Como solucionar problemas de criptografia de disco rígido

Sumário:

1. O que é criptografia de disco rígido?
2. A criptografia de hardware se compara à criptografia de software
3. O que é TPM?
4. Criptografia completa de disco (FDE)
5. O que é BitLocker?
6. Criptografia de discos rígidos FDE de formato avançado 512e (4 K)
7. Disco rígido não reconhecido pelo software de criptografia
8. Problemas de pré-inicialização
9. O sistema não inicializa após a adição de software de criptografia de terceiros.
10. Criptografia e reinstalação do sistema operacional
11. Senhas perdidas ou chave de criptografia

1. O que é criptografia de disco rígido?

A criptografia de disco rígido é um processo em que os dados no disco, ou o disco inteiro, são convertidos em código ilegível usando algoritmos matemáticos para que não possam ser acessados por usuários não autorizados. O usuário deve fornecer uma senha, impressão digital ou smart card para acessar uma unidade criptografada. A criptografia pode ser realizada por meio de mecanismos de software ou de hardware. No universo do cliente, lidamos com criptografia de software a maior parte do tempo. A criptografia pode estar no nível do arquivo ou para todo o disco rígido.

Voltar ao início

2. A criptografia de hardware se compara à criptografia de software

A principal diferença entre a criptografia de software e a de hardware é que o registro mestre de boot (MBR) não pode ser criptografado com um mecanismo de criptografia de software. Os computadores client da Dell usam o Wave Trusted Drive Manager como parte do pacote Dell Data Protection ou Dell ControlPoint Security Manager com o chip TPM para criptografia baseada em software. Os clientes empresariais podem usar o Dell Data Protection Encryption e um módulo acelerador DDPE que é usado em um slot na placa-mãe usando a miniplaca para notebooks ou uma placa PCIe para desktops. A criptografia de hardware é mais segura porque isola a unidade da CPU e do sistema operacional, tornando-a muito menos vulnerável a ataques.

Voltar ao início

3. O que é TPM?

Um Trusted Platform Module (TPM) é um microprocessador criptográfico na placa-mãe que armazena e autentica as chaves de criptografia da unidade, o que, por sua vez, vincula a unidade ao computador. Isso significa que, se a unidade criptografada for roubada do computador e colocada em outro computador, a unidade não poderá ser acessível. O chip TPM funciona como um "gateway" na unidade. A principal desvantagem do chip TPM usado em um esquema de criptografia é que, se a placa-mãe exigir substituição, a unidade pode não estar mais acessível ao usuário. No entanto, o Wave Trusted Drive Manager elimina esse problema, mantendo as chaves de criptografia também no disco rígido. (Isso é semelhante a não perder arrays RAID quando uma placa-mãe é substituída. As informações de array são mantidas na faixa da unidade e na EPROM da controladora RAID.)

Mais informações: Como solucionar e corrigir problemas comuns do TPM e do BitLocker

Voltar ao início

4. Criptografia completa de disco (FDE)

A criptografia completa de disco simplesmente significa que toda a unidade (cada setor) pode ser criptografada em vez de arquivos, pastas ou computadores de arquivos. Os discos rígidos FDE estão se tornando o padrão em notebooks devido à maior chance de roubo ou perda de computadores. O termo "criptografia completa de disco" foi originalmente usado pela Seagate, mas agora é um termo do setor para todos os discos rígidos que podem ser totalmente criptografados. Os recursos de segurança da unidade de disco rígido FDE estão sempre ativados e funcionam como um disco rígido normal até que as políticas de segurança sejam implementadas.

Uma pergunta comum que surge é se o software de criptografia Wave Trusted Drive Manager pode ser usado em um disco rígido não FDE para proteger todo o disco. A resposta é: nenhum Wave Trusted Drive Manager requer uma unidade FDE. Mecanismos de criptografia de software, como o Windows BitLocker, podem ser usados para criptografar volumes em unidades não FDE usando o chip TPM ou uma unidade USB, mas não o bootstrap do sistema operacional (setor de inicialização) do disco rígido.

Para ter acesso ao conteúdo de uma unidade de disco rígido totalmente criptografada por meio do Wave Trusted Drive Manager, a autenticação de pré-boot é usada para que os setores contendo o sistema operacional e os dados do usuário possam ser acessados. Em computadores client que usam DDPA, a configuração de autenticação de pré-inicialização é tratada pelo software Wave no DDPA\DCPSM.

Voltar ao início

5. O que é BitLocker?

O BitLocker é um recurso de criptografia completa de disco disponível no Windows 7. Ele está disponível apenas nas edições Ultimate e Enterprise. Você pode usar o BitLocker To Go para ajudar a proteger todos os arquivos armazenados em unidades de dados removíveis (como discos rígidos externos ou unidades flash USB).

Ao contrário do Trusted Drive Manager, essas unidades não precisam ser unidades FDE, mas o BitLocker só pode criptografar volumes, mas não o volume de inicialização. As unidades criptografadas com BitLocker podem ser desbloqueadas por meio da pré-inicialização usando uma senha ou Smart Card com TPM. Para que o BitLocker seja acessado por um mecanismo de pré-inicialização, o BIOS deve ser capaz de ler uma unidade USB durante a inicialização, e duas partições devem estar presentes, com a partição da unidade do computador sendo de pelo menos 100 MB e definida como a partição ativa. A partição do sistema operacional é criptografada e a partição do computador permanece descriptografada para que o computador possa iniciar.

O TPM não é necessário para o uso do BitLocker, mas é altamente recomendado para pré-inicialização para melhorar a segurança. As atualizações do Windows não exigem a desativação do BitLocker, mas outras atualizações podem exigir desativá-lo. Como outros aplicativos de criptografia, é recomendável que as chaves de recuperação (PIN) sejam armazenadas em mídia removível ou em outros locais seguros. Se o usuário não possuir um PIN de recuperação, não há nenhuma forma de desbloquear a unidade. Se o computador não conseguir inicializar para acessar o Console de recuperação do BitLocker ou se o disco rígido falhar, a Ferramenta de reparo do BitLocker poderá ser baixada e extraída em uma chave inicializável ou CD para recuperar dados da unidade. É preciso ter o PIN para acessar os dados.

Se o usuário estiver em um domínio usando o Active Directory e o administrador configurar o BitLocker, é possível que o PIN tenha sido armazenado no Active Directory, então faça com que ele verifique com o departamento de TI.

Mais informações: Como solucionar e corrigir problemas comuns do TPM e do BitLocker

Voltar ao início

6. Criptografia de discos rígidos FDE de formato avançado 512e (4 K).

Um disco rígido 512e (4 K) ou formato avançado simplesmente significa que os setores individuais da unidade mudaram de 512 para 4.096 bytes. A primeira geração de discos rígidos de formato avançado faz isso usando setores de 8 a 512 bytes e combinando-os em um único setor de 4.096 bytes. Em computadores Dell, o termo 512e (emulação) vem do uso de mecanismos de conversão dentro do firmware do disco rígido para simular a aparência do setor de 4.096 para componentes e software preexistentes que esperam setores de 512 bytes. Todas as leituras/gravações em um disco rígido de formato avançado 512e são feitas em incrementos de 512 bytes, mas, em um ciclo de leitura, todo o 4.096 é carregado na memória. Unidades de disco rígido 512e devem estar alinhadas por esse motivo. Se o alinhamento da unidade não for realizado, a performance da unidade pode ser gravemente afetada. Os discos rígidos atuais adquiridos com um computador Dell já estão alinhados.

Para detectar se o computador tem uma unidade de formato avançado (512e), faça download da ferramenta de detecção de disco rígido de formato avançado. 

O alinhamento de partição é necessário para sistemas operacionais mais antigos e é recomendado para novos sistemas operacionais a fim de garantir o desempenho adequado do disco rígido e a criação de imagens entre HDDs de diferentes tamanhos de setor.

O alinhamento da unidade pode ser feito usando várias ferramentas que podem ser baixadas do site de suporte da Dell Drivers & Downloads para o seu computador, na seção Unidades SATA.

Voltar ao início

7. Unidade de disco rígido não reconhecida pelo software de criptografia.

Para o Wave Trusted Drive Manager, a unidade deve ser uma unidade de criptografia completa de disco (FDE) e a operação da SATA deve ser ajustada para ATA\AHCI\IRRT e não para RAID On\RAID. Esse pode ser o caso com programas de criptografia de terceiros.

Verifique com o fornecedor qualquer requisito de configuração do BIOS.

Verifique o alinhamento da unidade, caso uma imagem do sistema operacional esteja sendo usada, principalmente o Windows XP. Certifique-se de que todas as atualizações foram aplicadas à imagem antes da criptografia.

Se o software de criptografia de terceiros estiver sendo usado, verifique com o fornecedor para garantir que o software funcione com o hardware no computador e o BIOS unified extensible firmware interface (UEFI).

Voltar ao início

8. Problemas de pré-inicialização.

• Se o usuário estiver enfrentando problemas com a autenticação de pré-inicialização, verifique qual mecanismo de autenticação ele está usando: Senha, impressão digital ou smart card
• Para senhas, certifique-se de que eles estejam usando a senha correta e verifique se o bloqueio de cap e o Num Lock estão definidos corretamente.
• Se estiver usando impressões digitais, certifique-se de que eles estejam usando o dedo correto e que não estejam deslizando muito rápido. Três deslizes inválidos devem acionar o prompt de senha.
• Para smartcards, verifique se o cartão correto está sendo usado, inserido corretamente e verifique se há danos. Tente usar outro cartão, se possível.
• Se estiver em um domínio, certifique-se de que eles não tenham alternado para o log-in local. Eles devem usar as mesmas credenciais de quando a criptografia foi institulitada.
• Se o usuário afirmar que a autenticação de pré-inicialização não está funcionando em uma reinicialização, verifique o BIOS para garantir que o bypass de senha não esteja ativado. Esse recurso não estava funcionando nas versões iniciais do BIOS, mas foi corrigido desde então. Certifique-se de que o cliente esteja usando o BIOS mais recente.
• Se o usuário tiver perdido a senha ou não trabalhar mais na empresa, não há como a Dell recuperar a senha para a criptografia do Trusted Drive Manager. Para aplicativos de terceiros, consulte esse fornecedor para obter suporte.

Voltar ao início

9. O sistema não inicializa após a adição de software de criptografia de terceiros.

Ligue o computador e pressione a tecla F12 durante o processo de inicialização para acessar o menu de inicialização do BIOS. Pode ser necessário pressionar repetidamente a tecla durante o processo de boot para que o BIOS reconheça a tecla no momento certo. Use as teclas de seta para cima e para baixo para selecionar <Diagnostics (Diagnóstico)> no menu e pressione a tecla Enter.

O diagnóstico de Avaliação aprimorada de pré-inicialização do sistema (ePSA) é executado para garantir que a unidade não esteja em um estado de falha e não tenha relatado nenhum erro. Se você tiver uma unidade de formato avançado (512e), certifique-se de que a unidade esteja alinhada corretamente antes que a criptografia seja executada.

Verifique com o fornecedor terceirizado as opções de recuperação. A maioria das empresas tem um utilitário de recuperação que o usuário pode carregar para uma chave ou CD de boot. Além disso, verifique se há problemas na plataforma do computador no site do fornecedor caso haja problemas com esse software específico neste modelo de computador.

Voltar ao início

10 Reinstalação do sistema operacional e criptografia

Se o sistema operacional estiver corrompido em um disco rígido criptografado e precisar de reinstalação, existe a possibilidade de que, devido ao disco rígido estar em um estado travado, o disco de instalação do Windows não consiga reconhecer a unidade. Para unidades criptografadas com o Wave Trusted Drive Manager, a unidade deve ser desbloqueada antes que a reinstalação do sistema operacional possa ocorrer.

Consulte os documentos de suporte no site wave que explicam como desbloquear a unidade antes de uma reinstalação aqui.

Para software de criptografia de terceiros, verifique com o fornecedor o procedimento adequado antes de tentar a reinstalação.

Voltar ao início

11 Senhas perdidas ou chave de criptografia

Se um usuário tiver perdido sua senha de pré-inicialização, sua chave de criptografia ou um usuário final tiver deixado a empresa, a maioria dos fornecedores de aplicativos de criptografia fornecerá um mecanismo à prova de falhas para recuperação. Devido a políticas de dados padrão do setor, o mecanismo de recuperação deve ser iniciado pelo cliente. Isso é feito salvando a senha\chave no armazenamento removível ou no local da rede. Se a criptografia completa de disco foi implementada e o usuário perdeu sua senha\chave, a Dell não poderá ajudá-lo a recuperar a senha\chave da unidade. O usuário precisa de um disco rígido de substituição nesta instância. Esse problema está fora do escopo da garantia, pois a criptografia está funcionando conforme projetado e protege os dados contra invasão. A substituição da unidade será às custas do usuário. O Wave pode ajudar com problemas de nome de usuário. Ousuário deve ter sua senha para o Wave para ajudar com um nome de usuário esquecido. Se o usuário tiver esquecido, perdido ou não tiver sua senha, infelizmente, a Wave não poderá ajudar.

Se as etapas acima não resolverem o problema, entre em contato com o Suporte técnico da Dell para obter assistência.

Voltar ao início

Artigos recomendados

Aqui estão alguns artigos recomendados relacionados a este tópico que podem ser de seu interesse.

• Requisitos do sistema Dell Full Disk Encryption
• Sem opção no BIOS para configurar uma senha de disco rígido na SSD M.2
• Criptografia automática de dispositivos do Windows ou BitLocker em computadores Dell