Anleitung zum Troubleshooting bei Problemen mit der Festplattenverschlüsselung

Inhaltsverzeichnis:

1. Was ist Festplattenverschlüsselung?
2. Hardwareverschlüsselung im Vergleich zur Softwareverschlüsselung
3. Was ist TPM?
4. Vollständige Festplattenverschlüsselung (Full Disk Encryption, FDE)
5. Was ist BitLocker?
6. Verschlüsselung von FDE-Festplatten im Advanced Format 512e (4K)
7. Festplatte wird von der Verschlüsselungssoftware nicht erkannt
8. Probleme vor dem Start
9. Das System wird nach dem Hinzufügen von Verschlüsselungssoftware von Drittanbietern nicht gestartet.
10. Verschlüsselung und Neuinstallation des Betriebssystems
11. Verlorene Kennwörter oder Verschlüsselungscodes

1. Was ist Festplattenverschlüsselung?

Die Festplattenverschlüsselung ist ein Prozess, bei dem Daten auf der Festplatte oder dem gesamten Laufwerk mit mathematischen Algorithmen in unlesbaren Code konvertiert werden, sodass unbefugte Benutzer nicht darauf zugreifen können. Der Benutzer muss ein Kennwort, einen Fingerabdruck oder eine Smart Card angeben, um auf ein verschlüsseltes Laufwerk zugreifen zu können. Die Verschlüsselung kann mithilfe von Software- oder Hardwaremechanismen durchgeführt werden. In der Client-Welt beschäftigen wir uns meistens mit softwarebasierter Verschlüsselung. Die Verschlüsselung kann auf Dateiebene oder für die gesamte Festplatte erfolgen.

Zurück zum Anfang

2. Hardwareverschlüsselung im Vergleich zur Softwareverschlüsselung

Der Hauptunterschied zwischen Software- und Hardwareverschlüsselung besteht darin, dass der Master Boot Record (MBR) nicht mithilfe eines Softwareverschlüsselungsmechanismus verschlüsselt werden kann. Dell Client-Computer verwenden Wave Trusted Drive Manager als Teil der Dell Data Protection oder Dell ControlPoint Security Manager Suite mit dem TPM-Chip für softwarebasierte Verschlüsselung. Enterprise-Kunden können Dell Data Protection Encryption und ein DDPE Accelerator-Modul verwenden, das in einem Steckplatz auf der Hauptplatine mithilfe der Minikarte für Laptops oder einer PCIe-Karte für Desktop-Computer verwendet wird. Die Hardwareverschlüsselung ist sicherer, da sie das Laufwerk von der CPU und dem Betriebssystem isoliert, sodass es weitaus weniger anfällig für Angriffe ist.

Zurück zum Anfang

3. Was ist TPM?

Ein Trusted Platform Module (TPM) ist ein kryptografischer Mikroprozessor auf der Hauptplatine, der die Verschlüsselungsschlüssel für das Laufwerk speichert und authentifiziert, wodurch das Laufwerk wiederum mit dem Computer verbunden wird. Das bedeutet, dass das Laufwerk nicht zugänglich ist, wenn das verschlüsselte Laufwerk vom Computer gestohlen und in einen anderen Computer eingesetzt wird. Der TPM-Chip fungiert als ein „Zugang“ zum Laufwerk. Der Hauptnachteil des TPM-Chips, der in einem Verschlüsselungsschema verwendet wird, besteht darin, dass das Laufwerk möglicherweise nicht mehr für den Benutzer zugänglich ist, wenn die Hauptplatine ausgetauscht werden muss. Wave Trusted Drive Manager behebt dieses Problem jedoch, indem die Verschlüsselungsschlüssel auch auf der Festplatte gespeichert werden. (Dies ähnelt RAID-Arrays, die beim Austausch einer Hauptplatine nicht verloren gehen. Die Arrayinformationen werden auf dem Laufwerksstreifen und im RAID-Controller EPROM gespeichert.)

Weitere Informationen: So beheben Sie häufig auftretende Problemen mit TPM und BitLocker

Zurück zum Anfang

4. Vollständige Festplattenverschlüsselung (Full Disk Encryption, FDE)

Vollständige Festplattenverschlüsselung bedeutet einfach, dass das gesamte Laufwerk (jeder Sektor) anstelle der Dateien, Ordner oder Dateicomputer verschlüsselt werden kann. FDE-Festplatten werden aufgrund der erhöhten Wahrscheinlichkeit von Computerdiebstahl oder -verlust zum Standard in Laptops. Der Begriff "vollständige Festplattenverschlüsselung" wird ursprünglich von Seagate geprägt, ist aber jetzt ein Branchenbegriff für alle Festplatten, die vollständig verschlüsselt werden können. FDE-Festplattensicherheitsfunktionen sind immer eingeschaltet und fungieren als normale Festplatte, bis die Sicherheitsrichtlinien implementiert sind.

Eine häufige Frage ist, ob die Verschlüsselungssoftware Wave Trusted Drive Manager auf einer Nicht-FDE-Festplatte verwendet werden kann, um die gesamte Festplatte zu sichern. Die Antwort ist, dass kein Wave Trusted Drive Manager ein FDE-Laufwerk erfordert. Softwareverschlüsselungsmechanismen wie Windows BitLocker können verwendet werden, um Volumes auf Nicht-FDE-Laufwerken mit dem TPM-Chip oder einem USB-Laufwerk zu verschlüsseln, aber nicht mit dem Betriebssystem-Bootstrap (Startsektor) der Festplatte.

Um zugriff auf den Inhalt einer vollständig verschlüsselten Festplatte durch Wave Trusted Drive Manager zu erhalten, wird die Preboot-Authentifizierung verwendet, sodass auf die Sektoren zugegriffen werden kann, die das Betriebssystem enthalten, und auf Die Benutzerdaten. Auf Clientcomputern, die DDPA verwenden, wird die Preboot-Authentifizierung von der Wave-Software in DDPA\DCPSM durchgeführt.

Zurück zum Anfang

5. Was ist BitLocker?

BitLocker ist eine funktion zur vollständigen Datenträgerverschlüsselung, die unter Windows 7 verfügbar ist und nur in den Editionen Ultimate und Enterprise verfügbar ist. Sie können BitLocker to Go verwenden, um alle Dateien zu schützen, die auf Wechseldatenträgern gespeichert sind (z. B. externe Festplatten oder USB-Flash-Laufwerke).

Im Gegensatz zum Trusted Drive Manager müssen diese Laufwerke keine FDE-Laufwerke sein, aber BitLocker kann nur Volumes verschlüsseln, aber nicht das Startvolume. Mit BitLocker verschlüsselte Laufwerke können über ein Kennwort oder eine Smartcard mit TPM vor dem Start entsperrt werden. Damit BitLocker über einen Preboot-Mechanismus aufgerufen werden kann, muss das BIOS in der Lage sein, ein USB-Laufwerk beim Start zu lesen, und es müssen zwei Partitionen vorhanden sein, wobei die Partition des Computerlaufwerks mindestens 100 MB beträgt und als aktive Partition festgelegt ist. Die Betriebssystempartition wird verschlüsselt und die Computerpartition bleibt unverschlüsselt, sodass Ihr Computer gestartet werden kann.

TPM ist für die BitLocker-Verwendung nicht erforderlich, wird jedoch für den Preboot-Vorgang dringend empfohlen, um die Sicherheit zu erhöhen. Für Windows-Aktualisierungen ist keine Deaktivierung von BitLocker erforderlich, bei anderen Aktualisierungen ist jedoch möglicherweise eine Deaktivierung erforderlich. Wie bei anderen Verschlüsselungsanwendungen wird empfohlen, Wiederherstellungsschlüssel (PIN) auf Wechselmedien oder anderen sicheren Speicherorten zu speichern. Wenn der Benutzer nicht über seine Wiederherstellungs-PIN verfügt, gibt es keine Möglichkeit, das Laufwerk zu entsperren. Wenn der Computer nicht starten kann, um zur BitLocker-Wiederherstellungskonsole zu gelangen, oder wenn die Festplatte ausgefallen ist, kann das BitLocker-Reparaturtool heruntergeladen und auf einen startfähigen Schlüssel oder eine CD extrahiert werden, um Daten vom Laufwerk wiederherzustellen. Sie müssen über die PIN verfügen, um auf die Daten zugreifen zu können.

Wenn sich der Benutzer in einer Domain befindet, die Active Directory verwendet, und sein Administrator BitLocker eingerichtet hat, ist es möglich, dass die PIN in Active Directory gespeichert wurde, damit er sich an seine IT-Abteilung wenden muss.

Weitere Informationen: So beheben Sie häufig auftretende Problemen mit TPM und BitLocker

Zurück zum Anfang

6. Verschlüsselung von FDE-Festplatten im Advanced Format 512e (4K).

Eine Festplatte mit 512e (4K) oder erweitertem Format bedeutet einfach, dass sich die einzelnen Sektoren des Laufwerks von 512 auf 4.096 Byte geändert haben. Die erste Generation von Festplattenlaufwerken mit advanced Format erreicht dies, indem sie 8 bis 512-Byte-Sektoren in einem einzigen 4.096-Byte-Sektor kombiniert. Bei Dell Computern kommt der Begriff 512e (Emulation) von der Verwendung von Konvertierungsmechanismen innerhalb der Firmware der Festplatte, um die Darstellung von 4.096 Sektoren für Legacy-Komponenten und -Software zu simulieren, die 512-Byte-Sektoren erwarten. Alle Lese-/Schreibvorgänge auf einer 512e-Festplatte mit erweitertem Format erfolgen in Schritten von 512 Byte, aber bei einem Lesezyklus wird die gesamte 4.096 in den Arbeitsspeicher geladen. Aus diesem Grund müssen 512e-Festplatten ausgerichtet werden. Wenn die Laufwerksausrichtung nicht durchgeführt wird, kann die Leistung des Laufwerks stark beeinträchtigt werden. Aktuelle Festplatten, die mit einem Dell Computer erworben werden, sind bereits ausgerichtet.

Um festzustellen, ob Ihr Computer über ein Laufwerk mit Advanced Format (512e) verfügt, laden Sie das Advanced Format-Festplattenerkennungstool herunter. 

Die Partitionsausrichtung ist für ältere Betriebssysteme erforderlich und wird für neue Betriebssysteme empfohlen, um eine ordnungsgemäße Festplattenleistung und Image-Erstellung zwischen HDDs unterschiedlicher Sektorgrößen zu gewährleisten.

Die Laufwerksausrichtung kann mit mehreren Tools erfolgen, die von der Dell Support-Website Treiber und Downloads für Ihren Computer im Abschnitt SATA-Laufwerke heruntergeladen werden können.

Zurück zum Anfang

7. Festplatte wird von verschlüsselungssoftware nicht erkannt.

Für Wave Trusted Drive Manager muss das Laufwerk ein FDE-Laufwerk (Full Drive Encryption) sein und der SATA-Vorgang muss für ATA\AHCI\IRRT und nicht FÜR RAID On\RAID festgelegt sein. Dies kann bei Verschlüsselungsprogrammen von Drittanbietern der Fall sein.

Wenden Sie sich an den Anbieter, um die BIOS-Einstellungsanforderungen zu ermitteln.

Überprüfen Sie die Laufwerksausrichtung, wenn ein Betriebssystem-Image verwendet wird, insbesondere Windows XP. Stellen Sie sicher, dass alle Aktualisierungen vor der Verschlüsselung auf das Image angewendet wurden.

Wenn Verschlüsselungssoftware von Drittanbietern verwendet wird, wenden Sie sich an den Anbieter, um sicherzustellen, dass die Software mit der Hardware im Computer und dem UEFI-BIOS (Unified Extensible Firmware Interface) funktioniert.

Zurück zum Anfang

8. Probleme vor dem Start.

• Wenn der Benutzer Probleme mit der Preboot-Authentifizierungsüberprüfung hat, um festzustellen, welchen Authentifizierungsmechanismus er verwendet: Kennwort, Fingerabdruck oder Smartcard
• Stellen Sie bei Passwörtern sicher, dass sie das richtige Kennwort verwenden, und überprüfen Sie, ob die Feststelltaste und die Num-Sperre korrekt eingestellt sind.
• Wenn Sie Fingerabdrücke verwenden, stellen Sie sicher, dass sie den richtigen Finger verwenden und nicht zu schnell wischen. Drei ungültige Wischen sollten die Kennworteingabeaufforderung auslösen.
• Stellen Sie bei Smartcards sicher, dass die richtige Karte verwendet, korrekt eingesetzt und auf Schäden geprüft wird. Versuchen Sie es nach Möglichkeit mit einer anderen Karte.
• Wenn sie sich in einer Domain befinden, stellen Sie sicher, dass sie nicht zur lokalen Anmeldung gewechselt sind. Sie müssen dieselben Anmeldedaten wie bei der Einrichtung der Verschlüsselung verwenden.
• Wenn der Benutzer angibt, dass die Preboot-Authentifizierung bei einem Neustart nicht funktioniert, überprüfen Sie das BIOS, um sicherzustellen, dass die Kennwortumgehung nicht aktiviert ist. Diese Funktion funktionierte in den frühen BIOS-Versionen nicht, wurde aber inzwischen behoben. Stellen Sie sicher, dass der Kunde das neueste BIOS verwendet.
• Wenn der Benutzer sein Kennwort verloren hat oder nicht mehr angestellt ist, gibt es keine Möglichkeit für Dell, das Kennwort für die Trusted Drive Manager-Verschlüsselung wiederherzustellen. Informationen zu Drittanbieteranwendungen finden Sie bei diesem Anbieter für Support.

Zurück zum Anfang

9. Das System wird nach dem Hinzufügen von Verschlüsselungssoftware von Drittanbietern nicht gestartet.

Schalten Sie den Computer ein und drücken Sie dann während des Startvorgangs die Taste F12, um das BIOS-Startmenü aufzurufen. Es kann erforderlich sein, die Taste während des Startvorgangs wiederholt zu drücken, damit das BIOS die Taste zum richtigen Zeitpunkt erkennt. Verwenden Sie die Nach-oben- und Nach-unten-Tasten, um Diagnose> im Menü auszuwählen<, und drücken Sie die Eingabetaste.

Die ePSA -Diagnose (Enhanced Preboot System Assessment) wird ausgeführt, um sicherzustellen, dass das Laufwerk nicht fehlerhaft ist und keine Fehler gemeldet hat. Wenn Sie über ein Laufwerk mit Advanced Format (512e) verfügen, stellen Sie sicher, dass das Laufwerk korrekt ausgerichtet ist, bevor die Verschlüsselung durchgeführt wird.

Wenden Sie sich an den Drittanbieter, um Wiederherstellungsoptionen zu erhalten. Die meisten Unternehmen verfügen über ein Wiederherstellungsdienstprogramm, das der Benutzer auf einen startfähigen Schlüssel oder eine startfähige CD laden kann. Überprüfen Sie außerdem die Anbieterseite auf Computerplattformprobleme, falls Probleme mit dieser bestimmten Software auf diesem Computermodell vorliegen.

Zurück zum Anfang

10 Encryption und Neuinstallation des Betriebssystems

Wenn das Betriebssystem auf einer verschlüsselten Festplatte beschädigt wird und eine Neuinstallation erforderlich ist, besteht die Möglichkeit, dass die Windows-Installationsfestplatte das Laufwerk möglicherweise nicht erkennt, da sich die Festplatte in einem gesperrten Zustand befindet. Bei mit Wave Trusted Drive Manager verschlüsselten Laufwerken muss das Laufwerk entsperrt werden, bevor die Neuinstallation des Betriebssystems durchgeführt werden kann.

Lesen Sie die Support-Dokumente auf der Wave-Website, in denen erläutert wird, wie Sie das Laufwerk vor einer Neuinstallation entsperren können.

Für Verschlüsselungssoftware von Drittanbietern wenden Sie sich an den Anbieter, um das richtige Verfahren zu erhalten, bevor Sie die Neuinstallation versuchen.

Zurück zum Anfang

11 Verlorene Passwörter oder Verschlüsselungsschlüssel

Wenn ein Benutzer sein Preboot-Passwort, den Verschlüsselungsschlüssel oder einen Endnutzer aus dem Unternehmen entfernt hat, bieten die meisten Anbieter von Verschlüsselungsanwendungen einen ausfallsicheren Mechanismus für die Wiederherstellung. Aufgrund branchenüblicher Datenrichtlinien muss der Wiederherstellungsmechanismus vom Kunden initiiert werden. Speichern Sie dazu das Kennwort\key auf wechselbarem Speicher oder Netzwerkspeicherort. Wenn die vollständige Datenträgerverschlüsselung implementiert wurde und der Benutzer sein Kennwort\schlüssel verloren hat, kann Dell ihnen nicht helfen, das Kennwort\den Schlüssel für das Laufwerk wiederherzustellen. Der Benutzer benötigt in dieser Instanz eine Ersatzfestplatte. Dieses Problem fällt außerhalb des Serviceumfangs, da die Verschlüsselung wie vorgesehen funktioniert und die Daten vor Angriffen schützt. Die Kosten für den Austausch des Laufwerks muss der Benutzer selbst tragen. Wave kann bei Benutzernamenproblemen helfen. Die Benutzer müssen über ihr Passwort verfügen, damit Wave sie bei einem vergessenen Benutzernamen unterstützen kann. Wenn der Benutzer sein Passwort vergessen, verloren oder nicht besitzt, kann Wave leider nicht helfen.

Wenn das Problem durch die oben genannten Schritte nicht behoben werden kann, wenden Sie sich an den technischen Support von Dell, um Unterstützung zu erhalten.

Zurück zum Anfang

Empfohlene Artikel

Hier sind einige empfohlene Artikel zu diesem Thema, die für Sie von Interesse sein könnten.

• Dell Full Disk Encryption Systemanforderungen
• BIOS-Option zum Festlegen eines Festplattenkennworts auf dem M.2-SSD-Laufwerk
• Automatische Windows-Geräteverschlüsselung oder BitLocker auf Dell Computer