Odstraňování problémů se šifrováním pevného disku

Obsah:

1. Co je to šifrování pevného disku?
2. Hardwarové šifrování je porovnává se softwarovým šifrováním.
3. Co je čip TPM?
4. Šifrování celého disku (FDE)
5. Co je nástroj BitLocker?
6. Šifrování pevných disků s pokročilým formátováním 512e (4K) FDE
7. Pevný disk nebyl šifrovacím softwarem rozpoznán
8. Problémy před spuštěním
9. Po přidání šifrovacího softwaru jiného výrobce se systém nespustí.
10. Šifrování a přeinstalace operačního systému
11. Ztracená hesla nebo šifrovací klíč

1. Co je to šifrování pevného disku?

Šifrování pevného disku je proces, při kterém se data na disku nebo celé jednotce převedou pomocí matematických algoritmů na nečitelný kód, takže k nim nebudou mít přístup neoprávnění uživatelé. Uživatel musí zadat heslo, otisk prstu nebo čipovou kartu, aby k zašifrovanému disku přistupoval. Šifrování je možné provádět pomocí softwarových nebo hardwarových mechanismů. Ve světě klientů se většinou setkáváme se softwarovým šifrováním. Šifrování může být na úrovni souboru nebo u celého pevného disku.

Zpět na začátek

2. Hardwarové šifrování je porovnávává se softwarovým šifrováním.

Hlavní rozdíl mezi softwarovým a hardwarovým šifrováním spočívá v tom, že hlavní spouštěcí záznam (MBR – master boot record) nelze zašifrovat pomocí softwarového šifrovacího mechanismu. Klientské počítače Dell používají nástroj Wave Trusted Drive Manager jako součást nástroje Dell Data Protection nebo sady Dell ControlPoint Security Manager s čipem TPM pro softwarové šifrování. Firemní zákazníci mohou používat nástroj Dell Data Protection Encryption a modul DDPE Accelerator, který se používá ve slotu na základní desce pomocí mini karty pro notebooky nebo karty PCIe pro stolní počítače. Hardwarové šifrování je bezpečnější, protože izoluje disk od procesoru a operačního systému, takže je mnohem méně zranitelnější vůči útoku.

Zpět na začátek

3. Co je čip TPM?

Trusted Platform Module (TPM) je kryptografický mikroprocesor na základní desce, který uchovává a ověřuje šifrovací klíče disku, které následně spojují disk s počítačem. To znamená, že šifrovaný disk odcizený z počítače a umístěný v jiném počítači není přístupný. Čip TPM funguje jako „brána“ k disku. Hlavní nevýhodou čipu TPM použitého v šifrovacím schématu je to, že pokud základní deska vyžaduje výměnu, nemusí být disk uživateli potenciálně přístupný. Nástroj Wave Trusted Drive Manager ale tento problém odstraňuje tím, že se šifrovací klíče uchovávají i na pevném disku. (Jedná se o něco podobného, jako když se při výměně základní desky neztratí pole RAID. Informace o poli se uchovává na prokládání disku a v řadiči RAID EPROM.)

Další informace: Řešení a oprava běžných problémů s čipem TPM a nástrojem BitLocker

Zpět na začátek

4. Šifrování celého disku (FDE)

Šifrování celého disku jednoduše znamená, že je možné zašifrovat celý disk (každý sektor) namísto souborů, složek nebo souborových počítačů. Pevné disky FDE se v noteboocích stávají standardem kvůli zvýšenému šanci na krádež nebo ztrátu počítače. Termín "šifrování celého disku" původně používá společnost Seagate, nyní je však termín v oboru pro všechny pevné disky, které lze plně zašifrovat. Bezpečnostní funkce pevného disku FDE jsou neustále zapnuté a disk funguje jako normální pevný disk, dokud se neuplatní bezpečnostní zásady.

Běžnou otázkou je, zda šifrovací software Wave Trusted Drive Manager lze k zabezpečení celého disku použít na jiných pevných discích než FDE. Odpověď zní, že žádný nástroj Wave Trusted Drive Manager nevyžaduje jednotku FDE. Mechanismy softwarového šifrování, například Windows BitLocker, lze použít k šifrování svazků na jiných discích než FDE pomocí čipu TPM nebo jednotky USB, ale ne k šifrování svazků spouštěcího sektoru pevného disku.

Aby bylo možné pomocí nástroje Wave Trusted Drive Manager získat přístup ke zcela šifrovanému pevnému disku, používá se ověření před spuštěním, takže je možný přístup k sektorům obsahujícím operační systém a uživatelská data. Na klientských počítačích používajících nástroj DDPA zpracovává nastavení ověřování před spuštěním software Wave v rámci nástroje DDPA\DCPSM.

Zpět na začátek

5. Co je nástroj BitLocker?

Nástroj BitLocker je funkce šifrování celého disku v systému Windows 7, která je dostupná pouze ve vydáních Ultimate a Enterprise. Nástroj BitLocker To Go pomáhá při ochraně všech souborů uložených na výměnných datových jednotkách (například na externích pevných discích nebo na jednotkách USB flash).

Na rozdíl od nástroje Trusted Drive Manager tyto disky nemusí být disky FDE, nástroj BitLocker však dokáže šifrovat pouze svazky, ale nikoli spouštěcí svazek. Jednotky šifrované nástrojem BitLocker lze odemknout před spuštěním pomocí hesla nebo čipové karty s čipem TPM. Aby mechanismus před spuštěním měl přístup k nástroji BitLocker, musí být systém BIOS schopen při spuštění číst jednotku USB a musí být přítomny dva oddíly, přičemž oddíl jednotky počítače musí být nastaven alespoň na 100 MB a nastaven jako aktivní oddíl. Oddíl operačního systému je šifrovaný a oddíl počítače zůstává nezašifrovaný, aby bylo možné počítač spustit.

Čip TPM není vyžadován pro použití nástroje BitLocker, ale důrazně doporučujeme pro účely lepšího zabezpečení před spuštěním. Služby Windows Update nevyžadují zakázání nástroje BitLocker, ale jiné aktualizace mohou vyžadovat jeho zakázání. Stejně jako u jiných šifrovacích aplikací se doporučuje, aby jsou obnovovací klíče (PIN) uloženy na vyměnitelném médiu nebo na jiných zabezpečených umístěních. Jestliže uživatel obnovovací kód PIN nemá, neexistuje žádný způsob, jak disk odemknout. Pokud se počítač nemůže spustit, aby se dostal do konzole pro obnovení nástroje BitLocker nebo pevný disk selhal, lze nástroj BitLocker Repair Tool stáhnout a rozbalit na spouštěcí klíč nebo disk CD, abyste mohli obnovit data z jednotky. Abyste měli přístup k datům, potřebujete kód PIN.

Pokud se uživatel nachází v doméně pomocí služby Active Directory a jeho správce nastavil nástroj BitLocker, je možné, že byl kód PIN uložen ve službě Active Directory, ať je tedy zkontroluje u svého oddělení IT.

Další informace: Řešení a oprava běžných problémů s čipem TPM a nástrojem BitLocker

Zpět na začátek

6. Šifrování pevných disků s pokročilým formátováním 512e (4K) FDE.

512e (4K) nebo pevný disk s pokročilým formátováním jednoduše znamená, že jednotlivé sektory disku se změnily z 512 na 4 096 bajtů. První generace pevných disků s pokročilým formátováním toho dosahuje tak, že vezme 8 512bajtových sektorů a zkombinuje je do jednoho 4 096bajtového sektoru. V počítačích Dell vychází výraz 512e (emulace) z použití převodních mechanismů v rámci firmwaru pevného disku pro simulaci vzhledu 4 096 sektorů pro starší komponenty a software, které očekávají 512bajtové sektory. Všechna čtení a zápisy na pevný disk 512e s pokročilým formátováním se provádějí v krocích po 512 bajtech, ale v cyklu čtení se do paměti načte celých 4 096 bajtů. Pevné disky 512e kvůli tomu musí být zarovnané. Jestliže se zarovnání disku neprovede, může to mít závažný vliv na výkon disku. Aktuální pevné disky zakoupené s počítačem Dell jsou již zarovnané.

Chcete-li zjistit, zda má váš počítač disk s pokročilým formátováním (512e), stáhněte si nástroj pro detekci pevného disku s pokročilým formátováním. 

Pro starší operační systémy je vyžadováno uspořádání oddílů a doporučuje se pro nové operační systémy, aby byl zajištěn správný výkon pevného disku a vytváření bitové kopie mezi pevnými disky různých velikostí sektorů.

Zarovnání disků lze provést pomocí několika nástrojů, které lze stáhnout z webu podpory společnosti Dell Ovladače a soubory ke stažení pro váš počítač v části Jednotky SATA.

Zpět na začátek

7. Pevný disk nebyl šifrovacím softwarem rozpoznán

U nástroje Wave Trusted Drive Manager se musí jednat o disk FDE (Full Drive Encryption) a operace SATA musí být nastavená na možnost ATA\AHCI\IRRT, ne RAID On\RAID. To se může vyskytnout u šifrovacích programů třetích stran.

U výrobce ověřte, jestli existují nějaké požadavky na nastavení systému BIOS.

Pokud se používá bitová kopie operačního systému, především Windows XP, zkontrolujte zarovnání disku. Před šifrováním se ujistěte, že byly na bitovou kopii aplikovány všechny aktualizace.

Pokud se používá šifrovací software třetí strany, ověřte u dodavatele, zda software funguje s hardwarem v počítači, a systému BIOS UEFI (Unified Extensible Firmware Interface).

Zpět na začátek

8. Problémy před spuštěním.

• Pokud má uživatel problémy s ověřením před spuštěním, zkontrolujte, jaký mechanismus ověřování používá: Heslo, otisk prstu nebo čipová karta
• U hesel se ujistěte, že používají správné heslo, a zkontrolujte, zda jsou správně nastaveny klávesy Cap Lock a Num Lock.
• Používáte-li otisky prstů, ujistěte se, že používají správný prst a že nepotápějí prstem moc rychle. Výzva k zadání hesla by měla vyvolat tři neplatná přejetí prstem.
• U čipových karet zkontrolujte, zda se používá správná karta, zda je správně vložena a zda není poškozena. Pokud je to možné, vyzkoušejte jinou kartu.
• Pokud jste v doméně, ujistěte se, že není přepnuta na místní přihlášení. Musí používat stejné přihlašovací údaje jako při zavádění šifrování.
• Pokud uživatel uvede, že při restartu nefunguje ověřování před spuštěním, zkontrolujte v systému BIOS, zda není povoleno obcházení hesla. Tato funkce v prvních verzích systému BIOS nefunguje, ale od té doby byla opravena. Ujistěte se, že zákazník používá nejnovější systém BIOS.
• Jestliže uživatel heslo ztratil nebo už není zaměstnán, nemá společnost Dell žádný způsob, jak heslo pro šifrování Trusted Drive Manager obnovit. Podporu pro aplikace třetích stran získáte od tohoto dodavatele.

Zpět na začátek

9. Po přidání šifrovacího softwaru jiného výrobce se systém nespustí.

Zapněte počítač a stisknutím klávesy F12 během procesu spouštění přejděte do spouštěcí nabídky systému BIOS. Během procesu spouštění může být nutné stisknout klávesu několikrát, aby systém BIOS klávesu rozpoznal ve správném okamžiku. Pomocí kláves se šipkami nahoru a dolů vyberte v nabídce možnost <Diagnostics (Diagnostika> ) a stiskněte klávesu Enter.

Je spuštěna diagnostika ePSA (Enhanced Preboot System Assessment), která zajišťuje, že jednotka není v chybovém stavu a nehlásila žádné chyby. Pokud máte jednotku s pokročilým formátováním (512e), ujistěte se, že je jednotka před provedením šifrování správně zarovnaná.

Možnosti obnovení vám poskytne dodavatel třetí strany. Většina společností má obnovovací nástroj, který uživatel může nahrát na spouštěcí klíč nebo disk CD. Na webu výrobce také zkontrolujte problémy s počítačovými platformami pro případ, že by došlo k problémům s tímto konkrétním softwarem v tomto modelu počítače.

Zpět na začátek

10 Šifrování a přeinstalace operačního systému

Jestliže se operační systém na zašifrovaném pevném disku poškodí a je nutné ho přeinstalovat, instalační disk Windows nemusí jednotku rozpoznat, protože pevný disk je v zamčeném stavu. U jednotek zašifrovaných nástrojem Wave Trusted Drive Manager je nutné jednotku odemknout před přeinstalací operačního systému,.

Viz dokumenty podpory na webu Wave, které vysvětlují, jak disk před přeinstalováním odemknout zde.

U šifrovacího softwaru jiného výrobce si před pokusem o opakovanou instalaci ověřte u výrobce správný postup.

Zpět na začátek

11 ztracených hesel nebo šifrovacích klíčů

Pokud uživatel ztratil své heslo před spuštěním, svůj šifrovací klíč nebo koncový uživatel opustil společnost, většina výrobců šifrovacích aplikací poskytuje mechanismus bezpečný pro obnovení. Vzhledem k zásadám dat oborových standardů musí mechanismus obnovení zahájit zákazník. To se provádí uložením hesla/klíče na vyměnitelné úložiště nebo do síťového umístění. Pokud bylo implementováno šifrování celého disku a uživatel ztratil své heslo/klíč, společnost Dell jim nemůže pomoci obnovit heslo/klíč jednotky. Uživatel v tomto případě vyžaduje náhradní pevný disk. Tento problém spadá mimo rámec záruky, protože šifrování funguje tak, jak bylo navrženo a chrání data před narušením. Náhrada jednotky proběhne na náklady uživatele. Společnost Wave může pomoci s problémy s uživatelským jménem. Uživatelmusí mít své heslo pro wave, aby vám pomohl se zapomenutým uživatelským jménem. Pokud uživatel zapomněl, ztratil nebo nemá své heslo, bohužel společnost Wave nemůže pomoci.

Pokud výše uvedené kroky nezajistí vyřešení problému, požádejte telefonicky o pomoc technickou podporu společnosti Dell.

Zpět na začátek

Doporučené články

Zde je několik doporučených článků týkajících se tohoto tématu, které by vás mohly zajímat.

• Systémové požadavky nástroje Dell Full disk Encryption
• Možnost systému BIOS pro nastavení hesla pevného disku na disku M.2 SSD
• Automatické šifrování zařízení Windows nebo nástroj BitLocker v počítačích Dell