Jak rozwiązać problemy z szyfrowaniem dysku twardego

Spis treści:

1. Co to jest szyfrowanie dysku twardego?
2. Porównanie szyfrowania sprzętowego i programowego
3. Co to jest moduł TPM?
4. Full Disk Encryption (FDE)
5. Co to jest funkcja BitLocker?
6. Szyfrowanie dysków twardych FDE zaawansowanego formatu 512e (4K)
7. Dysk twardy nierozpoznawany przez oprogramowanie szyfrujące
8. Problemy przed rozruchem
9. System nie uruchamia się po dodaniu oprogramowania szyfrującego innego producenta.
10. Szyfrowanie a ponowna instalacja systemu operacyjnego
11. Utracone hasła lub klucz szyfrowania

1. Co to jest szyfrowanie dysku twardego?

Szyfrowanie dysku twardego to proces, podczas którego dane na dysku lub cały dysk jest konwertowany do kodu niemożliwego do odczytania za pomocą algorytmów matematycznych, dzięki czemu nieuprawnieni użytkownicy nie mają dostępu do tych danych. Aby uzyskać dostęp do zaszyfrowanego dysku, wymagane jest hasło, odcisk palca lub karta Smart Card. Szyfrowanie można wykonać za pomocą sprzętu lub oprogramowania. W świecie klientów zajmujemy się głównie szyfrowaniem programowym. Szyfrowanie można przeprowadzić na poziomie plików lub całego dysku twardego.

Powrót do góry

2. Porównanie szyfrowania sprzętowego i programowego

Zasadnicza różnica między szyfrowaniem sprzętowym a szyfrowaniem programowym jest taka, że głównego rekordu rozruchowego (MBR) nie można zaszyfrować za pomocą mechanizmu szyfrowania programowego. Komputery klienckie firmy Dell używają programu Wave Trusted Drive Manager jako elementu pakietu Dell Data Protection lub Dell ControlPoint Security Manager z układem TPM do szyfrowania opartego na oprogramowaniu. Klienci korporacyjni mogą korzystać z oprogramowania Dell Data Protection Encryption i modułu DDPE Accelerator, który jest stosowany w gnieździe na płycie głównej przy użyciu minikarty w przypadku notebooków lub karty PCIe w przypadku komputerów stacjonarnych. Szyfrowanie sprzętowe zapewnia większe bezpieczeństwo, ponieważ izoluje dysk od procesora i systemu operacyjnego, przez co jest on znacznie mniej narażony na ataki.

Powrót do góry

3. Co to jest moduł TPM?

Układ TPM (Trusted Platform Module) to kryptograficzny mikroprocesor na płycie głównej, przechowujący i uwierzytelniający klucze szyfrowania dysków, przez co wiąże także dysk z konkretnym komputerem. Oznacza to, że jeśli szyfrowany dysk zostanie skradziony z komputera i umieszczony w innym komputerze, nie będzie można uzyskać do niego dostępu. Układ TPM pełni rolę „bramki” do napędu. Użycie układu TPM w modelu szyfrowania ma jednak pewną wadę — w przypadku konieczności wymiany płyty głównej istnieje ryzyko, że użytkownik nigdy nie odzyska dostępu do danych. Program Wave Trusted Drive Manager pozwala jednak zapobiegać temu problemowi, przechowując na dysku twardym również klucze szyfrowania. (Podobnie jak macierze RAID nie są tracone po wymianie płyty głównej. Informacje o macierzy są przechowywane na pasku dysku i w kontrolerze RAID EPROM).

Więcej informacji: Sposób identyfikowania i rozwiązywania najczęściej występujących problemów z modułem TPM i funkcją BitLocker

Powrót do góry

4. Full Disk Encryption (FDE)

Pełne szyfrowanie dysku oznacza po prostu, że zaszyfrować można cały dysk (każdy sektor), a nie pliki, foldery czy systemy plików. Dyski twarde FDE stają się standardem w notebookach ze względu na podwyższone ryzyko ich utraty lub kradzieży. Termin „pełne szyfrowanie dysków” został po raz pierwszy użyty przez firmę Seagate, ale jest teraz branżowym określeniem wszystkich dysków twardych, które można w pełni zaszyfrować. Funkcje zabezpieczeń dysków FDE są zawsze włączone, a dysk działa jak zwykły dysk twardy do momentu wdrożenia zasad zabezpieczeń.

Użytkownicy często pytają, czy oprogramowania szyfrującego Wave Trusted Drive Manager można używać na dysku twardym innego typu niż FDE w celu zabezpieczenie całego dysku. Odpowiedź brzmi „nie”. Wave Trusted Drive Manager wymaga dysku FDE. Mechanizm szyfrowania programowego, np. Windows BitLocker, umożliwia szyfrowanie woluminów na dyskach innych niż FDE przy użyciu układu scalonego TPM lub napędu USB, ale nie sektora rozruchowego systemu operacyjnego na dysku twardym.

Aby uzyskać dostęp do zawartości w pełni szyfrowanego dysku twardego przez program Wave Trusted Drive Manager, używane jest uwierzytelnianie rozruchu wstępnego, dzięki czemu sektory zawierające system operacyjny i dane użytkownika są dostępne. W komputerach klientów używających DDPA konfiguracja uwierzytelnianie rozruchu wstępnego jest obsługiwana przez oprogramowanie Wave z poziomu DDPA\DCPSM.

Powrót do góry

5. Co to jest funkcja BitLocker?

BitLocker to funkcja pełnego szyfrowania dysku dostępna w systemie Windows 7 i jest dostępna tylko w wersjach Ultimate i Enterprise. Funkcja BitLocker To Go ułatwia ochronę wszystkich plików przechowywanych na wymiennych dyskach danych (takich jak zewnętrzne dyski twarde lub dyski flash USB).

W odróżnieniu od oprogramowania Trusted Drive Manager nie muszą to być dyski FDE, jednak funkcja BitLocker może jedynie szyfrować woluminy poza woluminem rozruchowym. Dyski szyfrowane za pomocą funkcji BitLocker można odblokować przez rozruch wstępny przy użyciu hasła i karty Smart Card z modułem TPM. Aby przejść do funkcji BitLocker przez mechanizm rozruchu wstępnego, system BIOS musi być w stanie odczytać napęd USB podczas uruchamiania i konieczna jest obecność dwóch partycji, przy czym partycja dysku komputera musi mieć co najmniej 100 MB i być ustawiona jako aktywna partycja. Partycja systemu operacyjnego zostanie zaszyfrowana, natomiast partycja komputera pozostanie niezaszyfrowana, co umożliwi uruchomienie komputera.

Układ TPM nie jest wymagany do korzystania z funkcji BitLocker, ale jest zdecydowanie zalecany do rozruchu wstępnego, aby zapewnić większe bezpieczeństwo. Aktualizacje systemu Windows nie wymagają wyłączenia funkcji BitLocker, jednak może ono być konieczne w przypadku innych aktualizacji. Tak jak w przypadku innych aplikacji szyfrujących, zaleca się przechowywanie kluczy odzyskiwania (kodu PIN) na nośniku wymiennym lub w innych bezpiecznych lokalizacjach. Jeśli użytkownik utraci kod PIN odzyskiwania, nie będzie innego sposobu na odblokowanie dysku. Jeśli nie można uruchomić komputera, aby uzyskać dostęp do konsoli odzyskiwania funkcji BitLocker, lub jeśli dysk twardy uległ awarii, można pobrać narzędzie naprawcze BitLocker Repair Tool i wyodrębnić je na dysku rozruchowym lub CD w celu odzyskania danych z dysku. Aby uzyskać dostęp do danych, konieczny jest kod PIN.

Jeśli użytkownik jest w domenie korzystającej z usługi Active Directory, w której administrator skonfigurował funkcję BitLocker, istnieje prawdopodobieństwo, że kod PIN jest przechowywany w usłudze Active Directory. W takim przypadku należy skontaktować się działem IT.

Więcej informacji: Sposób identyfikowania i rozwiązywania najczęściej występujących problemów z modułem TPM i funkcją BitLocker

Powrót do góry

6. Szyfrowanie dysków twardych FDE zaawansowanego formatu 512e (4K).

Dysk twardy 512e (4K), czyli dysk zaawansowanego formatu, oznacza, że poszczególne sektory dysku zostały zmienione od 512 bajtów do 4096 bajtów. Pierwsza generacji dysków twardych zaawansowanego formatu osiągnęła to dzięki połączeniu 8 sektorów 512-bajtowych w jeden sektor o rozmiarze 4096 bajtów. W komputerach firmy Dell określenie 512e (emulacja) pochodzi od wykorzystania mechanizmów konwersji w ramach oprogramowania wewnętrznego dysku twardego do symulacji wyglądu sektora 4096-bajtowego dla starszych składników i oprogramowania, które oczekują sektorów 512-bajtowych. Wszystkie operacje odczytu/zapisu na dysku twardym zaawansowanego formatu 512e są wykonywane w przyrostach 512-bajtowych, jednak w jednym cyklu odczytu do pamięci ładowana jest cała pamięć 4096 bajtów. Z tego powodu dyski twarde 512e muszą zostać wyrównane. Brak wyrównywania dysku może mieć istotny wpływ na wydajność dysku. Dyski twarde kupowane obecnie wraz z komputerem firmy Dell są już wyrównane.

Aby sprawdzić, czy dany komputer wyposażony jest w dysk zaawansowanego formatu (512e), pobierz narzędzie Dell Advanced Format HDD Detection Tool. 

Procedura wyrównywania partycji jest wymagana w przypadku starszych systemów operacyjnych i jest zalecana w przypadku nowych systemów operacyjnych w celu zapewnienia odpowiedniej wydajności dysku twardego i obrazowania pomiędzy dyskami o różnej wielkości sektorów.

Wyrównywanie dysku można przeprowadzić przy użyciu wielu narzędzi, dostępnych do pobrania z witryny pomocy technicznej firmy Dell Sterowniki i pliki do pobrania dla danego komputera, w sekcji Dyski SATA.

Powrót do góry

7. Dysk twardy nierozpoznawany przez oprogramowanie szyfrujące.

Aby można było skorzystać z oprogramowania Wave Trusted Drive Manager, dysk musi być dyskiem FDE, natomiast działanie dysku SATA musi być ustawione na ATA\AHCI\IRRT, a nie RAID on RAID. Może się tak dziać w przypadku programów szyfrujących innych firm.

Skontaktuj się ze sprzedawcą, aby uzyskać informacje na temat wymaganej konfiguracji systemu BIOS.

Sprawdź również wyrównanie dysku, jeśli używany jest obraz systemu operacyjnego, zwłaszcza systemu Windows XP. Upewnij się, że wszystkie aktualizacje zostały zastosowane do obrazu przed szyfrowaniem.

W przypadku korzystania z oprogramowania szyfrującego innych firm skontaktuj się ze sprzedawcą, aby upewnić się, że oprogramowanie współpracuje ze sprzętem w danym komputerze oraz systemem BIOS UEFI (Unified Extensible Firmware Interface).

Powrót do góry

8. Problemy przed rozruchem.

• Jeśli występują problemy z uwierzytelnianiem rozruchu wstępnego, sprawdź, który mechanizm uwierzytelniania jest stosowany: hasło, odcisk palca czy Smart Card
• W przypadku hasła upewnij się, że wprowadzane jest poprawne hasło i sprawdź ustawienia klawiszy Caps Lock i Num Lock.
• W przypadku korzystania z odcisku palca upewnij się, że używany jest odpowiedni palec i że nie jest on przesuwany zbyt szybko. Trzy nieprawidłowe przesunięcia powinny wywołać monit o podanie hasła.
• W przypadku kart Smart Card upewnij się, że używana karta jest prawidłowa, poprawnie włożona i nie ma widocznych uszkodzeń. Jeśli to możliwe, spróbuj użyć innej karty.
• Jeśli urządzenie należy do domeny, upewnij się, że nie zostało przełączone na logowanie lokalne. Konieczne jest użycie tych samych danych logowania co w momencie zaszyfrowania danych.
• Jeśli użytkownik stwierdzi, że uwierzytelnianie rozruchu wstępnego nie działa po ponownym uruchomieniu, sprawdź systemu BIOS, aby upewnić się, że opcja pomijania hasła nie jest włączona. Funkcja ta nie działała we wczesnych wersjach systemu BIOS, ale została od tego czasu naprawiona. Upewnij się, że klient korzysta z najnowszego systemu BIOS.
• Jeśli użytkownik utracił hasło lub nie jest już zatrudniony, nie ma sposobu na odzyskanie hasła szyfrowania oprogramowania Trusted Drive Manager. W przypadku aplikacji innych firm skontaktuj się ze sprzedawcą, aby uzyskać pomoc.

Powrót do góry

9. System nie uruchamia się po dodaniu oprogramowania szyfrującego innego producenta.

Uruchom komputer, a następnie naciśnij klawisz F12 podczas procesu rozruchu, aby przejść do menu Boot Menu (Menu startowe) systemu BIOS. Konieczne może być wielokrotne naciskanie klawisza podczas procesu uruchamiania, aby system BIOS rozpoznał klawisz w odpowiednim momencie. Użyj klawiszy ze strzałkami w górę i w dół, aby wybrać pozycję <Diagnostyka> w menu i naciśnij klawisz Enter.

Diagnostyka Enhanced Pre-boot System Assessment (ePSA) jest przeprowadzana w celu upewnienia się, że dysk twardy nie uległ awarii i nie zgłasza żadnych błędów. W przypadku dysku formatu zaawansowanego (512e) przed wykonaniem szyfrowania upewnij się, że został on poprawnie wyrównany.

W przypadku oprogramowania innego producenta aby poznać opcje odzyskiwania danych, skontaktuj się ze sprzedawcą. Większość producentów zapewnia narzędzie do odzyskiwania, które użytkownik może wgrać na dysk rozruchową lub CD. Sprawdź również w witrynie dostawcy znane problemy z platformą komputera, jeśli wystąpią problemy z tym określonym oprogramowaniem na danym modelu komputera.

Powrót do góry

10 Szyfrowanie a ponowna instalacja systemu operacyjnego

Jeśli system operacyjny ulegnie uszkodzeniu na zaszyfrowanym dysku twardym i będzie wymagać ponownej instalacji, istnieje możliwość, że z powodu stanu zablokowania dysku twardego dysk instalacyjny systemu Windows nie wykryje napędu. W przypadku dysków zaszyfrowanych za pomocą oprogramowania Wave Trusted Drive Manager dysk musi zostać odblokowany, zanim można będzie przeprowadzić ponowną instalację systemu operacyjnego.

Zapoznaj się dokumentami pomocy technicznej w witrynie Wave, które wyjaśniają sposób odblokowania dysku przed ponowną instalacją systemu w tym miejscu.

Jeśli używasz oprogramowania innego producenta, skontaktuj się ze sprzedawcą, aby uzyskać informacje na temat prawidłowej procedury przed próbą ponownej instalacji.

Powrót do góry

11 Utracone hasła lub klucz szyfrowania

Jeśli użytkownik utracił hasło rozruchu wstępnego lub klucz szyfrowania bądź użytkownik końcowy nie pracuje już w danej firmie, należy pamiętać, że większość producentów aplikacji szyfrujących oferuje awaryjny mechanizm odzyskiwania. Ze względu na obowiązujące w branży standardowe zasady obsługi danych mechanizm odzyskiwania danych musi zostać zainicjowany przez klienta. Polega to na zapisaniu hasła\klucza na nośniku wymiennym lub w lokalizacji sieciowej. Jeśli zastosowano pełne szyfrowanie dysku, a użytkownik utraci hasło/klucz do dysku, firma Dell nie będzie w stanie pomóc w jego odzyskaniu. W takim wypadku konieczna będzie wymiana dysku twardego. Ten problem wykracza poza zakres gwarancji, ponieważ szyfrowanie działa prawidłowo, chroniąc dane przed niechcianymi użytkownikami. Wymiana dysku odbędzie się na koszt użytkownika. Firma Wave może udzielić pomocy w kwestii nazwy użytkownika. Aby firma Wave mogła pomóc użytkownikowi odzyskać zapomnianą nazwę użytkownika, konieczne jest podanie odpowiadającego jej hasła. Jeśli użytkownik zapomniał albo utracił hasło lub jest ono z innych przyczyn niedostępne, niestety firma Wave nie będzie w stanie pomóc.

Jeśli wykonanie powyższych czynności nie rozwiązało problemu, skontaktuj się z działem pomocy technicznej firmy Dell.

Powrót do góry

Polecane artykuły

Poniżej przedstawiono niektóre polecane artykuły dotyczące tego tematu, które mogą Cię zainteresować.

• Wymagania systemowe dla aplikacji Dell Full Disk Encryption
• Opcja BIOS ustawiania hasła dysku twardego na dysku SSD M.2
• Automatyczne szyfrowanie urządzeń z systemem Windows lub funkcją BitLocker w komputerach firmy Dell