую пользователь может загрузить на загрузочный ключ или компакт-диск. Также проверьте на сайте поставщика сведения о проблемах с платформой компьютера, если на этой модели компьютера возникли проблемы с данным программным обеспечением.

В начало

10. Шифрование и переустановка операционной системы.

Если в результате повреждения операционной системы на зашифрованном жестком диске требуется ее переустановка, не исключено, что установочный диск Windows не сможет распознать этот жесткий диск из-за его блокировки. Для накопителей, зашифрованных с помощью Wave Trusted Drive Manager, необходимо разблокировать накопитель перед переустановкой операционной системы.

Опубликованные на сайте Wave документы поддержки с инструкциями о том, как разблокировать накопитель перед переустановкой, см. здесь.

Если используется стороннее программное обеспечение для шифрования, обратитесь к поставщику за описанием соответствующей процедуры перед переустановкой.

В начало

11. Потеря паролей или ключа шифрования.

В случае если пользователь потерял пароль для предзагрузочной аутентификации или ключ шифрования либо если конечный пользователь больше не работает в компании, большинство поставщиков приложений для шифрования предлагает отказоустойчивый механизм восстановления. В соответствии со стандартными отраслевыми политиками управления данными этот механизм восстановления должен запустить заказчик. Обычно это делается путем сохранения пароля/ключа на съемном носителе или в сетевом каталоге. Если применялось полное шифрование диска и пользователь потерял свой пароль/ключ, компания Dell не сможет помочь ему восстановить пароль/ключ для этого диска. В этом случае пользователю требуется сменный жесткий диск. Эта проблема выходит за рамки гарантии, так как шифрование работает надлежащим образом и защищает данные от взлома. Замена накопителя производится за счет пользователя. Компания Wave может помочь при возникновении проблем с именем пользователя. Пользователь должен знать свой пароль, чтобы компания Wave помогла восстановить забытое имя пользователя. Если пользователь забыл, потерял или не знает пароль, компания Wave не сможет помочь.

Если описанные выше действия не помогли устранить проблему, свяжитесь со службой технической поддержки Dell для получения помощи.

В начало

Рекомендованные статьи

Ниже приведены некоторые рекомендованные статьи по этой теме, которые могут вас заинтересовать.

• Системные требования Dell Full Disk Encryption
• Опция BIOS, позволяющая установить пароль для жесткого диска, при использовании накопителей SSD M.2
• Автоматическое шифрование устройств Windows или BitLocker на компьютерах Dell